2016.08.08

강은성의 보안 아키텍트 | 개인정보 유출시 할 일(1), 통지 - 법규를 중심으로

강은성 | CIO KR
몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다.

본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다.

먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다.

이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다.

사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다(법 제34조 제1항 제1호~제5호).

1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인한 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

'지체 없이'는 정당한 사유가 없는 한 5일 이내를 의미한다(표준지침 제26조 제1항). 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다(시행령 제40조 제1항, 표준지침 제26조 제1항). 위 통지내용 중 제1호(유출 항목), 제2호(유출 시점과 경위)를 확인하지 못한 경우에는 유출 사실과 확인된 사항만을 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다(시행령 제40조 제2항, 표준지침 제26조 제2항). 법 제34조 제1항을 위반하여 제1호~제5호의 사실을 정보주체에게 알리지 않으면 3,000만 원 이하의 과태료가 부과된다(법 제75조 제2항 제8호).

개별통지 방법에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법이 있다(표준지침 제27조 제1항). 1만 명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 개별통지 이외에도 정보주체가 알아보기 쉽도록 인터넷 홈페이지에 7일 이상 게재를 병행해야 한다. 인터넷 홈페이지가 없는 사업자는 사업장 등 보기 쉬운 장소에 7일 이상 게시하는 것으로 이를 갈음할 수 있다(시행령 제40조 제3항).

정보통신망법에서 다루는 개인정보는 정보통신서비스 제공자(사업자)가 제공하는 서비스를 이용하는 이용자(고객)의 것이다. 영리를 목적으로 하지 않는 정보통신서비스 운영사업자이거나 이용자의 개인정보가 유출된 것이 아니면 이 법의 통지의무가 적용되지 않는다는 말이다. 예를 들어 정보통신서비스 사업체에서 임직원의 개인정보 유출 사고가 발생했다면 정보통신망법이 아니라 개인정보보호법의 적용을 받는다.

정보통신망법 체계에서 통지에 관한 조항은 법 제27조의3, 시행령 제14조의2가 있다. 정보통신망법에서는 개인정보보호법과 달리 개인정보의 분실ㆍ도난ㆍ누출(이하 유출) 사실을 안 때부터 24시간 이내에 이용자에게 통지해야 한다(법 제27조의3 제1항). 통지하지 않거나 통지시한을 넘겨 통지했는데 정당한 사유를 소명하지 않은 경우, 또는 거짓으로 소명한 경우에는 3,000만 원 이하의 과태료가 부과된다(법 제76조 제1항 제2의3호, 제2의4호).

이용자에게 통지해야 할 내용은 다음과 같다(법 제27조의3 제1항 제1호~제5호).

1. 유출된 개인정보 항목
2. 유출이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
통지시한까지 위 제1호(유출 항목)와 제2호(유출 시점)를 확인하지 못했다면, 제3호~제5호의 내용으로 통지한 뒤 추가로 확인하는 즉시 통지해야 한다(시행령 제14조의2 제2항). 개인정보보호법과 매우 비슷하다.

통지방법으로는 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법을 사용할 수 있다. 예를 들어 이용자의 이메일 주소나 전화번호는 없는데, 주거지 주소를 갖고 있다면, (노력과 비용이 많이 들지만) 우편으로라도 개별통지를 해야 이 조항을 준수한 것이 된다. 이런 때를 위해서라도 불필요한 데이터는 삭제하는 것이 좋다. 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 개별통지를 갈음할 수 있다(시행령 제14조의2 제3항). 통지시한 경과, 개별통지 갈음 등의 '정당한 사유'는 지체 없이 방송통신위원회에 서면(전자문서 포함)으로 소명해야 한다(법 제27조의3 제3항, 시행령 제14조의2 제5항)


개인정보보호법과 정보통신망법의 통지 관련 내용을 비교하면 다음과 같다.

<표1> 개인정보보호법과 정보통신망법의 통지 관련 내용 비교
항목 개인정보보호법 정보통신망법
통지요건  1명 이상의 정보주체 개인정보 유출  1건 이상의 이용자 개인정보 유출
  통지시한 정당한 사유가 없는 한 5일 이내 또는 필요한 긴급조치 뒤 5일 이내  정당한 사유가 없으면 24시간 이내. 24시간 경과 후 통지 시 정당한 사유 소명
통지내용 1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인한 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체가 피해 신고 등을 접수할 수 있는 담당부서 및 연락처
1. 유출된 개인정보 항목
2. 유출이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
통지방법 개별 통지. 1만 명 이상 유출이면 홈페이지 7일 이상 게재 병행 개별 통지. 정당한 사유가 있으면 홈페이지에 30일 이상 게재로 갈음. 사유 소명.
제재 통지내용 위반 시 3,000만 원 이하 과태료 통지시한 또는 소명의무 위반 시 3,000만 원 이하 과태료
  
실무적으로는 통지문을 작성하는 일이 부담이 될 수 있다. 인터넷을 검색해 보면 그동안 개인정보 유출을 경험한 회사에서 올린 통지문(사과문)이 많이 올라와 있다. 몇 개 골라서 보면 감을 잡을 수 있다. 행정자치부가 운영하는 개인정보보호 종합포털(www.privacy.go.kr)에서는 '개인정보유출 표준통지문안'을 제공하고 있는데 이것도 참고할 만하다. 다만 규제기관 입장에서 쓴 것이라 사업자 입장과 다른 점이 있을 수 있다는 점을 고려할 필요가 있다. 어떤 방법으로든 각 회사에서 개인정보 유출 사고가 발생했다고 가정하고 반드시 작성해 보기 바란다.

사고를 당하면 정신없이 바쁘다. 적용 법규, 담당 조직, 통지 방법과 내용, 대응 프로세스 등을 사전에 정하고 점검하지 않으면 우왕좌왕하다가 문제를 더 키우기 십상이다. 교육과 모의훈련을 통해 대비하면 사고가 발생했을 때 신속ㆍ정확하게 대응하여 피해를 줄일 수 있을 뿐 아니라 인식제고, 문제점의 사전 발견 등을 통해 사고가 발생할 가능성도 줄일 수 있다. 일거양득이다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2016.08.08

강은성의 보안 아키텍트 | 개인정보 유출시 할 일(1), 통지 - 법규를 중심으로

강은성 | CIO KR
몇 달 전에 복지부 소속 기관과 산하 공공기관의 개인정보 담당자들을 대상으로 '개인정보 유출 관련 담당자 대응방안 모색'이란 주제로 강의를 한 적이 있다. '개인정보보호 전문인력 양성과정'이란 잘 짜인 프로그램의 일부였는데, 필자는 개인정보 유출 통지문 작성을 포함해 개인정보 유출사고를 당했을 때 실무자들의 대응방안을 요청받았다. 그동안 개인정보 위기관리에 관해 교육과 책을 통해 다뤄왔는데, 그중에서도 법적 측면에서 통지와 신고를 좀더 깊이 살펴보는 기회가 되었다. 이번 칼럼에서는 그중에서 통지에 관해서 먼저 살펴보려고 한다.

본론으로 들어가기 전에 실무자들은 무엇보다도 각 회사가 어떤 법규를 적용받는지 확인해 둘 것을 강조하고 싶다. 다른 부분도 마찬가지이지만 통지와 신고에 관한 규제도 법에 따라 조금씩 다르기 때문이다. 여기서는 개인정보보호법과 정보통신망법을 중심으로 설명하려고 한다. 이 두 법에서 통지는 정보주체(또는 이용자)에게 알리는 것이고, 신고는 규제기관에 알리는 것이다.

먼저 개인정보보호법 체계에서 통지 관련 조항은 법 제34조, 시행령 제40조, 표준지침 제25조~제27조가 있다. 이 법에서 다루는 개인정보에는 고객의 개인정보뿐 아니라 비고객(임직원, 기자, 주주, 협력업체 직원 등)의 개인정보도 포함된다는 점에 유의해야 한다. 한 마디로 개인정보처리자(사업자)가 처리하는 모든 개인정보를 다룬다고 할 수 있다.

이 법 체계에서는 개인정보 유출을 "법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것"(표준지침 제25조)으로 정의한다. 즉 개인정보의 유출이란 종이문서를 포함해 개인정보가 들어있는 매체의 분실, 도난, 권한 없는 자의 접근 등을 포함하는 광범위한 개념인 셈이다.

사업자는 1명이라도 정보주체에 관한 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다(법 제34조 제1항 제1호~제5호).

1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인한 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

'지체 없이'는 정당한 사유가 없는 한 5일 이내를 의미한다(표준지침 제26조 제1항). 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다(시행령 제40조 제1항, 표준지침 제26조 제1항). 위 통지내용 중 제1호(유출 항목), 제2호(유출 시점과 경위)를 확인하지 못한 경우에는 유출 사실과 확인된 사항만을 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다(시행령 제40조 제2항, 표준지침 제26조 제2항). 법 제34조 제1항을 위반하여 제1호~제5호의 사실을 정보주체에게 알리지 않으면 3,000만 원 이하의 과태료가 부과된다(법 제75조 제2항 제8호).

개별통지 방법에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법이 있다(표준지침 제27조 제1항). 1만 명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 개별통지 이외에도 정보주체가 알아보기 쉽도록 인터넷 홈페이지에 7일 이상 게재를 병행해야 한다. 인터넷 홈페이지가 없는 사업자는 사업장 등 보기 쉬운 장소에 7일 이상 게시하는 것으로 이를 갈음할 수 있다(시행령 제40조 제3항).

정보통신망법에서 다루는 개인정보는 정보통신서비스 제공자(사업자)가 제공하는 서비스를 이용하는 이용자(고객)의 것이다. 영리를 목적으로 하지 않는 정보통신서비스 운영사업자이거나 이용자의 개인정보가 유출된 것이 아니면 이 법의 통지의무가 적용되지 않는다는 말이다. 예를 들어 정보통신서비스 사업체에서 임직원의 개인정보 유출 사고가 발생했다면 정보통신망법이 아니라 개인정보보호법의 적용을 받는다.

정보통신망법 체계에서 통지에 관한 조항은 법 제27조의3, 시행령 제14조의2가 있다. 정보통신망법에서는 개인정보보호법과 달리 개인정보의 분실ㆍ도난ㆍ누출(이하 유출) 사실을 안 때부터 24시간 이내에 이용자에게 통지해야 한다(법 제27조의3 제1항). 통지하지 않거나 통지시한을 넘겨 통지했는데 정당한 사유를 소명하지 않은 경우, 또는 거짓으로 소명한 경우에는 3,000만 원 이하의 과태료가 부과된다(법 제76조 제1항 제2의3호, 제2의4호).

이용자에게 통지해야 할 내용은 다음과 같다(법 제27조의3 제1항 제1호~제5호).

1. 유출된 개인정보 항목
2. 유출이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
통지시한까지 위 제1호(유출 항목)와 제2호(유출 시점)를 확인하지 못했다면, 제3호~제5호의 내용으로 통지한 뒤 추가로 확인하는 즉시 통지해야 한다(시행령 제14조의2 제2항). 개인정보보호법과 매우 비슷하다.

통지방법으로는 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법을 사용할 수 있다. 예를 들어 이용자의 이메일 주소나 전화번호는 없는데, 주거지 주소를 갖고 있다면, (노력과 비용이 많이 들지만) 우편으로라도 개별통지를 해야 이 조항을 준수한 것이 된다. 이런 때를 위해서라도 불필요한 데이터는 삭제하는 것이 좋다. 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 개별통지를 갈음할 수 있다(시행령 제14조의2 제3항). 통지시한 경과, 개별통지 갈음 등의 '정당한 사유'는 지체 없이 방송통신위원회에 서면(전자문서 포함)으로 소명해야 한다(법 제27조의3 제3항, 시행령 제14조의2 제5항)


개인정보보호법과 정보통신망법의 통지 관련 내용을 비교하면 다음과 같다.

<표1> 개인정보보호법과 정보통신망법의 통지 관련 내용 비교
항목 개인정보보호법 정보통신망법
통지요건  1명 이상의 정보주체 개인정보 유출  1건 이상의 이용자 개인정보 유출
  통지시한 정당한 사유가 없는 한 5일 이내 또는 필요한 긴급조치 뒤 5일 이내  정당한 사유가 없으면 24시간 이내. 24시간 경과 후 통지 시 정당한 사유 소명
통지내용 1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인한 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체가 피해 신고 등을 접수할 수 있는 담당부서 및 연락처
1. 유출된 개인정보 항목
2. 유출이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
통지방법 개별 통지. 1만 명 이상 유출이면 홈페이지 7일 이상 게재 병행 개별 통지. 정당한 사유가 있으면 홈페이지에 30일 이상 게재로 갈음. 사유 소명.
제재 통지내용 위반 시 3,000만 원 이하 과태료 통지시한 또는 소명의무 위반 시 3,000만 원 이하 과태료
  
실무적으로는 통지문을 작성하는 일이 부담이 될 수 있다. 인터넷을 검색해 보면 그동안 개인정보 유출을 경험한 회사에서 올린 통지문(사과문)이 많이 올라와 있다. 몇 개 골라서 보면 감을 잡을 수 있다. 행정자치부가 운영하는 개인정보보호 종합포털(www.privacy.go.kr)에서는 '개인정보유출 표준통지문안'을 제공하고 있는데 이것도 참고할 만하다. 다만 규제기관 입장에서 쓴 것이라 사업자 입장과 다른 점이 있을 수 있다는 점을 고려할 필요가 있다. 어떤 방법으로든 각 회사에서 개인정보 유출 사고가 발생했다고 가정하고 반드시 작성해 보기 바란다.

사고를 당하면 정신없이 바쁘다. 적용 법규, 담당 조직, 통지 방법과 내용, 대응 프로세스 등을 사전에 정하고 점검하지 않으면 우왕좌왕하다가 문제를 더 키우기 십상이다. 교육과 모의훈련을 통해 대비하면 사고가 발생했을 때 신속ㆍ정확하게 대응하여 피해를 줄일 수 있을 뿐 아니라 인식제고, 문제점의 사전 발견 등을 통해 사고가 발생할 가능성도 줄일 수 있다. 일거양득이다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X