넥슨 사건 통해 보다 근본적 위기관리 체계 정립해야!

행안부·방통위 등 따로 말고, 밀접한 연계로 사고대응체계 마련해야

[보안뉴스 김정완] 개인정보보호법 발효 후 첫 개인정보 유출사고가 발생했다. 이번 사건은 지난 2008년 발생했던 옥션 개인정보 유출사건과 불과 4개월 전에 발생했던 SK커뮤니케이션즈 개인정보 유출사건과 마찬가지로 1,300여만 회원의 개인정보가 유출되는 대형사고라 이목이 집중된다.

특히 이번 넥슨 개인정보 유출사고는 지난 9월 30일 개인정보보호법이 시행된 이후 발생된 첫 사건으로 남게 된 만큼 향후 개인정보 유출사고의 단초가 될 것으로 예상된다.

◇넥슨, ‘정보통신망법’에 우선 적용, 유출통지 등은 ‘개인정보보호법’

하지만 개인정보보호법 시행으로 모든 개인정보 유출사고가 동법에 해당되는 것으로 잘못 알려지고 있는 부분이 있고, ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 정보통신망법)’ 등 타법과 혼돈되는 바가 있어 이를 명확히 해야 할 필요성도 제기된다.

한 법조계 관계자는 “넥슨은 정보통신서비스 제공자로 ‘정보통신망법’을 우선 적용받게 된다”며, “유출사고 발생 후 넥슨이 방통위에 신고를 하고 방통위 및 KISA 등이 이번 사고의 원인 분석 등에 나선 것은 바로 이법에 입각한 것”이라고 설명했다.

또한 그는 “정보통신망법은 특별법으로 넥슨이나 SK컴즈 등의 정보통신서비스 제공자들을 우선적으로 규율하고 있으며, 개인정보보호법은 일반법으로 비록 정보통신서비스 제공자라 할지라도 정보통신망법이 규정하고 있지 않아 사각지대로 존재하는 부분에 대해 규율하게 된다”고 덧붙였다.

즉, 정보통신망법에서 “정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 방통위나 KISA에 신고해야 한다(제48조의3)”고 하는 침해사고의 신고 등 조항에 따라 넥슨은 방통위에 신고를 한 것이다.

하지만 정보통신망법에 따른 개인정보 유출사고의 경우, 제2·3의 피해를 줄이기 위해서는 개인정보가 유출된 이용자 스스로가 유출사실을 인지하고 비밀번호 등을 변경하는 등의 초기대응이 빨리 이루어져야 하는데, 단순히 침해사고 신고만으로도 기업은 1차적 법적대응이 이루어지는 사각지대가 발생해 왔다.

◇ ‘즉시’ 신고, ‘지체 없이’ 통보 불명확한 규정에 대한 명확한 가이드라인 필요

또한 정보통신망법은 다만 침해사고 발생 시 ‘즉시’ 그 사실을 신고해야 한다고만 돼 있어 ‘즉시’라는 시점에 대한 명확성이 없어 기존 개인정보 유출사건 발생 시 기업이 유출사실을 인지한 시점에서도 며칠이 지나서야 신고를 해도 되는 상황을 야기했다.

반면, 개인정보보호법은 개인정보 유출 통지제(제34조제1항)를 통해 “개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 △유출된 개인정보의 항목 △유출된 시점과 그 경위 △유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 △개인정보처리자의 대응조치 및 피해 구제절차 △정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 등의 사실을 알려야 한다”고 규정하고 있어 사고 발생 후 위기대응에 초점을 맞추고 있다. 다만, 동법 역시 ‘지체 없이’라는 불명확한 부분이 있어, 이번 사건에서 이를 어떻게 적용할지가 향후 개인정보 유출사고에 대한 가이드라인이 될 것으로 예상된다.

또한 동법 시행령 개인정보 유출 통지의 방법 및 절차(동법 시행령 제40조)를 통해 “개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면 등의 방법으로 지체 없이 정보주체에게 알려야 한다”고 하면서, “다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다”고 규정하고 있다.

즉, 정보통신망법은 침해사고의 신고 및 민·관 합동조사단을 구성해 침해사고의 원인 분석 등을 하도록 규정하고, 개인정보보호법은 유출된 기업이 이용자 측면에서 대응해야 하는 방안을 제시·규정하고 있다고 하겠다.

◇ 개인정보 유출사고에 대한 근본적인 사고 대응체계 마련 시급!

그런 점에서 이번 넥슨 개인정보 유출사고는 개인정보보호법 시행에 따라 기존 정보통신망법 등의 특별법에 따른 사고 대응과는 다른 국면을 보일 것으로 기대된다.

한편, 이와 관련 보안업계 한 관계자는 “이번 넥슨 사건은 기존 정보통신망법이 담지 못했던 규정에 입각해 사고대응이 이루어졌던 때와는 다른 상황이 전개돼 새로운 사후 대응체계를 마련하는 데 일조할 것으로 보인다”고 말하고, “다만, 그러한 체계를 만들기 위해서는 과거 방통위, 행안부 따라가 아니라 각 기관 간 연계가 밀접하게 이루어져 개인정보 유출사고에 대한 근본적인 사고 대응체계를 만드는 것이 중요하다”고 언급했다.

또한 그는 “해킹을 100%로 막을 수 없는 기업에게도 어려운 부분이 있는 것이 사실이지만, 이번 사건으로 인해 기업들도 역시 보다 근본적인 위기관리(Risk Management) 체계 정립에 힘을 쏟을 수 있는 계기가 되기를 바란다”고 말했다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)