[지식] 개인정보 마스킹 근거, 필요성

(예전에는 마스킹 대신 표시제한 이란 용어도 많이 썼었지만, 본 글에서는 마스킹으로 표기한다.)
 
마스킹은 쉽게 말해 개인정보의 전부 또는 일부를 임의의 문자로 대체해 출력하는 것을 의미한다. (예를 들어보면 홍길동을 홍*동으로 표기) 개인정보 보호의 중요성이 많이 알려진바 마스킹에 대한 거부감이 높지 않은 편이다. 10년 전만 해도 내부 시스템이 아닌 대고객 서비스 영역의 My page에서 내 정보를 조회하는 화면에 왜 마스킹을 적용해야 하는지를 설득하기 어려웠고 타사 사례를 찾아보기 어려웠던 게 사실이지만, 요즘 내가 즐겨쓰는 대부분의 앱들은 이미 내가 알고 있는 내 정보 전문을 잘 노출시키지 않는다.
 
예나 지금이나 개인정보를 마스킹을 해야만 한다는 구체적인 언급을 포함한 법적 근거는 없지만 가장 많이 근거로 언급되는건 개인정보의 안전성 확보조치 기준 제12조제1항과 ISMS 인증기준 2.6.3이다. 개인적으로는 처리 목적별, 개인정보취급자별로 화면에 노출해야 하는 개인정보 항목이나 노출 대상 정보주체를 항상 필요 최소한으로 한정하는 것은 어렵기 때문에 개인정보 마스킹 정책을 수립하고 이행하는 것은 사실상 필수적인 보호조치로 봐야 한다고 생각한다. (또한 오발송으로 다른 수신자에게 메일이나 메시지를 보내는 경우와 같은 예기치 못한 사례에서 사전에 적용한 마스킹은 빛을 발한다.) 

개인정보의 안전성 확보조치 기준 제12조(출력ㆍ복사시 안전조치)  ① 개인정보처리자는 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화하여야 한다. 개인정보의 안전성 확보조치 기준 안내서(2024.10.) ∙ 개인정보처리자는 개인정보처리시스템에서 개인정보를 출력(인쇄, 화면표시, 파일생성 등) 할 때에는 다음과 같은 사항 등을 고려하여 용도를 특정하고, 용도에 따라 출력 항목을 최소화하여야 한다. - 개인정보처리자는 출력 항목을 최소화하기 위해 용도에 따라 출력항목을 차등화하여 표시하거나, 개인정보를 마스킹 하는 등의 방법을 활용할 수 있다. - 다수의 개인정보처리시스템 등에서 개인정보를 각기 다른 방식으로 마스킹할 때에는 다수의 개인정보처리시스템을 이용하여 개인정보취급자가 이용자 개인정보 집합을 구성할 수 있으므로 동일한 방식의 표시제한 조치가 필요하다. ∙ 개인정보처리자의 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보 처리 시스템에 대한 접근 권한 범위 내에서 용도에 따른 최소한의 개인정보를 출력하여야 한다. ISMS 인증기준 2.6.3 응용프로그램 접근 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. ISMS 인증기준 안내서(2023.11.) 2.6.3 응용프로그램 접근 주요 확인사항: 1) 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가? 2) 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? - 응용프로그램(개인정보처리시스템 등)에서 개인정보 및 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화 - 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보 출력 - 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치 - 개인정보 검색 시에는 불필요하거나 과도한 정보가 조회되지 않도록 일치검색(equal검색) 또는 두 가지 항목 이상의 검색조건 사용 등

 
실무적으로는 아래와 같은 기준으로 마스킹을 적용하는 경우가 많다.
1) 다수의 정보주체 개인정보를 조회할 수 있는 기능에는 마스킹 적용, 한 명의 정보주체 개인정보를 조회할 수 있는 기능에는 마스킹 미적용
 > 개인정보 보호 관점에서는 한 명의 개인정보만 조회 가능한 기능을 운영하는 게 Best지만 특정 기간 동안의 주문내역 조회, 휴대폰 번호로 회원 검색을 했으나 동일 휴대폰 번호로 가입한 회원이 여러 명인 경우와 같이 업무상 여러 건의 개인정보를 노출해야할 경우가 있을 수밖에 없음
 
2) 다수의 정보주체 개인정보를 조회할 수 있는 화면에는 마스킹 적용, 해당 화면에서 조회된 결과를 클릭 시 한 명의 정보주체 개인정보를 조회할 수 있는 화면을 노출하고 해당 화면에는 마스킹 미적용
 예) 회원 검색 결과(마스킹) > 상세 회원정보 확인(마스킹 해제) 
 
3) 개인정보를 조회할 수 있는 화면에 마스킹을 적용하되 마스킹 해제한 정보를 볼 수 있는 별도 권한체계를 운영해 해당 권한을 보유한 소수의 인원에게는 마스킹 해제한 정보 노출
 
4) 개인정보를 조회할 수 있는 화면에 마스킹을 적용하되 마스킹 해제 버튼을 운영하고 클릭 시 사유를 입력받아 기록한 다음 접속기록 검토 시 적정성을 검토
 
5) 이벤트 당첨자 발표와 같이 당사자에게 개별 연락을 하지만, 투명한 운영 증빙을 위해 공지를 진행할 경우 당사자만 알 수 있도록 개인정보 항목별로 일부 정보 마스킹 적용 
 
마스킹의 필요성을 뒷받침해 줄 수 있는 사례
1) GS리테일 : 개인정보를 마스킹 하지 않고 이벤트 당첨자 공지를 진행해 개인정보 유출사고 발생(과태료 420만원)
URL : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=7655#LINK
 
2) KT알파 : 크리덴셜스터핑으로 9만 8천개의 계정에 로그인되었으나 개인정보를 포함한 페이지에 마스킹을 적용해 개인정보 유출 규모는 51명에 그침 
URL : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11116
 
3) (재)한국어린이안전재단 : 개인정보를 마스킹 하지 않고 카시트 무상보급 사업 대상자 공지를 진행해 개인정보 유출사고 발생(과태료 900만원) 
URL : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8607#LINK