‘이용자 개인정보 보호조치’ 온라인 사업자들의 면죄부 되나?  

[보안뉴스 민세아] 온라인상에서 개인정보를 취급하는 사업자의 경우 개인정보 유출사고는 기업 이미지에 매우 치명적이다. 이러한 기업 이미지 손상뿐만 아니라 과태료 등의 처벌 때문에 재정적 손실도 상당하다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’에 따르면 온라인 사업자들은 이용자의 정보를 보호하기 위한 ‘보호조치 의무’를 준수해야 한다.

대표적으로 정보통신망법 제28조와 정보통신망법 시행령 제15조가 이용자 개인정보 보호조치를 위한 조항에 해당된다. 또한, 개인정보의 안전성 확보를 위해 위의 조항을 바탕으로 ‘개인정보의 기술적·관리적 보호조치 기준(보호조치 기준)’도 마련되어 있다.

정보통신망법 28조의2 ‘개인정보의 누설 금지’ 조항에 따르면 이용자의 개인정보를 취급하고 있거나 취급했던 자는 직무상 알게 된 개인정보를 훼손·침해·누설해선 안 된다. 이를 위반할 시 5년 이하의 징역이나 최대 5천만 원에 해당하는 형사처벌을 받는다.

또한 이용자의 개인정보를 훼손·침해·누설하지 않았더라도 정보통신망법에 해당하는 이용자 보호조치를 취하지 않았을 경우 3천만 원 이하의 행정처분을 받는다. 이 경우 개인정보보호 의무가 강하게 부여된 임직원이 처벌을 받는다.

이에 따라 온라인 사업자가 취해야 할 이용자 보호조치는 다음과 같다. △개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 △개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영 △접속기록의 위조·변조 방지를 위한 조치 △개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 △백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 △그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 등이다.

이용자 보호조치를 충분히 취한 경우와 그렇지 않은 경우는 개인정보가 유출됐을 때 처벌의 수위가 확연히 달라진다. 이용자 보호조치를 취하지 않았을 경우 위에 언급한대로 처벌을 받지만 만약 사업자가 이용자 보호조치 의무를 성실히 수행하고도 외부 해킹 등으로 인해 유출당한 경우는 ‘무죄’라는 게 사법부 측의 일반적 인식이다.  

만약 이용자 보호조치를 다하지 않아 처벌을 받을 경우 사업장의 규모와 피해규모, 위반행위의 횟수, 위반행위의 동기, 위반행위의 내용, 위반행위의 결과, 개인정보보호를 위해 사업자가 노력한 부분 등을 감안해 처벌을 가중하거나 감경하게 된다.

고객정보가 많고 다량의 개인정보를 취급하는 대규모 사업장의 경우나 영세한 사업장의 경우나 법적 행정절차는 크게 다르지 않다. 다만 규모가 큰 개인정보 유출 사고의 경우 이용자들이 민사소송을 제기해 손해배상을 요구하는 일이 많다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>