(1) 행정 처분 읽기
- 200.08.05 이전
- 정보통신서비스 제공자 : 법(정보통신망법) 행정처분(방송통신위원회)
- 일반 개인정보처리자 : 법(개인정보보호법) 행정처분(행정안전부)
- 행정처분 회의 속기록 : 보도자료에 없는 상세 논의사항을 알 수 있음
- 구성 : 피심인 명, 위반 내용(시행령/고시), 위반 조약(법), 시정 조치(과징금/과태료)
| 발란
- 2022.8 | 발란 | 안전조치의무 위반(접근통제), 개인정보 유출신고/통지 위반
- 법 제29조, 39조의4 | 과징금 5억, 과태료 1440만원
- 온라인 명품 쇼핑몰 → 정보통신서비스 제공자 등에 해당
- 미사용 관리자 계정 미삭제 및 방지, IP 주소 미제한
- 소셜로그인 시 다른 이용자에게 개인정보 노출, 노출 항목과 시점을 누락하여 통지
- 위반 내용
- 안전조치 기준 제5조 접근권한의 관리 : 개인정보처리시스템 접근 권한 변경 또는 말소
- 안전조치 기준 제6조 접근통제 : 인가받지 않은 접근 제한
- 안전조치 기준 제6조 접근통제 : 열람권한이 없는 자에게 공개되거나 유출되지 않도록
| 한동대학교
- 2022.8 | 한동대 | 안전조치의무 위반(암호화) | 법 제29조 | 과태료 360만원
- 개인정보취급자와 회원의 비밀번호를 안전하지 않은 알고리즘으로 암호화
- 내부관리계획에 접속기록 변경사항을 미반영
- 위반 내용
- 안전조치 기준 제7조(개인정보의 암호화) : 안전한 암호화 알고리즘으로 암호화
- 안전조치 기준 제4조(내부 관리 계획의 수립, 시행)
| 뽐뿌
- 2015.11 | 뽐뿌 | 블라블라 | 법 제28조 제 1항 2-4호 | 과징금 1억, 과태료 1500만원
- 당시 정보통신망법 제28조 제1항이 ‘정보통신서비스 제공자 등’의 ‘안전조치 의무’ 규정
- 공격자의 SQL 인젝션 공격을 통해 195만건의 개인정보가 유출됨
- 위반 내용
- 안전조치 기준 제6조 접근통제 : 인가받지 않은 접근 제한, 개인정보 유출 시도 탐지 및 대응
- 안전조치 기준 제6조 접근통제 : 열람권한이 없는 자에게 공개/유출되지 않아야함
- 안전조치 기준 제8조 접속기록의 보관 및 점검 : 개인정보취급자의 접속 기록 1년 이상 보관
- 보호조치 기준 제6조 개인정보의 암호화
| 케이지에듀원
- 2023.3 | 케이지에듀원 | 블라블라 | 법 제24조의2, 29조, 39조의4 | 과징금 747만원, 과태료 1080
- 개인정보위원회가 온라인 사이트 조사 → 정보통신서비스 제공자 등
- 개인정보처리시스템에 대해
- 디렉토리 리스팅 차단 설정 소홀로 신분증이 검색엔진에 노출
- 개인정보처리세스템 접속 기록 1년 보존 안함
- 주민등록번호 등 고유식별정보를 마스킹 없이 원본으로 저장, 암호화 X
- 주민등록번호를 법적 근거 없이 처리, 개인정보 유출신고를 지연
- 위반 내용
- 안전조치 기준 제6조 접근통제 : 열람권한이 없는 자에게 공개/유출되지 않아야함
- 안전조치 기준 제8조 접속기록의 보관 및 점검 : 개인정보취급자의 접속 기록 1년 이상 보관
- 보호조치 기준 제6조 개인정보의 암호화 : 주민등록번호, 여권번호, 운전면호번호 등 암호화
- 법 제24조의2 주민등록번호 처리의 제한
| 한국맥도날드
- 2023.3 | 한국맥도날드 | 블라블라 | 법 제29조, 21조, 39조의4 | 과징금 6억 과태료 1020원
- 온라인 사이트를 운영하는 → 정보통신서비스 제공자 등
- 개인정보가 포함된 백업파일에 파일 공유가 가능한 SMB 프로토콜을 통해 접속할 수 있게 함
- 보유기간이 지난 개인정보 미파기, 개인정보 유출신고를 지연
- 위반 내용
- 안전조치 기준 제6조 접근통제 : 공유설정 등을 통해 열람권한이 없는 자에게 공개/유출되지 않아야함
- 법 제21조 개인정보의 파기 : 가명정보의 처리 기간 경과 시 파기해야 함
- 법 제39조의4 개인정보 유출 등의 통지, 신고에 대한 특혜 : 24시간 내 통지/신고
| 카라솔루션
- 2023.3 | 카라솔루션 | 블라블라 | 법 제29조, 39조의4 | 과징금 278만원 과태료 1200만원
- 온라인 사이트를 운영하는 → 정보통신서비스 제공자 등
- 개인정보 처리시스템 접속 시 안전한 인증 수단 미사용
- 관리자 페이지 로그인 인증방식 변경 과정에서 검색 엔진에 관리자 페이지 URL 노출
- 개인정보처리세스템 접속 기록 1년 보존 안함
- 위반 내용
- 안전조치 기준 제6조 접근통제 : 안전한 접속 수단을 사용해야 함
- 안전조치 기준 제6조 접근통제 : 열람권한이 없는 자에게 공개/유출되면 안됨
- 안전조치 기준 제8조 접속기록의 보관 및 점검
| 삼성증권
- 2023.3 | 삼성증권 | 블라블라 | 법 제29조 | 과징금 9800만원 과태료 360만원
- 온라인 사이트를 운영하는 → 정보통신서비스 제공자 등
- 웹서버 설정 오류로 인한 디렉토리 리스팅 취약점 보완조치 안함
- 관리자 페이지 접근 시 인증절차를 누락함
- 개인정보처리시스템의 접속 기록을 한 달만 보관
- 위반 내용
- 안전조치 기준 제6조 접근통제 : 열람권한이 없는 자에게 공개/유출되면 안됨
- 안전조치 기준 제8조 접속기록의 보관 및 점검
