이슈리포트 발행일 2018. 10. 01.
“그 많은 내 개인정보는 누가 다 가져갔을까” 2007 - 2017 개인정보 수난사 Worst 44
목차
목차
2
요약
3
배경 및 취지
4
개인정보 침해 사례
6
분석과 평가
15
시사점
21
2018-10-01 참여연대 이슈리포트 24-2
요약 ●
2007년부터 2017년 사이 개인정보가 대량으로 유출되거나 오남용된 사례 44건을 분석한 결과, 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사의 개인정보 침해 빈도가 높았음. 개별 사건 수로는 해킹에 의한 유출이 제일 많았지만, 유출규모는 개인정보를 무단 이용, 판매한 경우가 제일 큰 것으로 나타남.
●
최근 빅데이터 수요 증가와 기술 발전으로 개인정보 중 식별요소의 일부를 가공한 뒤 정보주체 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있음. 향후 개인정보 침해사고 발생시 유출되는 개인정보의 양은 한 번에 수 억 내지 수십 억 건을 상회할 것이고 그 항목도 인적사항 수준을 넘어 개개인에 대한 상세한 정보를 포함할 것으로 예상됨.
●
반면 반복되는 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 가벼운 수준이었고, 일부 개인들이 권리구제에 나서도 실제 배상이 인정된 사례나 금액도 미미하여 결과적으로 기업은 충분한 법적 책임을 지지 않았음. 불충분한 법적 책임이 반복되는 개인정보 침해사고의 주요 원인 중 하나임.
●
개인정보의 과도한 수집과 집적, 유통 확대는 개인정보 침해의 위험성을 높이기 때문에 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 현재 개인정보 활용정책방향은 제고되어야 함. 개인정보처리자가 개인정보를 필요이상으로 수집하는지, 충분한 보호조치를 취하고 있는지 실효적으로 감독, 집행할 수 있는 법제와 감독기구 개선도 필요함. 정보주체가 자신의 개인정보에 대해 열람하고 통제할 수 있는 권리가 실질적으로 보장되도록 제도와 관행의 개선이 필요함. 권리구제 활성화 위해 집단소송 도입과 징벌배상의 확대도 검토해야 함.
2018-10-01 참여연대 이슈리포트 24-3
배경 및 취지 정부의 개인정보 활용 확대 정책 추진 ●
최근 정부는 데이터산업을 활성화한다며 정보주체의 동의 없는 개인정보 활용을 확대하는 정책을 추진하고 있음. ‘가명정보’1 개념을 도입하여 정보주체 동의 없이 수집 목적 외로 이용하거나 제3자에게 제공할 수 있도록 하는 방안, 공공영역에서 축적한 개인정보를 민간이 보유한 개인정보와 결합하여 제공하는 방안 등을 포함하고 있음.
●
이러한 정책은 정보주체가 자기 정보의 활용에 대해 통제하거나 결정할 수 있는 권리를 심각하게 약화시키는 내용임. 또 정보를 축적, 결합하고 유통을 활성화할수록 유출이나 오남용의 위험은 증가함. 정부 정책방향은 개인정보 보호를 후퇴시키고, 프라이버시 침해 위험을 높이는 방향임.
●
시민사회의 문제제기에 대해 정부는 개인정보를 ‘안전하게’ 활용하겠다고 강조하지만, 구체적이고 실질적인 보호대책을 제시하지 않고 있음.
부족한 개인정보 보호 실태 ●
2008년 옥션 개인정보 유출부터 2014년 카드3사 개인정보 유출, 2015년 인터파크 개인정보 유출 등 대규모 개인정보 유출 사례는 끊임 없이 발생했음. 홈플러스는 경품행사에서 수집한 개인정보를 보험사 등에 동의 없이 판매하고 약학정보원은 전국 약국에서 불법 수집한 처방전 내역 수십억 건을 빅데이터 업체에 판매하는 등 무단활용 사례도 빈번함.
●
세간에 잘 알려진 개인정보 유출 사례도 적지 않지만, 크게 화제가 되지 않았거나 금방 잊혀진 개인정보 유출과 무단판매 사례도 상당히 많음. 이에 따라 약 10년간 일정 규모 이상 개인정보가 유출되거나 오남용된 사례들을 확인해보았음.
●
한국사회에서 정부와 기업이 개인정보를 얼마나 소홀히 다뤄왔는지, 유출이나 오남용에 대한 법적 책임 부과나 사회적 대응은 충분했는지 그 실태를 조사, 분석하고, 이를 통해 현재 필요한 바람직한 개인정보 정책방향이 무엇인지 모색해보고자 함.
대상 범위 및 조사 방법 ●
2007-2017 대한민국에서 발생한 주요 개인정보 유출, 무단사용, 판매 사례를 조사하였음. 유출 규모가 일정 정도 이상이거나, 특이점이 있는 사례 위주로 44건을 선별하였음.
다른 추가적인 정보를 이용하지 않고는 개인을 식별할 수 없도록 처리한 정보. 반대로 말하면 다른 정보와 결합하면 여전히 개인이 식별될 수 있는 정보이기 때문에 당연히 ‘개인정보’의 범위에 포함된다. 1
2018-10-01 참여연대 이슈리포트 24-4
●
조사방법은 언론기사, 관련 부처 공식 보도자료, 법원 판결문 등을 통해 사실관계를 확인하는 방식으로 진행하였음. 전수조사가 아니므로 통계로서의 의미부여는 배제함.
2018-10-01 참여연대 이슈리포트 24-5
개인정보 침해 사례 1. 해킹에 의한 유출(23건)
업체(기관)
유출
건수
시점
(명/건)
개인정보 항목
개요
법적 책임
중국 해커가 옥션 전체회원 정보 4차례 걸쳐 해킹함. 이후 이를
1
옥션
이름, 주민번호,
구매한 한국인이 옥션
계정, 이메일,
개인정보담당자에게
집주소, 전화번호
1억5천 갈취 시도하는
손해배상소송 : 대법원 패소
과정에서 사건 공개됨
(옥션 배상책임 부인)
2008 1,863만건 등
대부중개업체 직원이
2
현대캐피탈
2011 148만명
이름, 주민번호,
해커를 통해 현대캐피탈
이메일주소,
서버에 접속해
휴대전화번호,
해킹프로그램 설치,
대출고객
석달간 1,300회 걸쳐
비밀번호 등
개인정보 유출함
대표이사 ‘주의적 경고’
싸이월드 회원
3
4
5
6
계정, 이름,
중국 해커가 고객데이터
혈액형,
관리 직원 컴퓨터에
손해배상소송: 대법원 패소
휴대폰번호,
공개된 알집 프로그램
(SK 배상책임 부인)
이메일, 암호화된
통해 악성코드 감염시킨
행정처분 없음.
SK커뮤니
비밀번호,
뒤 개인정보 전송되게
검찰 무혐의
케이션즈
2011 3,500만명 주민번호
한국앱손
넥슨
티몬
2011 35만명
이름, 아이디,
주민등록번호와
비밀번호,
비밀번호가 암호화되지
과징금 3,300만원
주민등록번호
않은 채 해킹으로 유출
과태료 900만원
이름, 아이디,
온라인게임
넥슨 법인, 대표 무혐의 처분
주민번호,
'메이플스토리' 백업
과징금 7억7100만원
데이터베이스 해킹
과태료 1500만원
2011 1320만명 비밀번호 등
2011 113만명
하여 유출
이름, 아이디,
유출 후 3년 경과 후 경찰
성별, 생년월일,
통보 받고서야 유출사실
개인정보 미파기 사유로
전화번호 등
인지
과태료 1000만원
2018-10-01 참여연대 이슈리포트 24-6
이름, 아이디, 비밀번호, 전화번호, 이메일, 중국IP에서 악성코드 7
EBS
2012 422만명
주소 등
침투해 해킹
과태료 1,000만원 부과
이름, 고객번호, 주민번호,
8
KT
2012 873만명
휴대폰번호,
해커 및 텔레마케팅
가입일, 단말기
회사가 KT서버 해킹하여
모델명,
영업대리점이 회원 정보
기기변경일,
조회하는 것처럼 한번에
요금제, 기본요금, 조금씩 빼내는 수법으로
과징금 7억 5300만원
월정액 합계 정보
손해배상소송 : 항소심 패소
5개월간 개인정보 유출 해커가 동시다발적으로 여러 홈페이지 해킹하여 새누리당원 250만명
새누리당,
군장병 30만명 청와대
청와대 등
홈페이지 회원 10만명
다수의 9
10
기관
올레뮤직
이름, 주민번호, 2013 294만명
2013 50만명
주한미국 4만명 개인정보
전화번호, 주소 등 탈취했다고 밝힘
청와대 사과공지
이름, 주민번호,
해킹으로 유출하여
휴대폰번호 등
텔레마케터에 판매
확인 안 됨
이름, 주소, 주민번호, 전화번호, 이메일,
2013 11
KT
신용카드번호,
KT 고객센터 홈페이지
카드유효기간,
해킹해 1200만명
계좌번호,
고객정보 유출,
유심카드번호,
텔레마케팅, 휴대전화
서비스가입정보
개통, 판매 영업 등에
과징금 7000만원
이용됨
과태료 1500만원
-2014 1171만명 등
중국해커가 해킹 포털사이트 까페 아이디, 비밀번호, 관리대행업자 등에게 12
13
네이버
스킨푸드
2014 20만명
2014 55만명
주민번호
판매함
확인 안 됨
이름, 주민번호,
2010년 8월 이전
휴대폰번호,
홈페이지에 온라인
아이디, 비밀번호
회원으로 가입한
등
고객정보가 해킹으로
확인 안 됨
2018-10-01 참여연대 이슈리포트 24-7
유출 아이디, 이름, 휴대폰번호, 14
15
토니모리
능률교육
2014 50만명
2014 104만명
비밀번호, 이메일
해킹으로 유출
확인 안 됨
아이디, 이름,
2009년 11월 24일 이전
비밀번호,
가입한 고객의 개인정보
주민등록번호,
유출. 2011년 유출되고도
주소, 이메일,
3년 후에야 유출사실
휴대폰번호
파악
확인 안 됨
기초적인 해킹공격수법에도 뽐뿌커뮤니 16
케이션
2015 190만명
아이디, 비밀번호, 취약한 보안으로
1억2백만원 과징금
이메일주소 등
1500만원 과태료
해킹당함. 가족사칭한 이메일로 직원 사내 PC를 악성코드에 감염시켜 전산망에 침입, 고객정보
17
인터파크
아이디, 암호화된
유출
비밀번호,
접근통제 등 기술적
휴대전화번호,
관리적 조치 소홀히 한
2015 1030만명 주소 등
중과실 인정
과징금 44억 8천만원
망법상 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보보호조치 규정 다수 위반, 해킹으로 숙박예약정보 유출 뒤 18
여기어때
2017 323만건
이를 악용해 음란문자
과징금 3억100만원
숙박예약정보
4,817건 발송됨
과태료 2500만원
이름, 이메일,
가상통화 거래사이트
휴대폰번호,
빗썸에서 해킹사고로 3만
거래건수, 거래량, 6487건의 개인정보
19
빗썸
2017 4만건
거래금액,
유출됨. 직원 PC의
과징금 4,350만원
홈페이지 아이디,
백신업데이트 미비 등
과태료 1,500만원
비밀번호 등
기초적인 실수
책임자 징계권고
2018-10-01 참여연대 이슈리포트 24-8
유진투자선물은 상속인 금융거래조회 민원서비스 이용과정에서 제출된 유진투자선 물 등 20개 20
업체
3,300만 2017 건
이름,
개인정보 30만건 가량
주민등록번호,
유출됨. 보안망 허술한
주소, 휴대폰번호, 업체 DB에 직접 침입해
유진투자선물 과태료
이메일주소 등
4,000만원, 기관주의
개인정보 유출 유출된 알패스 등록정보 악용해 이용자가 가입한 사이트 부정접속 후 이용자들이 저장한 주민등록증과 신용카드, 사진 확보, 휴대전화 개통
아이디, 비밀번호, 및 해킹에 사용할 서버
이스트 21
소프트
알패스 서비스
5대 임대, 가상통화
16만명,
이용자의
거래소에 부정 접속해
비밀번호
외부사이트 주소,
이용자 보유 중인
과징금 1억1200만원 과태료
가상통화 출금
1000만원
2017 2,546만건 계정정보 등
하나투어 업무용 PC에 이름, 주민번호,
파일형태로 보관하던
3억2725만원 과징금
주민등록번호와 별도
주민번호와 개인정보
전화번호, 이메일, 개발DB로 이관해 22
하나투어
2017 50만건
미파기에 대해서는 과태료
주소, 여권번호 등 보관하던 정보가 유출됨. 1800만원 해커가 직원 관리자 페이지 접속해 유출 최대접속시간 제한,
23 메가스터디
2017 123만건
아이디, 이름,
침입차단 탐지시스템
과징금 2억1,900만원
생년월일
운영 소홀 문제
과태료 1,000만원
2. 직원에 의한 유출(9건) 건수 업체(기관)
1
GS칼텍스
시점
(명/건)
개인정보 항목
개요
사후제재
이름, 주민번호,
외주업체 직원이 평소 쓰던
주소, 전화번호,
컴퓨터에서 회원 개인정보
2008 1125만명 이메일 주소 등
유출함
손해배상소송 - 패소
2018-10-01 참여연대 이슈리포트 24-9
영업직원이 삼성카드 서버에 침입해 196회 걸쳐 192만명 고객정보 유출 신용정보회사 담보대출업무에 사용 이름, 나이,
2
삼성카드
2011 192만명
하나SK카 3
드
2011 9만7천
삼성 대규모 유출사실
유출직원 구속기소
전화번호, 직장명, 알고도 12일 지나서야
과태료 600만원
카드번호,
고객에게 알려 늑장대응,
삼성카드 ‘기관주의’
이메일주소 등
은폐의혹 제기
대표이사 ‘주의’조치
텔레마케팅 지원업무
과태료 600만원
담당직원이 개인정보를
하나SK카드 ‘기관주의’
이름, 연락처,
개인이메일 통해 유출하여 하나SK카드 사장 ‘주의적
주민번호 등
분양대행업자에 판매
경고상당’ 조치
전산프로그램 개발 맡은
2011- 10만3천 4
SC은행
2012
건
신용대출상품
외부업체 직원이 3개월간
상담자 이름,
고객정보 USB 메모리에
주민번호,
저장해 대부중개업자 및
기관경고
휴대전화번호,
대출모집인에 전달(건당
과태료 600만원
직장명 등
50~500원에 거래)
임직원 11명 징계
협력회사직원들이 위치정보조회서비스
5
SKT, KT
2012 20만건
인적사항, 휴대폰
유지업무 중 개인정보조회 통신사는 협력업체에
실시간 위치정보
프로그램 만들어 개인정보 위치정보 제공 동의 받지
등
빼돌림
않은 부분 시정명령
영업직원이 고객개인정보
6
코웨이
2012 198만명
이름, 전화번호,
모아 경쟁사에 판매
주소,
코웨이는 6개월 뒤
사용제품정보 등
제보받고 사실 파악
확인 안 됨
이름, 휴대폰번호, 대출담당직원이 은행 내부 대출액, 만기일자 7
씨티은행
2013 3만4천건 등
전산망에서 개인정보
기관경고
문서로 출력해 외부 유출
과태료 600만원
보험가입자의 이름, 연락처, 직업, 주소, 생년월일, 8
메리츠화재 2013
16만명
가입상품명,
내부직원이 고객 계약정보 기관경고
가입금액 등
유출
과태료 600만원
2018-10-01 참여연대 이슈리포트 24-10
이름, 주민번호, 연락처, 주소, 결제계좌, 연봉, 결혼여부, 자동차
9
소유여부, 결제일,
과태료 600만원
신용한도금액,
신규업무 영업정지 3개월
신용등급,
손해배상소송 : 327건
직장정보,
16여만명 소송진행 중
주거상황,
KCB(코리아크레딧뷰로)
1인당 7만원~10만원 인정
이용실적금액,
신용평가사 직원이
사례 있음.
카드3사
결제일, 연소득,
카드사에 파견을 나가
국민카드, 농협은행 벌금
(국민카드,
신용한도금액,
고객정보 USB에 담아서
1500만원
농협카드, 2013- 1억580여 타사
유출, 대출광고업자와
롯데카드 벌금 1000만원
롯데카드) 2014
대출모집인에 정보 넘김
선고
만건
카드보유현황 등
3. 무단사용, 판매(9건) 건수 업체(기관)
시점
(명/건)
개인정보 항목
개요
사후제재 영업정지 40일
하나로
이름, 주민번호
고객 동의 없이 600만 고객 과징금 1억 4800만원
텔레콤
전화번호
정보 8500여만건을 전국
과태료 3천만원
생년월일 주소
1천여개 텔레마케팅
원고 1인당 10~20만원
업체에 제공
배상
(현SK브로 2006 1
드밴드)
-2007 8,500만건 사용요금 등
2008년 3월부터 2014년 12월까지 병원 청구소프트웨어 개발업체 지누스가 환자나 병원장 동의 없이 약 7억2천만건에 형사재판 중(지누스 임원 달하는 진료기록을 무단
수집, 보유하고 IMS헬스에 벌금 5천만원 및 3억
2008- 7억 2
지누스
2014
2천만건
징역 3~5년 구형, 지누스
진료기록
3억 3000만원에 판매
3천만 추징 구형)
2018-10-01 참여연대 이슈리포트 24-11
약학정보원이 개발해 보급한 약국청구관리
환자 주민번호, 20113
약학정보원 2014
43억건
프로그램 PM2000 통해
형사재판 중(약학정보원
동의 없이 처방전 등
벌금 5천만원 추징금
개인정보 수집,
16억7천, 약학정보원
의료빅데이터 기업인 IMS
전현직 원장 및 임원 징역
헬스에 16억원에 판매
2~4년 , IMS헬스 임원
IMS헬스코리아는 처방전
징역 5년, 벌금 5천만원과
정보를 재가공해 국내
추징금 70억원 구형)
병명, 투약내역 등 제약사에 되팔아 70억원
의사협회 청구한
조제정보
손해배상소송 기각(1심)
수익 SKT 전자처방전 사업 과정에서 동의 없이 7,802만건의 처방전 내역 불법수집, 가맹점 약국에 건당 50원 판매 36억원 상당 부당 수익 전자차트 제조사와 공모해
2011 4
SKT
처방전내역(환자
전자처방전 프로그램에
성명, 생년월일,
정보 유출 모듈 심은 뒤
병원명, 약품명,
외부 서버로 처방전 내역을 임원 3명 개인정보보호법
-2014 7802만건 투약내역 등)
실시간 전송
전자처방전 사업 폐지 위반으로 형사재판 중
고객 개인정보를 3개 손해보험사에 판매해 37억 3600만원 이익 총 324만명 개인정보 판매, 2009 5
롯데홈쇼핑 -2014 324만명
고객정보
그 중 2만9천명은 제3자
과태료 2천만원
제공동의 없었음
과징금 1억8천만원 부과
휴대전화 대리점 등과 공모해 시장 점유율 유지 위해 이용계약 자동해지 예상되는 선불폰에
6
SKT
2014 15만명
87만차례 요금을 임의로
SK텔레콤 벌금 5천만 원
충전하면서 15만명 고객
전현직 직원 2명 징역 2년
정보 무단 사용
집행유예 3년
2018-10-01 참여연대 이슈리포트 24-12
홈플러스 전 대표 징역 경품행사 등으로 모은
10월 집행유예 2년
개인정보 2,400여만건을
보험사 관계자 2명 벌금
라이나생명, 신한생명 등
700만원
보험사에 231억7천만원에 홈플러스 법인 벌금
2011- 2,400만 7
홈플러스
2014
건
이름, 생년월일,
판매함. 경품응모당시
7,500만원
성별, 전화번호,
제3자 동의 관련 내용을
손해배상소송 - 1067명,
휴대폰번호, 자녀
1mm 글씨로 인쇄해
각 5~20만원 사이, 총
수등
문제가 됨
8365만원 배상 인정
20개 기업이 비식별조치가이드라인에 통신, 금융, 쇼핑
기대어 주민번호, 생년월일
등 이용하면서
등 일부 식별자를
통신3사,
제공하거나
삭제하거나 암호화하여
삼성카드
발생한 각종
제3자 제공하고 기업
등 20개 8
기관
6억5천만 신용정보, 2017 건
통신정보 등
상호간 공통고객
2017년 11월 시민단체
개인정보를 결합한 사례
고발
건강보험심사평가원이 KB생명보험 등 8개 민간보험사와 2개 민간보험 연구기관에 1건당 30만원 수수료 받고 총 52건, 약 6420만명 개인 의료정보 판매. 학술연구용 이외의 정책, 영리목적으로
건강보험심 9
사평가원
2014
성멸, 연령,
사용 불가하다는 서약서만
진료행위,
받고 제공, 민간보험사에서
진료내역,
영리목적 악용 소지 매우
-2017 6420만명 원외처방내역 등
큼.
없음
4. 관리소홀로 인한 개인정보 노출 (3건) 건수 업체(기관)
시점
(명/건)
개인정보 항목
개요
사후제재
2018-10-01 참여연대 이슈리포트 24-13
벨소리 다운로드 사이트에서 LG텔레콤 가입자 780만명 휴대폰
1
엘지텔레콤
2008 783만명
원고 270명
주민번호,
번호 입력시 주민등록번호 손해배상청구
가입일자,
등 개인정보 그대로
1심 1인당 5만
휴대폰기종 등
노출됨.
항소심 패소
국토교통부 자동차민원관리사업자 포털사이트에서 데이터검색프로그램돌리면 , 모든 운전자 개인정보가 무방비로 노출됨. 사이트 만든지 6개월 동안 운전자 차량번호, 2
국토교통부
2014 2000만명 주소 등
국토교통부는 이러한 사실 모름
확인 안 됨
KT 자회사와 위탁업체 직원들이 가입자 유치상담,
3
KT
주민등록증,
개통장애처리, 실적보고 등
가입신청서,
업무 위해 가입자 개인정보
현관문 비밀번호
네이버 밴드에 올려놓고
2016 3000여 건 등
공유, 개인정보 유출
확인 안 됨
2018-10-01 참여연대 이슈리포트 24-14
분석과 평가 1. 업체, 기관 ●
대규모 개인정보 침해사례는 개인정보를 대량으로 보유한 대기업 위주로 빈번하게 발생하였음.
●
통신업계(SKT, KT, LG텔레콤, 하나로텔레콤 등), 카드업계(삼성카드, 국민카드, 농협카드, 롯데카드 등), 금융(SC은행, 시티은행, 현대캐피탈, 메리츠화재) 뿐 아니라 쇼핑(옥션, 인터파크, 홈플러스, 롯데홈쇼핑 등), 여행(하나투어, 여기어때 등), 교육(메가스터디, EBS, 능률교육 등), 화장품(스킨푸드, 토니모리), 비트코인거래소(빗썸), 소프트웨어업체(이스트소프트) 등 업종을 불문하고 광범위하게 발생함.
●
정부 부처나 공공기관이라고 해서 반드시 보안이 철저하거나 개인정보 보호책임을 다한 것도 아님. 국토교통부가 관리하는 자동차민원관리사업자 사이트나 청와대 홈페이지 등 정부가 관리하는 인터넷 사이트도 허술한 보안이나 관리소홀로 해킹이나 개인정보 유출 문제가 발생하였음. 또 국민의 민감한 건강정보를 안전하게 보호할 책임이 있는 건강보험심사평가원도 민간보험연구기관에 개인의료정보를 판매하여 개인정보보호에 역행하는 모습을 보임.
●
특히 SK브로드밴드, SK텔레콤, SK커뮤니케이션즈 등 SK계열사들에서 개인정보 유출, 오남용이 빈번하였고, KT는 2012년에 800만명 이상 해킹으로 유출당한 후에도 2013-2014년 또다시 1200만 명 개인정보가 유출되는 등, 동일한 기업에서 개인정보 유출사고가 반복된 경우도 많음.
2. 유형 ●
개인정보 침해사례 유형은 (1) 해킹에 의한 유출 (2) 직원에 의한 유출, (3) 동의 없는 무단 사용이나 판매 (4) 관리소홀로 인한 개인정보 노출 등으로 분류하였음.
●
조사한 대표적인 44건의 사례 중에는 해킹에 의한 유출이 23건, 직원에 의한 유출이 9건, 무단사용이나 판매가 9건, 관리소홀로 인한 정보노출이 3건에 해당하여, 사례 기준으로는 해킹에 의한 유출이 가장 빈도수가 높았음.
2018-10-01 참여연대 이슈리포트 24-15
●
해킹이나 내부유출의 경우 개인정보처리자인 해당 기업이 개인정보를 보호하기 위한 기술적, 관리적 보안조치를 제대로 갖추지 못한 경우가 많았음. 주민번호나 비밀번호를 암호화하지 않은 사례, 고객정보에 접근할 수 있는 퇴직 직원의 아이디를 삭제하지 않은 사례, 해킹 시도가 여러 차례 있었던 IP를 차단하지 않았다가 동일 IP에 의해 결국 해킹당한 사례, 개인정보처리자의 ‘최대 접속시간 제한조치’를 취하지 않거나 로그아웃을 하지 않고 퇴근하여 해킹에 이용된 사례, 이용자 정보 파일을 개인PC에 옮겨 관리한 경우 등 많은 경우 개인정보처리자의 부실한 개인정보 관리와 허술한 보안이 문제되었음.
●
최근에는 빅데이터에 대한 수요가 증가하면서, 개인정보에 대해 식별요소의 일부를 암호화하거나 가공하여 정보주체의 동의나 법적 근거 없이 대규모로 무단 사용 또는 판매하는 사례들이 나타나고 있음. 약학정보원이 처방전 정보 수십억 건을 빅데이터 업체인 IMS헬스에 판매한 사건, 20개 기업이나 기관이 보유한 고객정보와 신용정보를 6억건 이상 동의 없이 소위 ‘비식별조치’하여 대규모로 데이터결합한 사례, 건강보험심사평가원이 표본데이터셋을 민간보험연구기관에 제공한 사례 등임. 이러한 사례들은 앞으로 계속 등장할 것이 예상되는 새로운 형태의 개인정보 침해유형으로, 현재 고발이나 민, 형사소송 등을 통해 법적 판단을 받고 있는 상황임.
3. 침해된 개인정보의 규모와 내용 ●
44건의 개인정보 침해사례를 통틀어 유출된 총 개인정보 건수는 60억건이 넘음. 유형별로는 해킹에 의한 유출이 1억 7,584만건, 직원에 의한 유출이 1억 2,154만 건,
2018-10-01 참여연대 이슈리포트 24-16
무단사용이나 판매가 59억2461만 건, 관리소홀로 인한 개인정보 노출이 2,738만 건 정도임.
●
2008년 옥션에서 1,800만명 가량의 개인정보가 유출되었을 때 사상 최대 규모 유출로 많은 충격을 주었으나, 이후 기업들이 수집, 보유한 개인정보의 양이 급속도로 늘어나면서 이와 유사하거나 이를 초과하는 규모의 개인정보 유출사례도 빈번히 발생함.
●
단일 업체에서 1천만 건 이상 개인정보가 해킹이나 직원에 의해 유출된 사례만도, 2008년 GS칼텍스 1,125만 건, 2011년 싸이월드 3,500만 건, 2011년 온라인 게임 ‘메이플스토리’ 1,320만 건, 2013-2014년 KT 1,200만 건, 2015년 인터파크에서 1,030만 건, 2017년 이스트소프트에서 2,546만 건, 2013-2014년 카드3사에서 1억580만 건 등임.
●
특히 약학정보원 사례나 비식별조치데이터결합사례 등 동의 없는 빅데이터 사용, 판매 사례로 인해 개인정보 침해 규모가 대폭 증가하였음. 앞으로도 개인정보 침해사고가 발생한다면 그 규모가 기하급수적으로 늘어날 것이 예상되는 지점임.
●
유출되는 항목도 점차 다양해지고 있음. 이름, 주민번호, 나이, 성별, 주소, 휴대폰번호, 아이디, 비밀번호 등 기본적인 신상과 연락처는 물론, 카드번호, 결제계좌, 보험가입상품명, 상품내역, 대출액, 만기일자, 신용등급 등 신용정보,
2018-10-01 참여연대 이슈리포트 24-17
금융거래정보 등도 빈번히 노출되었음. 특히 최근에는 진료기록, 처방전 내역과 같은 개인의 민감한 의료정보까지 대량으로 유출, 판매되었음.
4. 유출된 개인정보의 활용 ●
정보주체에게는 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리”, 즉 개인정보자기결정권이 있음. 해킹이나 내부직원에 의해 개인정보가 유출된 경우이든, 기업 차원에서 보유한 개인정보를 동의 없이 목적 외로 가공하거나 제3자에 제공, 판매한 경우든 정보주체의 의사에 반하여 개인정보가 알려지고 이용되었으므로 그 자체로 정보주체의 권리는 침해됨 .
●
유출된 개인정보는 각종 텔레마케팅, 대포폰이나 대포통장 개설, 게임사이트 가입, 부당결제, 보이스피싱과 스미싱 등에 이용되며 시민들의 직접적인 피해로도 이어지고 있음.
5. 제재 또는 권리구제 (1) 행정적 제재(영업정지, 과태료, 과징금 등) ●
개인정보 유출에 대한 행정적 제재는 개인정보 유출로 인한 피해규모, 기업이 취득한 이익, 사회적 비난 등에 비해 매우 가벼운 수준이었음. ‘주의’, ‘경고’ 등 실질적으로 제재라고 보기 어려운 경우도 많았고, 특히 금융감독기관의 경우 금융업계에 대해 과태료 600만원을 거의 정액처럼 부과하였음.
●
SC은행과 씨티은행, 메리츠화재에서 내부직원이나 협력업체 직원이 고객들의 신상정보와 연락처, 대출이나 보험상품명, 대출액, 만기일자 등 개인정보를 유출하였지만, 일관되게 모든 업체에게 ‘기관경고’와 과태료 600만원만 부과하였음. 삼성카드 유출사고의 경우 유출된 개인정보 규모가 192만건에 달하고, 삼성카드 측에서 유출사실을 인지하고도 12일이 지나서야 유출사실을 공개했으며 최초 1만8천건으로 유출규모를 축소발표하는 등 여러 문제점이 지적되었음에도 금융감독원은 삼성카드회사에 대한 ‘기관주의’, 과태료 600만원, 대표이사에 대한 ‘주의’조치를 내렸을 뿐임. 심지어 1억 건이 넘는 개인정보가 유출된 카드3사 (국민카드, 농협카드, 롯데카드)의 경우에도 제재는 과태료 600만원과 신규모집업무 3개월 정지에 불과하였음.
●
2014년 정보통신망법이 개정되어 매출액의 1%이던 과징금 상한이 매출액 3%로 상향되었지만, 여전히 징계수준이 높다고 볼 수 없음. 특히 개인정보의 무단활용으로 인해 실제 기업이 얻은 수익과 비교할 때 과징금이 이에 현저히 미치지 못한 경우도 많아 기업의 불법행위를 막는 데 효과를 발휘하기 어려움. 예를 들어 롯데홈쇼핑의
2018-10-01 참여연대 이슈리포트 24-18
경우 고객 개인정보를 손해보험사에 판매하여 37억 이상의 이익을 얻었으나 과태료 2천만원과 과징금 1억 8천만원만 부과되었음. ●
현재까지 방송통신위원회가 2015년 1천만 명 이상의 개인정보가 유출된 인터파크에 대해 과징금 44억 8천만 원을 부과한 것이 개인정보 유출사고에 대해 기업에 부과한 법적 책임 중 가장 높은 금액임. 그 외에는 대부분 수천만원에서 많아야 2,3억 내외의 과징금을 부과하고 있음. 1,171만명 개인정보 유출된 KT에 7천만원, 190만명 개인정보 유출된 ‘뽐뿌커뮤니케이션’에 1억 200만원, 323만건 숙박예약 개인정보 유출된 ‘여기어때’에 3억 100만원, 2,546만 건의 알패스 유출된 ‘이스트소프트’에 1억 1200만원 등임.
(2) 사법적 권리구제 - 손해배상소송 ●
대한민국은 증권분야 외에는 집단소송제도가 도입되어 있지 않기 때문에 대규모 개인정보 침해사례가 발생하여도 피해자들이 개별적으로 소송제기라는 수단을 선택해야만 권리구제가 가능함. 그 동안 대규모 개인정보 침해사태에 대해 피해자들이 개인으로 또는 일부 집단적으로 모여서 손해배상소송을 제기한 사례가 있으나, 전체 유출된 피해자 규모에 비하면 소송제기까지 나아간 피해자들은 1%도 되지 않음.
●
법원은 내부직원이 개인정보를 빼돌리거나, 기업 차원에서 무단활용, 판매한 사안에 대해서는 기업의 손해배상책임을 인정한 사례가 일부 있지만, 그 배상액수는 1인당 10~20만원 전후에 불과함. 결국 기업이 부담하는 전체 배상액수는 미미한 수준임.
●
1억 건 이상의 개인정보가 협력업체 직원에 의해 유출된 카드3사 유출사고에서도 16여만 명이 여러 경로로 손해배상소송을 진행 중이나 1인당 7~10만원 사이의 배상을 인정하는 판결이 나오고 있음. 홈플러스도 개인정보 2,400여만 건을 불법 판매해 231억원 이상 수익을 얻었지만 손해배상소송에서는 항소심에서 1인당 5~20만원 사이, 총 8,365만원의 배상액이 인정되었고, 형사재판에서는 법인에게 7,500만 원의 벌금만 인정되었음.
●
더욱이 소위 ‘해킹’에 의한 개인정보 유출에 대해서는 법원이 기업의 손해배상책임을 인정하는 데 있어서는 매우 소극적인 입장을 보이고 있음.
●
2008년 1,863만명 개인정보가 유출된 옥션사태에서 14만명이 넘는 피해자들이 11건의 손해배상소송을 법원에 제기했으나 결국 7년만인 2015년 대법원에서 옥션이 침해사고 당시 기술수준을 고려하여 필요한 기술적, 관리적 조치를 다하였다며 옥션의 배상책임을 부인하는 판결을 확정하였음(대법원 2015. 2. 12. 선고 2013다43994,44003 판결).
2018-10-01 참여연대 이슈리포트 24-19
●
3,500만 명 가까운 개인정보가 유출되어 역대 최대 규모 중 하나인 싸이월드 유출사고에 대해서도 대법원은 2018년 원고 일부 승소판결을 내린 하급심을 뒤집고 개인정보 유출에 대해 SK커뮤니케이션즈의 책임이 없다고 판단했음. 국내 공개용 알집 프로그램이 보안에 취약한 프로그램이고 피고 SK커뮤니케이션에게 직원들의 위 프로그램 사용을 방지하지 못한 과실이 있다 하더라도 해킹과 같이 알집 업데이트 사이트가 변조돼 악성프로그램을 다운로드받게 됨으로써 해킹수단으로 이용될 것까지 구체적으로 예견할 수 있었다고 보기 어렵다는 등의 이유로 배상책임을 부인함.
●
개인정보 유출에 대한 기업의 법적 책임을 매우 소극적으로 인정하는 일련의 대법원 판결들은 향후 발생하는 개인정보 침해사태에 대해서도 피해자들이 적극적으로 권리구제를 도모할 수 있는 동력을 약화시킬 것임.
2018-10-01 참여연대 이슈리포트 24-20
시사점 1. 반복되는 개인정보 침해사고의 원인 (1) 과도한 개인정보 수집과 보유 ●
목적에 필요한 범위에서 최소한의 개인정보만을 수집하여야 하고, 목적 외로 사용해서는 안 된다는 ‘최소수집의 원칙’, ‘목적구속의 원칙’은 개인정보보호의 기본 원칙임. 그러나 실제 현실에서 기업들은 목적에 필요한 최소한의 범위인지를 따지지 않고 과도하게 개인정보를 수집하고 있음. 기업이나 기관이 수집, 보유하는 개인정보의 양과 범위가 확대되고 장기간 집적될 수록 정보가 갖는 가치는 높아지겠지만, 그만큼 해당 정보를 불법적으로라도 취득해서 활용하고자 하는 각종 공격은 더욱 활발해질 수밖에 없음.
(2) 개인정보 침해사고에 대한 불충분한 법적 책임 ●
개인정보 침해사고에 대해 해당 기업이나 기관이 법적 책임을 충분히 지지 않은 것도 반복된 침해사고의 요인임. 해킹을 당하든 내부 직원이 유출을 하든 기업 차원에서 과태료나 과징금, 손해배상책임 등 법적 책임을 크게 지지 않았고, 기업 운영에 별다른 타격도 없었음.
(3) 개인정보 침해에 대한 법원의 소극적 인식 ●
법원은 개인정보 유출로 인한 정보주체의 권리 침해에 대해 소극적으로 판단하고 있음. 개인정보 유출로 인한 피해를 1인당 5~20만원 내외로만 인정해왔고, 손해의 의미를 협소하게 바라보고 있음. 예를 들어 의사와 환자들이 자신들의 의료정보를 무단판매한 약학정보원, IMS헬스 등을 상대로 손해배상을 청구한 소송에서 1심 법원은 피고들이 개인정보보호법을 위반하여 개인정보를 판매했다는 사실을 인정하면서도, 피고들 외에 다른 곳으로 유출되거나 범행에 이용된 것이 없고 다른 제3자가 열람했는지도 밝혀지지 않았다며 실제 원고들에게 손해가 발생했다고 볼 증거가 부족하다는 이유로 손해배상책임을 인정하지 않았음. 반드시 개인정보 유출이 입증가능한 물리적이거나 유형적인 피해로 이어져야만 배상이 가능하다면, 이는 개인정보자기결정권 침해의 의미를 지나치게 좁히는 것임.
(4) 기업의 개인정보 보호 의지 부족 ●
기업에게 개인정보 침해사고에 대한 법적 책임이 제대로 부과되지 않기 때문에 기업으로서는 보안에 투자하거나 개인정보 보호를 강화할 필요도 느끼지 못함.
2018-10-01 참여연대 이슈리포트 24-21
이윤추구가 주 목적인 기업에게 개인정보 유출이나 무단활용으로 인한 이익보다 법적 책임이 작을 때는 보안에 투자를 할 유인이 별로 없음. ●
한국인터넷진흥원(KISA)의 정보보호 실태조사에 따르면 2016년 네트워크에 연결된 컴퓨터를 보유한 9,586개 사업체 가운데 정보보호 조직을 운영하는 곳은 전체 조사대상의 11%에 불과했음.
(5) 관련 법제와 감독기구의 문제 ●
개인정보 보호 관련 법제가 개인정보보호법, 정보통신망법, 신용정보법 등 여러 법에 분산되어 규율의 내용을 조금씩 달리하고, 감독기능도 행정안전부, 개인정보보호위원회, 방송통신위원회, 금융위원회 등으로 분산되어 제대로 된 감독과 집행이 되지 않는 점도 개인정보의 불충분한 보호에 일조하고 있음. 집단소송법도 도입되어 있지 않고, 개인정보침해에 대한 징벌적 배상도 3배 배상에 불과하여 실효적인 권리구제수단도 미비한 상태임.
2. 바람직한 정책 방향 ●
개인정보는 집중되고 결합될수록, 유통이 활성화되고 접근할 수 있는 자가 많아질수록 유출과 무단활용의 위험성이 증가함. 따라서 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있도록 제도와 정책방향이 설계되어야 함.
●
정보주체가 자신의 개인정보에 대해 통제할 수 있는 권리가 강화되고 실질적으로 보장되어야 함. 현재 형식화된 동의제도와 관행을 개선하여 정보주체가 동의의 의미와 범위, 효과에 대해 제대로 인지하고 동의권을 행사할 수 있도록 해야 함. 동의 이후에도 자신의 정보가 활용되는 내용을 열람하거나 동의를 철회할 수 있는 권리도 보다 용이하게 실질적으로 행사할 수 있어야 함.
●
공공이든 민간이든 대규모로 개인정보를 처리하는 자가 개인정보를 과도하게 수집하지 않는지, 개인정보 보호를 위한 기술적 관리적 조치를 충분히 이행하고 있는지 여부에 대한 실효적인 감독과 법집행이 이루어져야 함. 이를 위해 개인정보를 잘 보호할 수 있는 법제와 감독기구 일원화, 조사와 집행 기능 강화 등의 정비가 필요함.
●
개인정보 침해에 대한 법적 책임을 충분히 부과할 수 있도록 감독기구가 과징금이나 과태료를 엄정하게 부과해야 하며, 당사자의 권리구제를 활성화하기 위해 집단소송제도 도입과 징벌적 배상제도 확대를 고려해야 함.
2018-10-01 참여연대 이슈리포트 24-22
●
개인정보에 대한 정보주체의 통제권을 약화시키고 개인정보의 결합과 집적, 유통을 확대하여 침해 위험성을 증대시키는 지금의 정책방향은 제고되어야 함. 개인정보를 효과적으로 보호할 수 있는 제도와 환경, 문화를 만드는 것이 우선임. 끝.
2018-10-01 참여연대 이슈리포트 24-23
참여연대 이슈리포트 그 많던 내 개인정보는 누가 다 가져갔을까
발행일 2018. 10. 1. 발행처 참여연대 공익법센터 (소장 : 양홍석 변호사) 담당 김선휴 간사, 강태리 실행위원 02-723-0666 pil@pspd.org ※ 본 자료는 참여연대 웹사이트(포스팅 링크 있으면 걸기)에서 다시 볼 수 있습니다.
참여연대는 정부보조금 0%, 회원의 회비로 운영됩니다. 대표전화 02-723-5300 회원가입 02-723-4251 주소 03036 서울 종로구 자하문로9길16 (통인동) 홈페이지 www.peoplepower21.org 공식SNS 트위터 페이스북 @peoplepower21
2018-10-01 참여연대 이슈리포트 24-24