데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 G-PRIVACY 2022가 3월 29일 더케이호텔서울 가야금홀에서 공공, 금융, 기업 개인정보보호 및 정보보안 실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

한국인터넷진흥원(KISA) 개인정보사고조사팀 김문호 책임연구원은 키노트 발표를 통해 ‘개인정보 유출 관련 법적 의무사항(개인정보 유출시 사업자가 반드시 알아야 할 사항)‘에 대해 설명하는 시간을 가졌다.

김문호 책임은 “개인정보보호 담당자는 개인정보라이프사이클 전과정에서 법 15조에서 34조까지 위반사항을 철저히 알아야 하고 전체적인 법체계에 대한 이해가 필수적”이라며 “사고 조사를 나가보면 담당자가 인지를 못해서 신고조차 못한 경우도 있고 법 위반사항에 대한 정확한 숙지도 안돼 있어 안타까운 경우들이 많다”고 전했다.

개인정보처리자는 5일 이내, 정보통신서비스제공자는 24시간 내에 정보주체에게 통지하고 유관기관에 신고의무가 있다. 자신의 조직이 어디에 해당되는지 모르는 경우 KISA 118로 전화해 상황을 설명하고 도움을 요청하면 상세한 상담도 받을 수 있다.

그는 “최근 5년간 개인정보 유출 사고는 1년에 160건 정도, 이틀에 한번꼴로 발생하고 있다. 사고 유형으로는 해킹이 62%로 가장 많았고 업무과실, 시스템오류, 고의유출 순으로 조사됐다”며 “해커로부터 협박을 받는 경우나 다크웹에 개인정보가 올라간 경우 등등 사고상황이 발생하면 KISA에 신속히 문의해서 대처방법을 명확히 숙지하고 대응해야 한다”고 조언했다.

개인정보 유출사고시, 담당자는 개인정보처리자, 정보통신서비스제공자 중 어디에 속하는지 알고 있어야 하고 거기에 맞게 통지, 신고를 해야 하며 이를 위반할 시 3천만원 이하의 과태료 처분을 받게 된다.

또 안전조치 의무를 다하지 않아 유출된 경우는 2년 이하의 징역 또는 2천만원 이하의 벌금, 5억원 이하의 과징금이 부과(주민등록번호가 유출된 경우)된다. 정보통신서비스제공자의 경우는 위반행위와 관련한 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과받을 수 있다.

끝으로 김문호 책임은 통지 시 주의사항을 설명하며 한가지 사례를 들었다.

똑같이 10만명 개인정보가 유출된 A기업, B기업 사례다. A기업은 연락가능한 항목에 휴대폰 번호와 이메일이 있었고, B기업은 휴대폰 번호, 이메일 그리고 집주소를 보관하고 있었다. 두 기업 모두 이메일과 휴대폰번호를 통해 1, 2차 유출 통지를 했고 결국 2만건은 반송처리됐다.

이때 A기업은 개인정보 통지를 완료한 것으로 보지만, B기업은 2만건에 대해 통지를 완료하지 않은 것으로 법은 판단한다. 이유는 B기업이 집주소를 가지고 있었기 때문이다. 즉 이메일과 휴대폰 번호로도 통지가 안된 정보주체들에게는 우편으로까지 통지를 해야 법적 처벌을 피할 수 있다는 것이다.

KISA 개인정보사고조사팀 김문호 책임연구원의 보다 상세한 강연내용은 아래 영상을 참조하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★