개인정보 유출 = 홈페이지를 통한 공개는 바꿀 수 없는 걸까

문득 이번 모 통신사의 개인정보 유출 사태를 겪으면서 느껴지는 것이 있다.

 

개인정보가 유출되었을 때 정보주체에게 알리는 방법에 있어 더욱 강제적인 조치가 필요하다는 점이다. 

제39조(개인정보 유출 등의 통지) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조 및 제40조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 서면등의 방법으로 72시간 이내에 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다. 1. 유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출등이 된 개인정보의 회수ㆍ삭제 등 긴급한 조치가 필요한 경우 2. 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 통지하기 곤란한 경우 ② 제1항에도 불구하고 개인정보처리자는 같은 항에 따른 통지를 하려는 경우로서 법 제34조제1항제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및 같은 항 제3호부터 제5호까지의 사항을 서면등의 방법으로 우선 통지해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지해야 한다. <개정 2024. 3. 12.> ③ 제1항 및 제2항에도 불구하고 개인정보처리자는 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 법 제34조제1항 각 호 외의 부분 단서에 따라 같은 항 각 호의 사항을 정보주체가 쉽게 알 수 있도록 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다.

 

어느샌가부터 정보주체에게 직접적으로 SMS를 보내지 않고, 홈페이지에 올리는 것으로 갈음하는 게 정석이 되어버렸다. 국내에서 개인정보 유출사고가 났을 때 항상 홈페이지에만 게시했던 것은 아니다. 그러나 언젠가부터 홈페이지로만 공개를 하는 것으로 굳어진 것으로 보인다. 그도 그럴 것이, 홈페이지에 게시했다는 이유로 개인정보보호법 위반 처분을 받은 사례는 없기 때문이다.

 

통계는 정확히 모르겠으나, 체감상 유출 사고의 98% 이상은 홈페이지 게시로 갈음하는 것같다. 그런데 사실 이게 결코 말이 되지는 않는다. 메이저 언론에 유출 사고가 보도될 정도로 유명세가 있는 기업의 서비스에 회원가입을 하는 곳에서 핸드폰 번호를 수집하지 않는다고? 사실상 말이 안된다. 그런데 금번 S모 기업의 경우, 너네는 자그마치 통신사잖아.. 피해를 입은 정보주체의 핸드폰 번호를 전부 보유하고 있고, 그걸 바로 보낼 수 있는 시스템까지 다 자사의 것으로 갖춘 곳인데도 홈페이지로 갈음을 했다는 점에서, 나는 개인정보보호법에 해당 내용의 강화가 추후 반영되어야 한다는 생각이 든다.

 

재밌는 것은, 나는 개인정보 유출과 관련해서 문자를 받기는 받았다는 것이다. 그런데 그 문자는 유출이 되어서 죄송하다~ 유출된 시점과 경위..등이 아니라, 유심보호서비스에 가입하라는 문자였다. 4월 29일에 받은 문자다.

해당 기업이 개인정보 유출을 인지한 시점은 4월 19일 23시 40분으로 알려져 있는데, 19일에서 22일 사이에는 어떠한 문자 메시지를 받지도 못했다. 그러다 29일에 유심에 가입하라는 문자만 받았을 뿐이다. 과연 4월 19일 23시 40분부터 4월 22일 23시 40분까지 정보주체에 연락을 할 수 없는 정당한 사유가 있었을까? 만약 그게 있었다면, 그건 그것대로 뉴스감이었을 것이다. 통신사에서 연락을 할 수 없었다는 일이 발생했다면 말이다.