국가정보_싱가포르

Cases

1SAP Asia Pte. Ltd.

가. 개요

개인정보 보호위원회(PDPC)는 SAP Asia Pte(이하, “조직”)가 2020년 4월 1일에 퇴사자 급여정보를 이메일로 발송하는 과정에서 발생한 개인정보 유출사고를 접수하고 이에 대한 조사를 진행하였다.

해당 조직은 동 사고가 발생하기 전, 외부 IT업체(이하, "공급업체")를 고용하여 HR시스템(이하, “프로그램”) 개선과 프로세스 자동화하는 프로젝트를 진행한 상태였다. 조사된 내용에 따르면, 원래 동 프로그램은 퇴사자의 급여명세를 개별적인 파일로 작성하고, 각 개인에게 본인의 급여명세서만을 이메일로 전송하도록 계획되었으나, 조직과 공급업체간의 의사전달과정에서 발생한 오류로 인해 퇴사자 43명 전체의 급여명세서를 하나의 파일로 생성하여 전체에게 이메일 발송하는 사고가 발생하였다. 이에 따라 전체 퇴사자 43명의 개인정보가 부적절하게 공개되었다. 동 사고로 인해 침해된 정보는 아래의 민감한 개인정보를 포함하고 있음이 확인되었다.

수령자의 이름과 주소

NRIC4) 한국의 주민등록번호에 해당 또는 FIN5) 번호

직원식별번호

은행계좌번호

상세한 지급내역과 공제내역

4) 한국의 주민등록번호에 해당
5) 한국의 외국인등록번호에 해당

나. 구제조치

조직은 동 사고를 인지한 시점에서, 즉시 아래와 같은 조치를 실시하였다.

  • 이메일로 전체 퇴사자 43명에게 유출사고를 통지하고, 해당내역을 삭제하도록 요청
  • 실제 삭제여부를 확인하기 위해, 퇴사자 43명 전체에게 전화를 걸어 39명에게서 실제 삭제여부를 확인완료
  • 또한 해당 프로그램을 즉시 비활성화하고, 해당 프로세스를 수동으로 처리
  • 공급업체에 요구사항을 명확하게 다시 전달하고 프로세스 개선에 합의함

다. 조사결과 및 결정근거

개인정보보호법(PDPA) 제24조는 조직은 무단접근·수집·사용·공개·복사·수정·폐기 또는 유사한 위험으로부터 개인정보를 보호하기 위해 합리적인 보호조치(이하 "보호의무")를 조직에 요구하고 있다.

(1) 공급업체가 제공한 프로그램의 기능이 원래의 조직이 의도한 요구사항을 정확히 반영하였는지를 확인하였는지 여부

개인정보 보호위원회(PDPC)는 원칙적으로 공급업체의 업무감독이 조직의 책임이며 조직은 공급업체가 요구사항을 명확하게 이해할 수 있도록 지침의 적절한 문서화작업을 통해 전달하고 지침이 제대로 이행되는지 여부를 확인하기 위한 감독업무를 수행했어야 한다고 언급하였다. 그러나 본 침해사고의 경우, 조직은 프로그램이 각 개인에 대해 개별적인 급여명세서가 발행되어야 한다는 요구사항을 명확하게 전달하지 않았으므로 공급업체는 조직의 요구사항을 제대로 인지하지 못한 상태에서 업무에 투입되었다고 판단했다.

보호위원회(PDPC)는 조직이 동 사안에 관한 보호 의무를 충실히 이행하였는지 최종판단을 위해 싱가포르 크리켓협회6), 싱가포르 중앙예탁결제원7), Horizon Fast 페리운영사8) 등의 과거사례를 인용하였다.

6) 2018년 싱가포르 크리켓협회는 등록선수들의 프로필 공시를 위한 웹사이트 업데이트를 위해 용역업체를 고용하였으나, 요구 사항을 회의, 전화 통화, 문자메시지 등의 방법으로 단편적으로 전달하였다. 그러나 용역업체가 협회의 요구사항을 잘못 이해하는 상황이 발생함에 따라 웹사이트를 통해 등록선수 100여명의 NRIC번호와 연락처 등의 민감정보가 웹사이트를 통해 잘못 공개되는 사고가 발생하였다.
7) 2019년 싱가포르 중앙예탁결제원이 고객통지서용 소프트웨어를 개발하기 위해 용역업체를 고용하였으나, 결제원이 명확한 규격을 용역업체에 제공하지 못함에 따른 오류로 1,358명의 개인정보가 잘못된 수신자에게 발송되는 사고가 발생하였다.
8) 2019년 싱가포르 페리운항회사 Horizon Fast Pte Ltd는 용역업체를 고용하여 예약을 위한 웹사이트 업데이트 과정에서 서면계약이 없이 구두와 문자메시지만을 통해 요구사항과 지침을 전달함에 따라, 용역업체는 재설계 범위를 잘못 알고 내부시스템에 저장된 데이터를 예약사이트에 노출시키는 사고가 발생하였다.

(2) 조직이 새로운 프로그램의 활용으로 인해 변화되는 영역을 검토하고 이용과정에서 발생 가능한 문제들에 대해 사전에 검토하였는지 여부

개인정보 보호위원회(PDPC)는 “조직은 출시 전 테스트를 위해 충분한 자원을 할당하고 포괄적인 사용자승인시험(UAT, User-Acceptance Testing)을 통해 적용 가능한 경우와 예외 처리를 포함한 모든 결과를 사전에 확인해야 한다.”고 지침을 제시하고 있으며, 본 침해사고의 경우, 조직은 프로그램의 새로운 기능을 실제로 활용하기 전에 테스트를 통해 동 위험을 식별하기 위한 중요한 과정을 수행했어야 한다고 언급했다. 그러나 동 사고의 과정을 살폈을 때, 조직은 요구사항의 전달과정이 적절하지 못했음에도, 개발된 프로그램에 관한 UAT 과정을 충실히 수행하지 않음에 따라 사전에 사고발생을 방지할 수 있는 기회를 놓쳤다고 보호위원회(PDPC)는 최종판단하였다.

보호위원회(PDPC)는 조직이 동 사안에 관한 보호 의무를 충실히 이행하였는지 최종판단을 위해 Option Gift Pte의 사례9), AIA Singapore Private Limited의 사례10), Grabcar Pte Ltd의 사례11) 등의 과거사례를 인용하였다.

9) 2019년 Option Gift Pte Ltd는 환불요청 구매자에게 확인메일을 보내는 프로그램을 개발하는 과정에서 코딩오류로 인해 특정 주문의 환불요청자 이외의 다른 구매자에게도 이메일이 발송되는 문제를 발견하지 못함에 따라 고객의 개인정보를 유출시키는 사고가 발생하였다.
10) 2019년 보험사 AIA Singapore Private Limited는 고객에 서신발송을 위한 자동화 시스템을 도입하였으나, 시스템 오류로 인해 잘못된 수신자에게 메일이 발송되는 문제가 발생하였다. 그럼에도 AIA는 이러한 문제를 사전에 걸러내지 못함에 따라 고객들의 개인정보가 유출되는 사고가 발생하였다..
11) 2020년 Grabcar Pte Ltd는 모바일 애플리케이션 업데이트를 단행하는 과정에서 일부 사용자의 개인정보에 다른 사용자가 무단으로 액세스할 수 있는 위험을 노출시켰다. 그러나 이러한 오류에도 불구하고 테스트과정에서 감지하지 못했기 때문에 고객정보가 위험에 노출되는 상황이 초래되었다.

라. 집행내용

개인정보 보호위원회(PDPC)는 동 사건에 대하여, 싱가포르 개인정보보호법(PDPA) 제48조에 따른 과징금을 부과하기로 결정하였으나 조직의 즉각적인 피해경감조치와 조사과정에서의 협조를 경감요인으로 하여 총 13,500 싱가포르 달러의 과징금을 부과하였다. 그러나 위원회(PDPC)는 동 사건에 대하여 이미 조직이 취한 조치가 충분하다고 판단하였다.

마. 시사점

본 SAP Asia Pte. Ltd.의 침해사례는 기존 관행을 개선하기 위한 프로그램 개발 과정에서 고용된 공급업체와의 커뮤니케이션 과정에서 발생한 불일치와 이를 보완해야 할 절차(사용자 승인시험, UAT)의 미흡한 실행에 따라 발생하였다. 특히, 본 사례의 원인이 된 프로그램 개선업무는 일면 조직이 준수해야할 개인정보 보호의무와는 연관성이 낮다고 볼 수도 있으나, 결국 조직이 개인정보보호에 실패하는 단초가 되었다. 본 사례를 통하여 정보 컨트롤러로서 조직의 모든 업무영역이 개인정보 보호 의무에서 분리될 수 없으며, 이를 수행하기 위한 절차의 적절성을 고려하고 검증하는 과정은 조직의 성공적인 개인정보 보호정책의 필수요소임을 시사하고 있다.

2Larsen & Toubro Infotech Limited

가. 개요

개인정보 보호위원회(PDPC)는 Larsen & Toubro Infotech Limited(이하, “조직”)가 신규채용을 진행하는 과정에서 과거 입사지원자의 개인정보를 정보제공자의 동의 없이 무단으로 유출했다는 신고를 접수하고 이에 대한 조사를 진행하였다.

2020년 11월 25일 조직은 신규채용 진행과정에서 입사지원자 54명에게 개인정보를 요청하였으며, 신규지원자들의 편의를 위해 제공한 샘플에서 과거지원자의 개인정보를 삭제하지 않고 노출한 채 이메일로 발송하였다. 이후 2020년 12월 3일에는 조직이 다시 지원자들에게 지원절차를 완료하라는 요청메일을 보내면서, 모든 지원자의 이름과 이메일 주소 등의 개인정보를 그대로 노출한 채 발송함으로써 모든 수신인이 다른 지원자의 개인정보를 알 수 있도록 유출하는 사고가 발생했다.

나. 조사결과 및 결정근거

개인정보 보호위원회(PDPC)는 신고를 접수한 이후, 조직이 2016년부터 2020년 사이에 직원들에게 발송한 이메일을 검토하였으며, 이번 사고 외에도 과거 입사지원자의 개인정보가 다른 입사지원자에게 공개된 사례가 73회에 이른다는 사실을 적발하고, 이와 관련하여 조직의 직원 10명에 의해 과거 입사지원자 13명의 개인정보가 유출되었다고 확인했다. 보호위원회(PDPC)가 확인한 바에 따르면, 유출된 정보는 아래의 민감한 개인정보를 포함하고 있다고 확인되었다.

이름과 개인의 서명

전화번호와 이메일주소를 포함한 연락처 정보

NRIC12)와 여권번호

지원자의 생년월일

주소

의료 및 건강정보

고용 및 급여정보

전과기록

12) 한국의 주민등록번호에 해당

또한, 보호위원회(PDPC)는 조직의 채용을 담당하는 담당자가 개인정보 처리방법에 관한 적절한 지침을 제공받지 못한 채 업무를 진행함에 따라 기존 입사지원자의 정보를 무단으로 발송하는 사고가 발생했으며, 이는 조직이 개인정보보호법(PDPA) 24조에 따른 보호 의무를 위반했다고 판단하였다. 추가적으로 2020년 12월 3일에 조직이 54명 지원자들에게 지원절차를 완료할 것을 요청하는 메일의 발송과정에서도 다른 지원자들의 개인정보를 그대로 노출한 것도 개인정보보호법(PDPA) 13조에 규정된 동의의무 위반한 것으로 판단했다.

이러한 조사결과에 대하여, 조직은 기업이 일반적으로 적용하는 개인정보보호와 직원의 개인정보통지에 관한 정책을 시행하고 있다고 주장했지만, 보호위원회(PDPC)는 조직이 주장하는 이러한 정책들은 조직이 고객과 직원에게 제공된 개인정보를 어떻게 활용하고 보호하는지에 관한 통지를 개인과 직원에게 제공하기 위한 목적이라고 판단했다. 따라서 채용업무 담당자가 업무 중에 취급해야할 개인정보의 다양성과 방대한 분량에도 불구하고 업무와 관련된 개인정보 취급에 관한 절차와 규정을 운용하지 않았다고 판단했다. 특히, 보호위원회(PDPC)는 10명의 채용담당자가 4년 동안에 동일한 방식으로 계속 업무를 수행했다는 사실이 조직이 기존에 운영해오던 개인정보 보호정책이 적절한 보호 의무를 뒷받침하기에는 부적절하다고 판단하는 근거로 언급했다.

다. 구제조치

본 개인정보 침해사고의 발생에 따라, 조직은 개인정보 유출사실을 모든 정보제공자에게 통지하고 해당 양식이 포함된 이메일을 삭제하도록 요청했다. 또한 해당 이메일을 보낸 직원과 채용담당자들에 대한 재교육도 실시하였다.

이와 관련하여, 조직은 향후 입사지원자에 이메일 전달과정에서 개인정보 보호 의무를 구현할 새로운 규정을 시행하기로 결정했다.

라. 집행내용

개인정보 보호위원회(PDPC)는 본 개인정보 침해사고 조사와 관련하여 조직의 조사협조, 추가적인 과거의 위반내용, 신속한 개선조치 등을 고려하여 조직에 7천 싱가포르 달러의 과징금을 부과하였다. 또한 보호위원회(PDPC)의 조사기간 동안 조직이 취한 조치가 향후 보호 의무를 준수하는데 필요한 수준에서 이미 이루어졌기 때문에 추가적인 조치를 요구하지 않는다고 최종 집행내용을 결정하였다.

마. 시사점

본 개인정보 침해사고는 일반적인 기업의 업무과정에서 발생한 의도하지 않은 개인정보 유출 사례로서 관행에 따른 개인정보 취급업무가 장기간에 걸쳐 반복적으로 이루어질 수 있다는 사실을 보여주고 있다. 분명히 오랜 시간에 걸쳐 이루어진 업무관행이 효율성이라는 측면에서 장점이 있음은 분명한 사실이나 규정과 지침의 부재가 초래할 수 있는 보호의무 실패를 조명한다는 점에서 본 Larsen & Toubro Infotech Limited의 사례가 시사하는 바가 적지 않다. 본 사례를 통하여, 개인정보보호에 관한 정책과 지침의 지속적이고 반복적인 검토가 중요한 요소이며, 이를 실질적으로 구현할 직원교육과 같은 절차를 완비하는 것이 성공적인 개인정보 보호전략의 필수요소임을 시사하고 있다.

top