개인정보유출 66% `안전장치 미흡`

차윤호 KISA 개인정보조사단장이 지난 4일 광화문 HJBC에서 '개인정보 유출사고와 판례로 본 주요 쟁점'에 대해 발표하고 있다. KISA 제공

"현행 개인정보 안전성 확보조치 기준에는 기업 등 개인정보처리자가 지켜야 할 최소한의 의무만 규정됐다. 현재 판례에선 사회통념상 합리적으로 기대 가능한 보호조치까지 다 했는지 보고 있다."

차윤호 KISA(한국인터넷진흥원) 개인정보조사단장은 최근 기자들과 만나 '개인정보 유출사고와 판례로 본 주요 쟁점'에 대해 이같이 설명했다. 개인정보보호법에 따라 규정된 '개인정보 안전성 확보조치 기준' 고시 내용 준수가 개인정보 처리를 위한 필요조건일 뿐, 개인정보 유출사고에 대한 법적 책임까지 더는 충분조건은 아니란 의미다.

지난해 개인정보보호위원회에서 개인정보보호법 위반으로 의결된 사례 중 66%가 안전조치 의무 위반 행위였다. 유출·통지(16%), 미파기(10%), 동의(9%) 등 의무 위반보다도 훨씬 높은 비중을 차지했다. 개인정보 안전조치에서 △저장·전송 시 암호화(25%) △접속기록 보관·점검(22%) △공개·유출 방지 조치(19%) △접근권한 관리(15%) △처리시스템 접속 시 안전한 인증수단 적용(13%) △침입차단·탐지 시스템 설치·운영(6%) 순으로 위반 사례가 많았던 것으로 나타났다.

KISA에 따르면 최근 판례에선 이 가운데 개인정보 공개·유출 방지 조치, 침입차단·탐지 처리시스템, 개인정보 처리시스템 접속·인증수단 등에 대한 의무위반 여부가 쟁점으로 다뤄졌다. 개인정보 공개·유출 방지 조치의 경우 내부적 부주의뿐 아니라 해킹 등 외부의 불법적인 접근도 방지하는 목적으로 갖춰야 한다고 판시됐다. 이에 해당하는 개인정보처리시스템에는 개인정보가 담긴 DB(데이터베이스)뿐 아니라 이와 연동돼 처리과정에 관여하는웹서버 등도 포함된다.

정보보호를 위한 침입차단·탐지 시스템은 사이버공격에 합리적인 수준으로 대응할 수 있다면 유료 제품이나 특정 인증을 받은 솔루션이 꼭 요구되진 않는 것으로 판단됐다. 다만 설치뿐 아니라 운영에 대한 의무도 부과되므로, 개인정보처리자가 이를 활용해 충분히 대응할 수 있었음에도 하지 않았거나 정기적인 점검 등에 소홀했다면 책임을 면하기 어렵다. 마지막으로 개인정보처리자가 외부에서 개인정보처리시스템에 접속할 경우 다중인증(MFA) 등을 통해 최초 접속 때와 같은 방법으로 매번 접속하도록 하고, 최대 접속시간도 제한돼야 한다.

개인정보 유출사고 관련 판례에서는 △해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안 기술 수준 △업종·영업 규모와 취하고 있는 전체적인 보안조치 내용 △정보보안에 필요한 경제적 비용 및 효용 정도 △해킹기술 수준과 보안기술 발전 정도에 따른 피해발생 회피 가능성 △수집한 개인정보 내용과 사회통념상 합리적인 으로 기대 가능한 정도 보호조치 등을 기준으로 의무위반 여부를 가늠했다.

이런 판단기준은 글로벌 빅테크들이 포진하고 소송문화도 활성화된 미국도 크게 다르지 않다. 매일 쏟아지는 수많은 사이버공격을 모두 완벽히 막아내기란 현실적으로 불가능하므로, 법정에선 개인정보 유출사고 등 발생 시 해당 업체가 고객을 위해 '상업적으로 합리적인' 조치를 취했느냐를 주로 따진다.

차 단장은 "개인정보 안전성 확보조치 기준 고시가 과거엔 구체적인 내용을 담다 보니 법원에서도 개인정보처리자가 이를 다 지켰으면 임무를 다한 것으로 봤다. 그러나 고시 개정 이후 필요 최소한의 조치를 규정하는 방향으로 바뀐 만큼 이를 염두에 둬야 한다"며 "기술적인 보호조치도 한번 했다고 끝나는 게 아니라 체계적으로 관리·운영하면서 지속적으로 개선해야 한다"고 덧붙였다.팽동현기자 dhp@dt.co.kr