본문 바로가기
실생활 유용한 정보

개인정보 유출 시 신고부터 대처 방법까지 자세히 알아보고 2차 피해 예방하자

by 다꿈이 2023. 1. 23.

회원 가입할 때, 학원 등록할 때, 휴대폰 개통할 때 등 일상생활 많은 곳에서 우리의 개인정보를 요구합니다. 그런데 그만큼 개인정보 유출 또한 자주 일어납니다. 개인정보 유출 시 어떻게 신고하고 대응해야 하는지, 또 피해보상받는 방법과 예방 방법에 대해 알려드리겠습니다.

 

목차

1. 개인정보 정의
2. 개인정보 예시
3. 개인정보 종류
4. 개인정보보호법
5. 개인정보 유출
6. 개인정보 유출 시 처벌
7. 개인정보 유출 신고
8. 개인정보 유출 시 대응 방안·대처 방법
9. 개인정보 유출 피해 보상받는 방법
10. 개인정보 유출 예방 방법

개인정보-유출-시-신고-및-대처-방법

 

1. 개인정보 정의

개인정보는 개인 식별 가능 정보의 줄임말이다. 개인정보 보호법 제21호에 따르면 개인정보는 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이다. 쉽게 말해 살아 있는 개인을 식별할 수 있는 모든 정보는 개인정보에 해당된다.

 

블라인드 처리가 되어 가려져 있거나 해당 정보만으로 특정 개인을 알아볼 수 없다 할지라도 다른 정보와 결합해서 개인이 누군지 알아낼 수 있다면 이것 또한 개인 식별 가능 정보이다. 이렇게 보면 개인정보의 범위가 생각보다 넓다.

 

2. 개인정보 예시

  • 이름, 성별, 국적, 주민등록번호, 운전면허 번호, 전화번호(연락처), 주소, 출생지 등
  • 가족구성원들의 이름, 출생지, 직업, 전화번호 등
  • 신념, 사상, 신조, 종교, 가치관, 성향(정치적 성향 등) 
  • 학력, 직업, 자격, 경력, 군번, 계급, 전과기록, 의료기록 등
  • 소득규모(소득정보), 재산보유상황(자동차 등), 부동산 정보(소유 주택, 소유 토지), 거래내역, 신용정보, 채권채무관계, 현재 보험금액, 봉급, 보너스, 수수료 등
  • 생체인식정보(지문, 홍채, DNA ), 위치정보, 신체정보(키, 몸무게) 
  • 수기 형태의 기록도 개인정보 보호법상 개인정보에 해당된다.

 

3. 개인정보 종류

개인정보 보호법에서는 민감정보고유식별정보를 일반 개인정보와 구분하여 정의한다. 개인정보처리자가 민감정보고유식별정보를 처리할 때는 정보주체로부터 별도 동의를 받아야 한다.

1) 민감정보

개인정보 보호법 시행령에 보면 민감 정보라고 하는 것은 사상과 신념, 노동조합과 정당의 가입·탈퇴 여부, 정치적 견해, 건강, 성생활, 범죄경력 자료, 유전정보 등과 같이 사생활 침해 우려가 높은 개인정보이다.

2) 고유식별정보

그 정보 자체가 개개인을 고유하게 구별하기 위해서 부여된 정보로 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등과 같은 정보이다

3) 바이오 정보

  • 바이오 정보는 개인정보의 일종으로 지문, 홍채, 정맥, 음성, 필적 등과 같이 개인을 식별할 수 있는 신체적 특징에 관한 정보, 행정적 특징에 관한 정보, 그런 정보로부터 가공되거나 생성된 정보를 의미한다.
  • 업무 목적상 필요한 정도와 예상되는 편익 범위 내에서 과도하지 않게 수집·이용이 가능하다.
  • 지문에 대한 정보를 수집할 때 반드시 동의를 받고, 암호화 조치를 해야 한다. 왜 이 정보를 수집하려고 하는지 동의를 받아야 하고, 어느 정도의 기간 동안 이용할 것이며, 동의를 거부할 수 있다는 점을 고지해야 한다.
  • 바이오 정보는 보안 USB 같은 보조 저장 매체에 저장해서 전달해야 한다.
  • 근태관리를 위해 지문인식 관리 시스템을 도입하려고 할 때 직원들에게 제대로 된 동의절차를 걸쳐 시행해야 한다.

 

4. 개인정보보호법

  • 개인정보 처리자는 개인정보의 처리 목적을 명확하게 해야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다.
  • 개인정보 처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하며, 그 목적 외의 용도로 활용해서는 안 된다.
  • 개인정보 처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 해야 하며, 처리 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 해야 한다.
  • 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 통해 개인정보를 안전하게 관리해야 한다.

[출처: 국가법령정보센터]

 

1) 적용대상

  • 공공, 민간 부문의 모든 개인정보처리자에게 해당된다.
  • 국회·법원·헌법재판소·중앙선거관리위원회 등 헌법기관
  • 부처, 지자체, 공사, 공단, 학교 등 2.8만 전체 공공기관
  • 대기업이나 공공기관만 지켜야 하는 것이 아니다. 72개 업종(포털, 금융기관, 병원, 학원, 제조업, 서비스업 등) 350만 전체 사업자가 개인정보 보호법 적용을 받게 된다.
  • 사업자 협회나 동창회와 같은 비영리 단체에도 적용된다.

2) 적용범위

전자파일 외에 동창회 명부, 민원서류, 이벤트 응모군 등 수기문서 포함

3) 소규모 개인사업자 경우

소규모 개인사업자의 경우에도 개인 정보 보호 책임자를 둬야 한다. 개인정보 보호 책임자는 아무나 되는 것이 아니고 사업자, 대표자, 개인정보 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관한 소양이 있는 사람 중에 개인정보 보호 책임자를 지정하도록 하고 있다. 그래서 보통 소규모 사업자의 경우에는 사업주나 대표자가 개인정보 보호 책임자로 지정이 된다.

 

5. 개인정보 유출이란

  • 개인정보를 분실하거나 도난당한 경우, 권한이 없는 자가 개인정보에 접근하거나 권한이 없는 자에게 개인정보가 전달된 경우
  • 개인 정보가 포함된 서면, 이동식 저장 장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
  • 개인 정보가 저장된 데이터베이스 등 개인 정보 처리시스템에 정상적인 권한이 없는 자가 접근한 경우
  • 개인 정보 처리자의 고의 또는 과실로 인해 개인 정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
  • 기타 권한이 없는 자에게 개인 정보가 전달된 경우

 

1) 내부자 유출

내부자가 개인의 정보를 빼돌리는 경우

2) 외부자 유출

원래 접근 권한이 전혀 없는 해커와 같은 외부인이 개인의 정보를 빼돌리는 경우

 

6. 개인정보보호법 위반 시 처벌(개인정보 유출 시 처벌)

1) 개인정보 처리자

  • 개인정보를 관리하고 책임지는 주체로 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
  • 개인정보 처리자라 하더라도 ‘민감정보’는 아주 예외적인 경우를 제외하고는 함부로 처리해서는 안 된다. 그리고 ‘고유식별정보 같은 경우에도 대통령령으로 정하는 그 범위 이외에는 처리할 수 없다. 민감정보와 고유식별정보는 일반 개인정보와 달리 엄격하게 제한된다.

 

2) 개인정보보호법 위반

  • 개인정보처리자가 정부주체의 동의를 받지 않고 개인정보를 제3자에게 제공한 경우
  • 실수로 보낸 이메일도 개인정보보호법 위반에 해당된다예를 들어, oo회사 인사팀 직원이 실수로 전 직원에게 연봉 리스트를 메일로 보낸 경우개인정보처리자인 그 직원이 무단 유출에 대한 책임을 져야 한다.

 

3) 개인정보 유출 시 처벌

개인정보 처리자가 개인의 정보를 보유하면서 모든 보안 처리를 도맡아 하기로 약속했기 때문에 개인 정보가 유출되면 보안 관리자가 책임을 져야 합니다. 손해배상, 형사 처벌, 과징금 등의 책임을 진다.

 

(1) 2년 이하의 징역 또는 2,000만 원 이하의 벌금

  • 안전성 확보 조치를 하지 않아 개인정보를 분실, 도난, 유출, 훼손한 경우
  • 개인 정보처리자는 정보주체의 요청이 있을 경우 개인 정보를 처리하는 것을 정지, 정정, 삭제할 의무가 있는데, 이를 어기고 정보주체의 개인 정보를 보유 및 활용한 경우

 

(2) 3,000만 원 이하의 과태료

개인정보는 개인정보 처리자가 분실, 도난, 유출, 변조, 훼손되지 않도록 내부 관리 계획을 수립하고 접속 기록도 보관하고 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 조치, 관리적 조치, 물리적 조치를 해야 된다. 만약에 이를 제대로 수행하지 않으면 3천만 원 이하의 과태료에 처하게 된다.

 

(3) 5년 이하의 징역 또는 5,000만 원 이하의 벌금

  • 개인정보 처리자가 정보주체의 동의나 허락 없이 개인정보를 제3자에게 유출하거나 악용 시 그를 제공한 자는 물로 제공받은 자 양측 모두 5년 이하의 징역 또는 5,000만 원 이하의 벌금형에 처해질 수 있다.
  • 고지한 목적 외의 용도로 개인 정보를 이용·제공한 경우
  • 업무상 알게 된 개인 정보를 누설 및 제공한 경우
  • 개인 정보를 수집하는 과정에서 동의를 구하지 않은 경우
  • 미성년자 회원가입 시 법정대리인의 동의를 받지 않을 경우
  • 개인정보 도용은 남의 개인정보를 무단으로 사용하는 것으로 최대 5년 징역, 5,000만 원의 벌금형

 

(4) 10년 이하의 징역 또는 1억 원 이하의 벌금

  • 해커와 같은 외부자가 개인 정보를 유출했을 때는 최대 징역 10년으로 형량이 두 배이다.
  • 부정한 방법으로 타인의 개인 정보를 취득하고 타인에게 제공한 경우
  • 공공기관의 업무를 방해할 목적으로 공공기관에서 보유한 개인 정보를 말소 혹은 변경하여 공공기관의 업무에 중대한 지장을 초래한 경우

 

(5) 협박죄·공갈죄

개인정보를 유출하겠다며 협박 또는 공갈을 한다면 협박죄와 공갈죄가 같이 성립하여 더 처벌이 무거워질 수 있다.

 

7. 개인정보 유출 신고

1) 한국인터넷진흥원 개인정보 침해 신고센터

개인정보를 유출한 업체에서 적절한 조치를 취하지 않는다면 한국인터넷진흥원 등 관련 기관에 민원을 제기할 수 있습니다. 한국인터넷진흥원의 개인정보침해 신고센터에 민원을 제기하거나 개인정보 분쟁조정위원회에 조정을 신청합니다.

 

한국인터넷진흥원 개인정보 침해 신고센터 바로가기

 

 

2) 경찰청 사이버범죄 신고시스템(ECRM)

악의적인 목적을 가진 특정인에 의해 ID나 비밀번호와 같은 인증정보, 주민등록번호, 금융정보 등을 도용당해 명예훼손 또는 경제적 피해를 받았다면 피해사실을 입증할 수 있는 자료를 확보해 둡니다. 그리고 즉시 경찰청 사이버범죄 신고시스템을 통해 피해사실을 신고합니다.

 

경찰청 사이버범죄 신고시스템 바로가기

 

8. 개인정보 유출 시 대응 방안·대처 방법

1) 개인정보 처리자의 대처 방법

  • 개인정보 유출 사고가 일어났을 경우 개인정보 처리자는 지체 없이 정보 주체에게 이 사실을 통지해야 하고 필요한 조치를 해야 한다.
  • 일정규모 이상의 정보주체가 유출된 경우에는 유출 통지 결과 및 유출로 인한 피해 최소화를 위해 조치한 결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원에 신고하여야 한다. 
  • 여기서 지체 없이란 행정안전부에 따르면 5일 이내를 말하므로 개인정보가 유출되었을 때는 5일 이내 즉각적이고 신속한 조치를 취해야 합니다.
  • 정보주체에게 통지하는 방법: 서면, 전자우편, 팩스, 문자, 전화와 같은 방법을 사용하여 개별 통지한다.
  • 대규모 유출24시간 이내 전체 통지가 기술적으로 불가능한 경우에는 홈페이지 팝업창 등을 통해 방문하는 이용자가 모두 알 수 있도록 현재까지 파악된 유출사실 등을 게시를 하고 나서 추가적으로 해당 정보주체에게 개별적으로 통지를 하여야 한다.
  • 만약 1만 명 이상의 개인정보가 유출되었을 때는 행정안전부 또는 한국인터넷진흥원에 신고해야 하며, 통지와 동시에 홈페이지에 7일 이상 게시하여야 한다.

 

2) 개인정보 주체의 대처 방법

정보 주체의 입장이 되어 누군가 이용 중인 내 개인정보가 유출되었다면 어떻게 대처해야 되는 것인지 알아보도록 하겠습니다. 먼저 개인정보에 관한 권리, 이익을 침해받은 사람은 행정안전부 장관에게 침해 사실을 신고할 수 있습니다. 그리고 정보주체는 개인정보 처리자에 대해서 자신의 개인정보에 대한 열람, 정정, 삭제, 처리정지를 요구할 수 있습니다.

 

 

이런 요구를 받은 개인정보 처리자는 10일 이내에 열람할 수 있도록 조치를 해야 합니다. 그렇다고 언제나 열람이 가능한 것은 아닙니다. 법률의 규정이 있거나 타인의 생명, 신체, 재산을 침해할 우려가 있는 경우 공공기관의 조세 업무, 교육기관의 성적평가, 입학자 선발 업무와 같은 경우에는 개인정보 열람이 제한될 수 있습니다.

 

(1) 개인정보 침해신고

(2) 개인정보에 대한 열람, 정정, 삭제, 처리 정지를 요구

 

9. 개인정보 유출 피해 보상받는 방법

만약 나의 개인 정보가 유출되었다면 어떻게 피해 보상받을 수 있을까요. 내가 나를 식별할 수 있는 정보를 남한테 맡겼는데 이것을 잃어버려 손해 배상을 청구해야 한다면 명확한 증거를 가지고 있어야 합니다. 그런데 그 증거를 입증하기 매우 어렵습니다.

원칙대로는 해커가 어떤 보안망을 뚫었고 보유자가 어떤 조치를 취했으면 이 보안망이 뚫리지 않았다는 것을 입증해 내야 하는데 사실상 이를 입증하는 것은 불가능합니다. 그래서 개인정보보호법에 특별 규정이 존재합니다. 개인정보 처리자가 자신들이 실수하지 않고 해야 하는 바를 다 했다는 것을 입증해야 합니다. 그래서 요즘에는 유출되자마자 바로 손해배상받을 수 있습니다. 손해 배상은 실제 발생한 손해액의 3배까지만 배상 청구를 할 수 있게 정해져 있습니다.

 

개인정보를 보유하게 되는 기업은 한 사람의 개인정보만을 맡지 않습니다. 몇 백만 명 혹은 몇 십만 명 등 수없이 많은 사람들의 개인 정보를 맡게 됩니다. 그런데 한 명당 몇 천 만원씩 손해배상을 청구하게 된다면 회사가 도산해 버릴 우려가 있기 때문입니다.

 

개인이 아무리 노력해도 범죄를 막기에는 한계가 있기 때문에 이런 개인정보 유출 피해가 발생했을 때 어떤 식으로 대처하는 게 좋을지에 대해서 알려드리겠습니다. 개인정보 유출된 인원이 일정 숫자를 넘어가게 되면 홈페이지에 게시하게 되어 있습니다. 이때 자신의 개인정보가 유출되었다면 이를 잘 캡처를 해두시는 게 무엇보다 가장 중요합니다. 왜냐하면 소송에서 증거로 제출할 수 있기 때문입니다.

 

10. 개인정보 유출 예방 방법

대출 관련 전화와 같은 각종 스팸전화와 스팸문자 많이 받으시죠. 이런 전화나 문자를 받으면 짜증도 나지만 도대체 어디서 내 전화번호가 유출된 것인지 의문이 듭니다. 다행히 아직까진 개인정보 유출이 금전적인 피해로 이어지진 않았지만 악용되진 않을까 불안하시죠. 불안감을 조금이라도 줄이기 위한 개인정보 유출 예방 방법에 대해 알려드리겠습니다.

 

1) 개인정보 관리를 소홀히 하지 않는다.

개인정보가 노출되어 범죄의 수단에 악용되지 않도록 평상시 개인정보 관리를 소홀히 해서는 안 된다.

  • 지나치게 많은 개인정보를 요구하는 웹사이트, 개인정보 처리방침이나 개인정보 보호책임자가 불명확한 웹사이트는 가입하지 않는다.
  • 개인 정보 처리 방침, 이용약관을 꼼꼼히 살핀다.
  • 블로그, 카페 등 인터넷에 올리는 글에 개인정보가 포함되지 않도록 유의한다.
  • SNS를 통해 너무 많은 개인정보(신상정보)가 노출되는 경우 범죄에 악용될 수 있으므로 개인정보 노출은 최소화한다.
  • 택배 상자에 적힌 개인정보가 악용되지 않도록 상자를 버릴 때 반드시 개인정보(이름, 연락처, 주소)가 적힌 택배송장을 뜯어 파기한다.

 

2) 보안을 위한 비밀번호 설정 방법과 보안 프로그램 사용

  • 비밀번호를 주기적으로 변경하고 복잡한 비밀번호(문자, 숫자, 특수기호 조합)를 사용한다.
  • 웹사이트 별로 각기 다른 비밀번호를 사용한다. 한 사이트에서 아이디와 비밀번호가 해킹된 경우, 해킹된 정보를 이용하여 다른 사이트에 로그인하는 것을 방지하기 위해 사이트별로 다른 비밀번호를 사용한다.
  • 노트북, PC 등 이용 기기에 비밀번호를 설정한다.
  • 개인정보가 담긴 파일은 암호화하여 안전하게 보관한다.
  • 보안 프로그램은 항상 최신 버전으로 유지한다.

 

3) 금융거래 시 개인 PC 사용하고 공용 컴퓨터 이용 시 주의하기

  • 공용 컴퓨터 중 일부는 백신 업데이트 관리가 소홀하여 보안에 취약할 수 있다.
  • 공용 컴퓨터 이용 시 인터넷뱅킹 관련 정보, 신용카드 정보 입력, 계좌 이체 등 금융정보를 입력하지 않는다.
  • 웹 사이트 로그인이 필요한 경우 해당 웹 사이트에서 제공하는 OTP나 일회용 비밀번호와 같은 보안 기능을 사용한다.
  • 공용 컴퓨터 사용 후에는 반드시 로그아웃하고, 개인정보가 담긴 파일이 남아있지 않는지 확인한다.
  • 사용 후, 인터넷 사용기록은 모두 삭제한다. (인터넷 도구→인터넷 사용기록 삭제)

 

4) 출처가 불분명한 메일, 자료를 조심한다.

  • 이름, 아이디, 이메일 주소, 발신자가 불분명한 메일을 통해 악성 프로그램이 유포될 수 있으므로 메일 내 첨부파일을 다운로드하지 않는다.
  • 사이트에서 출처가 불분명한 자료 다운로드 하지 않는다.
  • 복사한 프로그램 사용하지 않는다.

 

5) 인증된 사이트에 회원가입 하기

보안이 허술한 웹사이트의 경우 제공된 개인정보가 유출될 가능성이 높기 때문에 가입 시 주의가 필요하다. 서비스 탈퇴절차가 간결한지 확인하고, 수집하는 개인정보 항목과 목적을 확인한다. 불필요하거나 과다하게 개인정보를 요구하고 있지는 않은지를 확인한다.

 

6) 안전한 이벤트 진행 업체일 경우에만 개인정보를 제공한다.

요즘에는 이벤트 참여를 통해 여러 혜택을 얻을 수 있는데 이런 이벤트 참여 시 개인정보를 입력해야 하는 경우가 많다. 그렇기 때문에 이벤트 참여에 앞서 개인정보 수집 및 이용 동의서를 꼼꼼히 살펴봐야 한다. 내가 제공한 개인정보가 원하지 않은 용도로 사용될 가능성이 있기 때문에 내 개인정보가 제3자에게 제공되지는 않는지, 어떻게 이용되다가 언제 파기되는지 등 안내사항을 확인해야 한다.

 

7) 공용 와이파이(Wi-Fi) 사용하지 않기

지하철, 카페, 공항 등 외부에서 사용하는 공용 와이파이의 경우 보안이 취약하여, 해킹과 정보 유출이 될 수 있어 사용에 주의가 필요하다. 주요 정보 입력(인터넷 뱅킹, 신용카드 정보 등)이 필요한 경우 출처가 분명한 통신사 와이파이 또는 개인 통신사 데이터(3G, 4G, 5G, LTE )를 이용한다.

 

8) 모바일 앱 다운로드 시 개인정보 접근권한을 확인한다.

악성 앱이 설치되는 것을 막기 위해 모바일 앱은 반드시 공식 앱 스토에서 다운로드해야 한다. 앱에서 서비스 제공을 위해 접근권한을 요구하는데 해당 앱에서 요구하는 개인정보 접근권한은 무엇인지, 과도하게 많은 권한을 요구하지는 않는지 꼼꼼하게 확인 후 다운로드한다.

 

 

<관련글>

LG유플러스 개인정보 유출 여부 확인/조회하기

 

LG유플러스 개인정보 유출 여부 확인·조회하기

LG유플러스 18만 명 고객 개인 정보 유출 우리나라 대표 통신사인 LG유플러스에서 고객들 정보가 유출되는 사고가 있었습니다. LG유플러스에 따르면 지금까지 개인 정보가 유출된 고객 수는 18만

dakkum.com

 

개인정보 보호를 위해서는 평상시 개인정보가 유출되지 않도록 예방하는 것이 무엇보다 중요합니다. 위의 내용들을 주의 깊게 읽으시고, 개인정보가 유출로 인한 2차 피해의 가능성을 사전에 차단하시기 바랍니다. 부득이하게 개인정보가 유출된 경우에는 빠른 신고를 통해 더 큰 피해를 예방하시길 바랄게요!

댓글