1. 개요
개인정보-유출이란 법령이나 개인정보처리자의 자유로운 의사에 반하여, 관리 대상인 정보가 해당 처리자의 관리·통제권을 벗어난 상태를 의미한다.[4] 이는 단순히 정보가 이동하는 것을 넘어, 제3자가 그 내용을 인지할 수 있는 상황에 이르게 된 것을 핵심적인 요건으로 한다.[4] 즉, 정보의 소유나 관리 권한이 정상적인 절차 없이 외부로 노출되는 현상을 뜻한다.
이러한 유출 상황은 해킹 사고나 다크웹을 통한 계정정보의 불법 유통 등 다양한 경로를 통해 발생할 수 있다.[2] 정보주체는 자신도 모르는 사이에 아이디나 패스워드 같은 민감한 데이터가 외부로 퍼지는 위험에 직면하기도 한다.[2] 따라서 유출 여부를 확인하고 본인인증 등을 통해 피해를 예방하는 과정이 필수적이다.
유출이 발생하면 개인정보 보호법에 따라 엄격한 사후 조치가 요구된다.[1] 개인정보처리자는 유출 사실을 인지한 시점부터 72시간 이내에 개인정보 보호위원회 또는 지정된 전문기관에 신고해야 할 의무를 가진다.[1][4] 다만 천재지변과 같이 부득이한 사유가 있는 경우에는 해당 사유가 해소된 후 지체 없이 신고를 진행할 수 있다.[1]
신고 대상은 유출된 규모와 정보의 성격에 따라 구분된다. 1천명 이상의 정보주체에 관한 정보가 유출되었거나, 민감정보 또는 고유식별정보가 포함된 경우 신고 대상에 해당한다.[4] 또한 개인정보처리시스템이나 개인정보취급자가 이용하는 정보기기가 영향을 받은 경우에도 관련 법령에 따른 신고 절차를 준수해야 한다.[4]
2. 법적 정의 및 관련 법령
개인정보 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 아니하고, 개인정보가 해당 개인정보처리자의 관리 및 통제권을 벗어나 제3자가 그 내용을알 수 있는 상태에 이르게 된 것을 의미한다.[4] 이는 단순히 데이터가 물리적으로 이동하는 현상만을 의미하는 것이 아니라, 정보의 관리 권한이 정상적인 절차 없이 외부로 노출되어 제3자의 인지가 가능한 상황을 핵심 요건으로 규정한다. 따라서 정보의 소유권이나 통제권이 침해되는 모든 상황이 이 정의의 범주에 포함된다.
개인정보 보호법 제34조 및 동법 시행령 제40조에 따르면, 개인정보처리자는 특정 기준에 해당하는 유출 사고가 발생했을 때 이를 인지한 시점부터 72시간 이내에 신고를 완료해야 한다.[1] 신고 대상이 되는 구체적인 기준은 1,000명 이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보가 유출된 경우, 그리고 개인정보처리시스템이나 개인정보취급자가 개인정보 처리에 이용하는 정보기기가 침해된 경우 등을 포함한다.[4] 만약 천재지변이나 그 밖에 부득이한 사유로 인해 72시간 이내에 신고하기 곤란한 상황이라면, 해당 사유가 해소된 후 지체 없이 신고를 수행할 수 있다.[1]
이러한 법적 규정은 유출 사고 발생 시 정보주체의 권익 침해 가능성을 최소화하기 위한 필수적인 장치이다. 개인정보처리자는 유출 경로가 확인될 경우 해당 개인정보를 회수하거나 삭제하는 등의 조치를 병행하여 피해를 줄여야 할 의무를 지닌다.[1] 만약 유출된 정보가 다크웹과 같은 불법 경로로 유통될 경우, 아이디나 이메일, 패스워드와 같은 계정정보의 도용 등 심각한 2차 피해로 이어질 위험이 크다.[2] 따라서 본인인증을 통한 유출 여부 확인과 즉각적인 계정 조치 등 선제적인 피해 예방 활동이 매우 중요하다.
개인정보 유출 사고는 기술적 환경의 변화에 따라 그 양상이 복잡해지고 있으며, 이에 따른 법적 책임과 대응 체계의 중요성도 지속적으로 강조되고 있다. 개인정보처리자는 관리적·기술적 보호 조치를 이행하여 사고를 방지해야 하며, 사고 발생 시에는 보호위원회 또는 전문기관에 서면 등의 방법으로 신속히 신고해야 한다.[1] 향후 디지털 환경의 확장에 따라 유출의 위험 범위는 더욱 넓어질 것으로 예상되므로, 법령에 근거한 철저한 관리 체계 구축과 정보주체의 권리 행사를 돕는 제도적 지원이 지속적으로 요구된다.[3]
3. 주요 유출 사례 및 유형
과거의 유출 사고가 특정 기관에 국한되었다면, 최근에는 OTT 플랫폼을 비롯한 대형 플랫폼 기업들이 주요한 공격 대상으로 부상하고 있다. 해킹 사고를 통해 대규모의 데이터가 탈취되는 양상을 보이며, 공격 대상이 되는 기관 또한 대학교, 의료기관, 통신사 등으로 점차 다양화되는 추세이다. 이러한 변화는 공격자들이 더 많은 정보를 확보하기 위해 보안 체계가 복잡하거나 민감한 정보를 다량 보유한 곳을 집중적으로 공략하기 때문이다.
유출되는 정보의 종류 또한 단순한 인적 사항을 넘어 매우 구체적이고 다양하다. 주소, 연락처와 같은 기본 정보는 물론, 개인통관고유부호와 같이 금융 범죄나 명의 도용에 악용될 수 있는 민감한 데이터가 포함되기도 한다. 또한 계정정보인 아이디, 이메일, 패스워드 등이 다크웹을 통해 불법적으로 유통되는 사례가 빈번하게 발생한다.[2]
유출된 정보는 다크웹 등에서 거래되며 2차 피해를 유발할 위험이 크다. 사용자는 자신의 계정 정보가 불법 유통되고 있는지 확인하기 위해 본인인증 절차를 거쳐 유출 여부를 조회하는 등의 조치가 필요하다.[2] 만약 개인정보 유출 사실을 인지하게 된 개인정보처리자는 개인정보 보호법 시행령에 따라 72시간 이내에 개인정보 보호위원회 또는 관련 전문기관에 해당 사실을 신고해야 한다.[1]
4. 유출 사고 발생 시 대응 절차
개인정보처리자는 개인정보 유출 사실을 인지한 시점부터 신속한 관리 전략을 수립해야 한다. 개인정보 보호법 제34조 및 동법 시행령 제40조에 따라, 특정 요건을 충족하는 유출 사고가 발생하면 72시간 이내에 신고를 완료해야 한다.[4] 신고 대상은 1,000명 이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보가 유출된 경우, 그리고 개인정보처리시스템이나 개인정보취급자가 이용하는 정보기기가 유출된 경우를 포함한다.[4] 다만, 천재지변이나 기타 부득이한 사유로 인해 기한 내 신고가 어려운 상황이라면 해당 사유가 해소된 후 지체 없이 신고를 진행해야 한다.[1]
유출 경로가 확인된 경우에는 해당 개인정보를 회수하거나 삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성을 낮추는 적응 전략이 필요하다.[1] 사고 발생 직후의 대응은 피해 확산을 막는 결정적인 역할을 하므로, 유출된 데이터의 성격에 맞춘 즉각적인 보안 조치가 병행되어야 한다. 특히 다크웹과 같은 불법 경로로 정보가 유통되는 것을 방지하기 위해 유출 여부를 조기에 파악하는 것이 중요하다.
개인정보 보호위원회 또는 관련 전문기관은 유출 사고에 대한 신고를 접수하며, 개인정보처리자는 서면 등의 방법으로 관련 사항을 보고해야 한다.[1] 정보주체는 자신의 계정 정보가 해킹 사고 등으로 인해 불법 유통되고 있는지 확인하기 위해 본인인증을 거쳐 유출 여부를 조회할 수 있다. 만약 아이디나 패스워드와 같은 계정 정보의 유출 이력이 확인된다면, 해당 계정에 대한 즉각적인 조치를 통해 추가적인 피해를 예방해야 한다.[2]
사고 발생 시 조기 대응이 필수적인 이유는 유출된 정보가 2차 피해로 이어지는 것을 차단하기 위함이다. 유출 사실을 인지한 후 골든타임 내에 신고와 통지가 이루어지지 않으면, 정보주체가 자신의 권리를 보호할 기회를 상실할 수 있다. 따라서 법적 의무 사항인 72시간 이내 신고 규정을 준수하고, 체계적인 대응 절차를 실행하는 것은 개인정보 보호 체계의 핵심적인 정책적 요구 사항이다.
5. 개인정보 유출 확인 및 점검 서비스
개인정보 유출 사고는 해킹이나 관리 소홀 등 다양한 경로를 통해 발생하며, 정보주체가 인지하지 못한 상태에서 정보가 유출되는 경우가 많다. 이에 따라 개인정보보호위원회는 이용자가 자신의 정보 안전성을 스스로 점검할 수 있도록 다양한 서비스를 제공한다.[3] 특히 다크웹과 같은 폐쇄적인 네트워크 내에서 계정 정보가 불법적으로 유통되고 있는지 확인하는 과정은 2차 피해를 막기 위한 핵심적인 단계이다. 이용자는 자신의 아이디, 이메일, 패스워드 등이 범죄에 악용될 가능성이 있는지 정기적으로 탐색해야 한다.
개인정보 포털을 활용하면 정보주체의 권리 행사를 돕는 다각적인 점검이 가능하다. 해당 포털 내에서는 본인확인 내역을 조회할 수 있는 기능을 통해 자신의 명의가 도용되어 인증 서비스가 이용되었는지 여부를 파악할 수 있다.[3] 이는 타인이 자신의 개인정보를 이용해 무단으로 인증을 시도했는지 확인하는 데 유용하다. 만약 개인정보처리자가 개인정보 유출 사실을 알게 된 경우에는 관련 법령에 따라 일정 시간 이내에 보호위원회 등에 신고해야 할 의무가 있으며, 이용자는 이러한 제도적 장치와 포털 서비스를 병행하여 자신의 권익을 보호해야 한다.[1]
'털린 내 정보 찾기' 서비스는 다크웹에 유출된 계정 정보를 확인하기 위한 구체적인 안심 체크 절차를 제공한다.[2] 이용자는 홈페이지에서 '유출여부 조회하기'를 클릭한 후 본인인증 절차를 거쳐 자신의 아이디와 비밀번호가 유출되었는지 간편하게 조회할 수 있다. 만약 유출 이력이 확인된다면 해당 계정에 대해 즉각적인 비밀번호 변경이나 서비스 탈퇴 등의 조치를 취해야 한다.[2] 이러한 선제적인 대응은 개인정보 유출로 인한 금융 사기나 명의 도용 등의 2차 피해를 예방하는 데 결정적인 역할을 한다.
6. 피해 예방 및 구제 방법
개인정보 유출이 의심될 경우 가장 먼저 다크웹 내 계정 정보의 불법 유통 여부를 확인해야 한다. 이용자는 본인인증 절차를 거쳐 자신의 아이디와 패스워드가 유출되었는지 간편하게 조회할 수 있다.[2] 만약 유출 이력이 확인된다면 해당 계정을 즉시 조치하여 추가적인 피해를 막아야 한다. 또한 명의도용을 방지하기 위해 주기적인 비밀번호 변경과 보안 수칙 준수가 권장된다.
정보주체는 자신의 권리가 침해되었을 때 개인정보 침해 신고를 통해 도움을 받을 수 있다.[3] 개인정보보호위원회가 운영하는 개인정보 포털을 활용하면 침해 사실에 대한 신고와 더불어 정보주체 권리행사를 위한 다양한 지원을 받을 수 있다. 분쟁이 발생한 경우에는 분쟁조정 제도를 활용하여 법적 절차 이전에 문제를 해결하는 방안을 고려할 수 있다.
유출 사고로 인한 손해에 대해서는 집단소송 등 법적 구제 절차를 진행할 수 있다. 개인정보 보호법 시행령에 따르면 개인정보처리자는 유출 사실을 인지한 시점부터 72시간 이내에 보호위원회 또는 지정된 전문기관에 신고해야 할 의무가 있다.[1] 다만 천재지변과 같은 부득이한 사유로 신고가 지연될 경우에는 해당 사유가 해소된 후 지체 없이 신고를 완료해야 한다.[1]
7. 같이 보기
8. 관련 문서
- 법령
- 개인정보처리자
- 관리·통제권