법무법인(유) 화우

개인정보가 유출되면, 개인정보처리자는 민사, 형사, 행정 등 법적 위험에 직면할 수밖에 없고, 평판저하 등 유무형의 경제적 손실에 봉착할 수밖에 없습니다. 따라서 유출을 예방할 수 있는 선제적 대응이 무엇보다 중요합니다. 개인정보보호위원회(이하 ‘개인정보위’)가 2025. 3. 20.  발표한「2024년 개인정보 유출 신고 동향 및 예방 방법」은 2024년 한해동안 개인정보위에 신고된 유출 사고의 주체와 원인 뿐만 아니라 예방ㆍ대응 방법까지 다루고 있어 기업이 대응을 함에 있어 유용한 안내서 역할을 할 것으로 보입니다.

개인정보에 대한 안전성 조치 부실로 개인정보가 유출되는 경우 그 정도에 따라 막대한 과징금 부과 대상이 될 뿐만 아니라, 관련 서비스에 대한 이용자들의 신뢰를 잃게 될 수도 있으므로 항상 철저하게 대비할 필요가 있는만큼 사전점검을 통한 취약점 분석 및 관련 대응이 필요한 시점입니다.

1.배경

2.주요 내용

3.시사점

1. 배경

개인정보위는 2025. 3. 20. 「2024년 개인정보 유출 신고 동향 및 예방 방법」을 발표했습니다. 해당 발간서는 2024년 한해동안 개인정보위에 접수된 개인정보 유출 사고를 상세히 분석하고, 피해를 입은 기관ㆍ사고 원인ㆍ보안 취약점 등을 상세히 정리하여 이목을 끌고 있습니다.

개인정보에 대한 미흡한 안전성 조치로 인한 유출 사고는 일단 피해가 발생 시 막대한 과징금 부과 대상이 될 수 있고, 그 외 일정 시간 내 신고의무 위반 등의 사유로 과태료ㆍ시정명령 대상이 되기도 하는 중한 법률위반행위이므로 사업자들은 많은 신경을 기울일 필요가 있습니다. 특히, 기업의 절대다수는 정보화된 현대사회에서 개인정보DB를 갖추어 「개인정보 보호법」에 따른 개인정보처리자 지위가 인정되고 있다는 점에서 더욱 그러합니다. 이와 같은 배경에서, 2024년의 개인정보 유출사고를 분석한 해당 보고서를 면밀히 검토하고, 반면교사로 삼을 필요가 있습니다.

2. 주요 내용

가. 개인정보 유출신고 주체ㆍ원인

2024년 개인정보위에 신고된 개인정보 유출 사고는 총 307건이었으며, 이는 2023년 318건에서 감소한 수치입니다.

유출 신고를 한 주체 중 34%(104건)가 공공기관*이었으며, 나머지 66%(203건)를 민간기업이 차지했습니다. 사고 원인으로는 해킹  56%(171건), 업무과실 30%(91건), 시스템 오류 7%(23건), 원인 미상 5%(17건), 고의 유출 2%(5건) 순으로 많았습니다. 2023년과 비교 시, 해킹ㆍ원인 미상의 비중이 증가하였고, 업무과실ㆍ시스템 오류의 비중이 감소하였습니다.

*공공기관은 중앙행정기관, 지방자치단체, 공공기관, 지방공기업, 각급 학교, 특수 법인 등을 의미

다만, 개인정보 유출 사고의 가장 큰 원인은 주체마다 달랐습니다. 공공기관의 경우, 해킹이 아닌 업무과실(104건 중 51건; 49%)이 개인정보 유출 사고의 가장 주요한 원인이었고, 그 다음으로 해킹과 시스템 오류가 뒤를 이었습니다. 고의 유출은 1건도 없었습니다.

이에 비해, 민간기업에서는 해킹이 가장 큰 원인이었고(203건 중 135건; 67%), 그 다음으로 업무 과실과 원인 미상이 주요 원인으로 뽑혔습니다. 고의 유출로 신고된 건수 5건은 모두 민간기업에서만 발생하였습니다.

개인정보위는 위와 같은 내용을 바탕으로 공공기관과 민간기업에게 아래와 같은 점을 시사점으로 제시하고 있습니다.

나. 개인정보 유출 사고 원인의 상세 분석

개인정보 유출 사고가 발생하는 원인 별로 그 세부 내용과 사례가 각기 다르므로, 이를 명확히 파악하고 예방ㆍ방법을 마련할 필요가 있습니다.

3. 시사점

2023년 9월의 「개인정보 보호법」 개정으로 인하여 개인정보처리자의 지위에 있는 사업자들의 유출 사고 신고 의무는 경감되었습니다. 기존에는 온라인 서비스를 운영 한다면 단 1명의 개인정보라도 유출 시 신고의무를 부담하였으나, 이제는 특별한 사정이 없는 한 1,000명 이상의 개인정보 유출 시부터 신고의무를 부담합니다.

그러나 해당 법률 개정으로 사업자의 법적 리스크가 감소했다고만 볼 수는 없습니다. 개인정보에 대한 안전성 확보 미흡으로 개인정보 유출 시 기존에는 관련 매출액에서 과징금을 산출하였고, 관련성이 있다는 점에 대한 입증책임이 개인정보위에 있었으나, 현재는 전체 매출액에서 과징금을 산출하고 관련성이 없다는 점을 사업자가 입증하여야 합니다.

무엇보다도 점점 다수에게 일반적인 서비스만을 제공했던 과거와 달리, 개인정보 DB를 구축하고 이를 활용하여 개인별 맞춤형 서비스를 제공하는 것이 당연한 요즈음, 일단 관리해야 할 개인정보의 절대적 양이 증가했다는 점에서 개인정보의 유출은 언제나 사업자들이 신경 써야 할 리스크입니다.

이러한 점에서「2024년 개인정보 유출 신고 동향 및 예방 방법」에서 지적하는 개인정보처리자들의 문제점은 개인정보 유출 사고로 이어지는 다발성 원인인 만큼 이를 철저히 숙지하고 대처할 필요가 있습니다. 뿐만 아니라, 만에 하나 유출 사고 발생 시 개인정보위에 대한 신고의무ㆍ개인정보위의 점검 관련 답변 작성ㆍ과징금 및 과태료 부과 액수 감경 등 구체적 법적 리스크에 대해서는 전문가의 도움을 받아 최적의 대응을 하여야 피해를 최소화할 수 있다는 점도 유의할 필요가 있습니다.

화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.