[월간비트 6월호] 잇따르는 개인정보 유출 사고, 기업이 지금 준비해야 할 조치는?

SKT·예스24·디올까지… 대규모 유출 사고 속, 기업의 예방·대응·법적 책임 총정리

2025. 6. 19.

지난 4월 발생한 SKT의 대규모 개인정보 유출 사건은 두 달이 지난 지금까지도 사회 전반에 큰 영향을 미치며, 개인정보 보호의 중요성을 다시금 환기시키고 있습니다.
사고의 피해가 모두 수습되기도 전인 이달 9일에는 국내 최대 규모의 온라인 서점 예스24에서도 개인정보 유출 사고가 발생하였습니다. 이뿐 아니라 명품브랜드 디올과 티파니, 까르띠에에서도 개인정보 유출 사고가 발생하여 개인정보보호위원회가 사고 조사를 진행 중입니다. 이처럼 개인정보보호위원회는 최근 랜섬웨어를 이용한 개인정보 유출 사고가 늘고 있는 작금의 현실을 우려하며, 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다고 지적하였습니다.

이번 뉴스레터에서는 개인정보 유출 사고와 관련하여 기업의 예방적 대응 방안, 실무적 대응전략과 유출 시 대처방안, 법적 책임까지 살펴보겠습니다.

개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 할 의무가 있습니다(개인정보 보호법 제29조).

✅내부 관리계획의 수립: 개인정보의 안전한 처리를 위하여 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항, 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항을 포함하는 내부관리계획의 수립ㆍ시행 및 점검

✅접근 제한: 개인정보처리시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행, 정당한 권한을 가진 자에 의한 접근임을 확인하기 위한 인증수단 적용 기준의 설정 및 운영 등

✅접근 통제: 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치, 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 등

✅암호화 조치: 비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장, 주민등록번호 등의 암호화 저장, 정보통신망을 통해 개인정보 또는 인증정보를 송신ㆍ수신하는 경우 해당 정보의 암호화

✅접속기록의 보관 및 위조ㆍ변조 방지: 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장ㆍ점검 및 이의 확인ㆍ감독, 개인정보처리시스템에 대한 접속기록의 안전한 보관 등

✅악성프로그램의 방지: 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있는 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검

✅물리적 조치: 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등

위 조치 외에도 개인정보의 안전성 확보조치 기준(개인정보보호위원회고시 제2023-6호)의 안전성 확보조치를 이행하여 개인정보 유출 사고 발생 가능성을 낮출 수 있습니다.

개인정보의 유출 위험을 최소화하고 유출 사고 발생 시 책임을 줄이기 위하여는 우선 「개인정보 보호법」 제29조 및 ‘개인정보의 안전성 확보조치 기준’(개인정보보호위원회고시 제2023-6호)의 안전성 확보조치를 모두 이행하여 법령을 준수할 필요가 있습니다. 나아가 ISMS-P 등 정보보호 및 개인정보보호 관리체계 인증을 받아 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 확인받아 회사의 개인정보보호 체계의 안전성을 확인하는 것도 바람직한 대응 전략입니다. 이러한 ISMS-P의 인증이 어려운 경우에는, 개인정보 보호 전문가 등을 통하여 개인정보보호체계 고도화 프로젝트 등 개인정보 체계 구축 컨설팅을 받아보시는 것도 한 방법이 될 수 있습니다.

이러한 노력에도 불구하고 개인정보가 분실ㆍ도난ㆍ유출(이하 “유출 등”)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 유출 등이 된 개인정보의 항목, 유출 등이 된 시점과 그 경위, 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 등을 알려야 하고(개인정보 보호법 제34조 제1항), 개인정보보호위원회 또는 전문기관에 신고하여야 합니다(동조 제3항). 정보주체에게 개인정보 유출 등의 사실을 알리지 않은 경우에도 3천만원 이하의 과태료 부과대상이 될 수 있습니다(제75조 제2항 제17호).

개인정보처리자가 개인정보 보호법을 위반하거나 그 고의 또는 과실로 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손될 경우 정보주체는 그로 인해 입은 손해의 배상을 청구할 수 있고(개인정보 보호법 제39조, 제39조의2), 개인정보보호위원회는 개인정보의 보호 및 침해 방지를 위하여 필요한 시정조치를 명할 수 있습니다(같은 법 제64조). 나아가 안전성 확보에 필요한 조치를 다하지 않은 상태에서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손이 발생한 경우에는 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금(같은 법 제64조의2 제1항 제9호)이 부과될 수 있으며, 안전성 확보조치를 다하지 아니한 것에 대한 3천만원 이하의 과태료(같은 법 제75조 제1항 제5호)가 부과될 수도 있습니다.

정보통신망을 이용하는 서비스를 제공하는 개인정보처리자로서 사업자에게는 해킹 등으로 인한 개인정보 유출 사고의 위협이 크게 다가오고 있습니다. 개인정보의 안전성 확보조치를 미리 마련해둔다면 개인정보 유출로 인한 리스크를 방지할 수 있고 이용자에게도 신뢰를 줄 수 있을 것입니다.

법무법인 비트는 개인정보 보호법 및 정보보호 관련 고시의 해석과 실무 적용에 대한 깊은 이해를 바탕으로, 기업의 개인정보보호 체계 점검, 내부 규정 정비, 유출 대응 매뉴얼 수립, 유출 사고 발생 시의 신고 및 조치 대응까지 종합적인 자문을 제공하고 있습니다. 개인정보 보호와 관련하여 법률 검토 또는 대응이 필요하신 경우, 언제든지 법무법인 비트에 문의해주시기 바랍니다.

감사합니다.

법무법인 비트 드림