국가정보_캐나다

Cases

1CoreFour Inc.

가. 개요

온타리오 주 교육청 소속 학교의 학부모인 고소인은 개인정보보호 및 전자문서법(PIPEDA) 위반혐의로 2018년 6월 Edsby11) 앱 운용회사 CoreFour를 감독기구에 제소함에 따라, OPC는 정식조사를 진행하고 2021년 5월 관련 내용을 공개하였다.
OPC가 공개한 내용에 따르면, 고소인은 CoreFour가 Edsby를 운용과정에 있어, (1) 학생과 보호자에 개인정보 유출의 잠재적 위험을 초래하였으며, (2) 유출사고에 따른 통지 및 보고의무도 위반하였고, (3) 시스템 운영에 필요한 적절한 보호체계를 갖추지 않은 채 운영해 왔으며, (4) 학생과 보호자로부터 개인정보 수집에 관한 동의도 획득하지 못하였으며, (5) 개인정보 관리시스템의 투명성이 결여되었다는 의혹을 제기하였다.

나. 고소인 주장

고소인은 CoreFour가 아래 사항으로 PIPEDA를 위반했다고 주장했다.

(1) 개인정보 보호조치 부재

해당 앱 비밀번호가 적절한 관리관행을 따르지 않고 위험에 노출되어 왔음

해당 앱에 게시된 학생의 프로필사진은 누구나 열람할 수 있는 상태로 노출되어 왔음

앱 운용사는 앱에 기재된 민감한 개인정보를 보호하기 위한 적절한 보안프레임워크와 리소스, 보안지침을 갖고 있지 않음

(2) 통지 및 보고의무 위반

개인정보 유출에 따른 처리지침, 보고와 통지 메커니즘을 시행하고 있지 않으며, 이러한 보안상의 취약성을 정보제공자(학생과 보호자) 및 감독기구에 알리지 않았음

(3) 개인정보 보호지침과 절차 부재

PIPEDA에 따른 책임을 충족하는 적절한 보호지침과 절차를 갖추고 있지 않음

해당 앱에서 게시하는 ‘개인정보 취급방침’은 개인정보유출에 대한 운용사의 책임을 면제하도록 규정하고 있음

앱에서 보관 중인 개인정보를 제3자와의 공유에 관한 기준을 제시하지 않고 있음

(4) 동의

당 앱의 계정신청서 상에서 자녀의 개인정보 수집·사용·공개·저장에 관한 보호자의 직접적인 동의를 획득하지 못했으며, 그에 따라, 고소인의 자녀개인정보 폐기요구에도 즉각적인 이행이 이루어지지 않았음

(5) 투명성

자녀 계정과 보호자 계정연결을 위해 CoreFour가 발송한 계정설정 요청에서도 링크된 페이지에 대한 설명과 동의 내용, 개인정보처리에 관한 정보가 제공되지 않았음

또한 CoreFour는 개인정보보호정책을 검토한 결과, 수집된 개인정보를 제3자에 공유하거나 판매할 가능성에 대한 심각한 우려가 있음

다. CoreFour의 주장

CoreFour는 고소인의 주장에 대해 이러한 의혹은 제한적이고 불완전한 정보에 근거함에 따라 부적절하게 해석되었다고 반박했다. (데이터 보호관행 상의 미비점과 보호기능개선) CoreFour는 고소인이 제기한 내용 중 비밀번호 보관과 프로필 이미지관리 상의 보안취약점 취약점에 대해 인정하고 이를 해당 정보제공자에 통보하고 시정하였으며, 앱의 기능과 개인정보 보호 강화를 위해 교육청과의 협업과 개인정보 보호관행을 문서화하는 조치를 시행하고 있다고도 주장했다. (제3자와 정보거래 의혹) 또한, CoreFour는 자사의 수익은 전적으로 해당 서비스를 이용하는 학교, 교육청, 교육당국이 지급받는 수수료에만 기초한다고 언급하고 어떠한 목적으로도 사용자의 개인정보를 제3자와 공유나 판매하지 않고 있으며, 어떤 형태로든 개인정보를 수익화하지 않는다고 고소인의 주장에 반박했다.

라. 시사점

궁극적으로, 감독기구 OPC는 CoreFour가 개인정보보호 지침과 관행을 사전에 확립했더라면 그러한 고소인의 우려와 문제제기로 부터 자유로울 수 있었을 것이라는 점에서 CoreFour의 보호 장치가 적절하지 않았다고 판단하였다. 그러나 고소인이 지적한 비밀번호 관리상의 취약성에 따른 어떠한 침해사고도 발생하지 않았으며, 프로필 이미지와 관련한 취약점을 인지하였을 때에 즉시 PIPEDA규정에 따라 보고 및 통지가 이루어진 것으로 확인되었다. 그나마도 프로필 이미지와 관련한 유일한 위반사항은 고소인 자신에 의해 비롯되었던 것으로 조사되었으며 이로 인한 심각한 피해가능성은 없었으므로 CoreFour가 이러한 사실을 감독기관이나 보호자들에게 피해발생사실로 알릴 필요는 없었다고 판단하였다. 또한 CoreFore는 학생과 보호자 개인정보 유출사고에 대비한 PIPEDA의 보고·통지의무를 준수하기 위해 적절한 절차와 기록을 유지해 왔다고 평가했다.
그럼에도, CoreFour는 (1) 개인정보 불만처리와 데이터 보존·파기에 관한 정책 일부에서는 조사가 진행된 시점에서야 개발이 진행되고 있었던 점, (2) 직원·컨설턴트·계약자 및 학생에 대한 적절한 개인정보 보호교육이 없었던 점과 (3) 웹에 게시된 개인정보보호정책의 특정 측면에서는 개선의 여지가 필요한 점을 들어 PIPEDA의 4.1.4와 같은 일부 책임요건을 완전하게 충족하지는 못했다고 결론 내렸다.
이러한 결론에 따라, OPC는 CoreFour에게 (1) 해당 앱의 개인정보 보호기능을 강화할 것, (2) 정보보안을 책임질 IT인력을 확보하고 보안책임을 분리할 것, (3)타 프로그램에서 정보를 가져올 때에는 반드시 멀웨어 검사를 실시할 것, (4) 이상에 언급된 정책·절차· 조치내용에 대해 교육을 실시할 것 등을 명령하고, 이상의 내용을 구현하는 조치를 문서화하고 이를 자격을 갖춘 제3의 독립기관보고서를 통해 검토하고 제출하라고 명령했다. 그러한 명령에 따라, CoreFour는 2020년에 악성코드 검사기능을 해당 앱에 추가하고, 정보보안사고 기록을 위한 ISO27001인증도입과 함께 외부기관 평가·보고를 포함한 사항을 이행했다고 2021년 3월 29일에 결과를 공개했다.
우리는 동 사례를 통해서, 특정 조직의 개인정보처리에 있어 절차상의 문제와 정보제공자의 개인정보 유출위험에 대한 인식에 까지 조직의 역할이 관여되어야 함을 알 수 있다. 또한 실재적이든 비실재적이든지를 막론하고, 이러한 우려를 해소하는데 있어 개인정보 보호에 관한 교육과 전파가 중요한 기능을 담당할 수 있음을 시사한다.

2Desjardins

가. 개요

2019년 5월 27일, Fédération dese Caisses Desjardins du Quebec(이하. 데자르댕)은 최대 970만 명에 영향을 끼칠 수 있는 개인정보 유출사고를 보고했다. OPC와 함께 퀘벡 주 개인정보 감독기구에 제출된 사고보고에 따르면, 유출된 정보에는 이름, 성별, 생년월일, 사회보험번호, 주소, 전화번호, 이메일주소 및 거래내역 등의 민감한 개인정보도 포함되었다고 보고되었다.
이에 따라, OPC와 퀘벡 주 감독기구는 합동조사12)에 착수했으며, 해당 사고는 소속 마케팅팀 직원에 의해 최소한 26개월 동안에 걸쳐 이뤄졌다고 판단하고, 데자르댕의 보호조치가 적절했는지, 위탁된 개인정보와 관련한 책임 요건을 충족했는지에 관한 조사도 함께 진행했다고 알려졌다. 결론적으로 감독기구는 데자르댕과 개인정보보호 및 전자문서법(PIPEDA)이 요구하는 책임, 데이터 보존과 개인정보 보호에 관한 원칙을 위반했다고 판단하였다.
조사를 통해 밝혀진 내용에 따르면, 데자르댕가 보관한 개인정보는 ‘신용데이터센터’와 ‘은행데이터센터’에 따로 저장되었으나, ‘신용데이터센터’에 저장된 데이터는 따로 등급을 세분화하지 않은 상태로 저장되었으므로 인가자는 개인정보를 포함한 모든 정보에 접근할 수 있었다. 따라서 해당사고는 ‘신용데이터센터’에 저장된 개인정보를 공유드라이브에 복사하여 유출하는 형태로 발생한 것으로 파악되었으며, 이후 언론에서는 유출된 정보가 약 4만 달러에 제3자에 거래되었다고 보도되었다. 이에 동 사건으로 인해 개인정보가 유출된 12명의 사람들(이하 ‘고소인’)은 데자르댕과 불법적인 침해행위로부터 자신들의 개인정보를 충분히 보호하지 못했으며, 적절한 데이터 보존기간을 적용하지 않은 혐의로 데자르댕을 정식으로 제소하기 이른다.

12) 데자르댕은 주로 퀘벡에서 영업하지만 캐나다 다른 주와 해외에서도 활동하고 있기 때문에 퀘벡 프라이버시법(Quebec Privacy Act)이 아닌 연방 개인정보보호 및 전자문서법(PIPEDA) 규정에 따라 OPC가 조사를 담당

나. 고소인의 주장

고소인들은 해당 유출건과 관련하여, 동사건과 관련하여 데자르댕과 아래와 사안에 대해 설명할 책임이 있었다고 주장한다.

  • 데자르댕은 수집된 개인정보는 민감도에 따라 적절하게 관리해왔는가? 또한, 데자르댕은 PIPEDA의 Accountability Principle에서 명시된 책임과 직원에 대한 보안교육을 수행했는가? (데이터 보호 장치와 직원교육 절차)
  • 일부 정보의 기간을 고려할 때, 데자르댕은 PIPEDA의 원칙에 따라 데이터를 취급해 왔는가? (정보보유기간에 관한 규정)
  • 유출에 따른 피해자들이 계속되는 위험을 우려하고 있다는 사실을 고려할 때, 데자르댕은 장래에 발생할 수 도 있는 신원도용과 같은 불법행위로부터 피해자를 보호하기 위한 대책이 있는가? (사고 후 피해경감조치)

다. 문제제기에 대한 조사결론

감독기구는 공동조사를 통해, 고소인들이 제기한 문제에 대해 아래와 같이 판단했다.

(1) 데이터 보호 장치와 직원교육 절차

데자르댕은 정보의 수명주기에 걸쳐 적절한 보호 장치를 제공하고 이를 실행할 직원들에 대한 책임을 이행해야 함에도 ① 수집된 정보의 등급분류를 위한 분석, ② 보안심사 및 기밀유지, ③ 조직의 보안정책과 절차이행, ④ 직원에 대한 보안인식 교육, ⑤ 접근제어와 데이터 분리, ⑥ 감독과 모니터링에 있어 데자르댕 지침과 관행이 부적절하다고 판단했다.

(2) 정보보유기간에 관한 규정 위반

조직에 의해 수집된 정보는 목적달성에 필요한 기간을 초과해서 보유되어서는 안 됨에도 불구하고 유출된 자료는 이전 수년간 비활동 정보들이 상당수 포함되어 있어 데자르댕이 개인정보 보존기간에 관한 관행을 위반하였다고 판단했다.

(3) 피해경감조치

유출에 따라 영향을 받은 민감한 정보 중 일부는 항구적으로 식별에 이용될 수 있으므로, 장기적인 보호대책이 제공되어야 하며, 이를 위해 ① 피해경감조치를 알리는 전담 웹사이트와 콜 센터 운용, ② 피해자들의 추가적인 피해발생을 방지하기 위하여 유료로 제공되는 신용기록 제공 서비스를 무제한 접근 가능하도록 허용, ③ 개인정보 유출로 인해 파생되는 추가적인 모든 손실에 대해 완전한 보상 제공, ④ 신원복구를 위해 소요하는 비용을 이벤트 당 5만 달러까지 보상, ⑤ 신원도용에 따른 피해회복 절차를 위한 변호사과 심리치료 등의 서비스를 무제한 영구적으로 제공, ⑥ 사고 후 5년간 신용 모니터링 서비스와 신분도용 피해를 보상하는 5만 달러 상당의 보험을 영구적으로 제공하도록 권고되었다.
조사결과 후 내려진 권고에 따라, 데자르댕은 ① 보안담당부서 설립, ② 정보보호 담당인력 배치, ③ 보안심사절차 강화, ④ 보안표준 및 지침 정비, ⑤ 직원교육과 인식제고활동 실시, ⑥ 데이터 접근권한 세분화 지침 마련, ⑦ 내부 컴플라이언스를 위한 감독과 모니터링기능 강화, ⑧ 데이터 보존기간 세분화 및 기준에 따른 집행 등의 조치가 이미 시행된 것으로 확인되었다. 이에 따른 세부일정으로 데자르댕은 개인정보 폐기를 위한 분류작업을 18개월에 걸쳐 진행하고 2021년 초 분류가 완료되면 가장 민감한 개인정보부터 약 6개월 간 3단계에 걸쳐 개인정보 파괴를 실행하겠다는 입장을 제시하고 모든 과정을 2022년 6월까지 완료할 예정이다.

라. 시사점

데자르댕 사례는 침해사고가 외부요인에서 뿐만 아니라 조직 내부정책의 미비 또는 실패에 따라 발생할 수 있음과 내부요인에 의한 사고피해가 상대적으로 보다 광범위하게 장기간에 걸쳐 일어날 수 있음을 보여준다. 분명히 조직과 임직원간의 신뢰는 바람직한 문화임이 분명하나, 적절한 감독과 책임을 동반하는 정책의 부재가 초래할 수 있는 개인정보보호의 실패 사례로서 시사하는 바가 적지 않다고 할 수 있다. 본 데자르댕 사례를 통해, 개인정보보호에 관한 책임과 명확한 역할분담의 필요성, 그리고 이를 지원하기 위한 제도적 완비가 성공적인 개인정보 보호 전략의 시발점이자 필수요소라고 결론할 수 있으며, 개인정보 보호에 있어 조직의 관행과 문화가 매우 중요한 요소임을 시사하고 있다.

top