2019.07.12

강은성의 보안 아키텍트 | 개인정보 유출사고에서의 개인정보보호책임자(CPO)의 기소

강은성 | CIO KR
드디어 개인정보보호책임자(CPO)가 정보통신망법 제73조 제1호 위반으로 형사법정에 서는 일이 생겼다. 지난 6월 18일, 서울 동부지검 사이버수사부는 2017년 개인정보 유출사고가 발생한 A사, B사, C사 세 법인과 해당 기업의 보호조치를 소홀히 한 개인정보 관리책임자를 기소했다고 발표했다. 2008년 12월 정보통신망법에 개인정보 유출사고에 따른 형사처벌 조항이 들어간 뒤 이 조항 위반으로 임직원 개인이 정식 기소된 첫 번째 사례인 것 같다. 사고가 난 지 2년 만의 일이다.
 
ⓒGetty Images Bank
 
동부지검은 ‘개인정보처리 기업의 보호조치 및 의무위반사건 수사결과’에서, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모" 등을 종합적으로 고려해, 보강수사 등을 통해 찾아낸 "개인정보유출에 대한 실질적 관리소홀 책임자"를 기소하였다고 밝혔다. 또한 앞으로도 “개인정보처리 기업의 보호조치 의무위반 사범에 대하여…엄정 처분할 예정”이라고 하여 앞으로도 CPO에 대한 기소가 있을 것임을 예고하였다.
 
필자는 지난 칼럼 ‘개인정보의 유출과 개인정보보호책임자(CPO)의 형사처벌`에서 개인정보 유출사건 발생 시 CPO를 형사처벌할 수 있도록 한 정보통신망법 제73조 제1호(또는 개인정보보호법 제73조 제1호)의 문제점을 상세히 설명하였으므로, 여기에서는 검찰의 발표자료를 중심으로 이번 기소의 의미를 살펴보려고 한다.
 
첫째, 기소 시 개인정보 보호조치 위반의 고의성을 고려하지 않는 것으로 보인다.
다시 정보통신망법 제73조 제1호를 본다.
 
제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자
 

필자는 지난 칼럼에서 이 조문이 밑줄 친 내용과 같이 고의성을 강조하는 외양을 취하고 있으나 고의로 보호조치를 하지 않을 CPO가 거의 없을 것이기 때문에 미필적 고의나 과실에 적용될 가능성이 크다고 우려한 바 있다. 이번 발표자료에서 무엇보다도 “보호조치를 소홀히 하여”, “관리소홀 책임자”, “보호조치 의무위반 사범”이라는 표현이 눈에 띈다. 과실을 포함하는 표현이기 때문이다.
 
검찰이 기소할 때 법률에서 별도로 규정하지 않는 한 법 위반의 고의성(의도성)을 따지는 게 원칙인데, 이번 보도자료에는 고의성에 대한 언급이 없고, 앞으로도 그렇게 하겠다고 한 것으로 보아 과실에 의한 위반이라 하더라도 기소하겠다는 의도를 내비친 게 아닐까 한다. 검찰의 입장이 그렇게 정해진 거라면 재판의 결과와 관계없이 경찰의 수사 때부터 CPO들은 불안하지 않을 수 없다. 이 부분에 대해 세부적인 설명이 있으면 좋겠다.
 
둘째, 검찰은 기소 대상을 ‘개인정보 관리책임자’, ‘실질적 최고책임자’, ‘실질적 관리소홀 책임자’로 표현해 CPO라고 하여 무조건 기소 대상이 되지는 않을 것이라는 점을 강조한 것으로 보인다. 하지만 CPO들이 그리 의미 있게 받아들일 것 같지는 않다. 검찰이 매번 “송치 후 보강수사” 등을 통하여 ‘실질적’ 보호책임자를 찾으려고 할지 불분명할 뿐 아니라 기업에서 ‘실질적’ 책임자와 ‘형식적’ 책임자 사이의 거리가 그리 멀지 않을 수도 있기 때문이다.
 
셋째, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모"에 대한 것이다. 검찰은 위반 정도가 심하고, ‘내밀한 사적 영역’이나 ‘경제적 가치’가 있는 정보가 대량 유출되었으며, 유출로 인해 2차 피해가 발생한 점을 기소 이유로 설명하였다. 하지만 발표자료를 보면, A사에서만 2차 피해가 발생하였고, 기소 대상이 된 유출 건수가 A사 3만1천 건, C사 3만 건이라는 점(B사는 330만 건)에서, 보호조치 의무 위반 정도를 고려한다 하더라도 이번에 검찰의 기소 기준이 바뀐 것으로 보인다.
 
이를 종합적으로 고려할 때 개인정보 유출사고 발생 시 제73조 제1호를 근거로 CPO가 기소될 가능성은 커졌다고 할 수 있다.
 
대체로 개인정보 담당 소관 부처나 관련 협회, 교수, 국회의원 등 전문가그룹이나 주요 이해관계자들은 개인정보 유출 시 CPO 개인에 대한 형사처벌은 과도하다는 데 동의하는 분위기이다. 이에 관해 소관 부처 당국자가 시민단체가 나서면 좋겠다고 말했다는 보도가 나왔다. 일반 국민이 개인정보 유출사고에 민감해 하는 상황에서 제재 조항을 축소 또는 삭제하는 것이 부담스럽기도 하고, 비식별조치 문제에서 시민단체와 크게 부딪혔던 경험 때문이 아닐까 싶다.
 
필자는 기업의 정보보호최고책임자(CISO)나 CPO 대상으로 교육을 많이 하는 편이다. 관련 모임에도 종종 참석한다. 그 분들 중에는 CPO를 겸직한 분들이 적지 않은데, CPO직을 그리 달가워하지 않는다. 주 업무도 아니면서 겸임한 직책 때문에 범법자가 될 수 있기 때문이다. 이제 점점 더 CPO는 권하지 않는 직책이 될 것 같다. 다들 정말 개인정보 보호를 위해 하는 일인가? 답답하다. 

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2019.07.12

강은성의 보안 아키텍트 | 개인정보 유출사고에서의 개인정보보호책임자(CPO)의 기소

강은성 | CIO KR
드디어 개인정보보호책임자(CPO)가 정보통신망법 제73조 제1호 위반으로 형사법정에 서는 일이 생겼다. 지난 6월 18일, 서울 동부지검 사이버수사부는 2017년 개인정보 유출사고가 발생한 A사, B사, C사 세 법인과 해당 기업의 보호조치를 소홀히 한 개인정보 관리책임자를 기소했다고 발표했다. 2008년 12월 정보통신망법에 개인정보 유출사고에 따른 형사처벌 조항이 들어간 뒤 이 조항 위반으로 임직원 개인이 정식 기소된 첫 번째 사례인 것 같다. 사고가 난 지 2년 만의 일이다.
 
ⓒGetty Images Bank
 
동부지검은 ‘개인정보처리 기업의 보호조치 및 의무위반사건 수사결과’에서, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모" 등을 종합적으로 고려해, 보강수사 등을 통해 찾아낸 "개인정보유출에 대한 실질적 관리소홀 책임자"를 기소하였다고 밝혔다. 또한 앞으로도 “개인정보처리 기업의 보호조치 의무위반 사범에 대하여…엄정 처분할 예정”이라고 하여 앞으로도 CPO에 대한 기소가 있을 것임을 예고하였다.
 
필자는 지난 칼럼 ‘개인정보의 유출과 개인정보보호책임자(CPO)의 형사처벌`에서 개인정보 유출사건 발생 시 CPO를 형사처벌할 수 있도록 한 정보통신망법 제73조 제1호(또는 개인정보보호법 제73조 제1호)의 문제점을 상세히 설명하였으므로, 여기에서는 검찰의 발표자료를 중심으로 이번 기소의 의미를 살펴보려고 한다.
 
첫째, 기소 시 개인정보 보호조치 위반의 고의성을 고려하지 않는 것으로 보인다.
다시 정보통신망법 제73조 제1호를 본다.
 
제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자
 

필자는 지난 칼럼에서 이 조문이 밑줄 친 내용과 같이 고의성을 강조하는 외양을 취하고 있으나 고의로 보호조치를 하지 않을 CPO가 거의 없을 것이기 때문에 미필적 고의나 과실에 적용될 가능성이 크다고 우려한 바 있다. 이번 발표자료에서 무엇보다도 “보호조치를 소홀히 하여”, “관리소홀 책임자”, “보호조치 의무위반 사범”이라는 표현이 눈에 띈다. 과실을 포함하는 표현이기 때문이다.
 
검찰이 기소할 때 법률에서 별도로 규정하지 않는 한 법 위반의 고의성(의도성)을 따지는 게 원칙인데, 이번 보도자료에는 고의성에 대한 언급이 없고, 앞으로도 그렇게 하겠다고 한 것으로 보아 과실에 의한 위반이라 하더라도 기소하겠다는 의도를 내비친 게 아닐까 한다. 검찰의 입장이 그렇게 정해진 거라면 재판의 결과와 관계없이 경찰의 수사 때부터 CPO들은 불안하지 않을 수 없다. 이 부분에 대해 세부적인 설명이 있으면 좋겠다.
 
둘째, 검찰은 기소 대상을 ‘개인정보 관리책임자’, ‘실질적 최고책임자’, ‘실질적 관리소홀 책임자’로 표현해 CPO라고 하여 무조건 기소 대상이 되지는 않을 것이라는 점을 강조한 것으로 보인다. 하지만 CPO들이 그리 의미 있게 받아들일 것 같지는 않다. 검찰이 매번 “송치 후 보강수사” 등을 통하여 ‘실질적’ 보호책임자를 찾으려고 할지 불분명할 뿐 아니라 기업에서 ‘실질적’ 책임자와 ‘형식적’ 책임자 사이의 거리가 그리 멀지 않을 수도 있기 때문이다.
 
셋째, "보호조치 의무위반 정도와 유출정보의 유형, 피해 규모"에 대한 것이다. 검찰은 위반 정도가 심하고, ‘내밀한 사적 영역’이나 ‘경제적 가치’가 있는 정보가 대량 유출되었으며, 유출로 인해 2차 피해가 발생한 점을 기소 이유로 설명하였다. 하지만 발표자료를 보면, A사에서만 2차 피해가 발생하였고, 기소 대상이 된 유출 건수가 A사 3만1천 건, C사 3만 건이라는 점(B사는 330만 건)에서, 보호조치 의무 위반 정도를 고려한다 하더라도 이번에 검찰의 기소 기준이 바뀐 것으로 보인다.
 
이를 종합적으로 고려할 때 개인정보 유출사고 발생 시 제73조 제1호를 근거로 CPO가 기소될 가능성은 커졌다고 할 수 있다.
 
대체로 개인정보 담당 소관 부처나 관련 협회, 교수, 국회의원 등 전문가그룹이나 주요 이해관계자들은 개인정보 유출 시 CPO 개인에 대한 형사처벌은 과도하다는 데 동의하는 분위기이다. 이에 관해 소관 부처 당국자가 시민단체가 나서면 좋겠다고 말했다는 보도가 나왔다. 일반 국민이 개인정보 유출사고에 민감해 하는 상황에서 제재 조항을 축소 또는 삭제하는 것이 부담스럽기도 하고, 비식별조치 문제에서 시민단체와 크게 부딪혔던 경험 때문이 아닐까 싶다.
 
필자는 기업의 정보보호최고책임자(CISO)나 CPO 대상으로 교육을 많이 하는 편이다. 관련 모임에도 종종 참석한다. 그 분들 중에는 CPO를 겸직한 분들이 적지 않은데, CPO직을 그리 달가워하지 않는다. 주 업무도 아니면서 겸임한 직책 때문에 범법자가 될 수 있기 때문이다. 이제 점점 더 CPO는 권하지 않는 직책이 될 것 같다. 다들 정말 개인정보 보호를 위해 하는 일인가? 답답하다. 

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X