개인정보 유출 사고 발생 시 회사가 반드시 해야 할 5가지
뉴스에서 본 그 사건, 우리 회사도 예외 아니다
2024년 12월, 쿠팡 개인정보 410만 건 유출.
2024년 10월, SK텔레콤 유심 해킹 사고.
2024년 7월, 티몬·위메프 개인정보 유출 논란.
공통점?
사고가 터지고 나서 대응이 문제였다.
신고 지연, 통지 누락, 재발 방지 조치 미흡.
결과는 과징금, 집단소송, 그리고 신뢰 추락.
문제는 사고 자체가 아니라, 사고 이후 72시간이다.
개인정보 유출 시 기업이 반드시 해야 할 5가지
법은 명확하다.
개인정보보호법 제34조 및 시행령은 "지체 없이" 조치하라고 한다.
"지체 없이"가 얼마냐고?
사고 인지 후 24시간 이내.
늦으면 과징금이 기다린다.
핵심 5단계:
- 사고 사실 확인 및 범위 파악
- 개인정보보호위원회 신고
- 정보주체(고객) 통지
- 재발 방지 조치
- 분쟁·손해배상 대비
1. 사고 사실 확인 및 범위 파악
첫 질문:
"정확히 뭐가 유출됐나?"
확인 사항
유출된 정보 종류
- 이름, 전화번호, 이메일 → 일반 개인정보
- 주민등록번호, 여권번호, 운전면허번호 → 고유식별정보
- 계좌번호, 카드번호 → 금융정보
- 건강정보, 유전정보 → 민감정보
유출 규모
- 1,000명 미만
- 1,000명 이상 1만 명 미만
- 1만 명 이상
유출 경로
- 해킹
- 내부자 유출
- 관리 소홀 (USB 분실, 이메일 오발송 등)
왜 중요한가
신고 기준이 다르다.
- 1,000명 이상 유출 → 개인정보보호위원회 의무 신고
- 고유식별정보·민감정보 유출 → 즉시 신고
확인 없이 신고하면 → 추가 유출 발견 → 재신고 → "처음부터 제대로 안 했네" → 과징금 가중.
2. 개인정보보호위원회 신고
신고 의무 대상:
- 1,000명 이상 개인정보 유출
- 고유식별정보(주민번호 등) 유출 (인원 무관)
- 민감정보 유출 (인원 무관)
신고 기한:
지체 없이 = 사고 인지 후 24시간 이내
신고 방법:
- 개인정보보호 종합포털 (privacy.go.kr) 접속
- "개인정보 유출 신고" 클릭
- 온라인 양식 작성 제출
신고 내용:
- 유출 일시 및 경위
- 유출된 개인정보 항목
- 유출된 정보주체 수
- 유출 정황 및 피해 발생 가능성
- 대응 조치 및 향후 계획
실무에서 가장 많이 하는 실수
"일단 내부 조사 끝내고 신고하자"
→ 틀렸다.
법은 "지체 없이" 신고하라고 한다.
조사 중이어도 일단 신고하고, 추가 내용은 보완 제출.
신고 지연 = 과징금 사유.
신고 안 하면?
과태료:
- 1차 위반: 최대 3,000만원
- 재발 시: 최대 5,000만원
과징금:
- 매출액의 3% 이하
- 예: SK텔레콤 사건 → 33억원 과징금 부과
3. 정보주체(고객) 통지
신고만 하면 끝?
아니다. 피해자에게도 알려야 한다.
통지 대상
유출된 정보의 주체 전원.
1,000명이 유출되었으면 → 1,000명 전원에게 통지.
통지 기한
지체 없이 = 신고와 동시 또는 신고 직후
통지 방법
개별 통지 원칙:
- 이메일
- 서면 (등기우편)
- 문자메시지 (SMS)
- 전화
개별 통지 곤란 시 대체 통지:
- 회사 홈페이지 공지 (30일 이상)
- 일간신문 2회 이상 공고
통지 내용
개인정보보호법 시행령 제40조:
- 유출된 개인정보 항목
- 유출 시점 및 경위
- 유출로 인한 피해 최소화 방법
- 회사의 대응 조치 및 피해 구제 절차
- 담당 부서 및 연락처
실무에서 많이 틀리는 것
"홈페이지 공지만 하면 되지"
→ 틀렸다.
원칙은 개별 통지.
대체 통지는 개별 통지가 불가능한 경우에만.
예:
- 연락처 정보가 유출되어 연락 불가
- 정보주체가 수만 명 이상이고 연락처 확보 곤란
단순히 "귀찮아서" 대체 통지 → 법 위반.
4. 재발 방지 조치
신고하고 통지했다고 끝?
개인정보보호위원회는 재발 방지 조치도 본다.
필수 조치
기술적 조치:
- 유출 경로 차단 (해킹 시 취약점 패치)
- 접근 권한 재설정
- 암호화 강화
- 보안 시스템 업그레이드
관리적 조치:
- 내부 조사 및 책임자 문책
- 개인정보 취급자 교육 강화
- 개인정보 처리 방침 개정
- 내부 관리 계획 수립
문서화
중요: 조치 내역을 반드시 문서로 남겨라.
- 조치 일시
- 조치 내용
- 조치 담당자
- 조치 결과 확인
개인정보보호위원회 조사 시 "재발 방지 조치 했습니다"만으로는 부족.
"이렇게 했습니다" 증거 제출해야 함.
재발 방지 없으면?
과징금 가중 사유.
같은 유형 사고 재발 시 → 과징금 2배.
5. 분쟁·손해배상 대비
유출 사고 = 집단소송 가능성.
손해배상 청구권
정보주체는 손해배상 청구 가능.
개인정보보호법 제39조:
개인정보처리자가 이 법을 위반한 행위로 손해를 입은 자는 개인정보처리자에게 손해배상을 청구할 수 있다.
입증 책임 전환:
정보주체가 손해 입증 → 회사가 "고의·과실 없음" 입증.
즉, 회사가 잘못 없다는 걸 증명해야 함.
법정 손해배상
실제 손해 입증 없이도 청구 가능.
- 1인당 최대 300만원
- 고의·중과실 시 최대 500만원
예:
- 1,000명 유출 x 300만원 = 최대 30억원
집단소송 대응
소송 전 준비:
- 법무법인 자문 계약
- 손해배상 책임보험 확인
- 내부 증거 확보 (조치 내역 문서화)
화해·합의:
정보주체와 조기 합의 시 → 소송 비용·시간 절감.
실무자가 놓치기 쉬운 3가지
1. "일단 조사부터 끝내고 신고하자"
틀렸다.
조사 중이어도 24시간 내 신고.
추가 내용은 보완 제출.
2. "홈페이지 공지만 하면 되지"
틀렸다.
원칙은 개별 통지.
이메일, 문자, 서면으로 직접 알려야 함.
3. "재발 방지 조치? 말로만 하면 되지"
틀렸다.
조치 내역 문서화 필수.
개인정보보호위원회 조사 시 증빙 자료 제출.
사고 대응 타임라인 (72시간)
사고 인지 후 24시간 이내:
- 사고 사실 확인
- 개인정보보호위원회 신고
- 정보주체 통지 착수
48시간 이내:
- 정보주체 개별 통지 완료
- 유출 경로 차단
- 내부 조사 착수
72시간 이내:
- 재발 방지 조치 시행
- 조치 내역 문서화
- 법무 자문 및 소송 대응 준비
늦으면?
과징금, 과태료, 집단소송.
과징금 피하려면
개인정보보호위원회가 보는 것:
- 신속성: 신고·통지를 얼마나 빨리 했나?
- 성실성: 조치를 제대로 했나?
- 재발 방지: 같은 실수 반복 안 하나?
과징금 감경 사유:
- 자진 신고
- 즉시 통지
- 적극적 재발 방지 조치
- 피해자 구제 노력
과징금 가중 사유:
- 신고 지연·누락
- 통지 불성실
- 재발 방지 조치 미흡
- 동일 유형 사고 재발
자주 하는 질문
Q1. 유출 인원이 정확히 파악 안 되면?
A: 추정치로 신고 후 추가 보고.
"약 1,000명 이상으로 추정"으로 신고하고,
조사 완료 후 "정확히 1,247명"으로 보완.
Q2. 내부 직원 실수로 유출되었는데도 신고해야 하나?
A: 당연히 해야 한다.
유출 원인 불문.
해킹이든, 실수든, 고의든 → 유출 사실이 있으면 신고.
Q3. 고객이 "괜찮다"고 하면 통지 안 해도 되나?
A: 아니다.
통지 의무는 법적 의무.
정보주체 동의 여부와 무관.
Q4. 유출 사실 은폐하면?
A: 최악의 선택.
은폐 발각 시:
- 과징금 최대 부과
- 형사 처벌 (5년 이하 징역 또는 5,000만원 이하 벌금)
- 대표이사 개인 책임
마치며: 사고는 언제든 일어난다
개인정보 유출 사고는 "남의 일"이 아니다.
대기업도, 중견기업도, 스타트업도 예외 없다.
문제는 사고 자체가 아니라, 사고 이후 대응이다.
신속하게 신고하고,
성실하게 통지하고,
확실하게 재발 방지하면,
과징금을 피할 수 있고, 신뢰를 회복할 수 있다.
반대로,
신고 지연하고,
통지 대충하고,
재발 방지 안 하면,
과징금, 집단소송, 그리고 회사 망한다.
지금 당장 점검하라.
당신 회사의 개인정보 유출 대응 매뉴얼은 준비되어 있는가?
관련 자료:
관련 글:
참고 법령:
- 개인정보보호법 제34조 (개인정보 유출 통지 등)
- 개인정보보호법 시행령 제40조 (개인정보 유출 통지 방법 등)
- 개인정보보호법 제39조 (손해배상책임)
신고 및 상담:
- 개인정보 침해신고센터: 118
- 개인정보보호 종합포털: privacy.go.kr
개인정보 유출 사고는 예방이 최선이지만, 발생 시 대응이 회사의 운명을 가른다. Clean Work Lab은 실무자를 위한 가이드를 제공한다.