KAPP 칼럼 제02호(2020-12-30)

개인정보, 위기대응

‘개인정보’의 양면성

송 도 영
법무법인 비트 변호사
개인정보전문가협회 사무국장

‘개인정보’는 살아 움직이는 대상이다. 보호의 대상이기도 하지만 이용의 대상이다. 수집의 대상이 되기도 하지만 제3자에게 이전되기도 한다. 이용자에게 가치가 있을 때도 있지만 적절히 파기하지 않아 해가 되기도 한다. 누군가는 해킹을 해서 그것을 훔쳐가려 하기도 하고 돈을 벌기 위해 권한을 넘어 유출시키기도 한다. 기업들은 기본적으로 개인정보를 이용하여 신제품·서비스를 개발하고 기존 제품·서비스를 업그레이드하여 부가가치를 창출하려 하지만, 개인정보의 위와 같은 특성을 제대로 이해하고 대응하지 않으며 기업에 큰 위기를 가져올 수 있다는 점을 유의해야 한다.

기민한 위기대응

우선 위기대응은 ‘시간’과의 싸움이다. 2014년 발생한 카드3사 개인정보 유출사고 이후 국회는 개인정보의 분실ㆍ도난ㆍ유출 사실을 안 때로부터 정당한 사유가 없는 한 24시간을 경과하여 통지·신고를 할 경우 3천만원 이하의 과태료를 부과하도록 하였고(구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제27조의3 제1항), 이 규정은 개정 「개인정보 보호법」에 그대로 이전되었다(동법 제39조의4). 24시간은 정말 짧은 시간이다. 사실관계 파악부터 사과문 작성, 각종 통지와 신고까지 법에 따라 의무적으로 해야 할 일이 매우 많다. 하지만 실제 해킹으로 인한 개인정보 유출사고나 내부자에 의한 오남용이 발견된 경우 실무자들이 어떻게 대응해야 할지 모르는 경우를 자주 본다. 다시 말해 ‘어떻게 해야 하는지’를 알아보는 데 이미 상당한 시간을 소비한다는 말이다. 이러한 지연은 향후 행정처분이나 민사소송에서 불리한 증거로 이용된다는 점을 간과해서는 안 된다.

조직적 위기대응

다음으로 위기대응은 신속한 ‘조직’화가 필요하다. 개인정보 유출·오남용에 대응하기 위한 ‘위기대응팀’은 일반적으로 상설조직이 아니라 사건·사고가 발생하면 구성되는 임시(ad-hoc) 조직이기 때문에 조직 구성 등에 대한 사규·지침·매뉴얼 등 사전 준비가 필요하다. 개인정보 전문가 중에서도 위기대응 경험이 있는 사람은 소수이기 때문에 사전에 전문가 인력 풀을 마련해 놓는 것도 좋은 방법이다. 또한 IT조직·실무조직·관리조직간 갈등이 언제든지 표출될 수 있기 때문에 이에 대한 대비책도 마련해 두어야 한다.

철저한 대응 전략 준비 필요

위에서 본 것처럼 적절한 위기대응을 위해서는 철저한 사전 준비가 필수적이지만 몇몇 대기업이 ‘위기대응 모의 훈련’을 하는 사례 외에 개인정보 유출에 대한 사전 준비에 신경을 쓰는 기업은 거의 찾아볼 수 없다. 개인정보 유출사고를 경험한 기업들조차 예외적인 ‘사고(事故)’ 정도로 치부하는 것도 놀랄 일이 아니다. 그러다 보니 개인정보 위기대응팀을 구성하는 데만 며칠이 걸리는 일이 비일비재하다. 이러한 시간을 줄일 수 있는 방법은 철저한 사전 준비다. 실제로 모 기업에서 모의 훈련을 통해 유출사고 발생 후 위기대응팀 구성까지 시간을 매우 단축한 사례가 그 필요성을 반증한다.

위기대응 프로세스 확립

필자가 속한 법무법인은 몇 해 동안 ‘한국상장회사협의회’와 함께 개인정보보호에 관한 교육을 실시하면서, 커리큘럼의 절반 정도를 개인정보 위기대응 모의 시뮬레이션에 집중하여 왔다. 오전 기본 교육을 바탕으로 오후에는 위기대응 상황을 전제로 조사팀과 대응팀으로 나눠서 문제점을 신속히 파악하고 대응체계를 구축하는 것을 연습하는 것이다. 처음 과제를 나눠줄 때와 달리, 조사팀과 대응팀으로 나눠서 실제 사례를 분석하고 공격과 방어 논리, 이를 뒷받침하기 위한 사실조사 등을 하다 보면 이내 분위기는 후끈 달아오른다. 경우에 따라서는 수강생들이 시간을 더 요청하여 예정된 시간보다 교육이 늦게 끝나는 경우도 종종 발생한다. 관련 법령과 판례 설명만으로도 부족한 시간이지만, 그럼에도 모의 시뮬레이션을 고수하는 데에는 그만한 이유가 있다. 담당자들이 위기대응을 직접 경험해 봄으로써 위기대응 프로세스를 자기 것으로 체화(體化)시키고, 그러한 지식과 경험을 회사에 전파하기를 바라는 것이다. 위기(危機)는 소리도 소문도 없이 찾아온다. 철저한 대비만이 정보주체와 기업 모두의 피해를 최소화할 수 있는 최선책이다. (끝)

  • 발행일 : 2020년 12월 30일
  • 발행처 : 개인정보연구원(IPDR)
  • 발행인 : 김도승

※ KAPP 칼럼은 (www.newsprime.co.kr)”와 함께 합니다.


KAPP 칼럼(제02호) PDF 원문보기