과거에는 개인정보가 유출되더라도 관련법이 미비해 기업 이미지 훼손을 제외하면 직접적인 손실이 발생하지는 않았으나 앞으로는 사정이 달라졌다. 사전에 마련된 망 분리 등 대비조치를 충분히 마련해야 할 뿐 아니라 유사시 대응매뉴얼에 따라 신속히 조치하고 신고하지 않으면 직접적인 손실까지 발생하게 된다.
이같은 내용은 지난 8월말 방송통신위원회(위원장 최성준)와 한국인터넷진흥원(원장 백기승)이 발표한 ‘개인정보유출대응매뉴얼’에 포함돼 있다. 이 매뉴얼에는 개인정보가 유출됐을 때 기업들이 어떤 절차에 따라 대처를 해야하는지, 또 개인정보 유출사태를 막기 위해 기업들이 어떤 조치를 해야 하는지에 대한 상세한 내용이 담겨 있다.
구체적으로 살펴보면 각 기업들은 개인정보 유출사고에 대비한 대응매뉴얼을 마련해야 한다. 대응매뉴얼에는 개인정보 업무책임자와 담당자가 지정돼 있어야 하고 사고가 발생하면 신속대응팀을 구성하는 내용이 포함돼 있다.
또 사고 즉시 경찰과 미래창조과학부에 신고를 해야 하며 유출된 정보와 관련된 각 개인에게도 즉시 통보해야 한다.
정부가 ‘개인정보유출 대응매뉴얼’을 마련한 이유는 지난 5월 발생한 인터파크의 개인정보유출 사건 등 전자상거래 업체나 IT업체들의 대규모 개인정보유출사건이 잇따랐기 때문이다.
개인정보의 유출도 문제지만 우왕좌왕하는 사이 대처가 늦어지거나 유출사실을 숨기려 했다는 사실이 드러나면서 빈축을 사기도 했다. 정부가 발표한 매뉴얼은 이 같은 행위를 미연에 방지하자는데 있다.
물론 현재까지는 ‘대응매뉴얼’ 자체로 어떤 강제성이 생긴 것은 아니다. 관련법상 지연신고 부분에 대해서는 관련법에 따라 과태료 처분을 내려질 수 있지만 매뉴얼을 갖추지 않았다고 해도 제재를 받지는 않는다.
그러나 개인정보 유출 피해을 입은 개인이 기업을 상대로 손해배상 소송을 벌인다면 사정이 달라진다. 지금까지는 법규정이 미비해 피해를 입은 개인이 승소할 수 있는 가능성이 극히 낮았다. 민사상 손해배상 책임이 인정되려면 가해자가 과실이나 고의로 의무를 위반해야 하는데 개인정보 관리에 관해서는 어느 정도가 기업이 지켜야할 의무인지 명확하지 않았다.
이 때문에 개인정보유출사태를 겪은 상당수 기업들이 ‘최선을 다했지만 어쩔 수 없이 당했다’고 항변했고 법원은 이를 수용할 수 밖에 없었다.
이번에 정부가 마련한 ‘대응 매뉴얼’은 기업의 ‘의무위반’을 판단할 기준이 생겼다는 점에서 큰 의미를 갖는다. 직접 제재조치를 하지 않는다고 해도 거액의 손해배상을 해야하는 상황이 생길 수 있게 됐기 때문이다.
전산전문가들에 따르면 개인정보 유출사태는 이제 더 이상 IT기업이나 모바일 쇼핑 등 e-커머스업체들의 문제는 아니다. 대부분 기업들이 인터넷 홈페이지를 유지하고 있고 고객이나 거래처 정보를 컴퓨터 등 전산기기에 저장해 두고 있는 이상 개인정보 유출은 언제든 가능해졌기 때문이다.
기업들이 서둘러 실질적인 전산보안 대책과 비상시 대비절차를 마련해야 할 이유다. [도움말 법무법인 화우 전산·정보·통신팀]
ohngbear@fnnews.com 장용진 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지