앵하니의 더 나은 보안
IP도 개인정보일까? 그럼 IP 수집 동의는 어떻게 받을까? 본문
서론
회사에서 문득 침해 로그를 분석하다가 수집된 IP들을 보고 IP 수집에 대한 동의는 받지 않는데 이거 개인정보 아닌가?
개인정보면 수집동의를 받아야하는거 아닌가하고 생각해본적이 있다.
그래서 그 참에 한번 해당 내용을 정리해보려 한다.
본론
개인정보 정의
“개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보.
이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는
시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의
사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
개인정보 보호법에서는 위와 같이 개인정보를 정의하고 있지만, 다소 애매한 표현들이 존재해서, 이렇다 저렇다 딱딱 분류할 수는 없겠다. 그래서 중요한게 실제 법원 판례다.
실제로 2011년에 관련 법적분쟁이 있었는데, 그 때는 IP를 개인정보라고 판단하지 않았던 모양이다. 하지만 해당 사안에 대해서만 그런것이고, 또 자세한 사정이 바뀐다면 IP가 개인정보가 될 수 있다. 만약 수집되는 IP가 있고, 그 IP에 대한 정보가 다른 채널을통해 합법적으로 누구의 IP라고 특정된다면 IP는 개인정보로 취급될 수 있다.
(위 판례를 오피셜하게 확인할 수 있는 사이트는 찾을 수 없었다.)
그래서 IP는 개인정보로 분류된다, 아니다라고 딱 잘라 말할 수 없고, '정보통신서비스 이용관계를 통한 IP주소가 다른 정보와 연계됨으로써 특정 개인을 식별할 수 있는 상태라면 개인정보로 취급'한다라고 판단하면 될 듯하다.
IP 수집 동의
자 그럼 본론으로 돌아와서, IP는 개인정보인가? 개인정보라면 수집동의를 받아야하는가?에 다시 초점을 둬보자.
IP는 개인정보인가?
우선 앞에서 IP가 개인정보인지 아닌지는 상황에 따라 다르다고 했고, 실제로 IP외 추가 정보를 수집하고 있다면 IP와 다른 정보가 결합될 수 있으니 개인정보로 취급하는게 바람직하다고 정리했다.
그렇다면 IP 수집에 대해서는 사용자에게 필수 동의를 받아야할까?
내 생각에, 사용자가 최초 접근했을때 로그 수집을 위해 같이 수집된 IP 정보는 개인정보로 판단되기 힘들고, 대신 회원가입을 통해 사용자에게서 추가적인 개인정보를 수집한다면 개인정보로 판단할 수 있을 것 같으니 회원가입이 존재하는 서비스라면 IP 수집에 대해 명시하고 동의를 받는게 바람직하다고 생각한다.
그렇다고 또 이 생각이 무조건적인건 아닌게, 실제로 네이트의 경우에는 회원가입 시 수집 개인정보 항목으로 IP정보는 표기돼있지 않다.
그러면서 동시에 개인정보처리방침에는 IP에 대한 수집이 명시돼 있다.
기왕이면 개인정보처리방침과 싱크를 맞추는게 좋다고 생각하지만, 사실 누군가 시비를 걸기전엔 뭐가 제대로됐고, 잘못됐는지 알기 힘들다. 그래서 어려운거고.
다만 이러는게 좋겠다~하고 짐작만 할 뿐.
결론
그러니까 결론은 최초로 서버에 접근했을 때 수집하는 IP는 개인정보로 취급하기 힘드니 동의 없이 IP 수집하는 것이 문제가 되진 않지만, 회원가입 서비스가 존재하거나 기타 개인정보보호법 內 개인 정보 정의 항목에 해당하는 정보를 추가로 수집할 때부터는 개인정보로 취급될 수 있으니, 그때부터는 필수 제공 동의 항목으로 IP를 같이 써주는게 바람직하겠다.
그 외
참고
https://www.scourt.go.kr/popup/gaein_pop.jsp
https://blog.naver.com/PostView.nhn?blogId=zisan02&logNo=221351097190
https://www.kopico.go.kr/intro/personInfoIntro.do
http://hisjournal.net/blog/344