강은성의 보안 아키텍트ㅣ개인정보취급자의 법적 위험과 대응 방안

요즘 온라인 포털이나 SNS뿐 아니라 게임, 의료, 금융, 교육, 숙박 등 개인정보를 다루지 않는 서비스가 별로 없을 정도로 개인정보가 광범위하게 이용된다. 법률을 근거로 정보주체의 동의 없이 국민 대다수의 개인정보를 처리하는 정부·공공기관은 물론이다. 제조업도 고객 커뮤니티를 운영하고, 온라인으로도 물품을 판매하면서 개인정보를 처리하는 추세다. 사실 임직원이 있는 조직이라면, 그들의 개인정보를 처리하고 있어서 개인정보처리자다.

개인정보보호법에서 대다수 조항은 주어가 ‘개인정보처리자’로 시작한다. 개인정보보호법이 “개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하”는 법(제1조(목적))이니만큼 “업무를 목적으로 개인정보를 처리”하는 ‘개인정보처리자’를 규제하는 조항이 대부분인 것은 자연스럽다.

개인정보보호법에서는 개인정보취급자를 다음과 같이 정의한다.
 

제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)의 범위를 최소한으로 제한하고, 개인정보취급자에 대하여 적절한 관리·감독을 하여야 한다.

고객, 임직원 등 어떤 정보주체의 개인정보를 다루든, 개인정보처리자의 소속이든 아니든 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 사람이라면 개인정보취급자로 규정된다. 따라서 개인정보보호법에서 개인정보처리자의 의무와 책임으로 되어 있는 조항을 실행하는 사람은 개인정보취급자인 경우가 많다.

결국 개인정보처리자의 의무 위반에 관한 형사처벌 조항은 개인정보취급자에 대한 처벌을 의미한다. 예를 들어보자.
 

제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다. 1. 제17조(개인정보의 제공) 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 개인정보를 제공받은 자

개인정보보호법 제17조(개인정보의 제공)에 따르면, 정보주체의 동의없이 제3자 제공을 할 수 있는 요건(제1항 제2호)에 해당하지 않으면 반드시 정보주체의 동의를 받아야 제3자 제공을 할 수 있는데, 이를 위반하여 제3자 제공한 자에게 중한 처벌을 받을 수 있다. 제17조 역시 주어가 ‘개인정보처리자’여서 이를 위반했을 때 처벌 대상이 ‘개인정보처리자’일 것 같지만, 실제로는 이를 실행한 개인정보취급자가 처벌의 대상이다. 개인정보처리자는 제74조(양벌규정)에 따라 개인정보취급자가 위법 행위를 하지 않도록 “상당한 주의와 감독”을 하지 않은 경우에 처벌하는 것이 보통이다.
 

제74조(양벌규정) ② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조(벌칙)부터 제73조(벌칙)까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.

형사법 체계에서 형사처벌하려면 ‘고의성’이 입증돼야 한다. 실수(과실)로 한 위법 행위를 형사처벌하는 법률은 해당 조항에 과실행위로 발생한 결과를 처벌한다고 명시되어 있는 것이 보통이다. 형법에서 규정한 실화(제170조), 과실치사(제267조)에 따른 처벌이 대표적이다. 개인정보보호법에서는 과실범을 처벌한다는 규정이 없으므로, 실수로 법률을 위반했다고 해서 형사처벌 대상이 되지는 않는다고 볼 수 있다.

최근 개인정보보호법에서 개인이 형사처벌을 받은 사건으로는 제59조(금지행위) 위반인 경우가 눈에 띈다. 특히 제2호와 제3호는 5년 이하의 징역 또는 5천만 원 이하의 벌금이 부과된다.
 

제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다. 1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위 2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위

다음은 제59조(금지행위) 제2호의 ‘누설 또는 제공’ 행위에 대해 형사처벌이 부과된 사례인데, ‘고의성’에 관한 법과 법원의 판단을 살펴볼 수 있다.

      • “밤 10시 현재” SNS에 야근 사진 올린 세무사…벌금+집유 왜", 2023.12.29

위 기사에 따르면, 자신이 야근하는 모습을 영상으로 촬영하여 SNS에 올린 세무사 A씨가 개인정보를 누설한 혐의로 2심에서 유죄 판결을 받았다. 그가 올린 영상을 정지한 뒤 확대하니 고객의 개인정보가 보였다는 이유에서다. A씨는 유출하려는 고의가 없었다고 주장했지만, 1심 재판부는 "A씨도 서류를 촬영해 게시하면 개인정보가 유출될 수 있다는 사실은 충분히 인지할 수 있었”다는 점을, 2심 재판부는 "A씨가 사건 이전에도 자기 사무실·업무서류·모니터 등을 계속 SNS에 노출했고, 인스타그램 메인 화면에도 게시한 점 등”을 근거로 “적어도 미필적 고의가 있었다”고 인정하면서 유죄 판결을 내렸다. A씨가 상고를 했으니 대법원의 판결도 지켜봐야겠지만 말이다.

      • 입주민 가족에 주소 알려줘도 개인정보법 위반, 2023.8.22

위 기사에 따르면(기사 제목과는 달리), “누구에게든지 집주소를 알려주지 말라”는 입주민의 부탁을 받은 아파트 경비원 B씨가 찾아온 입주민의 가족을 입주민의 집에 안내하여, 개인정보를 누설, 제공한 혐의로 유죄 판결을 받았다. B씨는 고의가 아니라고 주장했으나, 재판부는 그가 “주소정보를 누설, 제공한다는 점을 인식”했다며 고의성을 인정했다.

두 기사를 보면 이들 판결에서는 “충분히 인지”, “계속적으로 노출”, “누설, 제공한다는 점을 인식”한 점이 고의성 판단의 근거가 된 것으로 보인다. 우리가 흔히 “고의적”, “악의적”이란 말을 사용하는 것과는 좀 거리가 있다. 대법원의 판례에서 개인정보보호법 제59조 제2호의 개인정보 누설을 “아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위”로 정의한다는 점 역시 알아둘 필요가 있다(개인정보 보호 제71조 제5호, 제59조 제2호의 ‘누설’의 의미[대법원 2022. 11. 10. 선고 중요판결]).

제59조(금지행위) 제3호 역시 유의해야 할 규정이다. 2023년 3월 개정에서 제3호에 ‘이용’이 추가됐는데, 다음 사건이 ‘이용’이 추가된 계기가 됐다.

      • 수험생 개인정보 알아내 "마음에 든다" 연락한 수능감독관 무죄, 2019.12.20
      • 수능 수험생 연락처 알아내 “맘에 든다”…시험감독관 무죄→유죄, 2020.10.21

기사에 따르면, 수능시험장에서 수험생의 개인정보를 알아내 연락한 감독관에게 1심에서 무죄를 선고했다. 피고인의 행위가 부적절했지만, 기존 법 제59조 제3호에는 “이용”이 규정되어 있지 않아, 개인정보취급자인 감독관의 행위에 적용하지 못한다고 봤기 때문이다. 1심을 계기로 비판 여론이 일면서 제59조 제3호에 ‘이용’이 추가됐다.

2심에서는 1심과 달리 수능 감독관인 A씨가 개인정보보호법에서 규정한 ‘개인정보 처리자로부터 개인정보를 제공받은 자’에 해당하고, 제19조(개인정보를 제공받은 자의 이용·제공 제한)를 위반하여 제공받은 정보에 대한 범위를 초과해 이용했다고 봐서 유죄 판결을 내렸다.

이들 사례에서 제59조의 규제 대상인 “개인정보를 처리하거나 처리하였던 자”에 개인정보취급자는 물론이고, 개인정보취급자가 아닌 사람도 포함하는 등 법원에서 이 규정을 폭넓게 적용한다는 점 역시 주목할 필요가 있다.

‘누설죄’는 형법, 의료법 등 다른 법에도 있는 규정이다. 형법 제98조(간첩), 제113조(외교상기밀의 누설), 제127조(공무상 비밀의 누설), 제317조(업무상 비밀누설)에 누설에 따른 형사처벌을 규정하였다. 개인정보보호법의 ‘누설죄’와 비슷해 보이는 제317조는 다음과 같다.
 

제317조(업무상 비밀누설) ① 의사, 한의사, 치과의사, 약제사, 약종상, 조산사, 변호사, 변리사, 공인회계사, 공증인, 대서업자나 그 직무상 보조자 또는 차등의 직에 있던 자가 그 직무처리 중 지득한 타인의 비밀을 누설한 때에는 3년 이하의 징역이나 금고, 10년 이하의 자격정지 또는 700만원 이하의 벌금에 처한다. ② 종교의 직에 있는 자 또는 있던 자가 그 직무상 지득한 사람의 비밀을 누설한 때에도 전항의 형과 같다.

개인정보보호법의 제59조 규정과 비슷해 보이지만, 적용 대상이 나열된 직종에 한정되어 있고, 위반 시 3년 이하의 징역 또는 700만 원 이하의 벌금이 부과된다. 이와 달리 개인정보보호법의 적용 대상이 되는 조직과 직종, 직무는 매우 다양해서 해당 인력이 자신이 수행하는 개인정보 처리 업무의 중요성을 인식하지 못할 수 있다. 위 사례에서 형사처벌을 받은 분들이 그러한 처벌 규정이 있는지 알지 못했을 수도 있다.

IT운영, 소프트웨어개발, 마케팅, 고객지원 등 고객의 개인정보를 다루는 부서뿐 아니라 임직원의 개인정보, 협력업체, 주주, 기자, 프리랜서 등 외부인의 개인정보까지 다양한 부서가 개인정보를 다루는 기업에서도 상황이 크게 다르지 않을 것 같다. 개인정보보호 교육 등 다양한 방식으로 사내 인식을 높이기 위해 관련 부서와 경영진의 역할이 필요한 대목이다.

개인정보를 다루는 분들께는 다음과 몇 가지를 권해드린다.

• 업무를 하는 데 반드시 개인정보를 다룰 필요가 있지 않다면, 개인정보취급자가 되지 않겠다고 하는 것이 좋다. 개인정보취급자가 되더라도 특정한 화면과 항목만 열람만 할 수 있는 등 개인정보에 대한 접근 권한을 최소로 갖는 것이 바람직하다.
• 전·현직 개인정보취급자뿐 아니라 누군가의 개인정보를 “업무상 알게 된” 분들은 업무를 하지 않을 때는 개인정보에 관해서는 잊어버리는 것이 좋다. 친구나 지인을 만나 업무에서 다뤘던 개인정보 이야기는 아예 꺼내지 않아야 한다. 본인은 실수라고 여길 수 있지만, 법원의 판단은 다를 수 있다.
• 개인정보 처리 업무에 관한 법령을 공부하고, 사례를 들어 구체적으로 이해하려고 노력할 필요가 있다. 개인정보보호 담당 부서에 자신의 업무와 관련된 구체적인 개인정보보호 교육을 요청하고, 나아가 자신의 업무에 관한 여러 법령을 찾아보고 공부하는 것도 시도해 볼 만한 일이다. 웬만한 업무에는 해당하는 법령이 있다.

몇 가지 형사재판의 사례를 들어서 그렇지, 실제로는 몇 가지 원칙만 잘 지키면, 개인정보취급자가 법령을 위반할 일은 별로 발생하지 않는다. 개인정보취급자로 일하는 분들이 개인정보 보호 관련 법령 준수를 통해 개인정보를 보호할 뿐 아니라 자신도 보호하면서 업무를 해 나가시기 바란다.
 
* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다.
ciokr@idg.co.kr