IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목[해킹 개인정보 유출 시 사업자 대응절차] 개인정보 유출 신고 및 통지 방법2017-12-27 10:09
작성자



http://m.fnnews.com/news/201708311643075241?utm_medium=social&utm_source=kakaoplus&utm_campaign=newsview

 

남양유업 홈페이지 회원정보 유출 피해가 빙산의 일각인 것으로 드러났습니다. 한국인터넷진흥원(KISA)에 따르면, 해커는 남양유업뿐만 아니라 총 20개 기업의 개인정보도 함께 탈취한 것으로 알려져 피해 규모가 훨씬 더 늘어날 것으로 전망되는데요.

 

총 피해규모는 3천만 건 정도로 추산되고 있으며, 아직 개인정보 해킹 경로를 모두 확인하지 못해 개별 피해기업을 공표하지 못한 것으로 알려졌습니다. 한 보안업계 관계자는 검거된 해커가 이미 개인정보를 마케팅 회사 등을 통해 판매했을 가능성이 커 2차 피해 가능성도 높다는 예측을 내어놓기도 했습니다.

 

 

개인정보 유출 사건이 발생할 경우, 사업자 입장에서는 우선 손해배상이 인정될 사안인지가 가장 궁금하실 겁니다. 개인정보보호법에 법정손해배상제도가 도입되면서 유출 피해자가 손해액을 입증하지 않아도 300만원 내에서 손해배상을 청구할 수 있게 된 데다, 실제로 피해를 배상하라는 판결이 점점 나오고 있기 때문인데요.

 

뿐만 아니라 정부가 마련한 개인정보 유출 대응 매뉴얼상 사후 대응절차를 준수하지 않을 경우 과징금·과태료가 부과될 수 있기 때문에, 유사시 사업자는 매뉴얼에 따라 신속하고 책임감 있게 대응할 의무가 있다는 점을 명심하여야 합니다.

 

 

http://blog.naver.com/it-is-law/221086508778

 

지난 포스팅을 통해, 개인정보 유출사고 발생 시 사업자 대처 방안에 대해 간략히 말씀드린 바 있습니다. 크게 네 가지 순서로서 1) 개인정보 유출 신속대응체계 구축, 2) 유출 원인 파악 및 추가 유출 방지 조치, 3) 개인정보 유출 신고 및 통지, 4) 이용자 피해구제 및 재발방지 대책 마련의 순서로 대처해야 하며, 간단히는 내부팀 구성 원인 파악 신고 및 통지 피해구제라고 하겠는데요.

 

이어지는 오늘 포스팅에서는 추후 사업자가 얼마나 성실히 대응했는지 평가하는 데 가장 핵심잣대라 할 수 있는 개인정보 유출 신고 및 통지가 어떤 방식으로 이뤄져야 하는지 상세히 다루도록 하겠습니다.

 

우선 개인정보 유출 사실을 알게 된 경우, 즉시(24시간 이내) 해커 등 유출자 검거를 위해 경찰청 사이버수사국에 수사 요청하고, 과학기술정보통신부·한국인터넷진흥원에 침해사고 신고 및 방송통신위원회·한국인터넷진흥원에 개인정보 유출 신고를 해야 합니다.

 

아울러 유출된 개인정보로 인해 추가 피해가 발생하지 않도록, 개인정보 유출 사실을 안 후 즉시(24시간 이내) 해당 이용자에게 개인정보 유출사실을 통지해야 합니다.

 

(1) 침해사고 신고

 

1) 경찰청(사이버안전국) 수사 요청

개인정보 유출로 인한 피해를 막기 위해서는 해커 등 개인정보 유출자 검거 및 개인정보 회수를 위한 조치가 선행되어야 합니다. 따라서 개인정보 유출사실을 알게 된 경우에는 즉시 경찰청 사이버안전국에 범인 검거를 위한 수사를 요청하고 유출된 개인정보 회수를 위한 조치를 실시해야 합니다.

 

http://cyberbureau.police.go.kr/index.do

 

2) 과학기술정보통신부·한국인터넷진흥원(인터넷보호나라) 침해사고 신고

 

개인정보 유출사실을 알게 된 경우 유출 규모에 관계없이 즉시(24시간 이내) 개인정보 유출사실을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 합니다. 신고는 방송통신위원회와 한국인터넷진흥원 운영 중인 개인정보보호 포털또는 전화, 팩스, 이메일, 우편 등을 통해 할 수 있으며 ,구체적인 내용이 확인되지 않은 경우에는 그때까지 확인된 내용을 중심으로 우선 신고하고, 추가로 확인되는 내용은 확인되는 즉시 신고하여야 합니다. 만약 구체적 사실관계 파악을 이유로 신고를 지연한다면 개인정보보호법상 3천만 원 이하의 과태료가 부과될 수 있습니다.

 

개인정보 유출 신고를 할 때에는 유출된 개인정보 항목, 유출이 발생한 시점, 이용자가 취할 수 있는 조치, 정보통신서비스 제공자등의 대응조치, 이용자가 상담 등을 접수할 수 있는 부서 및 연락처를 명시해야 합니다.

 

https://www.i-privacy.kr/servlet/command.user4.IndexCommand

 

3) 개인정보 유출 통지

 

개인정보 유출 시 침해사실을 인지한 시점으로부터 즉시(24시간 이내) 개인정보 유출사실을 이용자에게 통지해야 합니다.

 

온라인의 경우 유출된 개인정보의 확산 속도가 빨라 피해가 가중될 수 있으므로 먼저 파악한 유출사실을 신속하게 통지하여 추가피해를 방지하는 것이 가장 중요합니다. 구체적인 내용이 확인되지 않은 경우에는 그 때까지 확인된 내용을 우선 개별 통지하고, 추가로 확인되는 내용에 대해서는 확인되는 즉시 개별 또는 홈페이지를 통해 신속히 통지해야 합니다. 이때 역시, 구체적 사실관계 파악을 이유로 이용자 통지를 지연한다면 개인정보보호법상 3천만 원 이하의 과태료가 부과될 수 있습니다.

 

만약 유출된 개인정보가 대규모여서 24시간 이내에 전체 통지가 기술적으로 불가능하다면, 우선 홈페이지 팝업창 등을 통해 방문하는 이용자가 모두 알 수 있도록 현재까지 파악된 유출사실을 게시한 후 개별 통지를 병행해야 합니다.

 

< 남양유업 캡쳐 >

 

통지 시에는 유출된 이용자 수, 유출된 개인정보의 유형에 관계없이 유출 통지 절차를 운영해야 합니다. 이때 이용자가 실제로 확인 가능하도록 이용빈도가 높은 방법, 대표적인 예로 휴대전화 및 문자를 우선 활용하여 통지하는 것이 바람직하며 이용자의 연락처를 알 수 없는 등 정당한 사유가 있어 통지가 불가능한 경우에는 자사 인터넷 홈페이지에 30일 이상 게시하여 접속하는 이용자가 모두 알 수 있도록 유지해야 합니다.

 

그 외 천재지변이나 그 밖의 정당한 사유로 홈페이지 게시조차 곤란한 경우에는 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고해야 합니다.

 

마지막으로 홈페이지 등을 통해 개인정보 유출사실을 개별적으로 확인할 수 있는 절차를 마련하여 운영해야 합니다. 다만 본인확인을 명목으로 주민등록번호를 입력하도록 유도하는 것은 인터넷 상 주민번호 사용 제한에 반할 수 있음을 유의해야 합니다.

 

 

서두에 말씀드렸듯 개인정보 유출 사건이 발생한 뒤 2차 피해로 이어진다면 사업자는 손해배상 책임을 지게 될 수 있으며, 개인정보보호법 제34조제1항에 규정된 개인정보 유출 통지의무 위반 시 3천만 원 이하의 과태료, 34조제3항에 규정된 조치 결과 신고의무 위반시 3천만원 이하의 과태료가 부과됩니다. 따라서 개인정보 유출 대응 매뉴얼을 반드시 준수하여 대응하시기 바랍니다.

 

이어지는 포스팅에서는 이용자 피해구제 및 재발방지 대책에 대해 상세하게 알아보도록 하겠습니다.