4월 둘째주(개인정보 과태료 처분, 마이데이터 표준화 착수, 샤크봇, 아시아 개인정보보호법)

beginner_king·2022년 4월 18일
0

개인정보위, 개인정보보호 법규 위반 6개 사업자 제재

개인정보보호 법규를 위반한 현대이지웰, 쏘스뮤직, 발카리, 민병철교육그룹, 번개장터, LG헬로비전 등 6개 사업자에게 과태료 총 4500만원을 부과하고 시정명령을 처분

쏘스뮤직은 소속 그룹의 해체 관련, 회원권(멤버십) 비용의 환불을 위해 구글 설문지를 이용하면서 설문 결과의 공개 설정을 잘못했다. 이 때문에 설문 참여자 22명의 개인정보를 서로 열람

현대이지웰은 다른 서비스 간 로그인 정보를 연동하는 과정에서 개발 실수로 이용자가 다른 계정으로 로그인돼 58명의 개인정보가 타인에게 공개

발카리는 안전한 인증수단 등의 보호조치를 하지 않아 본인만 볼 수 있는 게시판 글에 포함된 개인정보가 타인에게 유출됐다. 1년 이상 장기 미이용자의 개인정보를 파기하지 않았다.


민병철교육그룹, 번개장터, LG헬로비전 등 3개 사업자는 개인정보가 유출된 사실은 확인되지 않았으나, 전송구간 암호화 의무를 위반하거나 개인정보취급자의 접속기록을 남기지 않는 등 개인정보 보호조치 의무 위반이 확인됐다.

개인정보위, 모든 산업 분야에 마이데이터 도입…표준화 착수

분야 간 서로 다른 데이터 형식과 전송방식 등을 통일해 데이터 이동을 원활하게 하기 위한 것으로,
표준화 사업을 통해 전송유형별 절차를 구체화하고,
전송 메시지 규격을 확립하는 한편 마이데이터 인증·보안 체계도 마련 목적

차세대 멀웨어라고 불리는 샤크봇, 구글 플레이 스토어 연속으로 뚫어

샤크봇은 ‘차세대 멀웨어’라고 불리며, 안드로이드 장비 사용자가 뱅킹 앱에 로그인되어 있을 때 은행 계좌로부터 돈을 은밀히 빼돌리는 기능을 가지고 있음
정상적인 앱 처럼 위장하여 샤크봇을 유포하는 구글 플레이 스토어에 등록된 앱이 최소 6개 발견됨
- 악성 기능을 시간 지연시켜 발동, 샌드박스 환경 탐지, 지오펜스, 외부 C&C 서버로부터 추가로 악성 기능을 다운로드 받는 등의 기능을 통해 구글 플레이스토어의 점검 및 보호 장치를 우회함
- 모바일 뱅킹 송금 시 요구되는 정보를 양식에 맞게 자동으로 채워 자금 탈취, 피해자가 은행 계좌 로그인 시 정보를 미리 확보함 

“GDPR보다 앞서기도” 아시아 지역의 개인정보 보호법 이모저모

아시아의 데이터 보호법은 1980년 OECD의 ‘개인정보 보호 및 개인 데이터의 국가 간 이동에 관한 가이드라인(Guidelines on Protection of Privacy and Transborder Flows of Personal Data)’의 영향을 받아… 

GDPR의 영향으로 대부분의 국가는 현지 법률 체계를 GDPR 기준에 가깝게 만들기 위한 조치를 취하였으며, 최근 중국과 태국에서도 포괄적인 데이터 보호법을 마련함

• 위반 고지 의무는 한국, 태국, 싱가포르, 필리핀, 일본, 중국의 공통점이다. 이는 현재 인도 의회에서 제안된 데이터 보호법에도 포함돼 있다. 
• 데이터 이동 권한 등의 강화된 데이터 주체 권리는 싱가포르, 태국, 중국에서 의무화돼 있다(이 역시 현재 인도 의회에서 제안된 데이터 보호법에 포함돼 있다).
• 역외 범위(해외 법인이 현지 국민 데이터를 취급할 때 규칙을 준수해야 한다는 GDPR의 핵심 요소)는 태국과 중국의 법률에 명시돼 있다(현재 인도 의회에서 제안된 데이터 보호법에서도 마찬가지다).
• 일본에는 민감한 개인정보 취급 제한을 강화하는 조항이, 필리핀에는 민감한 데이터의 정의에 생체인식 또는 유전자 데이터를 추가하는 조항이 있다.
• 한국과 일본에는 가명 개념을 명확히 하는 조항이 있다.
(+) 일부 아시아 국가에서는 관리자와 처리자의 구분이 없고 모든 개인정보 취급자에 동일한 의무 적용> 일본, 중국

단순 컴플라이언스에서 개인정보를 취급하는 기업의 책임으로 초점이 변화함
- 영향평가, 설계상 개인정보 보호, DPO 임명 등
profile
보초왕

0개의 댓글