(스타트업·벤처기업 소송/자문⓾) 내부직원에 의해 개인정보가 유출됐을 때, 스타트업이 해야할 대응조치는?

일반소송ㅣIT/미디어/과학기술 분야 법률자문ㅣ선거관련 소송/ 자문ㅣ김영란법 자문/강의ㅣ입법사항(법제도) 개선

일반소송ㅣIT/미디어/과학기술 분야 법률자문ㅣ
선거관련 소송/ 자문ㅣ김영란법 자문/강의ㅣ
입법사항(법제도) 개선

일반소송

일반소송


제목	(스타트업·벤처기업 소송/자문⓾) 내부직원에 의해 개인정보가 유출됐을 때, 스타트업이 해야할 대응조치는?2017-06-19 17:23
작성자	효승 손
http://www.boannews.com/media/view.asp?idx=53829&kind=4 드라마 ‘미생’ 첫 회에 이런 장면이 나옵니다. 내부문서 보안에 각별히 주의하라는 지시가 떨어져있던 상황에서 최전무(이경영 분)가 마침 회사 로비 바닥에 떨어져 있는 내부문서를 발견했고, 그 문서를 흘린 것으로 오해받은 낙하산 인턴사원 장그래(임시완 분)가 출근 첫 날부터 오차장(이성민 분)에게 호되게 혼이 나는 장면이었는데요. 비록 다른 인턴사원의 실수였다는 게 극 후반부에 드러났지만, 오차장은 고민 끝에 진실을 덮기로 결정합니다. 태어난 지 얼마 안 된 아이가 있는 가장 인턴사원이 이런 큰 실수를 했다는 사실이 드러난다면, 이미 확정된 본사 발령은 물론 인사상 어떤 불이익을 받을지 걱정이 앞섰기 때문이죠. 스타트업이나 대기업이나 내부정보 보안은 이처럼 중대한 문제입니다. http://blog.naver.com/it-is-law/220990549076 지난 포스팅을 통해, 외부 해킹에 의해 개인정보가 유출되었을 때 스타트업이 해야 할 대응조치와 기술지원 혜택에 대해 알려드린 바가 있습니다. 시스템 일시정지, 이용자 및 개인정보취급자 비밀번호 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등 긴급조치를 시행하되, 기술력·인력 등의 한계로 자체 긴급조치가 어려운 스타트업 업체라도 한국인터넷진흥원 기술지원 요청을 통해 긴급조치가 가능하다는 것이 요지였는데요. 과거 주로 대기업을 노렸던 해커들이 상대적으로 보안이 취약한 O2O(온·오프라인 연계)서비스 해킹에 눈독을 들이면서, 방대한 개인정보를 다루는 O2O 스타트업 업계엔 단 한 번의 사고로 회사가 망할 수도 있다는 불안감이 확산되고 있습니다. 그러나 스타트업이 걱정해야 할 것은 외부의 적뿐만이 아닙니다. 약 200개 기업의 임원들을 대상으로 한 조사에 의하면, 다수의 기업이 중요문서 등을 사고로 유출시킨 경험이 있는 것으로 나타났으며, 절반 가량은 회사 내 문서 보안에 대한 특별한 규정이 존재하지 않는다고 답해 정보 유출 문제가 근본적으로 심각하다는 게 드러나기도 했습니다. http://www.ebn.co.kr/news/view/874484 또한 내부자의 소행에 의한 기밀정보 등 유출사건도 기승을 부리고 있습니다. 주로 기업 기밀을 잘 알고 있는 내부자가 퇴직이나 이직을 고려할 때 정보 유출을 시도하고 있으며, 만약 핵심기술 유출로 이어지기라도 한다면 기업은 돌이킬 수 없는 피해를 입게 될 텐데요. 특히 방대한 개인정보 자체가 기밀이자 재산인 O2O 스타트업 업계는 내부자 유출 가능성에 대비하는 한편, 유출사고 발생 시 어떠한 사후조치를 해야 하는지 미리 알아둘 필요가 있습니다. 회사의 존립을 위해서는, 호미로 막지 못한 일을 가래로라도 막아야 할 테니까요. 개인정보 유출 대응 매뉴얼에 따르면 개인정보 유출사고 발생 시, 우선 유출 원인을 파악한 후 추가 유출 방지를 위해 유출 원인 별 보호조치를 실시해야 합니다. 그 중 내부자 유출의 경우, 우선 개인정보를 유출한 내부자가 개인정보처리시스템에 접속한 이력 및 개인정보 열람·다운로드 등 내역을 확인하여야 하는데요. 그 다음으로 개인정보 유출자의 개인정보처리시스템에 대한 접근형태가 정상인지 비정상인지 여부를 확인하고, 비정상적인 접속인 경우 우회경로를 확인하여 접속을 차단하여야 합니다. 이후 개인정보취급자의 개인정보처리시스템 접속계정, 접속권한, 접속기록 등을 검토하여 추가적인 유출 여부까지 확인해야 하는데요. 최종적으로는 개인정보 유출에 활용된 단말기(PC, 스마트폰 등)와 매체(USB, 이메일, 출력물 등)를 회수하고, 경찰 등 수사기관과 협조하여 유출된 개인정보를 회수하기 위한 모든 방법을 강구하여야 합니다. http://blog.naver.com/it-is-law/220985047474 다만 이때, 개인정보를 유출한 내부직원의 업무용 이메일 비밀번호 등을 미리 수집해두고 사고 대응이나 수사 시에 이용한다면 또 다른 개인정보 침해 문제가 발생할 수 있습니다. 원칙적으로 개인정보보호법은 개인정보를 수집할 때 정보주체의 동의를 받은 뒤 수집 목적의 범위에서 이를 이용하도록 정하고 있으며, 이를 제3자에게 제공할 때에는 별도의 동의를 받도록 정하고 있는데요. 따라서 회사 측은 근로자와 근로계약을 맺을 시 개인정보의 수집·이용 목적과 항목을 명시한 동의서를 받아둘 필요가 있을 것이며, 만약 그렇지 않다 해도 개인정보보호법상 예외사유인 범죄의 수사, 공소의 제기 등을 위해 필요한 경우에는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있습니다. 또한 이미 발생한 사고라 할지라도 수습이 제대로 되지 않는다면 또 다른 부담을 질 수 있습니다. 특히 개인정보 유출사고 시, 대응조치를 얼마나 충실히 수행했는지 정도에 따라 추후 방송통신위원회 과징금·과태료 세부 부과 금액이 결정된다는 점을 유념하셔야 할 것입니다. < 관련 조항 >

이전	[공공기관 법률자문 사례] 자체감사 대상 직원의 업무용 메일 열람 시, 개인정보 수집 동의가 필요한지?	효승 손	2017-06-19
-	(스타트업·벤처기업 소송/자문⓾) 내부직원에 의해 개인정보가 유출됐을 때, 스타트업이 해야할 대응조치는?	효승 손	2017-06-19
다음	(스타트업·벤처기업 소송/자문⓽) 해킹에 의해 개인정보가 유출됐을 때, 스타트업이 해야 할 대응조치와 기술지원 혜택은?	효승 손	2017-06-19