방송통신위원회가 31일 개인정보 유출 사고가 발생했을 때 사업자가 지켜야 할 절차와 대응 방안을 담은 ‘ 개인정보 유출 대응 매뉴얼’을 발표했습니다. 지난 7월 1,030만명의 개인 정보가 유출됐던 인터파크 사건 당시 내용을 보름 가까이 고객들에게 알리지 않으면서 비난 여론이 많았는데요. 이번 매뉴얼에서는 신속한 대응, 사용자 통지, 관련 기관에 신고, 보고하는 내용을 담고 있습니다. 매뉴얼은 크게 4가지 단계로 구성됩니다.

1. 개인정보 유출 사고 시 신속 대응팀 운영

전직원, 개인정보 관리 직원 등은 개인 정보 유출 정황이 포착되면 즉시 개인정보 책임자에게 보고하고 책임자는 CEO에게 즉각 보고를 해야합니다. CEO는 즉시 추가 유출, 사고 원인 분석, 사후 조치 등을 위한 신속 대응팀을 구성해야 합니다.

2. 유출 원인 분석 및 추가 유출 방지 조치

외부 세력의 해킹, 내부자를 통한 유출, 이메일 오발송, 관리 부주의로 인한 유출 등 사안에 따라 즉각적인 조치를 취해야 하고 기술력의 한계로 자체적인 대응이 불가능하다면 한국인턴넷 진흥원에 기술 지원을 요청할 수 있습니다.

3. 개인 정보 유출 신고 및 보고

개인 정보 유출 사고를 알게 됐다면 24시간 이내에 경찰청 사이버 안전국에 수사를 요청해야 하고 미래창조과학구, 한국 인터넷 진흥원, 방송통신위원회에 신고 및 보고를 해야 합니다. 유출 정보로 인한 2차 피해를 막기 위해 해당 이용자에게 즉시 통보해야 합니다. 대규모 유출로 개별 확인과 통보가 불가능하다면 홈페이지 메인에 공지하거나 팝업창으로 해킹 사고 내용을 공지해야 합니다. 본인의 해킹 여부를 확인할 수 있는 방법도 제공해야 합니다.

4. 피해 구제 및 재발 방지 대책

피해를 입은 이용자가 분쟁 조정 절차, 징벌적 손해 배상제도를 활용할 수 있도록 안내를 해야 합니다. 향후 비슷한 사고가 발생하지 않도록 재발 방지 대책을 마련해야 합니다.

대략 이런 내용입니다. 이제야 이런 대응 매뉴얼이 부랴부랴 만들어졌다는 것이 그나마 다행입니다. 문제는 과연 또 다른 해킹 사건이 발생했을 때 이 매뉴얼 대로 움직일 것인가 하는 거죠. 매뉴얼이 있어도 따르지 않는다면 그만일 테니까 말입니다.

- 개인정보 유출 대응 메뉴얼 전체 PDF 문서

[리뷰전문 유튜브 채널 더기어TV]