업무 외 목적 고객 개인정보 무단 수집·보관 적발

금융서비스 기업 H사는 개인정보 보호 정기 감사 중 특정 직원의 고객 정보 조회 건수가 이상하리만치 높다는 사실을 발견했습니다. 업무상 필요에 의한 것인지, 목적 외 이용인지를 판단하기 위해 H사는 해당 직원의 정보 접근 패턴에 대한 정밀 진단을 의뢰했습니다.

이런 징후가 있었습니다

전문 진단팀은 시스템 접근 로그, 로컬 파일 시스템, 이메일 기록을 종합적으로 분석했습니다.

가장 먼저 확인된 것은 담당 업무 범위를 초과한 개인정보 수집이었습니다. 해당 직원은 수개월에 걸쳐 수천 명 분의 고객 이름, 연락처, 금융 거래 이력을 조회하고 로컬 PC에 저장해왔습니다. 이는 자신이 직접 담당하는 고객의 범위를 훨씬 초과하는 규모였습니다.

저장된 파일을 분석한 결과, 일부는 개인 이메일로 발송된 이력이 있었습니다. 커뮤니케이션 분석에서는 "고객 목록 완성되면 줄게요"라는 내용이 담긴 외부 연락처와의 대화가 발견되었습니다.

이외에도 퇴직 후 개인사업 용도로 고객 정보를 활용하려는 목적이 있었다는 정황이 추가로 확인되었습니다.

개인정보는 저장하는 순간부터 보관 목적이 생겨납니다. 접근 권한이 있다는 것이 어디서든 사용해도 된다는 의미는 아닙니다. 업무 외 목적으로 수집·보관되는 개인정보는 언제든 유출 사고의 시작점이 될 수 있습니다.

H사는 진단 이후 개인정보 조회 건수에 대한 자동 임계치 경보 시스템을 도입하고, 담당 범위 외 고객 정보 접근에 대한 사전 승인 절차를 의무화했습니다.

누가, 얼마나 많은 고객 정보를 조회하고 있는지 알고 있습니까?

접근 권한이 있어도, 이상한 패턴은 반드시 확인되어야 합니다.