[논현논단_테크의 바른 법] 더이상 남 얘기 아닌 ‘개인정보 유출’

보안회사도 예외없어⋯전방위 노출
기업 과실·위법에 처벌 강도 높아져
유출 시 대응 매뉴얼 사전에 갖춰야

최근 SK텔레콤, 쿠팡 등 충분한 자원을 투입하여 보안 설비와 절차 등을 갖추었을 것으로 신뢰받던 대기업들에서도 개인정보 유출 사고가 발생했다. 이 외에도 통신, 플랫폼, 금융뿐만 아니라 결혼정보회사, 보안 전문기업까지도 개인정보 유출 위험에 전방위적으로 노출되고 있다. 게다가 미토스 쇼크 등 고성능 인공지능(AI)을 악용한 해킹 위협이 커지면서 이에 대한 대응 방안이 보다 중요해지고 있다.

이러한 상황에서 기업은 개인정보 유출에 대한 대응 방안뿐만 아니라 유출 이후의 대응 절차도 미리 준비할 필요가 있다.

기업이 개인정보 유출을 알게 되는 경로는 크게 세 가지다. 내부 모니터링을 통한 인지, 경찰·한국인터넷진흥원·개인정보보호위원회(이하 ‘개보위’) 등 관계기관의 통지, 그리고 해커 등으로부터의 연락이다. 이러한 경로를 통해 개인정보의 유출 또는 유출 가능성을 인지했다면 가장 먼저 해야 할 조치는 유출 경로를 차단하고 유출된 개인정보의 비공개 또는 삭제 조치를 하는 등 추가적인 유출을 방지하는 것이다.

이러한 추가적 유출 방지 조치는 개보위 등에 대한 신고와 병행하여 이루어질 필요가 있다. 또한 긴급 조치가 완료되는 대로 관련 법령에 따라 정보주체에게도 해당 사실을 통지해야 한다.

긴급 조치를 했다면 다음으로는 구체적인 사건 원인의 분석 및 유출 규모의 확인을 해야 하며, 재발 방지를 위한 조치 또한 진행해야 한다. 일반적으로 개보위 등에서 유출 신고를 접수하면 개보위와 한국인터넷진흥원은 현장조사를 포함하여 유출에 대한 조사를 진행하게 되고, 기업은 원인 분석 등을 위한 자료 등의 제출 요청을 받게 될 것이다.

그런데 개보위 등이 요청하는 자료들은 이후 기업의 과실이나 귀책 등을 판단함에 있어 중요한 자료가 되므로, 자료를 요청하는 의도나 목적을 파악한 뒤, 법적으로 적절한 자료와 설명을 제출하는 것이 특히 중요하다. 그러므로 개인정보 유출이 발생했을 시점부터 변호사 등 전문가의 조언을 받는 것이 좋다.

조사가 완료되면 처분 전 개보위는 위법 행위에 대한 사전통지를 한다. 사전통지에는 처분의 원인 사실 및 처분 내용만 기재되어 있을 뿐 구체적인 과징금이나 과태료 액수가 기재되어 있지 않은 경우가 보통이다. 그러므로 사전통지를 받게 되면 의견제출서 등을 통해 처분 원인의 타당성 및 과징금, 과태료 등의 감경 사유에 대해 적극적으로 의견을 개진하여야 한다.

특히 과징금의 경우에는 기업의 전체 매출액에서 위반행위와 관련이 없는 매출액(개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 등)을 제외한 매출액을 기준으로 최대 3%(2026년 9월 11일 시행될 개정법에서는 고의 또는 중대한 과실에 의한 경우 정보주체의 피해 규모 등이나 반복 행위 등 특정 요건을 충족하는 경우 10%까지 과징금을 부과할 수 있다)까지 부과할 수 있다.

따라서 위반행위와 관련없는 매출액을 인정받는 것이 매우 중요하다. 더구나 개보위는 위반행위와 관련이 없는 매출액 인정에 대해 보수적인 경우가 많고, 사실상 위반행위와 관련이 없다는 점에 대해서는 기업이 입증을 해야 하므로 전문가의 조력이 필요한 영역이다.

이러한 사전통지 및 의견 진술 이후에는 개보위의 담당 부서에서 최종 의견을 정리하게 되며, 개인정보보호위원회 심의, 의결을 통해 과징금 및 과태료 부과, 시정조치 명령, 공표명령 등이 이루어지게 된다. 기업이 이러한 개인정보보호위원회의 처분에 이의를 제기하고자 하는 경우에는 법원에 처분취소의 소 및 집행정지 신청을 할 수 있다.

마지막으로 짚고 싶은 점은 개인정보 유출이 발생한 기업 또한 피해자로 볼 여지가 있다는 점이다. 대부분의 개인정보 유출은 해킹이나 제3자의 고의 유출 등 범죄행위로 인해 발생한다. 이런 경우 기업 역시 신뢰 하락, 시스템 복구, 보상, 과징금 등의 피해를 입는다는 점에서 피해자라고 볼 수 있을 것이다.

그럼에도 불구하고 유출 발생 시점부터 과징금 처분에 이르기까지 기업이 피해자로서의 보호보다는 책임 주체의 지위에서 조사 등을 받게 된다는 점은 한 번쯤 고민해봐야 하는 대목이다.

물론 보안이나 관리를 소홀히 한 기업의 책임을 회피하거나 옹호하기 위한 입장에서 논의가 필요하다는 이야기를 하고자 하는 것은 아니다. 다만 기업과 정보주체 모두가 피해자라는 인식하에서 문제를 해결하고자 하는 노력이 필요하다는 시각도 있음을 함께 고려해 볼 만하다.