법상 ‘지체 없이’ 규정 해석상 논란...표준지침 통해 ‘5일 이내’ 규정 신고·통지 한 5일 안에 제2차 피해 발생 가능...법적 개선 필요!


[보안뉴스 김정완] 넥슨 ‘메이플스토리’ 해킹에 따른 회원 1,320만명 개인정보 유출사고가 사회적 이슈가 되면서 조사가 진행되는 과정에서도 여러 추측들이 난무하고 있는 상황이다. 그런 가운데 넥슨 측이 개인정보 유출신고·통지에 있어 늑장대응을 한 것 아니냐는 논란이 이어지고 있다.

넥슨 사건은 개인정보보호법 시행 후 최초로 발생한 개인정보 유출사고로 적용법인 개인정보보호법에서 유출사고가 발생하면 ‘지체 없이’ 신고해야 한다고 규정하고 있기 때문이다. 즉, ‘지체 없이’ 신고했는지에 대한 해석상의 논란이 이어지고 있는 것이다.

넥슨은 11월 21일에 이상 징후를 발견한 후, 자체 조사를 통해 3일 전인 11월 18일에 해킹이 발생한 사실을 11월 24일에 최종 확인했다고 밝혔다. 그리고 이튿날인 11월 25일 유출사실을 신고 및 통지했다.

이상 징후를 발견한 시점에서 3일이나 지난 24일, 최종 유출사실을 확인한 부분에 대해서는 조사를 통해 밝혀지겠지만 사실 확인 후에도 바로 신고를 하지 않고, 그 다음날이 되어서야 신고한 점은 개인정보보호법 상 규정하고 있는 ‘지체 없이’ 신고했는지에 대해 해석상의 논란이 있을 수 있기 때문이다.

하지만 결론적으로 넥슨은 개인정보 유출신고 및 통지에 있어서는 법을 준수했다고 할 수 있다.

개인정보보호법 제12조제1항에 따라 개인정보 처리자가 준수해야 하는 개인정보의 처리에 관한 기준 등에 관한 세부적인 사항을 규정하고 있는 ‘표준 개인정보 보호지침(행안부 예규)’은 개인정보 유출신고 등에 대해 상세히 규정하고 있다.

개인정보 유출신고를 다루고 있는 지침 제29조제1항은 ‘개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 행정안전부장관 또는 시행령 제39조제2항 각호의 전문기관 중 어느 하나에 신고하여야 한다’고 규정하고 있다.

또한 정보주체에 대한 통지시기에 대해서는 지침 제27조제1항에서 ‘개인정보처리자는 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 유출된 개인정보의 항목, 유출된 시점과 그 경위 등을 알려야 한다’고 규정하고 있다.

즉, 넥슨의 이번 개인정보 유출사고와 관련해 신고나 통지에 대한 부분은 법적으로 문제가 없다.

그렇더라도 ‘5일 이내’에 신고·통지를 하면 된다는 것은 실제 개인정보보호법 상 ‘지체 없이’라는 즉시성을 포함하고 있는 법규와 비교할 때 인지시점과 신고시점 사이의 간격이 너무 크다.

이에 한 정보보안 전문가는 “이미 해킹에 따른 개인정보 유출이 확인된 상황에서 가장 중요한 건 제2차 피해가 발생하지 않도록 빠른 조치를 취해야 하는 것”이라면서 “5일 이내란 시점은 이미 2차 피해가 발생했을 수도 있는 충분한 시간인 만큼 이에 대한 법적 개선이 필요해 보인다”고 밝혔다.

또한 염흥열 한국정보보호학회 회장(순천향대 교수)은 “기존 개인정보 유출사건들의 경우 기업들이 사후 대응 측면에서 개인정보보호를 위한 프로세스를 제대로 갖추지 못한 것을 우리는 목격해 왔다”고 말하고, “이번 개인정보 유출사고는 개인정보보호법 시행 이후 최초로 발생된 만큼 기업들이 보안사고 발생시 위기관리 능력을 키워야 한다는 점을 분명히 인식하는 계기가 되었으면 한다”고 밝혔다.

이어 염흥열 회장은 “지금까지 논란이 되었던 개인정보보호법과 정보통신망법 간 상충되는 부분이  정리될 수 있는 계기를 마련해 주었다”고 말하고, “기업들은 개인정보보호법과 정보통신망법을 이중규제로 인식하고 있는데, 이번 사건으로 실상은 그렇지 않다는 것을 분명 인식해야 하고 정부는 체계적인 개인정보보호 프로세스를 갖출 수 있도록 홍보·계도 등의 노력을 기울여야 할 것”이라고 강조했다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>