체크리스트

이 체크리스트는 최근 발생한 대형 개인정보 유출 사고 분석에서 공통적으로 지적되는 기술·운영적 취약점을 바탕으로, 사이트 운영자가 사전에 점검해야 할 핵심 항목을 정리한 것입니다. 특정 사건의 공식 원인을 단정하기보다, 실무에서 반복적으로 발생하는 구조적 리스크를 기준으로 작성되었습니다. 1. 내부 ID 및 식별자 생성 구조 점검 예측 가능한 내부 식별자 구조는 대규모 개인정보 유출 사고의 출발점이 될 수 있습니다. 사용자, 주문, 문의, 게시물 등 주요 객체의 ID가 순차 증가(N+1) 방식으로 생성되지 않는가 외부에 노출되는 식별자에 난수(Random) 또는 UUID를 사용하고 있는가 URL 파라미터, API 응답, 로그 등에 내부 ID가 그대로 노출되지 않는가 단순히 ID 값 변경만으로 다른 사용자의 데이터에 접근할 수 없는 구조인가 리소스 접근 통제가 ID가 아닌 인증·인가 절차를 통해 수행되는가 2. 인증 키(API Key, Secret) 관리 상태 인증 키는 유출 시 즉각적인 대규모 피해로 이어질 수 있으므로 관리 체계가 중요합니다. ...

이 체크리스트는 언제 사용하나요? 개인정보를 수집하거나 활용하는 업무를 시작하기 전 신규 시스템, 서비스, 설문, 이벤트를 기획할 때 위탁, 제공, 외주, 협력사 연계가 발생할 때 개인정보 점검, 감사, 내부 통제 점검 시 본 체크리스트는 개인정보처리자(회사) 입장에서 법 위반 리스크를 사전에 점검하기 위한 실무용 자료입니다. 1. 개인정보 해당 여부 판단 다음 중 하나라도 해당하면 개인정보에 해당할 가능성이 있습니다. 이름, 연락처, 이메일, 사번 등 개인을 식별할 수 있다 단독으로는 식별이 어렵지만 다른 정보와 결합 가능하다 사내 시스템이나 DB를 통해 개인을 알아볼 수 있다 가명처리 되었으나 재식별 가능성이 있다 영상, 음성, 로그 기록 등 개인과 연결될 수 있다 2. 수집 목적 및 최소 수집 원칙 개인정보 수집 전에 반드시 점검합니다. ...

이 체크리스트는 언제 사용하나요? 특정 언행이나 행동이 직장 내 괴롭힘에 해당하는지 1차 판단이 필요할 때 신고 접수 전 또는 조사 과정에서 판단 기준을 정리할 때 인사, 노무, 감사, 컴플라이언스 실무자가 사례 검토용으로 활용할 때 1. 지위 또는 관계의 우위를 이용했는가? 아래 항목 중 하나 이상 해당하면 지위 또는 관계의 우위가 인정될 가능성이 있습니다. 직급 또는 직위상 상위자이다 인사, 평가, 업무배분에 대한 권한을 가지고 있다 다수 인원 또는 조직 내 영향력을 이용했다 연령, 근속, 전문성 등으로 상대방이 거절하기 어려운 관계였다 공식 직급은 없으나 사실상 지휘 또는 통제 관계에 있었다 참고: 형식적인 직급이 아니라 실제 업무상 영향력을 기준으로 판단합니다. ...