신원미상의 자가 에스큐엘 주입(SQL Injection) 공격으로 △피알컴퍼니가 운영하는 문자발송 서비스의 이용자 계정정보(48명)를 탈취한 후 대량의 스팸문자를 발송했다. 개인정보위는 피알컴퍼니가 침입차단·탐지시스템 설치·운영, 비밀번호 암호화, 접속기록 보관 등의 안전조치의무와 유출 통지·신고의무를 위반했다고 판단했다.
△에스에스지닷컴은 잘못 부착한 택배 송장을 제거하지 않고 새로운 송장을 덧붙여 발송해 이를 수령한 고객이 타인의 개인정보(1명)를 열람했는데, 개인정보위는 잘못 부착한 택배 송장을 파기하지 않고 다른 수취인의 개인정보가 노출되게 한 행위에 대해 파기 의무 위반으로 처분했다.
△네오게임즈와 △리치몬트코리아는 소소코드 설정 오류 등 관리자의 보안조치 소홀로 각각 36명과 1명의 개인정보가 유출되었고, 특히, 리치몬트코리아는 유출 사실을 안 때부터 24시간을 경과해 유출 신고와 이용자 통지를 했다.
△KT는 테스트 계정으로 로그인한 상태의 인터넷 주소(URL)를 담당자 실수로 고객들에게 발송해 개인정보(1명)가 유출되었는데, 개인정보위는 KT가 안전조치의무를 위반했다고 판단했다.
△난다는 개인정보가 기재되어 있는 페이지의 읽기 권한을 ‘관리자’가 아닌 ‘비회원 이상’으로 설정하는 등 안전조치의무 소홀로 개인정보(30명)가 유출되었으며, 24시간을 경과해 유출 통지·신고를 했다.
△데이원컴퍼니는 배송정보가 포함된 엑셀 파일을 잘못 편집하여 개인정보(82명)가 타인에게 전달되었으며, 개인정보위는 유출 통지가 지연된 사실을 확인했다.
△쿠팡에 대해서는 2건이 접수되었는데, 쿠팡은 쿠팡 앱을 업데이트하는 과정에서 안전조치의무를 소홀히해 개인정보(14명)가 유출됐다. 또한, 쿠팡은 쿠팡이츠 스토어에 회원가입이 완료되지 않았거나, 서비스 이용 중지를 요청한 음식점주의 개인정보를 파기하지 않고 문자메시지를 발송했다.
△그레잇모바일은 개인정보 처리에 대해 동의를 받을 때 각각의 동의사항을 구분하지 않고 개인정보 수집 목적 등을 명확히 알리지 않았다.
적정성결정(adequacy decision)은 타국의 개인정보보호 수준을 평가해 자국의 개인정보 이전이 가능한 국가로 승인(화이트 리스트)하는 제도
유럽연합(EU)·영국·일본·브라질 등이 운영 중
LG U+ 는 대리점 시스템의 개인정보 안전조치 모의테스트 수행과정에서 가상 파일이 아닌 실제 개인정보파일을 사용했고, 해당 파일을 암호화하지 않고 네트워크 폴더에 공유해 테스트에 참여하지 않은 대리점도 접근할 수 있게 했다. 개인정보위는 개인정보가 실제로 유출되지는 않았지만, 유출될 위험성이 있는데도 이를 방치한 행위에 대해서도 안전조치 위반으로 판단
애플모바일 등 9개 판매점·대리점은 정산 완료 등 수집 목적을 달성한 뒤에도 수집한 개인정보를 파기하지 않고 보관한 것으로 밝혀졌다. 그 중 엑스씨아이엑스 등 8개 판매점·대리점은 개인정보파일을 암호화 하지 않거나, 외부망에서 접근할 때 안전한 인증수단을 적용하지 않는 등 개인정보파일 관리과정에서 안전조치를 소홀히 한 사실이 확인
클라우드 이용 시 사전보고를 사후보고로 전환하고, 제출서류를 간소화
> 금융회사 등이 클라우드 이용계약을 신규로 체결하거나 계약 내용의 중대한 변경 등이 있는 경우 3개월 이내에 금융감독원장에 사후보고하도록 변경했다.
...
연구·개발 분야의 망분리 규제 완화
> 그동안 프로그램 개발 등을 위해 오픈소스 등을 활용할 필요가 있는 금융회사 등의 연구·개발 분야에도 물리적 망분리 규제가 일률적으로 적용되어 혁신을 저해한다는 지적이 있었다.
이에, 금융규제 샌드박스를 통해 카카오뱅크의 ‘금융기술연구소’를 혁신금융서비스로 지정하여, 망분리 규제 특례를 부여했다.
또 금융규제 샌드박스를 통해 운영성과 및 안정성 등이 검증된 만큼, 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 것을 전제로 연구·개발 분야에 대해서는 망분리의 예외를 허용한다.
...
한편 2023년 상반기에 비중요업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록, 규제샌드박스를 통한 망분리 규제 완화를 검토할 예정이다.
이번에 금융위에서 의결된 ‘전자금융감독규정 개정안은 2023년 1월 1일부터 시행된다.
