2018.11.07

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

강은성 | CIO KR
개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.)

정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다).

"제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다."

하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다.

첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않으면서 사고가 났을 때 “나는 개인정보보호에 관한 사항은 CPO에게 전결권을 줬고 보고받지 않아서 모른다"고 주장하면 CEO를 처벌하기 어렵다. 실제로 N사에서 개인정보 유출사고가 발생했을 때 CEO가 검찰에 송치되면서 많은 회사에서 취하는 방법이다.

둘째, 이 조항은 경험 있는 개인정보 보호 인력을 확보•유지하는 데 장애가 된다. 실력 있는 인력이 오랫동안 경험을 쌓아서 개인정보보호 업무를 해야 개인정보가 잘 보호될 텐데 이 형사처벌 조항 때문에 오히려 기존 담당자들조차 그 업무를 오래 하고 싶어 하지 않는다. 실제로 유출사고가 발생하여 형사처벌의 잠재적 대상으로 수사를 받아본 인력들은 그 자리에 남아 있지 않은 게 현실이다. 현직 담당자들뿐 아니라 이 분야를 전공하여 자신의 직업으로 삼고자 하는 학생들에게까지 부정적인 영향을 미친다.

셋째, 이 조항은 개인정보 유출사고의 범인을 잡는 데 방해가 될 수 있다. 강력범죄가 발생했을 경우 사건의 실상을 파악하고 범인을 잡기 위해 수사기관은 맨 먼저 현장에서 증거를 확보하고 탐문수사를 진행한다. 이와 마찬가지로 개인정보 유출사고가 발생하면 수사기관에서는 가장 먼저 범행 현장인 기업의 보안 및 IT시스템과 담당 인력을 조사한다. 하지만 그 조사대상인 보안담당이나 IT인력들은 자신에게 문제가 발견된다면 피의자가 될 수도 있다는 생각에 수사에 적극적으로 협조할지 망설이게 된다.

넷째, 이 조항은 CPO가 개인정보의 실질적인 보호보다 관련 법규를 지키는 데 치중하게 만든다. 형사처벌을 면하기 위해서는 기업은 개인정보의 기술적•관리적 보호조치에 관한 법률 조항, 시행령, 고시, 더 나아가서 해설서와 각종 가이드라인을 살펴서 이에 관한 증거를 확보해 놓아야 한다. 법규를 지킨다는 것은 그것에 대한 증거가 있다는 것을 의미하기 때문이다. 유출사고가 나지 않으면 가장 좋은데, 기업의 개인정보를 노리는 적은 오랜 기간 임직원과 시스템의 빈틈을 조사하고 준비하지만 정작 기업에서는 그 적의 존재조차 알 수 없는, 이 완전히 기울어진 운동장에서, 충분한 자원과 권한을 확보하지 못한 CPO가 개인정보 사고가 날 때를 대비해 최우선으로 법규 대응을 준비하는 것은 합리적인 판단이라 할 수 있다. 요즘 법규 중심의 개인정보보호가 이뤄지는 이유다. 그러나 개인정보를 보호하는 일과 관련 법규를 준수하는 일이 일치하지 않을 때가 종종 있을 뿐 아니라 지속적으로 바뀌는 법규를 조사하고 그에 맞춰 시스템을 구축하고 증거를 확보하는 것은 대기업에서도 작지 않은 일이다.

다섯째, 이 조항에서 규정한 CPO에 대한 처벌이 다른 보호책임자와 비교해 볼 때 적정하다고 보기 어렵다. 최근 국민의 금융자산을 책임지는 은행에서 현금을 강탈당했다는 뉴스가 가끔 나온다. 하지만 은행의 ‘현금보호책임자’가 해당 범죄에 연루되어 있지 않은 한 형사처벌을 받는 경우는 없을 것이다. 하지만 그 은행에서 개인정보가 유출되면 은행의 CPO는 형사처벌을 받을 수도 있다. 세계적으로 기업에서의 개인정보 유출 책임에 대해 국가의 형벌권이 개입하고, CPO를 형사처벌하는 나라가 있는지 의문이다.

여섯째, 이 조항은 수사기관 입장에서도 적용하기 힘든 조항이다. 이 조항이 생긴 뒤로 개인정보 유출사고가 발생하면 수사기관은 범인을 잡기 위한 수사를 한 뒤에 개인정보 보호조치에 대한 기업의 위법행위를 수사해 왔지만 이 조항으로 처벌받은 CPO는 거의 없다. 적용하기도 힘든 조항을 위해 범인 잡는 데에 집중해도 부족한 수사인력을 사용하고, CPO와 담당 인력들은 행여나 이 조항에 의해 처벌받을까 우려하고 행동하는 것이 사회적으로 적절한지 따져볼 필요가 있다. 최근 45억 원이나 부과될 정도로 대폭 늘어난 과징금이나 강화된 손해배상 법 조항을 통해서도 기업의 책임을 충분히 묻고 경종을 울릴 수 있지 않을까 싶다.

일곱째, 법률전문가 아닌 사람으로서 조심스럽긴 하지만 이 조항은 고의범을 처벌하는 우리나라 형사법 체계에 적절하지 않은 것으로 보인다. 실제 이 조항은 “조치를 하지 아니하여”(제73조 제1호)라고 기술하여 고의성을 강조하는 외양을 취하고 있지만, 실제로 유출사고의 범인이나 공범이 아니면서 고의로 개인정보 보호조치를 하지 않을 CPO들이 (거의) 없을 것이기 때문에 결국 이 조항은 미필적 고의나 과실에 적용될 가능성이 높다. 그러한 법리적 해석이 가능하다고 보고 이 처벌조항을 만들었는지, 그러한 해석이 법리적으로 적절한지 의문이다. 과실에도 적용하려는 취지라면 과실을 처벌하는 다른 법률처럼 적시해야 법 해석의 혼란을 줄일 수 있을 것으로 보인다.

2014년 1월 카드사 개인정보 유출사고에서 탈퇴한 회원의 개인정보가 다수 파기되지 않은 것이 드러나면서 목적 달성, 보유기간 만료 등 파기의 요건을 충족한 개인정보를 “지체 없이”, “복구•재생할 수 없도록 파기"하지 않은 경우에 2년 이하의 징역 또는 2천만 원 이하의 벌금(정보통신망법 제73조 제1호의2) 처벌이 추가되었다. 개인정보 유출사고 책임에 대한 처벌을 넘어서서 이제는 그것의 선행 요인에 대해서도 동일한 처벌을 부과하는 것을 보면서 개인정보에 유출에 관한 처벌이 과도한 수준을 지나 ‘형사처벌 만능주의’로 흐르는 것이 아닌지 우려된다.


그럼 대안은 무엇인가? 핵심은 기업의 이사회 또는 최고경영진이 개인정보 유출 위험을 기업 차원의 위험으로 인식하도록 하는 것이다. 그 중 하나는 기업에게 금전적 책임을 묻는 것이다. 올해 5월에 발효된 유럽연합의 일반개인정보보호규정(GDPR)이 세계적으로 주목을 받는 가장 큰 이유는 천문학적인 과징금이 부과될 수 있기 때문이다. 관련 법률에서 행정처분 상한이 크게 늘어났고 민사소송에서의 손해배상 규모 역시 대폭 높아지는 등 이를 위한 국내 법규 체계는 갖춰진 상태이다. 오히려 국내 법규와 규제가 너무 상세하여 이 중 일부를 위반했다고 해서 법에서 정한 강력한 행정처분이나 손해배상에 법원이 손을 들어줄 수 있을지가 관건으로 보일 정도다. 어떤 경우이든 기업이 개인정보 유출 위험을 현실적인 기업 차원의 위험으로 인식한다면 실질적인 개인정보 보호에 관심을 갖고 인력과 조직, 관련 투자, 전사적인 개인정보보호 협업 등 이에 대응하는 방법을 찾아 나갈 것이다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다.
ciokr@idg.co.kr
 

2018.11.07

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

강은성 | CIO KR
개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.)

정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다).

"제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다."

하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다.

첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않으면서 사고가 났을 때 “나는 개인정보보호에 관한 사항은 CPO에게 전결권을 줬고 보고받지 않아서 모른다"고 주장하면 CEO를 처벌하기 어렵다. 실제로 N사에서 개인정보 유출사고가 발생했을 때 CEO가 검찰에 송치되면서 많은 회사에서 취하는 방법이다.

둘째, 이 조항은 경험 있는 개인정보 보호 인력을 확보•유지하는 데 장애가 된다. 실력 있는 인력이 오랫동안 경험을 쌓아서 개인정보보호 업무를 해야 개인정보가 잘 보호될 텐데 이 형사처벌 조항 때문에 오히려 기존 담당자들조차 그 업무를 오래 하고 싶어 하지 않는다. 실제로 유출사고가 발생하여 형사처벌의 잠재적 대상으로 수사를 받아본 인력들은 그 자리에 남아 있지 않은 게 현실이다. 현직 담당자들뿐 아니라 이 분야를 전공하여 자신의 직업으로 삼고자 하는 학생들에게까지 부정적인 영향을 미친다.

셋째, 이 조항은 개인정보 유출사고의 범인을 잡는 데 방해가 될 수 있다. 강력범죄가 발생했을 경우 사건의 실상을 파악하고 범인을 잡기 위해 수사기관은 맨 먼저 현장에서 증거를 확보하고 탐문수사를 진행한다. 이와 마찬가지로 개인정보 유출사고가 발생하면 수사기관에서는 가장 먼저 범행 현장인 기업의 보안 및 IT시스템과 담당 인력을 조사한다. 하지만 그 조사대상인 보안담당이나 IT인력들은 자신에게 문제가 발견된다면 피의자가 될 수도 있다는 생각에 수사에 적극적으로 협조할지 망설이게 된다.

넷째, 이 조항은 CPO가 개인정보의 실질적인 보호보다 관련 법규를 지키는 데 치중하게 만든다. 형사처벌을 면하기 위해서는 기업은 개인정보의 기술적•관리적 보호조치에 관한 법률 조항, 시행령, 고시, 더 나아가서 해설서와 각종 가이드라인을 살펴서 이에 관한 증거를 확보해 놓아야 한다. 법규를 지킨다는 것은 그것에 대한 증거가 있다는 것을 의미하기 때문이다. 유출사고가 나지 않으면 가장 좋은데, 기업의 개인정보를 노리는 적은 오랜 기간 임직원과 시스템의 빈틈을 조사하고 준비하지만 정작 기업에서는 그 적의 존재조차 알 수 없는, 이 완전히 기울어진 운동장에서, 충분한 자원과 권한을 확보하지 못한 CPO가 개인정보 사고가 날 때를 대비해 최우선으로 법규 대응을 준비하는 것은 합리적인 판단이라 할 수 있다. 요즘 법규 중심의 개인정보보호가 이뤄지는 이유다. 그러나 개인정보를 보호하는 일과 관련 법규를 준수하는 일이 일치하지 않을 때가 종종 있을 뿐 아니라 지속적으로 바뀌는 법규를 조사하고 그에 맞춰 시스템을 구축하고 증거를 확보하는 것은 대기업에서도 작지 않은 일이다.

다섯째, 이 조항에서 규정한 CPO에 대한 처벌이 다른 보호책임자와 비교해 볼 때 적정하다고 보기 어렵다. 최근 국민의 금융자산을 책임지는 은행에서 현금을 강탈당했다는 뉴스가 가끔 나온다. 하지만 은행의 ‘현금보호책임자’가 해당 범죄에 연루되어 있지 않은 한 형사처벌을 받는 경우는 없을 것이다. 하지만 그 은행에서 개인정보가 유출되면 은행의 CPO는 형사처벌을 받을 수도 있다. 세계적으로 기업에서의 개인정보 유출 책임에 대해 국가의 형벌권이 개입하고, CPO를 형사처벌하는 나라가 있는지 의문이다.

여섯째, 이 조항은 수사기관 입장에서도 적용하기 힘든 조항이다. 이 조항이 생긴 뒤로 개인정보 유출사고가 발생하면 수사기관은 범인을 잡기 위한 수사를 한 뒤에 개인정보 보호조치에 대한 기업의 위법행위를 수사해 왔지만 이 조항으로 처벌받은 CPO는 거의 없다. 적용하기도 힘든 조항을 위해 범인 잡는 데에 집중해도 부족한 수사인력을 사용하고, CPO와 담당 인력들은 행여나 이 조항에 의해 처벌받을까 우려하고 행동하는 것이 사회적으로 적절한지 따져볼 필요가 있다. 최근 45억 원이나 부과될 정도로 대폭 늘어난 과징금이나 강화된 손해배상 법 조항을 통해서도 기업의 책임을 충분히 묻고 경종을 울릴 수 있지 않을까 싶다.

일곱째, 법률전문가 아닌 사람으로서 조심스럽긴 하지만 이 조항은 고의범을 처벌하는 우리나라 형사법 체계에 적절하지 않은 것으로 보인다. 실제 이 조항은 “조치를 하지 아니하여”(제73조 제1호)라고 기술하여 고의성을 강조하는 외양을 취하고 있지만, 실제로 유출사고의 범인이나 공범이 아니면서 고의로 개인정보 보호조치를 하지 않을 CPO들이 (거의) 없을 것이기 때문에 결국 이 조항은 미필적 고의나 과실에 적용될 가능성이 높다. 그러한 법리적 해석이 가능하다고 보고 이 처벌조항을 만들었는지, 그러한 해석이 법리적으로 적절한지 의문이다. 과실에도 적용하려는 취지라면 과실을 처벌하는 다른 법률처럼 적시해야 법 해석의 혼란을 줄일 수 있을 것으로 보인다.

2014년 1월 카드사 개인정보 유출사고에서 탈퇴한 회원의 개인정보가 다수 파기되지 않은 것이 드러나면서 목적 달성, 보유기간 만료 등 파기의 요건을 충족한 개인정보를 “지체 없이”, “복구•재생할 수 없도록 파기"하지 않은 경우에 2년 이하의 징역 또는 2천만 원 이하의 벌금(정보통신망법 제73조 제1호의2) 처벌이 추가되었다. 개인정보 유출사고 책임에 대한 처벌을 넘어서서 이제는 그것의 선행 요인에 대해서도 동일한 처벌을 부과하는 것을 보면서 개인정보에 유출에 관한 처벌이 과도한 수준을 지나 ‘형사처벌 만능주의’로 흐르는 것이 아닌지 우려된다.


그럼 대안은 무엇인가? 핵심은 기업의 이사회 또는 최고경영진이 개인정보 유출 위험을 기업 차원의 위험으로 인식하도록 하는 것이다. 그 중 하나는 기업에게 금전적 책임을 묻는 것이다. 올해 5월에 발효된 유럽연합의 일반개인정보보호규정(GDPR)이 세계적으로 주목을 받는 가장 큰 이유는 천문학적인 과징금이 부과될 수 있기 때문이다. 관련 법률에서 행정처분 상한이 크게 늘어났고 민사소송에서의 손해배상 규모 역시 대폭 높아지는 등 이를 위한 국내 법규 체계는 갖춰진 상태이다. 오히려 국내 법규와 규제가 너무 상세하여 이 중 일부를 위반했다고 해서 법에서 정한 강력한 행정처분이나 손해배상에 법원이 손을 들어줄 수 있을지가 관건으로 보일 정도다. 어떤 경우이든 기업이 개인정보 유출 위험을 현실적인 기업 차원의 위험으로 인식한다면 실질적인 개인정보 보호에 관심을 갖고 인력과 조직, 관련 투자, 전사적인 개인정보보호 협업 등 이에 대응하는 방법을 찾아 나갈 것이다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다.
ciokr@idg.co.kr
 

X