개인정보보호법의 암호화 의무

한국의 개인정보보호법은 개인정보처리자에게 기술적·관리적 보호조치를 의무화하고 있습니다. 암호화는 가장 핵심적인 보호조치 중 하나입니다.

암호화 의무 대상 정보

  • 고유식별정보: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
  • 비밀번호: 일방향 암호화 필수
  • 바이오정보: 지문, 홍채, 얼굴 인식 정보
  • 신용정보: 금융거래 정보, 신용평가 정보

개인정보의 안전성 확보조치 기준

개인정보보호위원회가 고시한 「개인정보의 안전성 확보조치 기준」에 따르면, 다음 상황에서 암호화가 필수입니다.

  • 저장 시: 고유식별정보, 비밀번호, 바이오정보는 암호화 저장
  • 전송 시: 정보통신망을 통해 전송할 때 암호화
  • 보관 시: 보조저장매체(USB 등)에 저장 시 암호화

"개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다."

개인정보의 안전성 확보조치 기준 제7조 (개인정보의 암호화)

GDPR과 글로벌 규정

EU의 일반개인정보보호규정(GDPR)은 세계에서 가장 엄격한 개인정보 보호법으로, 한국 기업도 EU 시민의 데이터를 처리하면 적용됩니다.

GDPR의 암호화 요구사항

GDPR 제32조는 "적절한 기술적 및 관리적 조치"를 요구하며, 암호화(encryption)와 가명처리(pseudonymisation)를 명시적으로 언급하고 있습니다.

GDPR의 주요 보안 요구사항

  • 개인정보의 가명처리 및 암호화
  • 처리 시스템의 기밀성, 무결성, 가용성, 복원력 보장
  • 정기적인 보안 조치 효과성 테스트 및 평가
  • 개인정보 침해 시 72시간 내 신고 의무

주요 국가별 개인정보보호법

  • 미국 CCPA/CPRA: 캘리포니아 소비자 프라이버시법
  • 중국 PIPL: 개인정보보호법 (2021년 시행)
  • 일본 APPI: 개인정보보호법 개정판
  • 브라질 LGPD: 일반개인정보보호법

글로벌 기업의 주의사항

해외 사용자의 데이터를 처리하는 기업은 해당 국가의 개인정보보호법을 준수해야 합니다. 특히 GDPR 위반 시 전 세계 매출의 4% 또는 2천만 유로 중 큰 금액이 과징금으로 부과될 수 있습니다.

위반 시 처벌 사례

개인정보보호법 위반은 형사처벌과 과징금 모두 가능합니다. 실제 처벌 사례를 통해 그 심각성을 알아봅니다.

한국 주요 처벌 사례

"2024년 개인정보보호위원회는 개인정보 유출 기업에 대해 역대 최대 규모의 과징금을 부과했습니다. GS리테일, SK텔레콤, 롯데카드 등이 수십억 원의 과징금을 납부했으며, 특히 암호화 조치 미흡이 주요 위반 사항으로 지적되었습니다."

개인정보보호위원회 제재 현황

GDPR 주요 과징금 사례

  • Meta (2023): 12억 유로 - 미국으로의 불법 데이터 전송
  • Amazon (2021): 7.46억 유로 - 동의 없는 광고 타겟팅
  • WhatsApp (2021): 2.25억 유로 - 투명성 의무 위반
  • Google (2019): 5천만 유로 - 동의 절차 위반

형사처벌 조항

한국 개인정보보호법은 형사처벌도 규정하고 있습니다.

  • 5년 이하 징역 또는 5천만 원 이하 벌금: 개인정보 불법 수집·유출
  • 3년 이하 징역 또는 3천만 원 이하 벌금: 안전조치 의무 위반으로 유출
  • 2년 이하 징역 또는 2천만 원 이하 벌금: 개인정보 목적 외 이용·제공
법률 서적
개인정보보호법 위반은 형사처벌까지 이어질 수 있습니다

정보주체의 권리

개인정보보호법은 정보주체(개인)에게 다양한 권리를 부여합니다. 자신의 권리를 알고 행사하는 것이 중요합니다.

정보주체의 8대 권리

  • 열람권: 자신의 개인정보 처리 현황 확인
  • 정정권: 잘못된 개인정보 수정 요청
  • 삭제권: 개인정보 삭제 요청 (잊힐 권리)
  • 처리정지권: 개인정보 처리 중단 요청
  • 동의철회권: 이전에 준 동의를 철회
  • 이동권: 개인정보를 다른 서비스로 이전
  • 자동화 결정 거부권: AI 자동 결정에 대한 거부
  • 손해배상 청구권: 유출 피해에 대한 보상 요구

권리 행사 방법

  1. 개인정보처리자에게 직접 요청 (웹사이트, 고객센터)
  2. 개인정보보호 포털(www.privacy.go.kr) 이용
  3. 개인정보 분쟁조정위원회에 조정 신청
  4. 법원에 소송 제기

집단소송과 단체소송

대규모 개인정보 유출 시 피해자들이 집단으로 소송을 제기할 수 있습니다. 2024년부터는 소비자단체의 단체소송도 활성화되어 개인이 직접 소송하지 않아도 권리 구제가 가능해졌습니다.

개인의 보호 방법

법이 보호해 주기를 기다리는 것보다 스스로 개인정보를 보호하는 것이 더 효과적입니다.

개인정보 최소화

  • 불필요한 서비스 가입 자제
  • 선택 정보는 가능한 제공하지 않기
  • 사용하지 않는 계정은 탈퇴 처리
  • 정기적으로 가입 서비스 점검

중요 정보 암호화

  • 주민등록번호, 계좌번호 등은 암호화하여 저장
  • 민감한 문서는 암호화 후 클라우드 업로드
  • 메신저로 개인정보 전송 시 암호화

CodeTalk으로 개인정보 보호하기

  • 주민등록번호, 계좌번호를 암호화하여 저장
  • 암호화된 상태로 안전하게 보관/전송
  • 필요할 때만 복호화하여 사용
  • 유출되어도 암호화된 텍스트만 노출

유출 시 대응 방법

  1. 비밀번호 즉시 변경: 유출된 서비스 및 동일 비밀번호 사용 서비스
  2. 금융 모니터링: 이상 거래 알림 설정, 신용정보 조회
  3. 명의도용 방지 서비스: 신용정보원 명의도용 방지 서비스 가입
  4. 피해 신고: 개인정보침해신고센터(118), 경찰(112)
  5. 손해배상 청구: 피해 증거 수집 후 법적 구제
개인정보 보호
개인정보 보호는 법적 권리이자 개인의 책임입니다