관리자 계정 관리 부실 사례로 본 개인정보 유출 예방의 중요성
Article posted in 2026-01-08 18:19:09 | VEAT
최근 개인정보 유출 사고가 반복되면서 개인정보 보호에 대한 사회적 관심과 법적 요구 수준이 지속적으로 높아지고 있습니다. 특히 대규모 개인정보를 처리하는 기업과 공공기관의 경우, 외부 해킹 대응뿐만 아니라 내부 운영 과정에서의 관리 체계가 개인정보 보호의 핵심 요소로 작용하고 있습니다. 개인정보 보호는 조직 전반의 관리·운영 체계와 직결된 문제로 인식할 필요가 있습니다.
이와 관련하여 개인정보보호위원회는 관리자 계정 관리 부실로 개인정보가 유출된 국립항공박물관에 대해 과징금을 부과하고 처분 결과를 공표하였습니다. 조사 결과, 해커는 국립항공박물관의 관리자 계정을 미상의 방법으로 획득한 뒤 관리자 페이지에 접속하여 약 11,029명의 회원 개인정보를 다운로드하였고, 일부 회원에게는 악성 앱 주소가 포함된 스미싱 문자가 발송된 것으로 확인되었습니다. 해당 사고는 개인정보 유출이 단순한 정보 노출에 그치지 않고, 보이스피싱 등 2차 피해로 확산될 수 있음을 보여주는 사례로 평가됩니다.
개인정보 보호법은 개인정보처리자에게 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 하기 위한 기술적·관리적·물리적 안전조치를 취할 의무를 부과하고 있으며, 이를 구체화한 기준이 개인정보보호위원회 고시인 「개인정보의 안전성 확보조치 기준」입니다. 이 기준은 권고사항이 아닌 최소한의 법적 준수 기준으로, 개인정보 처리 규모나 조직의 성격과 무관하게 모든 개인정보처리자에게 적용됩니다.
안전성 확보조치의 핵심은 개인정보처리시스템에 대한 접근 권한을 업무 범위에 따라 최소화하고, 인가되지 않은 접근을 통제하며, 접속기록을 적절히 보관·점검하는 데 있습니다. 관리자 계정의 개별 관리 여부, 외부 접속에 대한 접근 통제 설정, 접속기록의 보관 및 점검 체계는 모두 개인정보 보호의 기본 요소로, 이러한 관리적 보호조치가 미흡할 경우 개인정보 유출 위험이 크게 높아질 수 있습니다.
최근 발생한 개인정보 유출 사례들 역시 고도의 기술적 침해보다는 이러한 기본적인 안전성 확보조치가 실제 운영 과정에서 충분히 이행되지 않은 데에서 비롯된 경우가 적지 않습니다. 개인정보 보호를 위해서는 단순히 보안 솔루션을 도입하는 데 그치지 않고, 법령과 고시에서 요구하는 최소한의 기준이 조직의 일상적인 운영 속에서 실질적으로 작동하고 있는지를 점검하고 지속적으로 개선해 나갈 필요가 있습니다.
법무법인 비트는 개인정보 보호 관련 법령과 개인정보보호위원회 고시 체계를 기반으로, 기업과 공공기관의 개인정보 처리 구조와 운영 실태를 점검하는 자문을 수행해 왔습니다. 특히 관리자 계정 관리, 접근 통제 설정, 접속기록 관리 등 개인정보 안전성 확보조치가 실제 운영 과정에서 어떻게 이행되고 있는지를 중심으로 검토하여, 법령상 요구사항과 현장의 운영 방식 사이에서 발생할 수 있는 리스크를 정리하고 대응 방안을 제시하고 있습니다.
보다 자세한 칼럼의 내용은 아래 공식 블로그를 참고해주시기 바라며, 개인정보 관련 법률자문이 필요하시다면 언제든지 [법무법인 비트 개인정보센터 리걸튠]으로 문의하여 주시기 바랍니다.
감사합니다.
법무법인 비트 드림