보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[PIS FAIR 2024] 웨일앤썬 김진환 변호사, 개인정보 보호법 개정 이후 과징금 크게 증가한 이유는?

입력 : 2024-06-11 16:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘G사 사건을 비롯한 개정 개인정보 보호법 적용 최근 사례들의 함의와 그 대응방안’ 주제 발표
개인정보 보호법 개정 이후 발생한 주요 사건으로 본 ‘과징금 부과 대상 및 기준 확대’
전면 개정된 개인정보 보호법에 대한 기업·기관의 대응방안 소개


[보안뉴스 이소미 기자] 국내 최대 개인정보보호 콘퍼런스 ‘PIS FAIR 2024’의 C트랙에서 웨일앤썬 김진환 변호사는 개인정보 보호법 개정 이후 발생한 D사·G사 사건 등을 비롯해 개정법이 적용된 사례들을 통한 향후 방향성과 대응방안을 제시해 많은 관심을 모았다.

▲PIS FAIR 2024에서 강연 중인 웨일앤썬 김진환 변호사[사진=보안뉴스]


김진환 변호사는 전면 개정 수준의 개인정보 보호법 적용 사례로 최근 높은 과징금을 부과받은 D사과 G사 사건 내용을 토대로 실질적·실무적인 함의와 기업·기관 입장에서 살펴야 할 핵심내용 중심으로 강연을 진행했다.

김 변호사는 “개정 이후 주목해서 봐야 할 가장 큰 변화는 ‘과징금 규정 정비’로, 과징금 부과 대상과 기준이 대폭 확대된 이유는 과거에는 ‘관련’ 매출 비중 3%에 국한됐으나 이번 개정으로 ‘전체’ 매출 비중 3%로 변경됐다”면서, “이와 함께 수탁자에 대한 과징금 부과와 아울러 개인정보 유출에 따른 과징금 부과와 개인정보 안정성 확보조치 기준 고시와의 관계 조항 역시 변경됐다”고 말했다.

▲D사 및 G사의 개인정보 유출 사건 공격 과정[자료=개인정보보호위원회]


이어 개정 법 적용 이후 발생한 개인정보 유출 사건으로 해커의 크리덴셜 스터핑 공격으로 직원 25명과 회원 9만 5천여 명의 개인정보가 유출된 ‘D사 사건’과 해커가 계정을 획득해 서비스 이용자 및 임직원 221만 명의 개인정보를 유출시킨 ‘G사 사건’을 사례로 들어 개인정보보호위원회의 판단·제재 이유 및 과징금을 확대 부과하게 된 배경과 함의를 설명했다.

D사의 개인정보 유출 사건은 해커의 무작위 대입 공격을 사전에 탐지·차단하지 못했다는 근거로 법률·시행령 및 안전성 확보조치 기준 고시 위반규정을 적용했으며 과징금은 6억 1,300만원, 과태료 330만원의 제재를 받았다. 해당 과징금이 부과된 배경으로 ‘오프라인’ 매출액에 해당하는 강사 교재 및 EBS 교재 판매 매출액과 당시 수강생 대상으로 갤럭시 버즈 등의 상품을 지급한 이벤트 매출액까지 포함됐다.

G사의 개인정보 유출 사건 역시 파일 서버에 대한 주기적 점검 및 관리 체계가 미흡하게 운영된 탓에 외부에서 ID·패스워드만으로도 접속 가능했으며, 서버의 원격 접속 및 업무망 서버의 인터넷 통신 허용 문제가 지적됐다. 개인정보보호위원회는 G사에 대해 과징금 75억원, 과태료 540만원을 부과했는데 매출액에 포함된 내용으로 시뮬레이터 판매 및 광고 매출도 관련 매출액으로 포함시켰다. 여기서 특이한 점은 제조사 관련 매출액도 일정 부분 해당된다고 판단된 결과다.

이와 관련 김 변호사는 “G사의 과징금 부과 사례는 개정 전 구(舊)법이 기준이었다면 오프라인·제조업으로 판단돼 매우 경미하거나 과태료 부과 정도로 그쳤을 것”이라면서, “그러나 개정 이후 신(新)법이 적용되면서 해당 제품 또는 서비스가 본질적인 사업에 해당돼 개인정보 이용이 전제되는 경우 매출액에 포함시키고, 그렇지 않은 경우에는 포함시키지 않는다는 기준이 분명하게 나타난 사건”이라고 말했다.

이어 “이는 단순히 온라인 서비스 사업자 이외에 오프라인 서비스 사업자가 과징금 대상으로 추가됐다는 의미 그 이상으로, 온·오프라인 상 발생하는 모든 매출액이 합산되기 때문에 매출액 규모가 상당히 커지는 결과가 나타나므로 기업이나 기관에서 어떻게 대응해 나갈 것인가에 대한 고민이 필요하다”고 덧붙였다.

김진환 변호사는 기업·기관이 준비해야 할 신(新) 개인정보 보호법에 대한 4가지 대응방안을 제시했다. 먼저, 개인정보 업무 담당자들의 ‘마인드셋(Mindset)’을 강조했다. 그는 “개인정보 보호법은 상식적인 관점에서만 접근하다 보면 대법원의 판결 등이 예상치를 벗어나는 경우도 있어 비상식적인 면을 상식적으로 납득시키는 과정이 필요하다”면서, “예컨대 개인정보보호를 위한 예산 투자나 관련 설비·솔루션 도입 등에 있어 상식과 비상식의 교차점을 찾아 다각도의 관점에서 바라보는 자세가 필요하다”고 설명했다.

또한 개인정보보호 라이프 사이클 내 처리현황 점검 측면에서 개인정보 담당자의 개인정보에 대한 ‘가시성(Visibility) 확보’가 중요하다고 덧붙였다. ‘어디에 개인정보가 있는가?’라는 기본 원칙에 준하는 단계부터 시작해야 효과적인 점검이 가능하다는 것이다. 이와 관련 김 변호사는 “개인정보 보호법 위반 사례의 60% 이상이 ‘수탁자 책임형’으로 나타났으며 보호법 개정을 통해 수탁자 관리 영역 및 과징금·과태료 부과로 확대됐다”면서, “이는 위탁자가 수탁자를 관리·점검하는 수준에 따라 위탁자의 민형사 및 행정상 책임이 면책될 가능성이 아질 수 있다는 것을 의미한다”고 덧붙였다.

이외에도 개인정보 보호법 개정으로 CPO 요건 상향 및 독립성이 보장되면서 추가적인 기술적 조치 등의 선택 사항보다 기본적인 법령 준수를 우선 순위에 둘 필요가 있다고 김 변호사는 설명했다. 특히 개인정보 유출 등의 사건·사고 발생 시 고객센터부터 홍보부서까지 총동원해 발 빠르게 대응하고 사실관계(Fact Finding)에 집중해 전문가의 도움을 받는다면 해결책은 반드시 마련할 수 있다고 강조했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)