들어가며: 찰나의 실수, 막대한 책임 – 개인정보 유출의 위험성
안녕하세요! 로피드 법률사무소의 하희봉 변호사입니다. 😊
기업 운영 중 발생하는 ‘개인정보 유출’ 사고는 생각보다 훨씬 큰 파장을 몰고 올 수 있습니다. 기업 이미지 실추는 물론, 거액의 과징금이나 손해배상 소송으로 이어질 수 있는 중대한 문제죠. 😨 많은 기업이 유출 사실을 감추거나 축소하려 하지만, 이는 오히려 더 큰 법적, 사회적 책임으로 돌아올 수 있습니다.
개인정보보호법은 이러한 개인정보 유출 사고 발생 시 기업이 반드시 이행해야 할 의무들을 명확히 규정하고 있습니다. 오늘은 로피드 법률사무소와 함께 기업이 개인정보 유출 사고에 어떻게 대응해야 하는지, 그 핵심적인 법적 의무를 알기 쉽게 파헤쳐 보겠습니다.
무엇이 ‘개인정보 유출’인가요?
먼저, 법에서 말하는 ‘개인정보 유출’이 정확히 무엇인지부터 짚고 넘어가야겠죠?
개인정보보호법상 ‘유출등’의 정확한 의미 (법 제34조)
우리 개인정보보호법은 단순히 ‘유출’이라고만 하지 않고, ‘개인정보의 분실·도난·유출'(줄여서 ‘유출등’) 이라는 용어를 사용합니다. 이는 법령이나 기업의 의도와 상관없이, 개인정보가 해당 기업의 관리·통제 범위를 벗어나 다른 사람(제3자)이 그 내용을 알 수 있게 되는 모든 상황을 의미해요. (법 제34조)
예를 들어,
- 직원이 고객 정보가 담긴 USB를 잃어버린 경우 (분실)
- 내부 직원이 악의적으로 고객 DB를 빼돌린 경우 (도난)
- 해킹 공격으로 웹사이트 회원 정보가 외부로 새어 나간 경우 (유출)
이 모든 것이 ‘유출등’에 해당합니다. 중요한 것은 유출된 개인정보의 양이나 종류에 관계없이, 단 한 건이라도 기업의 통제를 벗어나면 법적인 의미의 ‘유출등’이 된다는 점입니다. 🛡️
여기서 잠깐! 💡
2023년 개인정보보호법 개정으로 기존 ‘유출’ 개념이 ‘분실·도난·유출’을 포괄하는 ‘유출등’으로 명확해졌습니다. 이는 기업이 더 넓은 범위의 정보 관리 사고에 대해 책임감을 갖고 대응해야 함을 의미합니다.
첫 번째 의무: 정보주체에게 즉시 알려야 합니다 (통지 의무)
개인정보 유출 사고가 발생했다는 사실을 기업이 알게 된 순간, 가장 먼저 해야 할 일은 바로 피해 당사자인 정보주체에게 그 사실을 알리는 것입니다. 이것이 법에서 정한 첫 번째 핵심 의무, ‘통지 의무’입니다. 📢
통지 대상: 누구에게 알려야 할까?
유출된 개인정보와 관련된 모든 정보주체 개개인에게 알려야 합니다. 일부에게만 알리거나 대표로 몇 명에게만 알리는 것은 안 됩니다.
통지 내용: 어떤 정보를 알려야 할까? (필수 5가지 항목)
법은 통지 시 반드시 포함해야 할 5가지 사항을 명확히 규정하고 있습니다. (법 제34조 제1항) 📝
- 어떤 개인정보 항목이 유출되었는지 (예: 이름, 이메일 주소, 휴대폰 번호 등 구체적으로)
- 언제, 어떤 경위로 유출되었는지 (유출 시점과 원인)
- 유출로 인한 피해를 줄이기 위해 정보주체가 스스로 할 수 있는 방법 (예: “즉시 비밀번호를 변경하세요”, “명의도용 방지 서비스를 신청하세요” 등)
- 기업(개인정보처리자)은 어떻게 대응하고 있고, 피해 구제는 어떻게 받을 수 있는지 (예: “현재 보안 시스템 강화 중이며, 피해 접수 센터 OOO-OOOO 운영 중”)
- 피해 발생 시 신고나 문의를 할 수 있는 담당 부서와 연락처
만약 유출 경위 등이 아직 명확하지 않다면? 🤔
당황하지 마세요! 모든 내용을 완벽히 파악할 때까지 기다릴 필요는 없습니다. 일단 유출된 사실 자체와 그때까지 확인된 내용, 피해 최소화 방법, 기업의 대응 조치, 연락처 등을 먼저 ‘우선 통지’ 하고, 추가 내용이 확인되는 대로 즉시 다시 알려주면 됩니다. (개인정보보호법 시행령 제39조 제2항)
통지 시점 및 방법: 언제, 어떻게 알려야 할까? (‘지체 없이’, 72시간 원칙과 예외)
- 시점: 개인정보 유출등 사실을 ‘알게 되었을 때’부터 ‘지체 없이’ 알려야 합니다. 유출 사고가 발생한 시점이 아니라, 기업이 그 사실을 ‘인지한 시점’이 기준입니다. ⏰
- 법 시행령은 더 구체적으로, 정당한 사유가 없다면 유출등 사실을 안 때로부터 72시간 이내에 통지하도록 규정하고 있습니다. (영 제39조 제1항) 즉, ‘지체 없이’ 통지하되, 늦어도 72시간은 넘기지 말라는 의미로 해석할 수 있습니다.
- 방법: 서면, 전자우편, 팩스, 전화, 문자전송 등 정보주체 개개인에게 직접 전달될 수 있는 방법이어야 합니다. 단순히 회사 홈페이지에 공지사항 하나 올리는 것만으로는 원칙적으로 적법한 통지 방법으로 인정받기 어렵습니다. 📧📞
72시간 내 통지가 현실적으로 어렵다면? 😥
다음과 같은 ‘정당한 사유’가 있다면 예외적으로 그 사유가 사라진 후 지체 없이 통지할 수 있습니다.
- 추가 유출을 막기 위해 해킹 경로 차단, 시스템 취약점 보완 등 긴급한 조치가 먼저 필요한 경우
- 태풍, 지진 같은 천재지변이나 기타 부득이한 사유로 통지가 불가능한 경우
단, 72시간을 넘겨 통지했다면, 왜 늦었는지, 정확히 언제 유출 사실을 알게 되었는지 기업이 명확히 입증해야 하는 책임이 따릅니다. (개인정보 보호 표준지침 제26조 제3항)
정보주체 연락처를 모른다면? (홈페이지 게시 등 대체 조치)
모든 정보주체의 연락처를 가지고 있지 않거나, 연락이 닿지 않는 등 ‘정당한 사유’가 있다면 예외적으로 다른 방법을 사용할 수 있습니다.
- 기업의 인터넷 홈페이지에 통지 사항을 30일 이상 알아보기 쉽게 게시하는 것으로 개별 통지를 대신할 수 있습니다. (영 제39조 제3항)
- 만약 인터넷 홈페이지를 운영하지 않는다면, 사업장 등 사람들이 보기 쉬운 장소에 30일 이상 게시하면 됩니다.
두 번째 의무: 감독기관에 보고해야 합니다 (신고 의무)
정보주체에게 알리는 것과 별개로, 정부 감독기관에도 유출 사실을 신고해야 하는 의무가 있습니다. 👮♀️ 이는 정부가 유출 사고 현황을 파악하고 필요한 조치를 취하며, 유사 사고 재발을 방지하기 위함입니다.
신고 대상: 어떤 경우에 신고해야 할까? (1천명 이상, 민감/고유식별정보, 해킹 등)
모든 유출 사고를 신고해야 하는 것은 아닙니다. 다음 세 가지 경우 중 하나라도 해당하면 신고 의무가 발생합니다. (영 제40조 제1항)
- 1,000명 이상의 정보주체에 관한 개인정보가 유출등 된 경우
- 사상·신념, 건강 정보 등 민감정보 또는 주민등록번호, 여권번호 등 고유식별정보가 유출등 된 경우 (단 1명의 정보라도 해당)
- 해킹, 디도스 공격 등 외부로부터의 불법적인 접근에 의해 개인정보가 유출등 된 경우 (시스템이나 직원의 업무용 기기 대상)
신고 내용: 어떤 정보를 신고해야 할까? (필수 5가지 항목)
신고해야 하는 내용은 정보주체에게 통지하는 내용과 동일합니다. 위에서 설명한 5가지 필수 항목 (유출 항목, 시점/경위, 피해 최소화 방법, 대응조치/구제절차, 담당부서/연락처)을 모두 포함해야 합니다.
신고 시점 및 방법: 언제, 어떻게 신고해야 할까? (‘지체 없이’, 72시간 원칙과 예외)
- 시점: 통지와 마찬가지로, 신고 대상에 해당하는 유출등 사실을 ‘알게 되었을 때’부터 ‘지체 없이’ 신고해야 합니다. ⏰
- 구체적으로, 72시간 이내에 신고하는 것이 원칙입니다. (영 제40조 제1항)
- 방법: 서면, 전자우편, 팩스 또는 정부에서 운영하는 개인정보보호 포털(www.privacy.go.kr) 사이트를 통해 온라인으로 신고할 수 있습니다. 상황이 급박하다면 전화로 먼저 신고한 후, 정식 신고서를 제출하는 것도 가능합니다. 📠💻
신고 의무에도 예외가 있나요? 🤔
네, 통지와 유사하게 두 가지 예외가 있습니다.
- 천재지변 등 부득이한 사유로 72시간 내 신고가 어렵다면, 사유 해소 후 지체 없이 신고할 수 있습니다.
- 유출 경로가 명확히 확인되었고, 유출된 개인정보를 즉시 회수하거나 삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아졌다고 판단되는 경우에는 신고하지 않을 수 있습니다. (영 제40조 제1항 단서)
하지만 두 번째 예외는 매우 신중하게 판단해야 합니다. ‘권익 침해 가능성이 현저히 낮아진 경우’에 대한 해석이 모호할 수 있으므로, 자의적으로 판단하기보다는 법률 전문가와 반드시 상의하여 결정하는 것이 안전합니다.
신고 기관은 어디인가요? (개인정보보호위원회, 한국인터넷진흥원)
개인정보 유출 신고는 다음 두 기관 중 한 곳에 하면 됩니다.
- 개인정보보호위원회 (개인정보위): 개인정보보호 정책을 총괄하는 중앙행정기관입니다.
- 한국인터넷진흥원 (KISA): 개인정보위로부터 관련 업무를 위탁받아 수행하는 전문기관입니다. (영 제40조 제3항)
신고를 접수한 이들 기관은 피해 확산 방지나 복구를 위한 기술 지원 등을 제공할 수 있습니다. (법 제34조 제3항 제2문)
유출 그 이후: 피해 최소화 및 재발 방지 조치
정보주체 통지와 감독기관 신고는 사고 발생 시 가장 먼저 취해야 할 법적 의무이지만, 그것으로 기업의 책임이 끝나는 것은 아닙니다. 유출 사고로 인한 실질적인 피해를 줄이고, 같은 문제가 다시 발생하지 않도록 노력하는 것이 무엇보다 중요합니다. 🛠️
피해 최소화를 위한 대책 마련 및 조치 의무 (법 제34조 제2항)
개인정보보호법은 기업에게 “개인정보가 유출등 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다“고 명확히 규정하고 있습니다. (법 제34조 제2항)
이는 단순히 선언적인 문구가 아니라, 기업이 적극적으로 행동해야 함을 의미합니다. 예를 들어,
- 유출된 정보가 다크웹 등에서 불법 거래되지 않는지 지속적으로 모니터링
- 피해 접수 및 상담을 위한 전담 창구 운영 및 인력 확충
- 명의도용, 보이스피싱 등 2차 피해 예방을 위한 정보 제공 및 지원
- 정보주체의 불편과 경제적 부담을 줄이기 위한 실질적인 노력 (표준지침 제29조 제3항)
등 구체적인 조치가 필요합니다.
‘개인정보 유출등 사고 대응 매뉴얼’ 준비하기
특히 다음 중 하나에 해당하는 기업이나 기관은 평소에 ‘개인정보 유출등 사고 대응 매뉴얼’을 미리 준비해 두어야 합니다. (표준지침 제29조 제1항) 그래야 실제 사고 발생 시 허둥대지 않고 체계적으로 대응할 수 있겠죠? 📄
- 모든 공공기관
- 1,000명 이상의 정보주체 개인정보를 처리하는 민간 기업
이 매뉴얼에는 유출 통지·신고 절차, 고객 민원 대응 체계(영업점·콜센터 운영 계획 등), 피해자 구제 조치 방안 등을 구체적으로 담아야 합니다.
이미 노출된 개인정보, 삭제 및 차단 의무 (법 제34조의2)
혹시 관리 소홀 등으로 인해 주민등록번호, 신용카드번호 같은 민감한 개인정보가 인터넷 검색 등을 통해 누구나 볼 수 있도록 노출되는 경우가 발생할 수 있습니다. 기업은 애초에 이런 일이 발생하지 않도록 방지할 의무가 있습니다. (법 제34조의2 제1항)
만약 이미 정보가 노출되었다면, 개인정보위나 KISA로부터 해당 정보의 삭제 또는 접근 차단 요청을 받았을 때 지체 없이 필요한 조치를 취해야 할 의무도 있습니다. (법 제34조의2 제2항)
실제 사례 분석: SKT 개인정보 유출 사건에서 배우는 교훈
최근 있었던 SKT의 개인정보 유출 사건은 기업이 유출 사고 대응 과정에서 어떤 점을 놓치기 쉽고, 또 무엇을 중요하게 생각해야 하는지 잘 보여주는 사례입니다. 📰
개인정보위의 즉각적인 통지 및 대책 마련 요구
개인정보위는 SKT가 유심 정보 유출 정황을 인지하고 개인정보위에 신고는 했지만, 정작 가장 중요한 정보주체 개개인에 대한 통지를 제대로 이행하지 않은 점을 문제 삼았습니다. 홈페이지에 ‘유출 추정’ 공지를 올리긴 했지만, 법에서 요구하는 5가지 필수 내용(유출 항목, 시점/경위, 피해 최소화 방법 등)을 구체적으로 담아 개별 통지하지 않았다는 것입니다.
이에 개인정보위는 SKT에 유출이 확인되거나 가능성이 있는 모든 이용자(알뜰폰 포함)에게 즉시 법정 사항을 갖춰 통지하라고 강력히 요구했습니다. 이는 법에서 정한 ‘지체 없는 개별 통지’ 원칙이 단순한 권고사항이 아니라 반드시 지켜야 할 강행 규정임을 다시 한번 확인시켜 줍니다.
정보주체 보호의 중요성: 취약계층 및 2차 피해 예방 대책
개인정보위는 또한 SKT가 내놓은 피해 방지 대책(유심 교체 등)이 실질적으로 원활하게 이루어지지 않고 있으며, 특히 고령층이나 장애인 등 디지털 기기나 서비스 이용에 어려움을 겪는 취약계층에 대한 배려가 부족하다고 지적했습니다. (보조 문서 참고)
그래서 단순히 유심 교체 외에도 eSIM 전환, 타 통신사 변경 지원 등 다양하고 실효성 있는 2차 피해 예방 대책을 마련하고, 취약계층을 위한 별도의 보호 방안을 강구하라고 요구했습니다. 이는 기업이 유출 사고에 대응할 때 법적 의무 이행뿐만 아니라, 모든 정보주체, 특히 취약계층의 눈높이에서 실질적인 도움을 줄 수 있도록 세심하게 고민해야 함을 보여줍니다.
[정보주체 참고] 내 정보가 유출되었다면? (유심 보호 서비스, 교체 등)
혹시 이 글을 읽으시는 분 중 “내 정보도 유출된 것 아닐까?” 걱정되시는 분들을 위해, SKT 사례에서 제시된 유심(USIM) 정보 유출 시 대처 방법 몇 가지를 참고로 알려드립니다. ✅
- 유심 보호 서비스 가입: 내 유심 정보를 다른 사람이 도용하여 다른 휴대폰에서 사용하는 것을 막아줍니다. (통신사에 문의)
- 유심(USIM) 카드 교체 또는 이심(eSIM)으로 교체: 내 고유 식별 정보(IMSI, 인증키)가 새롭게 발급되어, 해커가 탈취한 기존 정보는 쓸모없게 됩니다.
- 통신사 변경 또는 휴대전화번호 변경: 통신사를 바꾸거나 번호를 바꾸면 기존 식별 정보가 변경/삭제되어 유출된 정보의 악용을 막을 수 있습니다.
- (주의!) 단순히 휴대전화 기기만 바꾸는 것: 유심 카드나 번호는 그대로 유지되므로, 유출된 정보로 인한 복제 위험은 사라지지 않습니다.
맺음말: 개인정보 유출 리스크 관리, 법률 전문가와 함께 – 로피드 법률사무소
지금까지 살펴본 것처럼, 개인정보 유출 사고는 발생 자체를 예방하는 것이 최선이지만, 만약 발생했다면 신속하고 정확하게 법적 의무를 이행하고 실질적인 피해 구제와 재발 방지 노력을 기울이는 것이 무엇보다 중요합니다. 😥
하지만 유출 사실 인지 후 72시간이라는 짧은 시간 안에 통지와 신고를 완벽하게 준비하고, 복잡한 법 규정을 해석하며, 동시에 피해 확산 방지와 고객 대응까지 처리하는 것은 기업 입장에서 정말 어려운 일입니다. 자칫 잘못된 판단이나 미흡한 조치는 더 큰 법적 분쟁이나 기업 이미지 손상으로 이어질 수 있습니다.
바로 이럴 때, 개인정보보호법 전문가의 도움이 필요합니다.
저희 로피드 법률사무소는 개인정보보호 분야에 대한 깊이 있는 법률 지식과 다수의 기업 자문 및 사건 처리 경험을 보유하고 있습니다. 개인정보 유출이라는 위기 상황에서 귀사가 신속하고 현명하게 대처하여 피해를 최소화하고 법적 리스크를 효과적으로 관리할 수 있도록 가장 정확하고 실질적인 법률 솔루션을 제공해 드립니다. 🤝
- 사고 발생 초기 긴급 대응 자문: 통지·신고 의무 이행 여부 판단, 내용 검토, 절차 안내
- 개인정보위·KISA 등 감독기관 조사 및 제재 대응: 소명자료 준비, 의견서 작성 및 제출, 행정처분 불복 절차 대리
- 피해 최소화 및 재발 방지 대책 수립 컨설팅: 실효성 있는 피해 구제 방안 마련, 사고 대응 매뉴얼 점검 및 보완, 내부 통제 시스템 강화 자문
- 정보주체와의 집단분쟁조정 및 민사소송 대리
개인정보 유출 리스크, 더 이상 혼자 고민하지 마십시오.
로피드 법률사무소가에서는 현재 SKT를 상대로 유심정보 유출로 고객들이 입은 정신적 피해배상을 청구하기 위한 집단(공동)소송을 준비중입니다.
아래 링크를 눌러 집단(공동)소송에 참여해주세요!