안녕하세요. 법무법인 청출 신준선 변호사입니다.

최근 개인정보 유출 사고가 지속적으로 발생하면서 기업들의 개인정보 보호 의무 준수에 대한 관심이 높아지고 있습니다. 특히 개인정보보호위원회(이하 '개인정보위')가 위반 사업자에 대한 제재를 강화함에 따라, 개인정보 유출에 대한 책임으로 억대의 과징금과 과태료를 부과받았다는 기사를 심심찮게 찾아볼 수 있는데요. 이에 따라 개인정보를 처리하는 기업들은 개인정보 보호 관련 법규 준수 여부를 면밀히 점검할 필요가 있습니다.

이번 글에서는 최근 개인정보 유출 사례와 처벌 수위를 분석하고, 기업이 알아두어야 할 법적 대응 방안을 살펴보겠습니다.

[Question] 개인정보 유출 시 과징금 수준은?

[Answer]

1. 개인정보보호법상 주요 법적의무

개인정보보호법에 따르면, 개인정보처리자는 ▲개인정보의 파기의무(제21조) ▲ 주민등록번호 처리 제한 및 암호화 의무(제24조의 2 제1항 및 제2항) ▲개인정보 보호를 위한 적절한 안전조치 의무(제29조) ▲개인정보 유출 시 정보주체에게 지체 없이 통지(제34조 제1항) ▲유출 피해 최소화를 위한 대책 마련(제34조 제2항) ▲개인정보위 또는 전문기관에 신고(제34조 제3항) 등의 의무를 부담합니다. 위와 같은 의무위반시에 과징금(제64조의 2), 과태료(제75조)가 부과될 수 있습니다.

주요 법적의무의 세부사항은 아래와 같습니다.

(1) 주민등록번호 암호화 의무(제24조의 2 제2항, 시행령 제21조의 2)

개인정보처리자는 주민등록번호를 처리하는 경우 암호화 조치를 통하여 안전하게 보관하여야 합니다(개인정보위 고시 [개인정보의 안전성 확보조치 기준]의 세부사항 참고).

(2) 안전조치 의무(제29조, 시행령 제30조)

개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 합니다. 

(3) 정보주체 통지의무(제34조 제1항)

개인정보보호법 제34조 제1항에 따라 개인정보가 유출되었음을 알게 된 경우, 개인정보처리자는 지체 없이 정보주체에게 다음 사항을 알려야 합니다.

• 유출된 개인정보의 항목

• 유출 시점과 경위

• 피해 최소화 방법

• 대응조치 및 피해 구제절차

• 신고 접수 담당부서 및 연락처

(4) 개인정보위 신고 의무(제34조 제3항, 시행령 제40조)

아래의 경우에는 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고해야 합니다.

• 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우

• 민감정보 또는 고유식별정보가 유출된 경우

• 외부로부터의 불법적인 접근에 의해 개인정보가 유출된 경우

2. 최근 개인정보 유출 사례와 과징금, 과태료 부과 수준

최근 개인정보위의 개인정보 유출에 대한 제재 사례를 분석하면, 개인정보 유출에 대한 처벌 수위가 점차 강화되고 있으며, 위반 정도와 유출 규모에 따라 처벌 수위가 차등화되는 것을 확인할 수 있습니다.

3. 사례로 보는 과징금 부과수준 결정 요인

개인정보위는 개인정보 유출로 인한 과징금 부과 시(제64조의 2 제1항 제9호), 다음과 같은 요인을 고려합니다(제64조의2 제4항).

(1) 위반행위의 내용 및 정도(제64조의 2 제4항 제1호)

개인정보보호법에 따른 안전조치 의무 위반의 심각성이 높을수록 처벌 수위가 높아집니다. 모두투어네트워크와 비즈니스온커뮤니케이션 사례에서는 기본적인 보안 취약점 점검 미비로 대규모 개인정보 유출이 발생했습니다.

(2) 유출된 개인정보의 규모와 민감도(제64조의 2 제4항 제1호, 제5호, 제8호, 제9호 등)

유출된 개인정보의 양이 많을수록, 주민등록번호 등 민감정보가 포함될수록 처벌 수위가 높아집니다. 모두투어네트워크 사례의 경우 300만 명 이상의 개인정보가 유출되어 높은 과징금이 부과되었습니다.

(3) 사후 대응의 적절성(제64조의 2 제4항 제6호)

유출 사실 인지 후 통지·신고 의무 이행 여부와 신속성도 중요한 요소입니다. 모두투어네트워크는 2개월이 지나서야 유출 사실을 통지한 점이 추가적인 제재 요인이 되었을 것으로 판단됩니다.

(4) 안전조치 이행 노력(제64조의2 제4항 제4호)

케이티알파 사례에서는 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 취해 실제 개인정보 유출 규모가 제한적이었던 점이 고려되어 상대적으로 낮은 과징금이 부과되었습니다.

(5) 과징금 면제(제64조의 2 제5항) 및 감경 요인의 적용(제64조의2 제6항)

개인정보위는 행위자가 스스로의 행위가 위법하지 아니한 것으로 잘못 인식할 정당한 사유가 있거나 위반 내용, 정도가 경미한 경우에는 과징금을 부과하지 않을 수 있습니다. 또한 클래스유 사례에서는 위반행위자의 재무상황 등 현실적 부담능력을 고려하여 과징금 부과액에 대해 감경 규정을 적용하였습니다. 이는 개인정보보호법 제64조의2 제6항, 시행령 제60조의 2 및 별표 1의 5에 따른 과징금 부과에 필요한 세부기준을 정하기 위한 개인정보위 고시 [개인정보보호법 위반에 대한 과징금 부과기준] 제11조에 근거한 감경 조치입니다.

(6) 과태료 규정(제 75조, 시행령 제63조 별표 2)

개인정보위는 개인정보 유출 등으로 개인정보보호법 위반시(주민등록 처리 및 암호화 위반, 정보주체에 대한 유출통지 및 기관에 대한 유출 신고 등 지연) 과태료를 부과할 수 있으며, 다만 과징금을 부과한 행위에 대해서는 과태료를 부과할 수 없습니다(제76조).

4. 기업의 대응 방안

개인정보 유출 사고에 효과적으로 대응하기 위해서는 다음과 같은 준비와 조치가 필요합니다.

(1) 사전 예방을 위한 안전조치 강화(개인정보보호법 제29조, 시행령 제30조)

• 취약점 점검 정례화: 웹 취약점(SQL 인젝션, 크리덴셜 스터핑 등) 정기 점검 실시

• 접근통제 강화: 개인정보처리시스템에 대한 인가된 접근만 허용하도록 IP 제한, 인증 강화

• 암호화 조치: 주민등록번호, 계좌번호 등 중요 정보는 반드시 암호화하여 저장

• 불필요한 개인정보 파기(제21조): 보유기간이 지난 개인정보는 지체 없이 파기

(2) 유출 사고 대응 체계 구축

• 유출 탐지 시스템 구축: 비정상적인 접속 시도, 대량 조회 등 이상 징후를 탐지할 수 있는 모니터링 체계 마련

• 대응 매뉴얼 마련: 유출 사고 발생 시 통지·신고 절차, 담당자 지정 등 대응 체계 수립

• 72시간 내 신고 절차 숙지(제34조 제3항, 시행령 제40조): 개인정보 유출 인지 시점으로부터 72시간 내에 개인정보위 또는 한국인터넷진흥원에 신고할 수 있는 내부 절차 마련

(3) 개인정보위 조사 대응 준비

• 자료 보존: 개인정보 처리 관련 로그, 접속기록 등 관련 자료 보존

• 법률 전문가 자문: 개인정보위 조사 시 법적 대응을 위한 전문가 자문 확보

• 과징금 감경 요인 준비(제64조의2 제5항): 피해 확산 방지 조치, 재발 방지 대책, 업체의 재무상황이나 경제위기 등 시장 상황에 대한 소명 등 과징금 감경 요인 준비

5. 결론

최근 개인정보위의 제재 사례를 종합하면, 안전조치 의무 위반 및 유출 통지 지연이 공통적으로 확인되고 있습니다. 과징금은 최대 전체 매출액의 3%까지 부과될 수 있어(제64조의2 제1항) 기업에 상당한 부담이 될 수 있습니다. 따라서 기업은 개인정보 유출 사고를 사전에 예방하고, 만약 유출이 발생했을 경우 실제 유출 정도를 파악하고 개인정보보호체계 현황을 재점검하며 이를 개인정보위에 적극적으로 소명하여 처벌 수위를 최소화하는 방안을 마련하여야 합니다.

개인정보 유출 사고는 기업 이미지 훼손, 소비자 신뢰 저하, 과징금 등 경제적 손실 등 여러 부정적 영향을 초래합니다. 따라서 평소 개인정보 보호 법규 준수 여부를 철저히 점검하고, 만약 개인정보위의 조사가 시작되었다면 적극적으로 협조하면서도 법률 전문가의 도움을 받아 체계적으로 대응하는 것이 중요합니다.

법무법인 청출은 다양한 개인정보보호법 관련 분쟁 및 개인정보위 대응 경험을 보유하고 있으며, 기업의 개인정보 유출 사고 대응 및 법적 리스크 관리에 대한 실무적 조언을 제공합니다. 관련 법률 자문이 필요하신 경우 언제든 문의해 주시기 바랍니다.