세상 모든 보안 이야기

보안 백과사전

용어를 이해하면 보안이 보입니다

보안용어 백과사전

누구나 손쉽게 따라하는

보안 가이드

Coming Soon

ISMS 체크인 가이드북

Coming Soon

보안 유출사고 대응전략

좌우로 움직여보세요

개인정보

개인정보

포스팅 뷰854

개인정보의 정의

개인정보는 살아있는 개인에 관한 정보로서 다음에 해당하는 정보를 말한다.


이름, 주민등록번호, 영상, 음성 등 개인을 직접 알아볼 수 있는 정보, 이를 '개인식별정보'라고도 한다. 영문으로 Personally Identifiable Information(PII)에 해당한다.

 

개인정보의 입수 가능성

해당 정보만으로는 특정 개인을 알아볼 수 없지만, 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보는 개인정보로 간주한다.


이 때 '쉽게 결합한다'는 것은 소요되는 시간, 비용, 기술 등을 합리적으로 고려하는 것이다. 여러 정보를 결합하기 위해서는 일단 그 정보를 입수해야 하는데, 이를 '입수 가능성'이라고 한다. 입수 가능성이 거의 없거나 매우 낮으면 관련 정보를 결합하기 위한 시간, 비용, 기술이 크게 늘어나므로 쉽게 결합한다고 보기 어렵다. 입수 가능성은 환경, 기술, 사람에 따라 달라질 수 있다.


입수 가능성 판단의 예시는 다음과 같다

  • 단말기 식별정보(IMEI: International Mobile Equipment Identity)나 가입자 식별모듈(USIM: Universal Subscriber Identification Module) 카드 일련번호를 가지고 단말기 소유자의 전화번호를 알 수 있는 정보는 이동통신사에 있으므로, 업무 담당자가 아닌 개인정보 침해 행위자가 이것을 입수하는 것은 "쉬운” 일이라고 보기 어렵다. 해킹 등 불법적 방법은 ‘입수 가능성’에서 제외한다. 법원에서는 2011년 ‘증권통 판결’에서 입수 가능성과 관계 없이 결합 가능성이 조금이라도 있다고 하면서 IMEI와 USIM 카드 번호를 개인정보로 판결하여 지금까지 이르고 있다. 2020년 개인정보보호법 개정 이후 결합 가능성에 대한 인정이 좀 더 엄격하게 될 가능성이 있다
  • 암호화된 개인정보는 ‘복호화 키’를 입수했다면 "쉽게” 원 개인정보를 알아낼 수 있다. 복호화 키를 갖고있지 않다면 국내외 표준 또는 정부에서 권고하는 암호 알고리즘으로 암호화했다면 "쉽게” 복원하기 어렵다고 본다.


개인정보인가, 아닌가?

다른 정보와 결합하여 개인정보가 되는 경우

  • 이메일, 휴대전화번호, 집 주소는 대표적으로 개인을 유일하게 구별할 수 있는 정보이고, 인터넷 검색 등을 통해 "쉽게” 다른 정보를 입수하여 연계하면 개인을 식별할 수 있다.

  • 시군구 이상의 집 주소 정보를 보유했을 때 직업이 국회의원이고, 해당 지역에 국회의원이 1명만 있다면 해당 주소는 특정 개인을 알아보는 개인정보가 될 수 있다.

  • IP, MAC 주소 등도 개인정보로 인정하는 추세다.

개인정보가 아닌 경우

  • 사망한 사람의 정보

  • 사람이 아닌 다른 동물이나 물품에 관한 정보. 다만 어떤 특별한 구매 물품 정보를 이용해 그것을 구매한 사람의 정보를 쉽게 알아낼 수 있다면 쉽게 결합하여 개인을 알아볼 수 있는 정보가 될 수 있다.

  • 전화번호 뒤 4자리는 지인들 사이에서는 휴대전화 주소록에서 "쉽게” 특정 개인을 알아낼 수 있으므로 개인정보가 되지만, 그것이 인터넷에 공개되어 있지 않다면 개인을 식별하지 못할 수 있으므로 환경에 따라 다르다


개인정보 활용 시 유의사항

  • 정보주체로부터 개인정보를 수집할 때는 수집 이용 목적에 필요한 최소한의 정보만 수집하여야 한다. 이를 입증할 책임은 사업자에게 있다.
  • 개인정보는 기본적으로 정보주체의 동의를 받아서 수집하여야 하지만, 일반 기업에서는 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 정보주체의 동의 없이 개인정보를 수집할 수 있다.
  • 영업비밀, 마케팅정보, 인사정보, 핵심기술 등 회사에서 다루는 다른 정보와 달리 개인정보는 정보주체의 동의나 법적인 근거를 가지고 수집했다 하더라도 회사의 소유가 아니라 정보주체의 소유이므로, 회사는 이를 안전하게 관리하고, 정보주체의 권리를 보장해야 한다. 이를 규율하는 법이 바로 개인정보보호법이다.
  • 어떤 정보가 개인정보라고 판명되면 회사는 개인정보의 수집-이용-제공-관리(보관)-파기에 이르는 개인정보의 생명주기에서 개인정보보호법에서 부과하는 의무사항을 준수하여야 한다. 따라서 업무 수행 시 가능한 한 개인정보를 수집하지 않는 것이 바람직하고, 수집해야 한다면 관련 법규를 명확히 이해하여 이를 준수하여야 한다.
  • 식별과 구별: 개인을 식별하는 것은 개인이 누구인지 알아보는 것이고, 개인을 구별하는 것은 개인이 누구인지 아는지 여부와 관계 없이 어떤 개인을 특정하는 것을 말한다. 예를 들어, 임의의 수를 생성하여 사람의 이름 뒤에 붙이고, 전체를 안전한 알고리즘으로 암호화한 뒤 암호화 키를 파기한다면, 암호화된 값은 개인을 구별하지만, 식별하지는 못한다고 볼 수 있다.