스타트업이 알아야 할 개인정보 유출의 의미와 대응 방안
상태바
스타트업이 알아야 할 개인정보 유출의 의미와 대응 방안
  • 최재윤 변호사
  • 승인 2019.03.08 08:07
  • 댓글 0
이 기사를 공유합니다

개인정보보호는 교육과 인식 재고 등 지속적인 노력이 필수

주변에서 쉽게 찾아볼 수 있는 개인정보 유출 사고는 대기업이나 중견기업, 그리고 업무를 위해 개인정보를 수집, 처리하는 신생 스타트업 업체 등, 기업의 규모에 관계없이 일어나고 있다. 오히려 내부 인력 부족이나 자본 부족으로 개인정보 관리 업무를 위탁처리하는 스타트업이 이런 문제에 더 쉽게 노출될 수 있다는 지적도 있다. 스타트업이 반드시 알아야 할 개인정보 유출이 갖는 의미와 유출 사고 발생시 업체가 어떻게 대응해야 하는지에 대해 살펴보자.

매년 발생하고 있는 개인정보 유출 사고가 또 일어났다. 수능과 입시 관련 인터넷 강의와 상담 서비스를 제공하는 교육업체 ‘스카이에듀’의 고객 개인정보가 유출된 것이다. 유출된 개인정보는 이름과 아이디, 이메일, 주소, 전화번호 등이며, 비밀번호는 암호화돼 안전하다고 업체 측은 주장하고 있다.

온라인 강좌 누적 회원이 84만 명에 달하고 오프라인 학원도 9개를 운영하고 있는 대표적인 온라인 강의 서비스 업체이기에, 과연 얼마나 많은 회원들이 유출 피해를 입었는지 우려가 큰 상황이다. 또한 유출된 개인정보를 바탕으로 한 인터넷 명의도용, 보이스피싱, 스팸 발송 등 2차 범죄 가능성도 높아졌다.

이는 비단 이 업체만의 일이 아니다. 대기업이나 중견기업, 그리고 업무를 위해 개인정보를 수집, 처리하는 신생 스타트업 업체들도 항상 개인정보 유출이라는 위험에 노출돼 있다.

개인정보보호법과 관련해 많이 받는 질문 중 하나는 법인 또는 단체에 관한 정보를 개인정보로 볼 수 있는가이다. 개인정보보호법에 따른 개인정보는 ‘현재 생존하고 있는 개인’에 관한 정보에 한한다. 따라서 법인이나 단체에 관한 정보는 원칙적으로 개인정보에 해당되지 않는다. 예를 들어 법인 또는 단체의 이름(상호), 사업자등록번호, 영업소 주소, 전화번호, 대표자 성명 등 임원 현황, 자산 또는 자본의 규모, 주가, 영업실적, 납세실적, 영업비밀 등은 법에 따른 보호대상에 해당되지 않는다. 단, 주의할 점은 기업의 영업비밀은 '부정경쟁방지 및 영업비밀보호에 관한 법률'에 의해 보호 받는다는 것이다.

개인정보 유출의 의미

개인정보 유출이란, 법령이나 개인정보처리를 하는 업체의 자유로운 의사에 의하지 않고, 개인정보에 대한 통제를 상실하거나 권한 없는 자가 접근하도록 허용한 것을 말한다. 구체적인 유형을 살펴보면, 먼저 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우를 들 수 있다.

스타트업을 운영할 때, 업체가 어느 정도 성장하기 이전에는 소수의 인원이 각개전투로서 업체를 이끌어가기 마련이다. 생존 자체에 힘을 쏟아야 하기에 개인정보 처리에 있어서 별도의 체계를 둘 여력이 없어, 개인정보를 주먹구구식으로 관리하는 경우가 대부분이다. 이런 상황으로 인해 개인정보가 포함된 각종 서류나 USB 메모리를 개인정보를 처리하는 업체의 운영자, 직원 등이 분실하거나 파기 없이 폐기하는 과정에서 정보가 유출될 가능성이 높다. 특히 업무 처리를 위해 단기간 고용하는 임시직원이 개인정보를 취급할 경우 문제가  발생할 가능성이 더욱 크다.

따라서 개인정보의 적정한 취급을 위한 교육을 시행할 뿐만 아니라 개인정보의 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하고, 보안서약서를 받는 등의 조치를 취함으로써 개인정보를 다루는 직원에게 개인정보의 중요성와 유출로 인한 위험성에 대해 충분히 주지시켜야 한다.

다음은 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근하는 경우다. 쉽게 말해서 외부 공격(해킹)을 당하는 것으로, 이는 개인정보 유출 원인 중 절반 이상을 차지한다. 스타트업의 경우 부족한 인력과 자본으로 인해 보안보다는 서비스 안정화와 마케팅에 더욱 많은 노력을 기울이는 경우가 많으며, 이런 과정에서 개인정보 유출과 같은 사고가 발생하는 경우가 적지 않다. 이 경우 업체의 이미지와 신뢰도는 순식간에 실추된다. 따라서 외부 공격을 100% 막을 수는 없지만, 개인정보 유출 사고를 막기 위해 개인정보 안전성 확보를 위한 최소한의 필요조치로서 내부 관리계획의 수립과 시행, 접근 통제와 접근 권한 제한 조치, 암호화 기술의 적용이나 이에 상응하는 조치, 접속기록의 보관과 위·변조 방지 조치, 보안 프로그램 설치와 갱신, 보관시설의 마련 또는 잠금장치 설치 등의 조치를 취해야 한다.

다음은 개인정보 담당자가 고의나 과실로 개인정보가 포함된 파일이나 종이문서, 그 밖의 저장매체를 권한이 없는 자에게 잘못 전달하는 경우가 있다. 실제로 한 업체에서 회원 정보를 관리하는 직원이 대가를 받고 고객정보를 권한 없는 제3자에게 유출 또는 판매한 사건이 발생하기도 했었다. 또는 민원인 수백명의 이름, 주민등록번호, 주소 등 개인정보가 포함된 자료를 직원의 실수로 인터넷 홈페이지에 공개하거나, 직원의 부주의로 고객의 개인정보가 포함된 리스트를 상품안내 이메일에 첨부해 발송한 경우도 있다.

최근 진행한 한 개인정보 유출 관련 법률 자문에서는 업체가 개인정보 관리를 수탁업체에 위탁을 했는데, 수탁업체의 개인정보 담당 직원이 고객의 인감을 도용해 성명, 주소, 연락처를 추가 기재한 후 허위로 현금보관증을 작성한 다음 직원 본인의 채무변제를 위해 이를 채권자에게 양도한 사건이 발생했었다.

이는 수탁업체 직원에게 직접적인 잘못이 있다 하더라도 위탁업체에 관리·감독권이 있기 때문에 개인정보 유출에 대한 책임 또한 위탁업체에 있다. 따라서 스타트업의 경우 내부적으로 마케팅이나 배송 업무를 소화하기 힘들어 외부 업체에 배송이나 TM 업무를 위탁하는 경우가 많은데, 이런 배송이나 TM 업무 과정에서 개인정보가 유출되더라도 개인정보 관리를 위탁한 스타트업 업체의 책임으로 돌아가기 때문에 위탁업체로서는 수탁업체에 대한 개인정보 관련 관리·감독을 강화할 필요가 있다.

현실적으로 관리·감독이 어려운 경우 개인정보 처리 위탁에 앞서 개인정보 유출 발생 시 책임의 소재가 수탁업체에 있고, 손해배상 책임 또한 최종적으로 수탁업체가 진다는 내용의 계약서를 별도로 작성하는 것이 좋다.

그밖에 기타 그 어떤 방법으로든지 권한 없는 자에게 개인정보가 전달된 경우, 단 1건의 개인정보가 유출됐더라도 이는 개인정보 유출에 해당되고 법에서 규정하는 조치를 시행해야 한다.

개인정보 유출 대응 방안

개인정보를 처리하는 업체가 개인정보가 유출되었음을 확인한 즉시, 정보주체에 대해 법적으로 통지의무가 발생한다. ‘개인정보가 유출되었음을 알게 되었을 때’는 권한 없는 제3자가 해당 개인정보를 알 수 있게 된 상태의 시점을 말하며, 반드시 제3자가 개인정보 내용을 실제로 취득한 사실을 알아야만 하는 것은 아니다. 이처럼 개인정보 유출에 대해 개인정보처리 업체가 인지한 시점에서 유출통지 의무가 발생한다.

업체는 개인정보가 유출됐음을 알게 됐을 때 5일 이내에 서면, 전자우편, 팩스, 전화, 문자전송 등 개별적 통지 방법으로 ①유출된 개인정보의 항목 ②유출된 시점과 경위 ③유출로 인해 발생할 수 있는 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보 ④개인정보처리자의 대응조치와 피해 구제절차 ⑤정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서와 연락처를 통지해야 한다. 주의할 점은 웹사이트 게재, 관보 고시 등과 같은 집단적인 공시만으로는 정보주체에 유출 사실을 알린 것으로 인정되지 않는다는 점이다. 단, 1만 명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 7일 이상 앞서 설명한 통지사항을 게재해야 할 뿐만 아니라 체계적·조직적 대응을 위해 통지 결과와 조치 결과를 5일 이내에 행정안전부, 한국정보화진흥원 또는 한국인터넷진흥원에 신고해야 한다.

이와 동시에 개인정보 처리 업체는 피해를 최소화하기 위한 조치로서 시스템 일시정지, 암호 등의 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰와 복구 등의 임시 대응 조치에서부터 유사사고 발생 방지 대책 수립과 시행 등의 같은 장래의 피해 예방 조치 또한 강구해야 한다.

또한 피해 고객에 대한 통지와 함께 피해 고객으로부터 개인정보 유출로 인한 피해 현황을 접수받을 수 있는 창구를 마련해야 한다. 참고로 개인정보 유출 통지의무를 위반하거나 조치 결과를 신고하지 않는 경우 3000만 원 이하의 과태료가 부과된다.

 

지금까지 개인정보 유출의 의미와 대응방법에 대해 살펴봤다. 그러나 그 전에 가장 중요한 것은 ‘예방’임을 아무리 강조해도 지나치지 않다. 많은 업체들이 그렇지만, 특히 스타트업의 경우 개인정보 관리와 체계 수립의 중요성에 대한 인식이 크지 않은 상황이다. 따라서 법에서 요구하는 최소한의 안전조치는 기본이며, 보안 투자 확대와 교육, 인식 제고 등을 위한 개인정보 처리 업체의 지속적인 노력이 반드시 필요하다.

아무리 금고에 현금과 금괴를 쌓아놓아도 금고 보안이 허술하면 이를 호시탐탐 노리는 절도범들에 의해 현금과 금괴를 모조리 도난 당해 모든 노력이 허사가 될 가능성이 높다. 이처럼 스타트업의 장기적인 안정과 성장을 바란다면 업체의 무형 자산인 개인정보를 안전하게 수집·사용하기 위한 꾸준한 조치와 지원이 필요한 것이다.

글 | 최재윤 법무법인 태일 구성원 변호사



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.