Home > 전체기사
넥슨 사건 통해 보다 근본적 위기관리 체계 정립해야!
  |  입력 : 2011-11-28 14:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행안부·방통위 등 따로 말고, 밀접한 연계로 사고대응체계 마련해야


[보안뉴스 김정완] 개인정보보호법 발효 후 첫 개인정보 유출사고가 발생했다. 이번 사건은 지난 2008년 발생했던 옥션 개인정보 유출사건과 불과 4개월 전에 발생했던 SK커뮤니케이션즈 개인정보 유출사건과 마찬가지로 1,300여만 회원의 개인정보가 유출되는 대형사고라 이목이 집중된다.


특히 이번 넥슨 개인정보 유출사고는 지난 9월 30일 개인정보보호법이 시행된 이후 발생된 첫 사건으로 남게 된 만큼 향후 개인정보 유출사고의 단초가 될 것으로 예상된다.


◇넥슨, ‘정보통신망법’에 우선 적용, 유출통지 등은 ‘개인정보보호법’

하지만 개인정보보호법 시행으로 모든 개인정보 유출사고가 동법에 해당되는 것으로 잘못 알려지고 있는 부분이 있고, ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 정보통신망법)’ 등 타법과 혼돈되는 바가 있어 이를 명확히 해야 할 필요성도 제기된다.


한 법조계 관계자는 “넥슨은 정보통신서비스 제공자로 ‘정보통신망법’을 우선 적용받게 된다”며, “유출사고 발생 후 넥슨이 방통위에 신고를 하고 방통위 및 KISA 등이 이번 사고의 원인 분석 등에 나선 것은 바로 이법에 입각한 것”이라고 설명했다.


또한 그는 “정보통신망법은 특별법으로 넥슨이나 SK컴즈 등의 정보통신서비스 제공자들을 우선적으로 규율하고 있으며, 개인정보보호법은 일반법으로 비록 정보통신서비스 제공자라 할지라도 정보통신망법이 규정하고 있지 않아 사각지대로 존재하는 부분에 대해 규율하게 된다”고 덧붙였다.


즉, 정보통신망법에서 “정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 방통위나 KISA에 신고해야 한다(제48조의3)”고 하는 침해사고의 신고 등 조항에 따라 넥슨은 방통위에 신고를 한 것이다.


하지만 정보통신망법에 따른 개인정보 유출사고의 경우, 제2·3의 피해를 줄이기 위해서는 개인정보가 유출된 이용자 스스로가 유출사실을 인지하고 비밀번호 등을 변경하는 등의 초기대응이 빨리 이루어져야 하는데, 단순히 침해사고 신고만으로도 기업은 1차적 법적대응이 이루어지는 사각지대가 발생해 왔다.


◇ ‘즉시’ 신고, ‘지체 없이’ 통보 불명확한 규정에 대한 명확한 가이드라인 필요

또한 정보통신망법은 다만 침해사고 발생 시 ‘즉시’ 그 사실을 신고해야 한다고만 돼 있어 ‘즉시’라는 시점에 대한 명확성이 없어 기존 개인정보 유출사건 발생 시 기업이 유출사실을 인지한 시점에서도 며칠이 지나서야 신고를 해도 되는 상황을 야기했다.


반면, 개인정보보호법은 개인정보 유출 통지제(제34조제1항)를 통해 “개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 △유출된 개인정보의 항목 △유출된 시점과 그 경위 △유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 △개인정보처리자의 대응조치 및 피해 구제절차 △정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 등의 사실을 알려야 한다”고 규정하고 있어 사고 발생 후 위기대응에 초점을 맞추고 있다. 다만, 동법 역시 ‘지체 없이’라는 불명확한 부분이 있어, 이번 사건에서 이를 어떻게 적용할지가 향후 개인정보 유출사고에 대한 가이드라인이 될 것으로 예상된다.


또한 동법 시행령 개인정보 유출 통지의 방법 및 절차(동법 시행령 제40조)를 통해 “개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면 등의 방법으로 지체 없이 정보주체에게 알려야 한다”고 하면서, “다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다”고 규정하고 있다.


즉, 정보통신망법은 침해사고의 신고 및 민·관 합동조사단을 구성해 침해사고의 원인 분석 등을 하도록 규정하고, 개인정보보호법은 유출된 기업이 이용자 측면에서 대응해야 하는 방안을 제시·규정하고 있다고 하겠다.


◇ 개인정보 유출사고에 대한 근본적인 사고 대응체계 마련 시급!

그런 점에서 이번 넥슨 개인정보 유출사고는 개인정보보호법 시행에 따라 기존 정보통신망법 등의 특별법에 따른 사고 대응과는 다른 국면을 보일 것으로 기대된다.


한편, 이와 관련 보안업계 한 관계자는 “이번 넥슨 사건은 기존 정보통신망법이 담지 못했던 규정에 입각해 사고대응이 이루어졌던 때와는 다른 상황이 전개돼 새로운 사후 대응체계를 마련하는 데 일조할 것으로 보인다”고 말하고, “다만, 그러한 체계를 만들기 위해서는 과거 방통위, 행안부 따라가 아니라 각 기관 간 연계가 밀접하게 이루어져 개인정보 유출사고에 대한 근본적인 사고 대응체계를 만드는 것이 중요하다”고 언급했다.


또한 그는 “해킹을 100%로 막을 수 없는 기업에게도 어려운 부분이 있는 것이 사실이지만, 이번 사건으로 인해 기업들도 역시 보다 근본적인 위기관리(Risk Management) 체계 정립에 힘을 쏟을 수 있는 계기가 되기를 바란다”고 말했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)