개인정보 유출 현장 발견 시 신고 방법 (개인정보 보호책임자, KISA)

얼마 전에 서울시청에서 주관하는 한 설문 이벤트에 참여한 적이 있다. '메타버스 서울' 서비스에 대한 만족도 조사였는데, 구글 폼을 활용해 진행된 이벤트였다.

 

그런데 응답을 마치고 나서 한 가지 석연치 않은 부분을 찾을 수 있었다. 바로 응답 완료 화면에 [이전 응답 참조]라는 링크가 활성화되어 있던 것이다.

 

저 링크를 타고 가면 그간 참여했던 모든 응답자들의 응답 내용을 조회할 수 있다.

 

그런데 저곳이 일반적으로는 폼을 개설한 관리자가 아니라면 접근할 수 없어야 하는 곳인데, 고정된 URL을 가지고 있다면 누구나 접근을 할 수 있었던 것이다.

 

한 마디로 응답 결과를 조회할 수 있는 권한이 잘못 부여되어 있던 것.

 

이게 왜 심각한 문제였냐 하면, 이렇게 조회할 수 있었던 응답 내용 중에 응답자 개개인의 휴대폰 번호까지 포함되어 있었기 때문이다.

 

이 이벤트는 경품 추첨을 목적으로 응답자들로부터 휴대폰 번호를 수집하고 있었는데, 이런 수집 과정까지 폼 하나로 다 처리하고 있던 게 화근이었다.

 

결론적으로 이 이벤트에 참여했던 400여 명의 휴대폰 번호가 아무런 방비 없이 공중에 노출되고 있던 상황. 명백한 개인정보 유출의 현장이 아닐 수 없었다.

 

그렇다면 이런 현장을 봤을 때 이용자의 입장에서 어떻게 대응해야 할까? 이 글에서는 크게 두 가지 방법을 소개한다.

 

 

해당 기관의 개인정보 보호책임자에게 신고

현행 개인정보 보호법 제31조에 의하면, 업무 과정에서 개인정보를 운용하는 모든 주체는 개인정보 보호책임자를 지정해야 할 의무가 있다.

개인정보 보호법 제31조(개인정보 보호책임자의 지정)

① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
( 후략 )

 

그러므로 웬만하면 해당 기관의 개인정보 보호책임자에게 우선적으로 침해사실을 신고하는 편이 좋다. 원래 이런 일에 책임을 지라고 있는 직위이기 때문에.

 

보통 개인정보 보호책임자에 관한 사항은 개인정보 처리방침에 명기되어 있다. 여기에 기재된 연락처를 참고하여 침해사실을 신고하고 시정 조치를 요구하면 된다.

 

필자의 경우도 이렇게 먼저 서울시청 측에 직접 신고를 했고, 이틀 만에 시정되었다는 답변을 받았다.

 

시정 조치 완료 후 권한이 조정된 모습.

서울시청 측에서 받은 개인정보 유출사실 통지 문자:

메타버스 서울 만족도 조사 관련 안내

개인정보 유출 사실을 통지해 드리며, 깊이 사과드립니다.

서울시 정책에 관심을 가지고 이용해주시는 시민분들께 사과의 말씀을 드립니다. ‘메타버스 서울 출시 1주년 기념 만족도 조사’ 진행 중에 담당자의 실수로 귀하의 소중한 개인정보가 유출되었음을 알려 드리며, 이에 대하여 진심으로 사과를 드립니다.

귀하의 개인정보는 2024년 1월 19일 오전 11시 24분부터 1월 23일 오후 8시 23분까지 약 5일간 만족도 조사를 제출한 일반 응답자가 권한 없이 전체 답변 내용을 확인할 수 있어 노출된 것으로 확인되었습니다. 유출된 개인정보 항목은 휴대폰번호 총 1개입니다.

유출 사실 인지 직후 관리자 권한 없이 답변 내용에 접근할 수 없게 경로를 차단하였습니다. 혹시 모를 피해를 최소화하기 위하여 모르는 번호로 전화를 수신받거나, 서울시를 사칭하여 이벤트 당첨을 안내하는 연락에 주의를 부탁드립니다. 만족도 조사 이벤트의 결과는 메타버스 서울 공식 인스타그램에 게시할 예정이며, 당첨자에게는 추가 정보 요청 없이 경품이 지급될 예정입니다.

아울러, 피해가 발생하였거나 예상되는 경우에는 아래 담당부서에 신고하시면 성실하게 안내와 상담을 해 드리고, 필요한 조사를 거쳐 손실보상이나 손해배상 등의 구제절차를 진행하도록 하겠습니다. 한국인터넷진흥원의 개인정보 분쟁 조정이나 민사 상 손해배상 청구 등을 통해 피해를 구제받고자 하실 경우에도 연락주시면 그 절차를 안내하고 필요한 제반 지원을 아끼지 않도록 하겠습니다. 향후 이와 같은 사고가 재발하지 않도록 직원 교육을 강화하고 모니터링을 철저히 하겠습니다. 심려를 끼쳐 드리게 되어 거듭 진심 으로 사과드립니다.

ㅇ 피해 등 접수 담당부서 : 정보시스템담당관
ㅇ 피해 등 접수 전화번호 : 02-2133-2970~5
ㅇ 피해 등 접수 e-메일주소 : privacy@seoul.go.kr

서울특별시 디지털정책담당관

 

반응형

 

KISA에 개인정보 침해신고 제기

다만 사태의 규모가 엄중한 경우에는 한국인터넷진흥원(KISA)에도 직접 침해신고를 넣는 편이 좋다. 이렇게 신고를 넣으면 개인정보가 유출된 기관에 대해 KISA 측에서 직접 행정지도·조사를 실시한다.

 

현행 개인정보 보호법 시행령 제40조에서는 KISA와 같은 전문기관에 신고가 필요한 상황을 다음과 같이 규정하고 있다.

• 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우
• 민감정보 또는 고유식별정보가 유출된 경우
• 외부로부터의 불법적인 접근에 위해 개인정보가 유출된 경우

 

KISA에 침해신고를 넣는 방법으로는 전화, 이메일, 우편 등의 여러 가지 방법이 있는데, 여기서는 홈페이지를 통해 신고하는 방법을 위주로 다루겠다.

---

1. 'KISA 개인정보침해 신고센터' 홈페이지에 접속한다.

KISA 개인정보침해 신고센터

 

2. 개인정보침해 [신고·상담 신청] 버튼을 클릭한다.

 

3. [신고서 양식] 버튼을 클릭하고 HWP 형식의 양식 문서 파일을 받는다.

 

4. 양식에 맞춰 신고서를 작성한다.

 

5. 다시 웹 브라우저 화면으로 돌아와서 [신고 계속] 버튼을 클릭 후 신고자 본인확인을 진행한다.

 

6. 신청인과 피신청인 정보를 입력한다.

피신청인 정보에는 보통 개인정보가 유출된 기관의 개인정보 보호책임자 인적사항을 기입하면 된다.

 

7. 신고 내용을 작성한다.

주요 내용 란에는 신고서에 작성한 내용을 간략히 요약한 것을 적고, 증빙자료 첨부 란에는 작성한 신고서와 기타 증거용 자료를 첨부한다.

 

8. 작성한 내용을 최종 확인하고 [신청완료]

 

9. 침해신고 절차가 모두 완료되었다.

---

이렇게 신고한 사항에 대한 조치 결과는 행정지도·조사에 걸리는 기간을 감안해 통상적으로 6개월 이내에 나오는데,

 

만약 신고한 사항의 위중도가 낮거나 이미 해결된 사항을 신고했을 경우에는 '신고'가 아닌 '상담' 절차로 취급되어 14일 이내에 빠르게 결과가 나온다.

 

필자도 한번 같은 날 KISA 측에 민원을 넣어봤는데 3일 만에 결과를 통지받았다.

 

KISA 측에서 사태를 파악하기 시작한 시점에는 이미 서울시청 측에서 조치를 끝낸 상태였고, 결정적으로 피해 규모가 1천명 미만이기 때문에 애초에 신고 조건을 충족하지 못하는 케이스였다고.

 

그래도 답변 평가에 '매우 만족' 눌러줬다.