강은성의 보안 아키텍트 | 개인정보 유출 사고 시 할 일 – 신고를 중심으로

2023년 3월 전면 개정된 개인정보보호법에서 중요 개정 사항의 하나가 바로 개인정보 유출에 관한 규정이다. 관련 규정은 다음과 같다.

개인정보보호법 >• 제34조(개인정보 유출 등의 통지ㆍ신고) 시행령 >• 제39조(개인정보 유출 등의 통지) >• 제40조(개인정보 유출 등의 신고) 표준 개인정보 보호지침(개인정보보호위원회 고시)>제5절 개인정보 유출 통지 및 신고 등 >• 제25조(개인정보의 유출 등) >• 제26조(유출 등의 통지시기 및 항목) >• 제27조(유출 등의 통지방법) >• 제28조(개인정보 유출 등의 신고) >• 제29조(개인정보 유출 등 사고 대응 매뉴얼 등) >• 제30조(개인정보 침해 사실의 신고 처리 등)

관련 법과 시행령, 고시 조문의 제목만 봐도 개인정보 유출 사고 발생 시 개인정보처리자가 법규 준수를 위해서 해야 할 가장 중요한 일은 역시 정보주체에 ‘통지’하는 것과 규제 당국에 ‘신고’하는 것임을 알 수 있다.

이번 칼럼에서는 개인정보 유출 시 신고에 관한 몇 가지 사항을 다루려고 한다.

다른 분야에서도 마찬가지지만, 특히 법규에서는 ‘정의’가 매우 중요하다. ‘개인정보 유출’에 관한 정의를 먼저 살펴본다.

개인정보 유출에 관한 정의는 표준 개인정보 보호지침(개인정보보호위원회 고시, 이하 표준지침)에 나온다.

표준지침 제25조(개인정보의 유출 등) 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출 등”이라 한다)은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 말한다.

개인정보보호법 전면 개정에 따라 개정된 표준지침에서 유출의 정의에 큰 변화가 생겼다. 표준지침 ‘제ㆍ개정 사유서’(2023.7.31.)에서는 “개인정보 유출에 대한 정의를 ‘대법원 판례’를 반영하여 정비”하였다고 밝혔다.

해당 대법원 판례는 다음과 같다.

(이 판결이 2014년에 있었으니, 거의 10년 만에 대법원 판례를 고시에 반영한 셈이다.)

개인정보의 누출(유출)이란 개인정보가 해당 정보통신서비스 제공자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미” >(대법원 2014. 5. 16. 선고 2011다24555,24562 판결)

개정 조문이 큰 틀에서 판례를 반영했고, “법령이나 개인정보처리자의 의사에 의하지 않”았다는 점을 명시한 것은 유출의 정의를 좀 더 명확히 하려는 취지로 보인다. ‘유출’을 ‘유출 등’(분실ㆍ도난ㆍ유출)으로 대체한 것은 분실ㆍ도난도 유출의 범위에 포함했던 종전 표준지침의 유출 정의를 유지하려고 한 게 아닐까 싶다. 다만, “제3자가 그 내용을 알 수 있는 상태에 이르게 된 것”이라는 요건 때문에 단순 분실이나 도난은 결국 유출에 따른 법 적용이 되기는 어려울 것 같다.

종전 표준지침의 개인정보 유출 정의는 다음과 같다.

표준지침(시행 2020.8.11.) 제25조(개인정보의 유출)   개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각호의 어느 하나에 해당하는 경우를 말한다.  >1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 >2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 >3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 >4. 기타 권한이 없는 자에게 개인정보가 전달된 경우

종전 표준지침 제25조 제2호를 제외하고는 현 표준지침의 ‘유출 등’의 범위에 포함될 수 있다.

(위 개인정보보호위원회 고시(시행 2020.8.11.)의 유출 정의는 2011년 개인정보보호법 제정 시 행정안전부 고시였던 표준지침 제26조(개인정보의 유출)의 정의와 거의 차이가 없다.)

법 제34조(개인정보 유출 등의 통지ㆍ신고) (… 중략 …) ③ 개인정보처리자는 개인정보의 유출 등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출 등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. ④ 제1항에 따른 유출 등의 통지 및 제3항에 따른 유출 등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다.

개인정보 유출 사고 발생 시 ‘신고’에 관한 사항 중 신고할 내용은 별 변화가 없으나, 신고 요건은 많은 변화가 있다.

기본적으로 다음 중 한 요건에 해당하면 개인정보처리자는 개인정보보호위원회나 한국인터넷진흥원에 신고하여야 한다.

1. 1천 명 이상의 정보주체에 관한 개인정보가 유출 등이 된 경우 2. 민감정보 또는 고유식별정보가 유출 등이 된 경우 3. 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우>(개인정보보호법 시행령 제40조 제1항)

“1천 명 이상” 요건은 종전 시행령에도 있었지만, (한 명 이상의) “민감정보 또는 고유식별정보가 유출 등” 요건과 “외부로부터의 불법적인 접근”(해킹) 요건은 신설된 요건이다. 대체로 내부 사고로 1천 명 미만의 일반 개인정보가 유출된 경우를 제외하고는 모두 신고해야 한다고 보면 된다.

가명정보가 유출되면 개인정보처리자는 신고 의무는 있지만, 통지 의무는 없다(법 제28조의7(적용 범위)). 개인정보 처리 수탁자에서 개인정보가 유출된다면, 수탁자에도 신고와 통지 의무가 있다(법 제26조(업무위탁에 따른 개인정보의 처리 제한)).

유출 통지와 신고 기한이 모두 72시간이라는 점 역시 중요한 변경사항이다.

종전법에서는 정보통신서비스 제공자는 24시간 이내, 일반 개인정보처리자는 ‘지체 없이’(영업일 5일 이내)였던 신고 기한이 72시간으로 통일됐다. 여기에서 쟁점이 되는 것은 법 제34조 제3항의 “개인정보의 유출 등이 있음을 알게 되었을 때”이다. 개인적으로는 수년간 참여해 온 ‘개인정보 유출대응 교육’에서 나오는 단골 질문이기도 하다.

개인정보보호위원회가 개인정보 유출 사고에서 유출 통지ㆍ신고 지연에 대해 행정처분을 결정한 몇 가지 사례를 살펴본다. 유출된 사업자는 자체적으로 파악하여 ‘알게 되었을 때’를 제시하고, 지연이 아님을 주장하였으나, 보호위원회가 수용하지 않은 사례다. (상세한 사항은 해당 개인정보보호위원회 속기록에서 찾을 수 있다.)

• KISA로부터 개인정보가 유출되었다고 통지받은 뒤, 이를 확인하느라 지연 신고한 경우
• 열람 권한이 없는 비회원에게 회원의 배송지 정보가 보인다고 민원인이 오류 발생 일시 등 상세 내용과 함께 타인의 개인정보 조회 이미지를 첨부한 민원 내용을 접수 받은 뒤 이를 확인하느라 지연 신고한 경우
• 고객센터 대응 인력이 업무에 미숙하여 신고 기한을 지나 신고한 경우
• 고객으로부터 사고 내용을 전달받은 후 해외법인 간의 계약 상황 등 사실 확인 및 개인정보 유출에 해당하는지 여부 등을 확인하느라 7일이 걸려 지연 신고하였다고 주장하였으나, 확인 기간이 과도하고, 그에 대한 증빙자료를 제출하지 않음

과태료 부과 행정처분은 금액이 적어 실익이 별로 없어서 그런지 행정처분 취소 소송을 통해 과태료 부과에 대한 법원의 판단을 받아 보는 것은 찾아보기 힘들다. (2021년 5월 개인정보보호위원회의 과태료 처분에 대한 네이버와 지마켓의 행정 소송 승소(2023.12. 대법원 판결로 종료) 등 사례가 있긴 하다.) 유출 통지ㆍ신고 위반에 따른 행정처분은 과태료 부과여서 그만큼 규제기관의 판단이 중요하다는 의미도 된다.

개인정보 보호 담당자라면 한 번쯤 들어가 봤을 개인정보 포털의 유출 신고 페이지에도 변화가 있다.

이 페이지에서 적시한 ‘신고 기준’의 상위 4개는 앞에서 살펴본 시행령 제40조 제1항 제1호~제3호의 내용인데, 다섯 번째 신고 기준이 특이하다.

• 기타(신고기준에 대한 구체적인 내용을 확인하지 못하여 우선 신고하는 경우 등)

개인정보처리자가 유출 사실을 ‘알게 되었을 때’라고 확인하지 못한 상태라 하더라도 일단 개인정보보호위원회에 신고하라는 취지로 이 기준을 추가한 것으로 보인다. 그동안 유출 사고에서 종종 발생하는 ‘지연 신고’ 이슈에 대한 대책일 수도 있고, ‘이상 징후’ 발견 시 신속한 대응을 통해 큰 사고를 예방하자는 취지일 수도 있다. 어쨌든 생긴 지 1년이 넘었으니 이용 현황이나 성과를 발표해 주면, 개인정보처리자에 큰 도움이 될 것 같다.
[email protected]