내 개인 정보가 어디선가 유출된다?

김우성 입력 2022. 8. 9. 19:39
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

■ 방송 : YTN 라디오 FM 94.5 (17:20~17:30)

■ 진행 : 이승우 변호사

■ 방송일 : 2022년 8월 9일 (화요일)

■ 대담 : 이조양 변호사

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.

내 개인 정보가 어디선가 유출된다?

◇ 이승우 변호사(이하 이승우)> 안녕하세요. 이승우입니다. 각종 사건 사고에서 여러분을 구해드리겠습니다. 사건 파일 오늘 주제는 '개인정보 유출 사건'입니다. 제가 운영하는 로펌에도 개인정보 보호 담당관이 임명되어 있는데요. 사건 기록과 내부 작성 문서를 관리하도록 하고 있습니다. 기업이 관리하는 개인정보의 보호, 그리고 유출 방지 문제는 정말 심각하고 또 중요한 업무입니다. 그와 관련돼서 과징금 문제 법무법인 법승 수원사무소 이조양 변호사와 함께 알아보도록 하겠습니다. 안녕하세요. 변호사님.

◆ 이조양 변호사(이하 이조양)> 안녕하십니까 이조양입니다.

◇ 이승우> 개인정보보호위원회가 2020년에 개소했는데, 이제 변호사님께서 그곳에서 근무를 하셨던 경험이 있으시죠?

◆ 이조양> 네 맞습니다. 작년까지 근무했었습니다.

◇ 이승우> 개인정보 보호와 관련된 내용들을 굉장히 잘 알고 계실 텐데, 우리나라에서도 개인정보 보호와 관련된 관심은 해가 다르게 높아지고 있고요. 관련 법률 제도, 이제 그런 부분을 좀 본다면 아직까지는 좀 부족하지 않나, 이런 생각이 많이 드는데. 어떻습니까?

◆ 이조양> 지난 2020년에 개인정보보호위원회가 출범한 이후에 개인정보 관련 법률 및 제도를 개선하고 해외 법제와 맞춰 나가기 위한 노력이 꾸준히 이루어지고는 있습니다. 개인 정보는 크게 활용의 측면과 규제의 측면으로 크게 나누어지고 있는데 그 적절한 균형의 지점에 대해서 개인정보보호위원회에서도 지속적으로 고민하여 최근 개인정보보호법의 개정을 진행하기도 하였습니다. 그러나 개인 정보의 관심과 중요성에 비해 개인정보 관리에 대한 인식이 미흡하다는 평가가 일각에서 제기되고 있습니다. 개인정보보호위원회는 개인정보 안전성 확보조치 기준 등을 마련하여 개인정보가 분실, 도난, 유출 등이 되지 아니하도록 안전성 확보에 필요한 최소한의 기준을 정하여 고시하고 있습니다.

◇ 이승우> 변호사님 뉴스에서 제가 봐도 어느 쇼핑몰이다. 어느 회사다, 대형 큰 업체들, 중소업체들 이렇게 업체에서 개인 정보가 유출됐다, 이런 보도가 아주 종종 나옵니다. 이런 사건이 벌어진 후에 벌금, 손해배상. 이건 보통 어떻게 진행됩니까?

◆ 이조양> 개인정보 유출 사고가 발생할 경우에 기업들은 개인정보보호법에 따라서 개인정보보호위원회 및 한국인터넷진흥원에 신고하도록 되어 있습니다. 신고를 접수한 기관 같은 경우는 이를 조사해서 개인정보보호법에서 정하는 안전성 기준 등이 미비되었다고 판단할 경우에 과징금 과태료 또는 형사고발 조치를 취하게 됩니다. 또한 유출된 개인정보의 주체들, 이분들은 기업을 상대로 민사 손해배상을 별도로 진행하거나 개인정보보호위원회의 분쟁조정위원회에 분쟁 조정을 신청하여 구제받을 수 있습니다. 그러나 현실적으로 현재 개인 정보 안전성 기준을 충분히 준수하고 대비하는 사업체가 많지 않다 보니 어떤 경로를 통해서든 한 번 유출이 된 이상 개인정보보호법에서 정하는 안전성 확보조치 기준 위반으로 과징금 과태료 및 민사소송의 대상이 되는 경우가 많습니다.

◇ 이승우> 네, 이런 개인정보 유출 사건 계속 벌어지는 이유가 뭘까요? 불법적으로 얻은 개인 정보로 수익을 얻는다든지 범죄에 이용한다든지. 이런 목적 외에 또 다른 목적들이 있습니까?

◆ 이조양> 일반적으로는 회사 개인정보 담당관의 실수로 유출되는 경우가 제일 많고, 두 번째의 경우에는 해커들에 의해서 이루어지고 있습니다. 해커들은 회사의 서버를 해킹하여 개인 정보를 탈취하고 회사에게 돈을 요구하며 협박을 하기도 합니다. 최근에는 삼성 이랜드 등의 그런 대기업에 대해서 해커가 개인 정보를 탈취한 후, 수백억 원의 가상화폐를 요구하는 사건도 있었습니다.

◇ 이승우> 그럼 오늘 변호사님이 준비해오신 사건으로 가볼까요. 어떤 사건입니까?

◆ 이조양> 가장 최근 개최된 22년 7월 13일자 개인정보 보호위원회에서는 의류 및 육아 쇼핑몰을 운영하는 쇼핑몰 브랜디에 대해 과징금 3억8,900만 원과 과태료 780만 원을 부과하기로 결정하였습니다. 발표 내용에 따르면 한 해커가 알 수 없는 방법으로 이 회사의 클라우드 서비스 관리자 접근 권한을 취득합니다. 이를 통해 이 해커는 개인정보 처리 시스템에 접근하여서 약 600만 건의 고객 정보를 유출합니다. 해커가 해킹하는 것까지 어떻게 막을 수 있느냐, 라고 반문하실 수 있으시겠으나 이러한 사정은 추후에 과징금 산정의 감경 요소로 작용할 뿐이고, 그 과정에서 개인 정보 안전성 확보 조치 기준 미흡이 발견될 경우 과징금은 피할 수 없는 것이 현실입니다.

◇ 이승우> 그렇군요. 개인정보 보호와 관련해서 개인정보보호법에서는 주요 규정들을 어떻게 정하고 있습니까?

◆ 이조양> 개인정보보호법 제39조 15호에 따르면 현재는 과징금 부과 시 유출 부문 관련 매출액의 3% 이내로 정하도록 하고 있습니다. 그러나 현재는 이를 개정하여서 유럽의 기준과 같이 전체 매출액의 3%로 바꾸는 안이 국회에 계류되어 있습니다. 따라서 앞으로 개인정보 유출에 대해서 더욱 신경 쓰셔야 할 이유가 될 것으로 보입니다. 그리고 다른 특이사항으로는 개인정보보호법은 민사 손해배상에 있어서도 정보 주체의 권리 보장을 위해 입증 책임의 전환 규정을 두고 있습니다. 이는 개인 정보 내부 처리 시스템에 접근할 수 없는 정보 주체의 권리 보장을 위해서 존재하는 규정인데요. 일단 손해배상이 제기될 경우 사업자는 자신의 무과실을 입증하지 아니하는 한 손해배상 책임을 지게 되는 것으로 일반 민사 손해배상과 차이가 있습니다.

◇ 이승우> 그렇다면 손해배상 금액은 보통 어느 정도를 법원에서 책정하고 있습니까?

◆ 이조양> 통상적으로는 1인당 약 10만 원에서 30만 원 선에서 인용이 되고 있습니다. 비슷하게 개인정보 보호위원회 내에 있는 분쟁조정위원회의 통상적인 권고안도 이와 비슷한 수준에서 인정이 되고 있는데, 그러나 말씀드린 바와 같이 유출 건수가 1만 명 또는 10만 명만 된다 하더라도 그 규모는 상상을 초월하기 때문에 이에 대해서 철저한 준비가 필요하실 것으로 보입니다.

◇ 이승우> 그러면 오늘 사건에 담긴 법적 포인트를 한 줄로 정리하고 실제 법적 대응과 자문 이어가도록 하겠습니다. 청취자 여러분들께서는 개인정보 보호 담당관 또는 개인정보 보호 담당 부서의 업무에 대해서 잘 알고 계신가요? 자 우리 개인정보호보호법의 법 제도와 개인정보 보호의 현실은 약간 문화적 지체가 존재하는 상태에 있는 것 같습니다. 개인 정보를 어떻게 관리해야 하고 접근 권한을 어떻게 관리해야 하며 보관된 개인정보를 일정 기간 경과 후에 어떻게 폐기하고 익명화해야 되는지 등의 업무가 반복적, 체계적으로 진행되어야 합니다. 공공기관은 물론 민간기업도 개인정보 보호의 계획과 수립, 시행 이것이 필요하고요. 개인정보 처리 실태와 관행에 대한 정기적인 조사, 그리고 개선이 필요합니다. 개인정보 처리와 관련된 불만의 처리, 그리고 피해 구제도 필요하고요. 개인정보 유출 및 오남용 방지를 위해서 내부의 통제 시스템을 구축해야 하는 의무도 있습니다. 개인정보 보호 교육 계획의 수립, 그리고 그 교육 계획에 따른 시행, 또 개인정보 파일의 보호 및 관리 감독. 이런 것들도 다 지켜져야 됩니다. 또한 처리 목적이 달성되었거나 보유 기간이 지난 개인 정보의 파기, 폐기도 질서 있게 이루어져야 하는 것이라는 점, 우리 모두 기억하고 실천해 나가야 될 것 같습니다. 오늘 개인정보 유출 사건에 대해서 자세하게 다뤄봤는데요. 변호사님 우리나라 개인정보 관리 부족한 부분이 많이 있겠죠? 그런데 그중에서도 법적으로 보완할 부분, 어떤 부분이다라고 보십니까.

◆ 이조양> 오늘 드리는 제 이야기의 요지는 개인정보의 유출 자체를 막을 수 있다는 것을 말씀드리고자 하는 것은 아닙니다. 최근 EU는 한국의 개인정보 보호 업체의 수준이 자신들이 요구하는 수준과 동일한 수준임을 확인하였고, 이를 통해 한국과 유럽의 개인 정보 교류가 더욱 활성화될 수 있게 되었습니다. 그러나 이 과정에서 개인정보보호법 개정안에는 EU가 유출 사고 시 결정하는 과징금 수준인 전 세계 매출액의 4%와 비슷한 수준으로 전체 매출액의 3% 수준으로 상향하는 내용이 제안되었고, 현재 이는 국회에 계류 중에 있습니다. 이처럼 국가 간 개인정보 이동 및 교류의 필요성이 증대됨에 따라서 타국 간의 개인정보 보호법제 수준을 맞추는 작업이 앞으로 예상되고, 그 과정에서 개인 정보의 활용 및 이용 가능성은 확대되지만 이에 따른 책임의 정도가 더욱 커질 것으로 보입니다. 그러므로 개인 정보를 이용하는 사업주께서는 이와 같은 상황을 인지하시고 개인정보 보호 체계 등을 사전 점검하고 이에 관한 유출 대응 시스템을 반드시 미리 갖추시기를 권유드립니다.

◇ 이승우> 지금까지 이조양 변호사와 함께 했습니다. 오늘 말씀 고맙습니다.

◆ 이조양> 네 감사합니다.

◇ 이승우> 생활 속 법률 히어로 이승우 변호사였습니다. 내일도 사건에서 여러분들을 구해드릴 사건 파일 함께 열겠습니다.

YTN 김우성 (wskim@ytnradio.kr)

[저작권자(c) YTN 무단전재 및 재배포 금지]

이 기사에 대해 어떻게 생각하시나요?