안녕하세요. 법무법인 청출 신준선 변호사입니다.
최근 삼성바이오로직스에서 임직원 5천여 명의 개인정보가 사내 전산망 공용폴더를 통해 무단 노출되는 사고가 발생했습니다. 이름, 주민등록번호, 인사평가 등 민감한 정보가 권한 없는 직원에게 열람 가능했던 것으로 확인되었고, 노조측에서는 노조 활동 관련 문건까지 포함되었다고 주장하여 파장이 커지고 있습니다. 이후 사태를 인지한 회사 측은 대표이사의 공식 입장문을 내고 외부유출은 없다고 밝히면서, 논란에 대해서는 사과하였습니다.
개인정보보호법과 표준 개인정보 보호지침에 따르면, "개인정보 유출"이란 개인정보처리자의 의사와 무관하게 개인정보가 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르는 것을 의미합니다. 또한 일부 해설서에서는 유관 개념으로 “개인정보 노출”을 정보통신망 상에서 공중이 해킹 등 특별한 방법을 사용하지 않고도 정보통신망을 통해 이용자의 개인정보를 손쉽게 확인·조회하거나 취득할 수 있도록 개인정보가 공개 또는 방치되어 있는 상태로 설명하기도 합니다.
단, 개인정보 노출에 해당하는 경우에도 여전히 “개인정보 침해”의 범위에는 포함되는 것이므로, 삼성바이오로직스 사례에서처럼 다른 사원들의 개인정보에 대한 접근권한이 없는 직원들까지 모두 대상정보를 열람할 수 있는 상태에 놓였던 경우는 광의의 의미에서의 유출에 해당하는 것으로 판단될 가능성이 높습니다.
개인정보처리자는 개인정보가 유출되었음을 알게 된 경우, 72시간 이내에 정보주체에게 유출 사실, 항목, 경위, 피해 최소화 방안, 대응조치 및 피해 구제절차, 신고 연락처 등을 통지해야 합니다(개인정보 보호법 제34조 및 시행령 제39조).
또한 개인에 대한 통지와 함께, 1천명 이상의 정보주체에 관한 개인정보가 유출되거나, 민감정보 또는 고유식별정보가 유출된 경우, 또는 개인정보처리를 위해 이용하는 정보기기에 대한 외부로부터의 불법침입(해킹 등)으로 유출된 경우에는 개인정보보호위원회 또는 한국인터넷진흥원에 신고 의무도 발생합니다(동 시행령 제40조). 이를 위반하면 3천만원 이하의 과태료 또는 과징금이 부과될 수 있습니다.
이처럼 반복되는 개인정보 유출 사건은 단일 기업의 실수가 아니라, 개인정보 보호에 대한 구조적 취약성과 인식 부족이 복합적으로 작용한 결과라고 볼 수 있습니다. 이에 따라 개인정보보호위원회는 기업 책임 강화를 위한 입법 및 정책 대응을 강화하고 있으며, 기업은 이에 대한 실효적 대응책을 마련해야 할 시점입니다.
<위원회의 입장 – 강력한 처벌과 예방 중심 체계>
개인정보보호위원회는 유출 사고에 대해 단호한 입장을 밝혔습니다. 송경희 위원장은 최근 기자 간담회에서 “AI 시대에 개인정보 보호는 사후 제재 중심에서 사전 예방 중심으로 전환돼야 한다”며, “기업이 개인정보 보호에 선제적으로 투자하면 확실한 인센티브를 주고, 반복적, 중대한 유출에는 강력한 처벌로 대응할 것”이라고 강조하였습니다. 또 개인정보보호위원회 조직과 관련해 조사인력 증원 등을 예정하겠다고 밝혀, 향후 위원회의 사고대응 강도가 점차 강화될 것으로 예상할 수 있습니다.
위원회는 지난 8월 SKT의 개인정보 유출에 대한 책임을 물어 1300억원 이상의 과징금 부과를 결정하였으며, 지난 11월 10일경 이러한 과징금 의결서가 SKT에 송달되었습니다. SKT는 해당 과징금을 납부한 뒤 사후적으로 행정소송 등을 통해 이를 다툴 것으로 예상되는 상황입니다.
이처럼 다수 당사자의 개인정보를 취급하는 기업에서의 개인정보 유출 사고는 끊임없이 발생하고 있으며, 내부 보호체계를 정비하더라도 외부 해킹 등에 의한 피해까지 완벽히 통제하는 것은 현실적으로 불가능에 가깝습니다. 더욱이 AI 기술 발전과 함께 사이버 공격 기법이 고도화되면서 피해 횟수와 범위가 지속적으로 증가하는 추세입니다. 이러한 상황을 고려할 때, 개인정보보호위원회가 기업에 요구하는 개인정보보호 수준은 앞으로 더욱 엄격하게 적용될 것으로 예상되며, 기업들은 사전 예방 체계 구축과 함께 사고 발생 시 신속한 대응 체계 마련에 더욱 주력해야 할 것입니다.
<기업이 점검해야 할 대응과제 5가지>
이러한 흐름 속에서 기업이 개인정보 보호법을 효과적으로 준수하고 실질적 리스크를 관리하기 위해서는 다음 다섯 가지 과제에 집중해야 합니다.
권한 설정 및 접근통제 강화: 유출 사례의 상당수는 접근 권한 관리 부실에서 비롯됩니다. 인사자료, 고객정보 등 민감정보는 직무상 최소한의 범위에서만 접근이 가능하도록 설정하고, 권한 변경 시 기록 및 승인 절차를 마련해야 합니다.
내부 통제 및 인사관리 체계 구축: 내부자 유출 사고가 늘고 있는 만큼, 직무와 무관한 정보 접근 차단, 접속기록 점검, 이상 징후 자동 알림 시스템 도입이 필요합니다. 특히 개인정보처리방침 등 관련지침을 정비하고 준수하도록 하며 인사, 영업, IT 등 부서 별 책임자를 지정하고 접근권한 수여범위를 최소화하여야 합니다.
정기적인 직원 교육 및 윤리 강화: 직원 실수나 보안 인식 부족으로 인한 사고도 빈번합니다. 사내 개인정보보호 원칙 확립 및 준수의무, 위반 시 제재, 외부 유출 사고 사례 등을 정기 교육하고, 개인정보보호를 기업 윤리 차원에서 인식시킬 필요가 있습니다.
사고 대응 체계 수립 및 보고 프로세스 정비: 유출 시 72시간 내 감독기관 신고가 의무화되어 있는 만큼, 사고 인지 → 차단 → 기관 신고 → 고객 통지 → 복구 및 후속 대응까지 일련의 절차를 체계화하고 모의훈련을 병행해야 합니다.
외주·SaaS·클라우드 관리 강화: 외부 시스템 활용이 늘어나는 환경에서 개인정보위∙수탁 계약서 정비, 위탁업체 및 클라우드 사업자 등에 대한 보안평가, 자체 정기점검 및 취약점 보완이 필수입니다.
<결어>
2011년 개인정보보호법이 시행된 이후로 현재까지 지속적으로 법령 및 각종 가이드라인이 제∙개정되고 실무규범으로서 정착되었으며 그 위반시 제재(처벌)도 현실화되었습니다. 반복되는 유출 사고 및 그에 대한 과징금 부과 사례는 더 이상 특정 기업만의 리스크가 아닙니다. 개인정보는 디지털 시대 기업의 핵심 신뢰 기반이며, 이를 보호하기 위한 노력은 비용이 아닌 기업의 지속가능성을 위한 투자입니다. 따라서 이제는 어떤 기업이라도 규모에 상관없이 개인정보보호를 단순한 형식적 법률준수 목적이 아닌 기업 전략의 일부로 삼아야 하며 개인정보보호위원회의 정책 방향과 사회적 기대를 명확히 인식하고, 선제적으로 대응책을 마련하는 것이 중요합니다.
법무법인 청출은 기업의 개인정보 처리방침 개선 등 개인정보보호 체계 구축, 내부 규정 정비, 유출 사고 및 조사 대응 등 전방위적인 법률 자문을 제공해오고 있습니다. 자사의 대응 체계를 점검하고자 하시거나, 사고 발생 시 법령상 대응 전략이 필요한 경우 언제든지 문의 주시기 바랍니다.
