[개인정보] 개인정보 유출시 사업자가 해야 할 5가지

첫 상담 100% 지원!

[개인정보] 개인정보 유출시 사업자가 해야 할 5가지
법률가이드
형사일반/기타범죄손해배상IT/개인정보

[개인정보] 개인정보 유출시 사업자가 해야 할 5가지 

김예지 변호사

2025년 한 해 동안 SK텔레콤, KT, 롯데카드, 쿠팡에 이르기까지 이름만 대면 알 만한 기업들이 줄줄이 개인정보 유출 사고를 겪었습니다. 한 해에만 유출된 개인정보가 7,500만 건을 넘어섰다고 합니다. 사실상 대한민국 국민이라면 누구나 한 번쯤 피해자가 된 셈입니다.

개인정보 유출은 대기업만의 문제가 아닙니다. 작은 쇼핑몰, 병원, 학원, 서비스업 사업자 누구에게나 일어날 수 있는 일입니다. 그러나 고객 정보가 유출됐다는 사실을 알게 된 순간, 많은 사업자들이 당황해서 초기 대응을 놓칩니다. 그런데 이 초기 대응이 이후 행정처분이나 손해배상 책임의 크기를 결정짓는 경우가 많습니다.

사고가 났을 때 무엇을 어떤 순서로 해야 하는지, 지금부터 정리해 드립니다.

1. 유출 경로 차단, 유출 실태 확인

가장 먼저 해야 할 일은 추가 피해가 생기지 않도록 유출 경로를 차단하는 것입니다. 해킹이라면 해당 서버나 계정 접근을 즉시 차단하고, 내부 직원의 실수나 고의라면 해당 직원의 시스템 접근 권한을 정지시켜야 합니다. 이 단계에서 중요한 것은 증거를 보존하면서 차단하는 것입니다. 로그 기록, 접속 기록, 관련 파일을 삭제하거나 덮어쓰지 않도록 주의해야 합니다. 나중에 원인 파악과 책임 소재를 따질 때 이 기록이 핵심 증거가 됩니다.

또한 유출된 개인정보가 무엇인지, 그 규모가 어떠한지를 파악하고 그에 맞는 조치를 취하여야 합니다(아래 2. 이하 참조).

2. 72시간 내 정보주체에게 통지

개인정보 보호법 제34조에 따라 유출된 개인정보의 당사자, 즉 정보주체에게 72시간 내에 통지해야 합니다. 통지 내용에는 유출된 항목, 유출 시점과 경위, 피해를 최소화하기 위해 정보주체가 할 수 있는 조치, 사업자의 대응 조치, 담당 부서 및 연락처가 포함되어야 합니다.

이 통지를 "굳이 알려서 손해"라고 생각해 미루거나 축소하는 경우가 있는데, 이는 매우 위험한 판단입니다. 통지 내용이 불충분하거나 표현을 축소했을 경우 그 자체가 추가적인 제재 사유가 될 수 있습니다.

통지는 당사자에게 개별적으로 하는 것이 원칙이고, 연락처를 알 수 없는 경우 등에만 홈페이지에 30일 이상 게재하는 방식으로 갈음할 수 있습니다.

3. 72시간 내 당국 신고

(1) 1천명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우, (2) 민감정보 또는 고유식별정보가 유출등이 된 경우, 또는 (3) 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우에는 인정보 유출 사실을 알게 된 때로부터 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고하여야 합니다.

이 기한을 넘기면 그 자체로 법 위반이 되어 과태료 처분을 받을 수 있습니다. 유출 규모나 경위가 아직 완전히 파악되지 않은 상황이더라도, 일단 알게 된 사실을 기준으로 신고를 먼저 하고 이후 추가 보고하는 방식이 안전합니다.

4. 내부 조사 및 재발방지 대책 수립

사고 원인에 대한 내부 조사를 실시하고, 개인정보 유출이 기술적 취약점 때문인지, 관리·감독 소홀 때문인지, 외부 공격인지를 명확히 파악하고 이를 문서화해두어야 합니다. 그리고 같은 사고가 반복되지 않도록 재발방지 대책을 수립하고, 이를 실제로 시행한 기록을 남겨두어야 합니다. 행정처분이나 소송이 진행될 경우, 사업자가 사고 이후 얼마나 성실하게 대응했는지가 처분 수위를 낮추는 중요한 요소가 됩니다.

5. 법적 리스크 점검

위 네 가지를 마쳤다고 해서 끝이 아닙니다. 유출 피해를 입은 정보주체들이 손해배상 청구 소송을 제기할 수 있고, 개인정보보호위원회로부터 과징금이나 시정명령을 받을 수도 있으며, 경우에 따라 형사 고발로 이어지기도 합니다. 특히 과징금의 경우 매출액의 3%까지 부과될 수 있어 주의가 필요합니다. 개인정보보호위원회는 2025년 8월 SK텔레콤의 개인정보 유출에 대해 과징금 1,347억 9,100만 원과 과태료 960만 원을 부과한 바 있고(현재 소송 진행 중), 법원은 2014년 KB국민카드 개인정보 유출 사건에서 피해자 1인당 위자료 10만원을 인정한 바 있습니다.

리스크를 최소화하기 위해서는 위 모든 과정에서 개인정보 관련 전문성을 갖춘 변호사의 조력을 받는 것이 중요합니다. 신고서 작성부터 피해자 통지문 문구, 내부 조사 결과 보고서까지, 각 문서 하나하나가 향후 법적 판단에 영향을 미칩니다. 사고 초기 단계부터 전문가와 함께 움직이는 것이 결과적으로 피해를 줄이는 길입니다.

로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

김예지 변호사 작성한 다른 포스트
조회수 160
관련 사례를 확인해보세요

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.

공지사항

마이페이지

로톡상담

고객센터

회사소개
(주)로앤컴퍼니 사업자번호: 통신판매번호: 대표자명: 대표번호: 이메일:
로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(주)로앤컴퍼니 사업자번호: 통신판매번호: 대표자명: 대표번호: 이메일:
(주)로앤컴퍼니는 대한민국 법률시장의 정보비대칭과 불법 법조브로커를 해소하여 투명하고 공정한 법률시장을 만들기 위해 로톡(LawTalk) 서비스를 제공하고 있습니다. 로톡은 의뢰인회원의 법률상담 내용 및 상담 여부, 법률사건 내용 및 수임 여부, 변호사회원의 선택 등에 대해 일절 관여하지 않아 변호사법 및 기타 관련규정을 준수하고 있으며, 변호사회원이 의뢰인회원에게 제공하는 서비스의 내용과 질에 대해 어떠한 법적책임도 부담하지 않습니다. 또한 회원간의 예약 및 결제정보의 중개서비스 또는 통신판매중개 시스템을 제공할 뿐, 통신판매의 당사자가 아닙니다. 모든 법률상담은 각 변호사회원이 직접 수행하며, 모든 변호사회원은 각 소속 법률사무소, 로펌에서 독립적으로 법률업무를 수행합니다. 그리고 로톡에 가입한 변호사들 상호간에는 어떠한 조직적인 관계가 없음을 밝힙니다. 로톡에 표시된 변호사회원의 정보는 해당 변호사가 직접 제공한 것이며 무단으로 복제, 편집, 전시, 전송, 배포, 판매, 방송, 공연 등에 이용할 수 없습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.