개인정보 처리내역에 대한 로그기록 관리 및 DB 접근권한 등 보안조치 소홀
행안부는 매년 20여개 업체를 선정하여 개인정보 관리실태를 점검하고 있다. 2010년도 조사는 쇼핑몰 등이 위탁업체에 제공한 개인정보가 무단으로 유출되고 있다는 지적에 따라 개인정보를 대량으로 위탁처리하는 업체를 대상으로 실시했다.
점검결과, 대부분의 기업들이 법률에 규정된 개인정보 수집·제공 등 처리단계별 동의절차를 준수하고 있는 것으로 나타났다. 특히, 개인정보취급방침 공지, 침입차단시스템 설치, 주민번호 등 중요 개인정보에 대한 암호화 저장 등의 관리적·기술적 보호조치가 크게 개선된 것으로 확인되었다.('10년 상반기 암호화 44% , 하반기 80%)
그러나 일부 기업이 고객정보를 택배사, 홈페이지 관리업체 등 위탁업체에 제공하면서 수탁업체에 대한 관리· 감독과 개인정보 처리내역에 대한 로그기록 관리를 소홀히 함으로써 관련법령을 위반하는 등 상당수의 위반사례도 적발했다.
주요 위반 사례를 보면, A업체는 시스템 관리를 전문업체에 위탁하면서 계약서상에 위탁업체의 책임과 의무를 명확히 규정하지 않았으며, 위탁업체 직원교육, 개인정보 관리에서 파기까지 처리내역 등에 대한 감사 등 관리· 감독을 제대로 수행하지 않고 있는 것으로 드러났다.
B업체는 외부에서 단순 ID와 비밀번호 인증을 통해서 시스템 관리용 홈페이지에 손쉽게 접속하게 하는 등 안전한 인증수단을 이용한 접근통제를 하지 않고 있으며, 시스템에 접속한 접속일시, 처리내역 등 접속기록 내역 또한 저장·관리하지 않는 것으로 조사되었다.
C업체는 서면신청서를 통해 개인정보를 수집하면서 개인정보 이용목적, 수집항목, 이용기간 등에 대해 고지·동의 없이 고객정보를 수집하여 사용하고 있고, 이 정보를 동의 없이 제3자에게 제공했다.
장광수 행정안전부 정보화전략실장은 "이번 실태점검을 통해 향후 개인정보 유출의 재발방지를 위해서는 무엇보다 기업 CEO 차원의 적극적 관심과 의지가 절실하다"며, "특히, 개인정보를 다량 관리하고 있는 업체는 개인정보의 암호화, DB에 대한 접근권한 등 보안조치를 철저히 하여야 하며, 업무위탁시 수탁자에 대한 관리감독을 철저히 하여, 개인정보 유출로 인해 국민들이 불의의 피해를 받지 않도록 만전을 기해 줄 것"을 당부했다.
김정은 기자
jekim92@itdaily.kr