청와대 회원 20만명 신상정보 유출우려...통지제도 준수 필요성 제기
개인정보보호법, 개인정보 유출 사실 아는 즉시 당사자에 통지해야
시행령, 1만명 이상 유출시 홈페이지에 유출 사실 게시토록 의무화
[보안뉴스 김태형] 지난 25일 오전 9시 10분경 청와대 홈페이지 및 주요 정부기관 등이 사이버공격을 받으면서 홈페이지 접속이 되지 않고 서버가 다운되는 등의 피해를 입었다.
▲ 현재 대한민국 청와대 홈페이지(http://www.president.go.kr/)는 시스템 보안 강화로 인해 회원가입 서비스가 일시 중단됐으며, 접속은 정상적으로 이루어지고 있다.
이러한 가운데 더욱 심각한 것은 청와대 홈페이지 이용자 정보와 새누리당 관계자들의 신상정보가 유출됐을 가능성이 제기되고 있다는 점이다. 유출된 개인정보에는 이름, 주민번호, 집주소, 휴대폰 번호 등이 포함된 것으로 알려졌다.
이와 관련 보안전문 기업 NSHC의 Red Alert팀에 발표한 ‘6.25 사이버테러 분석 보고서’에 따르면 해커조직이 웹사이트 변조를 통해 새누리당 신상정보 250만명, 군장병 30만명, 청와대 이용자 정보 20만명, 美 25보병사단 1만5천명, 美 3해병사단 1만명, 美 1기 병사단 1만5천명의 신상정보가 유출됐을 것으로 분석했다.
또한, 안랩의 분석에 의하면 이 가운데 청와대, 국정원, 새누리당 홈페이지는 기존에 실행되지 않은 새로운 공격형태인 악성스크립트 방식의 디도스 공격으로 이루어진 것으로 알려졌고, 정부통합전산센터와 새누리당 각 시도당 홈페이지는 좀비PC를 통한 디도스 공격을 받은 것으로 드러났다.
이와 같이 기업이나 기관의 홈페이지가 해킹을 당했고 이를 통해 관계자 및 회원 정보가 유출된 것이 사실이라면 해당 사이트 개인정보처리자는 개인정보보호법에 의해 유출 사실을 아는 즉시 이 사실을 당사자에게 통지해야 한다.
개인정보처리자(회사)에 대해 민·형사적 책임을 강화한 개인정보보호법 34조는 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 해당 정보주체에 사실을 알려야 한다고 규정하고 있다.
또한, 제39조는 개인정보처리자가 개인정보 유출에 고의 또는 과실이 없음을 입증하지 못하면 배상책임을 지도록 했으며, 피해사례를 집단분쟁조정 사건으로 다룰 수 있도록 규정하고 있다.
하지만 정당으로서 고유 목적을 달성하기 위해 수집·이용하는 정보에 대해서는 개인정보보호법 34조와 39조가 적용하지 않는다. 이로 인해 새누리당의 경우 개인정보 유출통지의무와 관련해서는 개인정보보호법의 적용을 받지 않는다.
이와 관련 익명을 요구한 한 변호사는 “개인정보보호법 58조 1항에서 ‘다음 각호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 7장까지 적용하지 아니한다’라고 규정하고 있다”고 설명했다.
이 예외 적용에 해당하는 부분은 △공공기관이 처리하는 개인정보 중 ‘통계법’에 따라 수집되는 개인정보 △국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보 △공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보 △언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거입후보자 추천 등 고유 목적을 달성하기 위해 수집·이용하는 개인정보 등이다.
그런데 문제는 청와대 홈페이지 회원의 개인정보 유출이다. 앞서 밝힌 바와 같이 이번 6.25 사이버테러로 인해 청와대 홈페이지 이용자들의 개인정보 20만건이 유출됐을 가능성이 커지고 있다.
즉, 청와대 홈페이지의 경우 비영리 목적의 정보서비스제공자로서 정통망법보다는 공공기관 홈페이지로 보아야 하고, 이에 따라 개인정보보호법의 적용을 받아야 한다는 것.
이와 관련 또 다른 한 변호사는 “청와대 홈페이지는 비영리 목적의 서비스 제공자로서 공공기관에 해당한다. 그렇다면 개인정보보호법의 적용을 받아야 하고 이번 해킹 사건으로 인한 개인정보 유출에 대해서는 당사자들에게 통지의무가 있다”고 설명했다.
또 다른 변호사도 “청와대 홈페이지는 공공기관으로 개인정보보호법의 적용을 받아야 한다. 개인정보보호법 34조에 의해서 개인정보 유출 사실을 지체 없이 당사자에게 통지해야 한다”고 설명했다.
여기서 ‘지체 없이’는 5일 이내를 의미한다. 즉, 사건 경위를 파악하는데 필요한 시간 등을 고려해 5일 이내에 통지해야 한다는 얘기다.
이어서 그는 “34조 4항에 의하면 1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령으로 정한다고 규정하고 있다. 이에 시행령 40조에서는 개인정보 유출 사실을 당사자에게 지체 없이 알리고 유출내용 중 확인된 사항을 알려야 한다. 또한, 1만명 이상의 정보가 유출되면 홈페이지게 게시하도록 규정하고 있다”고 말했다.
▲ 보안전문 기업 NSHC의 Red Alert팀이 발표한 ‘6.25 사이버테러 분석 보고서’에 의하면 청와대 이용자 개인정보 20만 건이 유출된 것으로 알려졌다. 그림은 Red Alert팀이 보고서에서 밝힌 청와대 홈페이지 회원정보 리스트가 정보공유 사이트에 게시된 모습이다.
이에 청와대 홈페이지의 개인정보처리자는 기존 개인정보 유출사건이 발생했던 기업들과 같이 반드시 5일 이내에 개인정보 유출사실을 당사자에게 알리고 홈페이지에도 게시해야 할 것으로 보인다.
아직 사건 발생 5일이 지나지 않았기 때문에 청와대가 홈페이지 이용자들의 개인정보 유출에 대해 어떻게 대응할지 주목된다. 현재 청와대 홈페이지(www.president.go.kr)는 시스템 보안 강화로 인해 회원가입 서비스를 제한하고 있으며, 접속은 정상적으로 이루어지고 있다.
한편, 일반 기업에서 이처럼 해킹에 의한 개인정보 유출사고가 발생한 경우 방통위와 한국인터넷진흥원에서 조사한 후, 해당 기업의 법 위반 사실이 인정되면 이행 점검을 통해 시정조치를 명한다. 이에 청와대 홈페이지도 이와 같은 이행 점검을 받아야 할 것으로 보인다.
[김태형 기자(boan@boannews.com)]
출처 : 보안뉴스
댓글