KISA "현행법상 개인정보유출 독립조사 불가"

"개인정보 유출사고시, 한국인터넷진흥원(KISA)은 왜 조사를 하지 않느냐는 문의가 많다. KISA에는 단독으로 조사할 권한이 없다. 개인정보보호법, 정보통신망법상 담당부처 요청에 따라 기술 지원 업무를 하게 돼 있다. 독립적으로 조사하려면 법 개정이 필요하다."

KISA 박성우 개인정보점검1팀장은 최근 개인정보침해사고 발생시 KISA의 업무권한을 설명하며 이같이 말했다. 일반인들은 침해사고 발생시 KISA가 먼저 조사에 나서길 기대할 수 있지만 현행법상 그럴 수 있는 경우가 있고, 그렇지 못한 경우가 있다는 설명이다.

현행 정보통신망법, 개보법으로 주어진 권한상 개인정보침해사고가 발생했어도 KISA가 독립적으로 조사에 나설 수 없다. 2019년 KISA는 침해사고 대응과 피해구제를 위해 독립조사 권한 확보를 추진한다. [사진=Pixabay] 프라이버시. 개인정보보호. 소셜네트워크.

개인정보침해사고에 따른 대응이나 조사 절차를 규율하는 법은 개인정보 보호법(이하 '개보법')과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '망법')이다. 두 법의 조항에 침해사고 발생 이후 해당 기업의 신고 의무, 신고를 받은 기관의 역할과 권한이 명시돼 있다.

개보법 제34조 ③항에 "개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다"며 "전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다"고 돼 있다. 법 시행령 제39조 ②항에 "제34조제3항 전단 및 후단에서 '대통령령으로 정하는 전문기관'이란 각각 한국인터넷진흥원을 말한다"고 돼 있다. [참조 ☞ 개인정보보호법]

망법 제48조의4 ①항에 "정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 피해의 확산을 방지하여야 한다"고 돼 있다. 또 ②항에 "과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생하면 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위하여 정보보호에 전문성을 갖춘 민·관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다"고 돼 있다. 법 시행령 제59조 ①항에 따라 KISA 직원이 조사단에 참여할 수 있다. [참조 ☞ 정보통신망 이용촉진 및 정보보호 등에 관한 법률]

즉 KISA의 개인정보유출 관련 업무는 망법과 시행령에 따라 침해사고발생시 과학기술정보통신부장관이 주도해 구성하는 민·관합동조사단에 참여한다든지, 개보법과 시행령에 따라 개인정보침해사고발생시 유출기업의 신고를 받고 기술지원 업무를 수행하는 것뿐이다.

KISA 측은 KISA 개인정보침해신고센터에 개인정보 유출 피해 당사자인 '정보주체'의 신고가 접수돼야만 단독으로 조사를 진행할 수 있다고 밝혔다. 개인정보를 수집하고 처리하는 기업이나 조직의 신고로 진행되는 조사를 독립적으로 맡을 수는 없다는 얘기다.

KISA는 개인정보 침해사고 대응과 피해 확산 방지 차원에서 독립적인 조사 권한 확보를 추진할 방침이다. 이를 위해 입법 권한을 가진 정부부처를 통한 관련법 개정이 필요하다는 뜻을 전달할 계획이다. 방송통신위원회와 행정안전부 담당부서를 설득하겠다는 뜻이다.

현재 지난해부터 연초까지 국회에 개보법과 망법 개정안이 다수 발의돼 계류 중이다. 이가운데 개인정보침해사고 발생시 KISA의 독립적인 조사 권한을 다룬 법안은 없는 것으로 파악됐다.

KISA 측은 개인정보침해사고 대응과 별개로 예방 취지의 노력도 병행하겠다는 입장이다.

박성우 팀장은 "방통위가 심의·의결을 거쳐 심각하다고 판단되거나 행정처분이 이뤄진 사례를 언론 브리핑으로 공개하고 있고, 그와 별개로 심의·의결 회의록을 인터넷에 공개하고 있기도 하다"며 "KISA도 방통위와 함께 사업자의 경각심을 높일 방안을 적극 찾겠다"고 말했다.

그는 지난해 주요 개인정보 침해사고 이력, 개인정보 유출 및 침해사고 대응방안, 올해 개인정보 이슈 관련 전망도 제시했다.

■ 2018년 주요 개인정보 침해사고

박 팀장은 지난해 주요 개인정보 침해사고 사례 6가지를 제시했다.

먼저 온라인 호스팅이나 특정 업종의 다수 기업에 제공된 솔루션의 취약점에 따른 개인정보유출사고가 꼽혔다.

박 팀장은 "호스팅이나 솔루션업체의 위탁운영 과정에 시스템이 해킹당해, 대부분 규모가 작은 소기업 수준의 업체 90여곳이 피해를 입었다"며 "서비스와 솔루션을 도입한 고객사가 관련 법령상 '위탁사'인데 (수탁업체를) 관리·감독할 책임이 있다"고 설명했다.

암호화폐거래소와 O2O 등 새로운 인터넷기반 서비스가 해킹에 취약했다는 지적이 이어졌다. 지난해 정부는 암호화폐거래소 운영하는 10개 업체를 현장조사 후 8곳에 과태료 및 시정명령 처분을 내렸다. 2곳은 서비스가 중단됐다.

박 팀장은 "취약한 보안 환경은 결국 개인정보, 금융정보 탈취 목적의 해킹을 유발할 수 있다"고 평했다.

개인정보를 처리하는 담당자 부주의 성격의 문제도 언급됐다.

박 팀장은 "지난해 6·13지방선거 과정에서 선거운동 문자 또는 전화 관련 개인정보 침해 신고·상담이 2만여건에 달했고 전화번호 수집 출처 미고지같은 개보법 위반 사례가 많았다'며 "공직선거법에 수집·이용 근거를 마련하고 수신거부 강화 등 제도개선이 필요하다"고 말했다.

이어 "지속적인 투자 및 관심 미흡으로 홈페이지 취약점 단순해킹, 삼양식품 입사지원 불합격 통보 때 (수신자 이메일 주소를 노출한) 동보메일을 발송한 사례처럼 관리자 실수에 의한 개인정보 유출이 지속 발생하고 있다"며 담당자의 주의가 필요하다고 덧붙였다.

해외 사업자를 통해 발생하는 한국인의 개인정보 유출 사고와 침해 사례도 문제로 꼽혔다.

중국에선 지난해 인터넷 오픈마켓 '타오바오'를 통해 국내 업체 'G마켓' 계정을 거래하는 사례가 있었다. 또 과거부터 미국에 본사를 둔 페이스북과 구글 등 다국적 인터넷사업자의 개인정보유출시 한국 이용자의 피해상황이 신속하게 파악되지 않는 문제가 지적돼 왔다.

박 팀장은 "중국인터넷협회(ISC)와 업무협약을 맺고 만든 한중인터넷협력센터를 통해 작년 8월 타오바오를 비롯한 200여개 중국 사이트 집중모니터링 활동으로 G마켓 계정 거래 게시물을 탐지, 삭제했다"고 밝혔다.

또 "이용자 개인정보 기반으로 서비스를 제공하는 글로벌기업에서 유출사고가 생겨도 한국 이용자 피해가 신속 파악되지 않는다"며 "영국, 스웨덴 등에서 사고와 그 위험성에 관해 자료제출을 요구하는데, KISA도 현황을 검토하고 필요시 현장조사를 진행할 것"이라고 말했다.

■ 2011~2018년 개인정보 유출신고 현황, 연간 지속 증가세

KISA는 2011년 시행된 개보법과 망법에 따라 지난해까지 접수된 신고 건수를 집계해 공개했다. 국내서는 2014년 카드3사 개인정보 유출사고 후 인식변화로 2015년 이후 신고가 증가 추세였고, 지난해에는 다른 이유로 급증했다.

지난해까지 502건이 신고됐다. 연도별로 2011년 1건, 2012년 31건, 2013년 13건, 2014년 140건, 2015년 25건, 2016년 40건, 2017년 64건, 2018년 233건이다. 이가운데 2018년 한 해에 기록된 233건은 전체 46.4% 비중으로 절반에 가깝다.

KISA 분석에 따르면 2018년 신고 건수가 전년대비 4배에 달하는 배경에 2017년 10월 개정된 개보법 시행령의 신고의무 기준이 '1만명 이상'에서 '1천명 이상'의 개인정보로 확대되고, 해킹 등 외부 공격이 확대된 점이 작용했다.

박 팀장은 "최근 4년간 개인정보 유출 80.5%가 해킹 등 외부 공격이 원인이었다"며 "기술발전과 인터넷 확산으로 개인정보처리가 급증하며 유출된 개인정보를 대가로 비트코인을 요구하거나 개인정보 DB를 불법거래하려는 시도"라고 설명했다.

2015~2018년 개인정보 유출사고 다섯 번에 네 번은 외부 공격으로 발생했다. 외부 공격은 기본 보안조치 미흡으로 SQL인젝션이나 파라미터 변조 등을 차단하지 못해 발생한 사례가 대부분이었고, 서비스에 충분히 테스트하지 않고 배포한 신기능의 오류로 인한 문제도 있었다.

■ "개인정보 유출사고 대응, 피해확산 방지 위해 KISA 단독 초동조사 권한 확보 추진"

KISA는 개인정보 유출을 예방하고, 사고대응과 피해확산을 방지하고, 국민 피해를 구제하기 위해 각 단계별 업무를 담당하고 있다.

유출 예방을 위해 300만명 규모 이상 개인정보를 처리하는 기업을 온라인이나 서면 방식 등으로 수시 점검하고 있다. 3만개 앱과 웹사이트 대상으로 법규 위반여부 점검과 개선도 진행했다. 이밖에 기업 인식제고와 교육 목적의 예방수칙, 안내서 보급, 교육 활동을 벌였다.

사고 대응 및 피해확산 방지 차원에서 유출사고 현장점검을 벌여 왔다. 해킹사고일 경우 인터넷침해대응센터(KISC)와 협력한다. 그간 340만 웹사이트의 개인정보 노출을 탐지하고 삭제 조치했다. 온라인 불법거래 게시글도 탐지, 차단했다. 국내외 기업과 사고대응 핫라인도 운영중이다.

국민피해 구제를 위해 'e클린서비스'를 운영하고 있다. 웹사이트 가입시 본인확인내역을 통합 조회하고 불필요한 곳에서 탈퇴를 지원하는 서비스다. 또 개인정보침해신고센터를 운영해 국민 개인정보 침해신고를 접수해 처리하고 있다.

KISA는 유출예방 방안으로 기업 대상 수시점검 범위 확대, 법 위반 점검 행정처분 실효성 확보, 침해사고 사례집 발간과 순회교육 확대를 추진한다. 피해방지를 위해 KISA 단독 초동조사 권한 확보와 점검인력 확충, 온라인 개인정보 노출 및 불법거래 게시물 탐지·차단 확대, 핫라인 참여기업 확대를 추진한다. 피해구제 차원으로 e클린서비스 조회수단 확대, 개인정보침해신고센터 신고처리 품질제고를 추진한다.

■ 2019 개인정보 이슈 전망 "한국인 개인정보 불법거래 지속될 것"

KISA는 5가지 개인정보 관련 이슈를 제시했다.

첫째, 해킹에 의한 개인정보 유출이 지속된다. 최근 4년간 발생한 개인정보 유출사고와 마찬가지로 해킹이 주요 원인으로 작용한다. 5G와 사물인터넷(IoT) 기술로 증가하는 '연결성' 또한 해킹 증가 요인이 된다.

둘째, 클라우드서비스와 호스팅서비스 또는 통합관리솔루션 등의 취약점에 따른 유출사고도 확대된다. 서비스와 솔루션의 취약점 또는 해킹에 의한 외부공격으로 개인정보 유출시 그 이용 고객사 전체가 피해를 겪을 가능성이 높아진다.

셋째, 2018년 5월 시행된 유럽 GDPR시행에 따라 과징금 처분 사례가 증가한다. 지난해 9월 영국, 10월 오스트리아 감독기구의 과징금 부과 사례가 각각 나왔다. EU 안드레아 엘리니크 개인정보보호위원회(EDPB) 의장이 10월말 기준 162개 업체 대상으로 공동조사 중이라 밝혔다.