최근 뉴스레터 서비스 스티비 개인정보 유출 사고는 이메일 마케팅 플랫폼의 보안 취약점이 얼마나 심각한 문제를 초래할 수 있음을 보여주었습다. 해커들은 시스템의 보안 허점을 이용해 사용자 계정 정보와 일부 결제 데이터를 탈취했으며, 이로 인해 고객들은 금전적 손실과 신뢰도 하락이라는 이중고를 겪게 되었습니다.
이와 같은 사고는 단순한 보안 사고로 끝나지 않습니다. 고객의 신뢰를 잃고 법적, 재정적 리스크를 떠안게 되는 것은 물론이고, 기업의 이미지와 지속 가능성에도 심각한 영향을 미칠 수 있습니다. 따라서 개인정보 보호는 단순히 법적 의무를 넘어, 기업 운영의 핵심이자 고객 신뢰를 유지하기 위한 가장 기본적인 책무입니다.
이번 콘텐츠에서는 개인정보 보호의 중요성을 다시 한번 상기시키며, 기업이 반드시 지켜야 할 개인정보 보호 및 관리 방법, 그리고 이를 통해 고객 신뢰를 강화할 수 있는 전략을 공유하겠습니다. 이를 통해 세무 리스크와 함께 데이터 보안 리스크까지 줄일 수 있는 효율적인 접근법을 센드비에서 알려드리겠습니다.
스티비 개인정보 유출, 개인정보 보호를 위한 필수 공지 및 법적 사항
개인정보 수집 및 이용 동의 명시
- 고객에게 개인정보를 수집하는 목적, 항목, 보유 기간 등을 명확히 설명하고 사전 동의를 받아야 합니다.
- 동의서는 간단하고 이해하기 쉬운 언어로 작성해야 하며, 고객이 자유롭게 선택할 수 있어야 합니다.
개인정보 처리 방침 공개
- 모든 기업은 개인정보 처리 방침을 홈페이지나 서비스 내에 쉽게 접근 가능한 형태로 공개해야 합니다.
- 방침에는 수집 목적, 보유 기간, 공유 대상, 안전조치 내용 등이 포함되어야 합니다.
- 수집 목적: 서비스 이용 및 고객 관리
- 보유 기간: 회원 탈퇴 시까지 또는 관련 법령에 따른 보관 기간 동안
- 공유 대상: 외부 결제 대행사, 물류 배송업체 등
- 안전조치: 데이터 암호화, 접근 권한 통제, 정기적 보안 점검
정보 주체의 권리 보장
- 고객은 자신의 개인정보 열람, 수정, 삭제를 요청할 권리를 가집니다. 기업은 이를 신속하고 효과적으로 처리할 수 있는 체계를 구축해야 합니다.
법적 보존 의무 준수
- 상법, 전자상거래법 등 관련 법령에 따라 일정 기간 동안 거래 기록, 통신 기록 등을 보존해야 합니다. 이 경우 해당 정보의 보관 목적과 기간을 고객에게 명확히 안내해야 합니다.
데이터 침해 발생 시 알림 의무
- 개인정보 유출이나 침해가 발생한 경우, 기업은 즉시 피해 고객과 관련 기관에 이를 공지하고 대응 방안을 마련해야 합니다.
개인정보 보호를 위한 가이드 라인
데이터 수집 및 저장 단계에서의 보안
- 데이터 수집 시 HTTPS 프로토콜을 사용하여 안전한 통신 환경을 보장합니다.
- 데이터 저장 시 암호화 방식을 채택하고, 특히 민감 정보는 별도로 관리합니다.
정기적인 보안 정책 검토 및 개선
- 개인정보 보호 정책을 정기적으로 검토하고 최신 보안 기술 및 법적 요구사항에 맞게 업데이트합니다.
- 외부 보안 전문가와 협력해 시스템의 취약점을 점검합니다.
내부 보안 관리 체계 구축
- 데이터 접근 권한을 직무에 따라 엄격히 제한하고, 정기적으로 권한 사용 기록을 감사합니다.
- 내부 직원들을 대상으로 개인정보 보호 및 보안 관련 교육을 실시합니다.
고객과의 투명한 소통
- 개인정보 사용 목적, 보관 기간, 보안 조치 등을 명확히 안내하고, 고객의 질문이나 요청에 신속히 응답합니다.
- 고객의 데이터 요청(열람, 수정, 삭제)을 처리하기 위한 간소화된 프로세스를 마련합니다.
침해 사고 대응 프로세스 마련
- 데이터 유출 사고 발생 시 대응 계획을 사전에 수립해 빠르게 조치할 수 있도록 준비합니다.
- 사고 발생 시 피해를 최소화하기 위한 백업 시스템과 데이터 복구 절차를 구축합니다.
개인정보 유출 시 조치 사항
개인정보 유출 사고 발생 시 기업은 다음과 같은 조치를 신속하게 실행해야 합니다!
노출 대응
- 즉시 유출된 개인정보를 확인하고 관련 페이지를 삭제하거나 비공개 처리합니다.
- 개인정보를 마스킹 처리하거나 삭제하여 노출 위험을 줄입니다.
- 홈페이지 설계를 POST 방식으로 변경하여 추가적인 노출을 방지합니다.
- 검색엔진에서 노출된 개인정보 삭제를 요청합니다.
- 시스템의 계정, 로그 등을 점검하여 접속 경로를 차단하고 제3자 접근 여부를 파악합니다.
- 서버, PC 등 정보처리 시스템의 백신을 최신으로 업데이트하고 디렉터리 점검을 실시합니다.
유출 통지
- 유출된 정보 항목과 경위, 피해 최소화를 위한 방법 등을 포함한 내용을 정보주체에게 72시간 이내에 통지합니다.
- 연락처를 알 수 없는 경우에는 개인정보 유출 사실을 홈페이지 등에 30일 이상 게시합니다.
- 피해 최소화를 위한 대책을 마련하고 필요한 조치를 즉시 실행합니다.
유출 신고
- 1천 명 이상의 개인정보 유출 사고 또는 고유식별정보가 유출된 경우에는 한국인터넷진흥원(KISA) 등 전문기관에 72시간 이내에 신고합니다.
- 외부로부터의 불법 접근으로 인해 발생한 유출 사고 역시 신고 대상에 포함됩니다.
자세한 내용은 개인정보 보호 위원회에서 보실 수 있습니다.
안전한 개인정보 보호하고 있는 센드비
센드비는 고객의 개인정보를 안전하게 관리하기 위해 위와 같은 원칙을 철저히 준수하고 있습니다. 특히 개인정보 보관 및 파기 정책에 있어서 투명하고 명확한 절차를 운영하며, 다음과 같은 특징을 가지고 있습니다.
- 개인정보 보관 기간 : 서비스 제공을 위해 수집된 개인정보를 최대 90일 동안만 보관합니다. 이 기간 동안 수집된 정보는 철저히 암호화된 상태로 보호되며, 허가받지 않은 접근은 완전히 차단됩니다.
- 90일 후 개인정보 파기 : 90일이 경과한 정보는 즉시 안전한 방법으로 파기됩니다. 파기 절차는 국제 표준에 기반하여 데이터가 복구될 가능성을 원천적으로 차단하며, 이를 통해 고객의 정보를 안전하게 보호합니다.
고객의 정보를 단순히 데이터로 보지 않습니다. 그것은 고객과의 신뢰 관계를 유지하는 핵심 요소입니다. 안전한 서비스와 철저한 보안 정책을 통해 센드비는 고객 여러분이 안심하고 사용할 수 있는 플랫폼을 제공합니다.
더 다양한 인사이트는 센드비 자사 블로그에서 보실 수 있습니다.