개인정보 유출 사고가 연일 뉴스에 오르내리고 있습니다. 이런 개인정보 유출 사고가 우리 회사에서 일어나지 않기를 기도하는 것만이 유일한 대응방법일까요? 이번 시간의 주제인 개인정보 유출 대비•대응 방안에 알아보기 전에 개인정보 유출의 정의부터 살펴보도록 하겠습니다.
개인정보 유출이란?
‘표준개인정보보호 지침 제26조(개인정보 유출)’를 살펴보면 개인정보 유출의 정의를 아래와 같이 하고 있습니다.
[정의]
개인정보의 유출이라 함은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
- 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
→ 통제범위를 벗어난 경우를 말함 - 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
→ 비인가자 접근을 허용한 경우를 말함 - 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이 문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
→ 고의가 아닌 실수에 의해 유출된 경우도 포함함 - 기타 권한 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
→ 실제 유출이 되지는 않았을 수 있지만, 가능성이 있는 경우도 포함한다는 의미로 해석 가능함.
개인정보 유출의 정의를 살펴보았다면, 이제는 정보유출 발생 시 무엇부터 해야 할까요? 어떤 경로로 유출이 일어났는지 알아보는 것도 중요하겠지만 법에서 요구하는 사항은 아래와 같습니다.
개인정보 유출 발생 시 법에서 요구하는 사항
개인정보보호법과 정보통신망법은 1) 정보유출사항을 정보 주체 통지와 2) 신고기관에 신고할 것을 요구하고 있습니다. 먼저 “정보유출사항 정보 주체 통지”에 대해 살펴보도록 하겠습니다. 자신의 회사가 어느 법에 적용받는지 체크 해보시고 아래 내용을 따르시면 됩니다.
여기서 주의할 것은 통지내용 중에 일부 항목을 확인하기 위해 통지를 늦게 했다는 변명을 할 수 없습니다. 법에서는 유출 사실, 확인된 사항을 먼저 통지하고 나중에 확인된 내용을 추가 통지하도록 요구하고 있기 때문입니다.
다음에는 법에서 요구하는 신고기관 신고기준을 살펴보겠습니다. 우선 자신에게 적용되는 법을 확인 후 법에서 요구하는 신고 요건을 준수해야 할 것입니다.
이처럼 개인정보 유출이 발생했음을 알게 됐을 경우, 지체없이(5일 이내) 또는 24시간 이내 통지하고 신고하는 것을 법에서 요구하고 있습니다. 이에 대해 미리 대응절차에 따라 준비하고 연습하지 않았다면, 법에서 요구하는 시간을 맞추기 쉽지 않을 것입니다. 다음에는 개인정보 유출이 발생할 경우 어떻게 대응해야 할지 알아보겠습니다.
개인정보 유출 시 대응 방안
혹자는 개인정보 유출 대응절차를 세우고 연습할 시간에 우리는 강력한 보안 대책을 세워 개인정보 유출이 절대로 일어나지 않도록 해야 한다고 생각하실 수 있습니다. 물론, 사전에 여러 가지 보안대책을 세워서 준비하고, 열심히 예방 활동을 해야겠지만, 실제로 개인정보 유출이 일어날 수 있다는 것을 유념하고 개인정보 유출사고가 일어났을 경우 어떻게 대응할지 준비해야 합니다.
지금 우리 회사에 개인정보 유출 사고가 발생했다고 가정해봅시다. 우선, 법적 요구사항에 따라 정보 주체에게 통지하고 신고기관에 신고해야 할 것입니다. 이 경우, 해당 감독기관(금감원•행자부•방통위 등)의 현장조사, 수사기관의 해커 수사 및 회사의 과실 여부 조사 및 개인정보 유출에 따른 한국소비자원 또는 개인정보 분쟁조정위원회의 분쟁 조정절차가 진행됩니다. 또한, 개인정보 주체의 항의 전화로 인한 업무 마비 또는 피해소송 등 여러 가지 일들이 동시다발로 벌어집니다.
그뿐만 아니라, 연일 언론에서의 악성 기사로 인한 임직원 사기저하, 기업대표의 사과발표 등 동시다발로 정신을 차릴 수 없게 됩니다. 이런 상황에서 개인정보 유출 사고를 숨긴다거나, 우왕좌왕하여 머뭇거리다가 2차 피해가 발생한다면, 유출 사고를 숨긴 기업으로 낙인찍혀 더 이상 사업을 할 수 없는 위기를 초래할 가능성도 커집니다.
그럼 우리는 이런 개인정보 유출이 일어나지 않기만을 기도해야 할까요? 미리 어떻게 대비해야 할지 살펴보겠습니다.
첫 번째, 개인정보 유출 대응 조직을 구성•운영해야 합니다.
개인정보 대응 조직의 예시를 살펴보겠습니다.
보시는 것과 같이 ‘개인정보보호 책임자’를 중심으로 사업자 내부 조직 및 인력을 효율적으로 재구성하여 유출원인 분석 및 대응, 유출신고•통지, 이용자 피해구제 등으로 세분화하여 신속히 대응할 수 있도록 구성하는 것이 중요합니다. 또한, 개인정보 유출 관련 사항에 대해서는 빠르게 CEO에게 보고할 수 있는 보고 체계를 구성해야 합니다.
두 번째, 개인정보 유출 대응 절차 및 대응 매뉴얼을 수립해야 합니다.
아래는 개인정보 유출 대응 절차에 대한 예시로 각 해당 기업에 맞는 절차를 수립하고 세부 매뉴얼을 만들어서 관련자에게 공유해야 합니다.
세 번째는 이러한 대응 조직 및 절차가 수립됐다면 문서로만 존재할 것이 아니라, 절차에 따라 운영하고 개선하는 사후활동을 해야 합니다. 또한 실제로 유출 사고가 발생했다는 가정하에 신고하고 고객 대응하는 훈련을 반복적으로 하는 것이 무엇보다 중요하다고 하겠습니다.
조직과 프로세스들이 문서로만 존재한다면 어떻게 될까요? 실제로 이러한 대응 훈련이 얼마나 중요한지 보여주는 사례가 있습니다. 세계무역센터에 있는 모건스탠리사의 릭 레스콜라 라는 보안책임자는 직원들에게 3개월마다 사고 발생 시, 전 직원이 계단을 통해 대피하는 훈련을 했습니다. 내부에서 훈련에 대한 반발이 있었지만, 재난이 발생했을 때, 인간의 뇌를 움직이는 최상의 방법은 똑같은 계속 반복하여 훈련하는 것뿐이라고 뚝심 있게 밀어붙였습니다.
실제로 2001년 9월 11일 항공기 납치 자살테러공격으로 인해 세계무역센터가 붕괴하는 사고가 발생했을 당시, 안내방송에서는 기다리라고 했지만, 릭 레스콜라 보안책임자는 훈련한 대로 계단을 통해 전원 대피시켰고, 직원들은 패닉 상태에서도 평소 훈련한 대로 일사불란하게 움직여 대부분 사람의 목숨을 구할 수 있었습니다. 이 사례는 평소 반복적인 훈련이 얼마나 중요한지 보여주는 중요한 사례라고 생각합니다.
마무리
지금까지 개인정보 유출 사고란 무엇이고, 개인정보 보호법, 정통망 법에서 개인정보 유출 발생 시 요구하는 사항을 살펴보았습니다. 또한, 개인정보 유출이 발생하였을 때 대응하기 위한 조직, 절차 등도 살펴보았습니다. 이러한 대응 절차는 문서로만 존재하는 것이 아니라 반복적인 훈련이 중요합니다.
‘위기는 기회’라는 말이 있습니다. 정보 유출 사고가 발생했을 때 잘 대응할 수 있다면, 정보 유출 사고가 발생한 기업으로 기억되는 것이 아니라, 정보 유출 사고에 훌륭하게 대처한 기업으로 기억될 것입니다.
좀 더 자세한 개인정보 유출 대응체계 수립에 대한 도움이 필요하다면, 언제든지 LG CNS로 연락해 주십시오. LG CNS의 보안컨설팅팀에서 고객의 고민을 해결해 드리도록 하겠습니다.
글 ㅣLG CNS 보안컨설팅팀
