지난 6월 세계적인 프랜차이즈 기업 맥도날드가 해킹을 당했습니다. 맥딜리버리 서비스 고객 중 일부 개인 정보(고객 이메일, 전화번호, 주소)가 유출된 것으로 확인됐습니다. 맥도날드뿐만 아니라, 페이스북, 마이크로소프트 등 세계적인 브랜드들도 피해 갈 수 없는 개인 정보 유출 사건. 유출되는 데이터의 정보 주체인 우리는 어떻게 대응할 수 있을까요?
개인 정보 유출 통지에 대해 알고 계세요?
개인 정보 유출은 표준 개인 정보 보호 지침 제25조에 따라 법령이나 개인 정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인 정보에 대하여 개인 정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것을 말합니다.
한국 맥도날드는 개인 정보 유출 사고 직후, 당사 홈페이지와 메일을 통해 개인 정보 유출 사실을 공지하는 안내문을 게시하였습니다. 개인 정보 유출 사고가 발생하지 않는 것이 제일 좋겠지만, 일단 유출사고가 발생하면 기업은 기술적인 사고 대응을 해야합니다. 뿐만 아니라 한국의 경우, 개인정보 보호법 34조에 따라 해당 정보주체에게 유출 사실을 통지해야 합니다¹ ².
개인 정보 유출 통지는 유출 사실, 유출된 개인 정보 항목, 유출 시점과 경위, 유출 피해를 줄이기 위한 정보 주체의 대응 방법 등의 내용이 포함되어 있습니다. 만약 유출 사실을 정보주체에게 통지하지 않거나 늦게 통지할 경우 해당 기업은 처벌을 면할 수 없습니다.
개인 정보 유출 통지, 무엇을 위해 존재할까요?
최근 마이크로소프트의 경우, 사고 발생 이후 영문 통지는 24시간 이내 조치했으나, 한국어 통지가 11일 이후 이뤄지면서 유출 사실 신고 및 통지 지연 부분이 위반되어 개인 정보보호 위원회로부터 시정 조치를 받았습니다.
하지만 개인 정보 유출 통지의 목적이 개인 정보가 유출된 기업에 대한 처벌이나 소송을 위한 것이 아님을 알아야 합니다. 개인 정보 유출 통지의 취지는 개인 정보 유출 사실을 개인이 알게 하여 적극적으로 자신의 개인 정보를 방어함으로써 2차 피해를 가능한 최소화하기 위한 것입니다¹.
개인 정보가 유출되었을 때 기업은 개인 정보 유출 사실을 알고 있지만, 정작 정보 주체인 고객들은 해당 기업에서 자신의 정보가 유출된 사실을 기업에서 알려주지 않으면 알 길이 없습니다. 유출된 개인 정보는 보이스 피싱, 온라인 사기 쇼핑, 금융 피해 등의 2차 피해로 이어질 수 있기 때문에 기업은 개인 정보 유출 통지로 정보 주체들에게 개인 정보 유출 사실을 알리는 것입니다. 개인으로서는 받아보고 싶지 않은 안내 메일이겠지만, 혹시 개인 정보 유출 통지를 받게 된다면 어떻게 대응해야 할까요?
개인이 개인 정보 유출에 대응하는 방법
만약 개인 정보 유출 통지를 받았다면, 유출 사실을 인지하고 추가 피해를 최소화하기 위해 가이드라인에 따라 다음과 같이 대응해야 합니다.
첫째, 개인 정보 유출 통지를 받게 되면, 다른 웹사이트의 비밀번호를 변경하는 것이 좋습니다. 특히, 비밀번호를 동일하게 사용하는 습관을 가지고 있다면, 더더욱 다른 웹사이트의 비밀번호를 변경해야 합니다. 유출된 비밀번호 정보로 다른 사이트에 접속하는 등 추가적인 피해가 발생할 수 있기 때문입니다. 둘째, 유출 통지를 받은 이후에 정부기관, 쇼핑몰 운영자, 금융기관을 빙자하여 계좌번호, 신용카드 번호 등 금융 정보를 요청하는 경우, 보이스 피싱 가능성이 높기 때문에 주의해야 합니다. 또한 메일 피싱에 주의해야 합니다. 피해자 개인에게 피해를 보상해 준다는 메일을 보내 추가 개인 정보를 수집할 수 있는 가능성이 있기 때문입니다.
마지막으로, 혹시 온라인 사기쇼핑이나 명의 도용을 통한 신용카드 복제 등의 개인 정보 유출에 따른 2차 피해가 발생했다면, 신용카드를 정지시키고, 카드사, 경찰, 금융감독원에 신고해야 합니다.
최근 대기업뿐 아니라 병원, 도서출판사에 이르기까지 불법적 외부 접근으로 인해 개인 정보가 유출되는 사례가 빈번하게 발생하고 있습니다. 개인 정보 유출은 Fortune 500 기업 중 대다수의 기업이 경험했을 정도로 어느 기업에나, 언제나 일어날 수 있는 가능성이 있습니다³. 따라서 개인은 개인 정보 유출 사고가 언제든 발생할 수 있는 일임을 인지하고, 혹시 발생할지 모를 사고에 대비해 어떻게 대응할 것인지 미리 알아두고 준비해 놓는 것이 현실적인 방법일 것입니다.
글. 김미예 (연세대학교 바른ICT연구소, 경영학 박사)
1. 이충훈, 고유미, & 김범수. (2011). 개인정보 유출 시 통지· 신고 프레임워크 및 가이드라인. 정보보호학회논문지, 21(5), 169-179
2. Park, K. B., Chae, S., & Lee, H. (2021). Korea’s cybersecurity regulations and enforcement related to security incidents. International Cybersecurity Law Review, 2(1), 47-55.
3. Shaw, A. (2009). Data breach: from notification to prevention using PCI DSS. Colum. JL & Soc. Probs., 43, 517.