개인정보에 대한 사회적 가치가 증가됨에 따라서 개인정보의 유출 관련 침해사건이 지속적으로 늘어나고 있습니다. 개인정보가 인격권의 성격과 더불어 재산적 성격을 가진다는 점에서 개인정보의 유출 피해는 정보주체의 정신적·경제적 피해를 양산하고 있으며 민간·공공분야에서 수집,처리되는 과정에서 유출되게 될 경우 기업/정부 등 국가 전반에 악영향을 끼칠 수 있습니다.
■ 주체별 유출에 따른 침해유형
1. 정보주체(개인): 정신적 피해, 명의도용/보이스피싱에 의한 금전적 손해, 범죄에 노출
2. 기업: 이미지 실추, 소비자단체 불매운동, 집단 손해배상 시 기업경영에 타격
3. 정부: 국가브랜드 하락, 전자정부 신뢰성 하락, IT산업 수출애로
■ 개인정보의 피해 유형
1. 1차 피해: 수집,이용 등 처리과정에서 부주의,실수,악의적 목적으로 개인정보 유출
2. 2차 피해: 명의도용 통한 회원가입, 개인정보 불법유통, 불법스팸, 보이스피싱, 스미싱 등
■ 개인정보의 침해 요인
1. 주체별 침해요인
① 정보주체: 개인이 정보를 생성하고 공유하는 웹 2.0 환경은 정보의 공유와 확산이 증가하여 개인정보의 노출로 이어지기 쉬움. 이력서,주소록 등의 민감정보가 포함된 파일이 정보주체의 부주의로 타인에게 노출되고 공유되기도 함 (사례: P2P 등 이용시 발생하기 쉬움)
② 개인정보처리자:
– 민간부문: 활발한 개인정보의 이용에도 불구하고 개인정보보호에 대한 인식이 부족하고 중분한 보호조치가 취해지지 않아 개인정보가 인터넷상에 노출되는 사례가 많음. 가입자 유치를 하는 업체가 복잡한 하위 유통망을 운영하는 경우 규모가 영세한 영업점을 통해 개인정보 유출이 빈번히 발생함. 이외에도 내부직원에 의한 개인정보유출 및 개인정보 불법수집 및 제공 등도 발생하고 있음
– 공공부문: 정보통신기술활용한 서비스 고도화 및 정보활용이 증가됨에 따라 개인정보의 수집, 활용 형태가 민간기업과 유사하게 증가하고 있음. 민원인 부주의에 의한 침해, 홈페이지 설계 오류로 인한 침해, 업무담당자의 부주의 등에 의해 침해사고 발생. 공공기관의 경우 정보주체의 동의없이 개인정보를 처리하는 경우가 민간보다 현저히 많다는 점에서 철저한 개인정보 관리가 요구됨
2. 시스템 영역별 침해요인
① PC 등 개인 단말기: 기업,공공기관의 내부자가 취급하는 개인단말기의 경우, 이메일, 메신저 등의 정보서비스 활용 시 악성코드 감염으로 취약점이 발생하거나 악성프로그램이 노출 가능
사례) 해킹메일읕 통헤 시스템 관리자 PC가 악성코드에 감염 → 공격자가 관리자 계정/패스워드 획득하여 서버에 접근, 대량의 고객정보 획득 가능
② 네트워크 영역: 개인정보가 전송되는 인터넷망 등 전송구간에 대한 암호화조치 미비로 개인정보가 전송중에 패킷 스니핑, 패킷 가로채기(MITM) 등을 통해 공격자에게 노출 가능
③ 서버/DB 영역: 서버 및 DB에 저장된 개인정보에 대한 암호화 미비, 패치관리 미흡, 설계 오류, 접근제어 미흡으로 해커나 접근권한이 없는 자에게 고객DB가 노출, 탈취될 수 있음. DB와 연동되는 웹서버를 해킹하여 DB접근권한 정보를 획득하거나 DB설계 오류로 인해 접근통제가 미흡한 내부 웹페이지를 통해 타인정보가 열람될 수 있음