개인정보 침해

(Personal data breach)

• 개인정보 침해의 개념과 위험성을 이해 할 수 있다.

1.1 개인정보 침해의 개념

개인정보 침해는 개인정보의 파괴(destruction), 손실(loss), 변경(alteration), 허가받지 않은 공개 또는 접근(unauthorised disclosure or access)

³⁹⁾

1.2 개인정보 침해의 유형

개인정보의 침해는 그 형식에 따라 다음과 같이 구분할 수 있다.

39) ① 파괴: 정보가 더 이상 존재하지 않거나 또는 컨트롤러가 사용할 수 있는 형식으로 존재하지 않는 경우 ② 손실: 데이터가 여전히 존재할 수 있으나 컨트롤러가 그에 대한 제어 또는 접근 권한을 상실하였거나 더 이상 자신의 소유 하에 있지 않은 경우 ③ 변경:

개인정보가 변경되었거나 오염되어 더 이상 완전한 상태가 아닌 경우 ④ 허가받지 않은 공개 또는 접근: 정보 수신(또는 접근) 자격이 없는 수신자에게 개인정보가 공개되는 경우 또는 GDPR을 위반하는 어떠한 형태의 처리

Ⅷ 개인정보

침해 발생 시 조치 사항 [표 9] 개인정보 침해 유형과 사례

유형 침해 형식 사례

기밀성 침해 (Confidentiality breach)

개인정보에 대한 허가받지 않 은 또는 우발적인 공개나 접 근이 있는 경우

공격자의 네트워크 침투에 의한 개인정보 접근 또는 유 출, 회 사 외 부 에 서의 암 호 화 되 지 않 은 개인 정 보 사본(CD, USB 등)의 분실·도난 등

가용성 침해 (Availability breach)

개인정보에 대한 허가받지 않 은 또는 우발적인 접근 손실 이나 파괴가 있는 경우

개인정보의 유일한 사본이 랜섬웨어에 의해 암호화된 경우, 정보가 우발적 또는 비인가자에 의해 삭제되거나 암호화된 정보에 대한 복호화 키가 분실된 경우, 정전 또는 D o S 공 격 등으 로 조 직의 일반적인 서비스 에 대한 심각한 중단이 발생하여 항구적 또는 임시적으로 개 인정보가 가용하지 않게 되는 경우 등

* 개인정보를 일시적으로 가용하지 못하게 하는 침해의 경 우 감독기구 및 개인에 대한 통지 의무는 그 상황에 따라 다를 수 있음

무결성 침해 (Integrity breach)

개인정보에 대한 허가받지 않 은 또는 우발적인 변경이 있는 경우

공 격자 에 의해 개인정보가 변경 또는 오염되었거나, 더 이상 완전한 상태가 아니게 되는 경우 등

1.3 개인정보 침해의 위험성

개인정보 침해는 시의적절(timely manner)하게 해결되지 않을 경우, 정보주체의 개인 정보에 대한 통제권 상실이나 권리 제한, 차별, 신용 도용 및 신용 사기, 재정적 손실, 가 명화의 무단 재식별(unauthorized reversal of pseudonymisation), 명예 훼손, 직무 상 비밀, 개인정보의 기밀성 상실과 그 밖에 경제적·사회적 불이익 등과 같은 신체적·물 질적·비물질적 피해를 초래할 수 있다(전문 제85항).

이에 GDPR은 컨트롤러 또는 프로세서가 개인정보 침해를 인지하였을 때 감독기구 또는 정보주체에게 통지할 의무를 신설하였다.

1.4 개인정보 침해의 인지

개인정보 침해 사고의 ‘인지(aware) 시점’ 기준은 개인정보의 침해로 이어진 보안 사고의 발생을 컨트롤러가 합리적인 수준에서 확신한 때로 본다.

개인정보 침해 인지 시점의 예시

① 암호화되지 않은 정보가 수록된 CD를 분실하고, 컨트롤러가 CD가 분실된 것을 알게 된 경우

② 제3자가 컨트롤러에게 자신이 우연히 컨트롤러의 고객 중 하나의 정보를 입수하였다고 알리고 무단 노출의 명백한 증거를 입수한 경우

③ 컨트롤러가 자신의 네트워크에 대한 침입이 있었을 가능성을 발견하고 추가 조사를 통하여 침입 사실을 확인한 경우

④ 사이버 범죄자가 대가(ransom)를 요구하기 위하여 시스템을 해킹한 후 컨트롤러에게 접근해 온 경우

참고・예시

셀프 체크리스트

□ □

• 개인정보 침해 사고의 유형을 인지하고 유형별 사고 대응 절차가 수립되어 있다.

예 아니오

Ⅷ 개인정보

침해 발생 시 조치 사항

2