[이법저법] 제 비밀번호가 털린 사실을 뒤늦게 알았습니다…어떻게 해야 할까요?

▲ 해킹 (사진 출처 = 게티이미지뱅크)

정보화 사회에서 개인정보 보호의 필요성은 아무리 강조해도 지나치지 않습니다. 개인정보가 유출되면 △신원 도용 △보이스피싱 등 사기 △사생활 침해 등 여러 심각한 피해를 야기할 수 있을 뿐 아니라, 개인정보는 대부분 일신전속적인 특성이 강해 변경이 어렵고 일단 한 번 정보가 유출되면 완전한 피해보상이 어렵기 때문인데요. 보호 대상이 되는 ‘개인정보’란 무엇이고, 개인정보가 유출됐는지는 어떻게 확인하며, 개인정보가 유출됐을 경우 어떻게 대처해야 할까요? 법무법인(유) 광장의 정수진 변호사와 가장현 변호사 두 분과 함께 자세한 내용을 짚어 봤습니다.

Q. 법이 보호하는 ‘개인정보’에는 어떤 정보가 해당하나요?

A. 「개인정보 보호법」 등 관련 법률에서 규정하고 있는 개인정보란 ‘살아 있는 개인에 관한 정보’로서 (i) 개인을 알아볼 수 있는 정보 (ii) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 혹은 (iii) 개인을 알아볼 수 있는 정보 또는 다른 정보와 쉽게 결합하여 알아 볼 수 있는 정보를 가명 처리함으로써 원래 상태로 복원하기 위한 추가 정보의 사용, 결합 없이 특정 개인을 알아 볼 수 없는 정보(가명정보)를 모두 포함합니다.

개인정보는 개인의 성명, 주민등록번호 등 인적 사항에서부터 사회‧경제적 지위와 상태, 교육, 건강‧의료, 재산, 문화 활동 및 정치적 성향과 같은 내면의 비밀에 이르기까지 그 종류가 매우 다양하고 폭넓습니다.

또한 사업자의 서비스에 이용자(고객)가 직접 회원으로 가입하거나 등록할 때 사업자에게 제공하는 정보뿐만 아니라 이용자가 서비스를 이용하는 과정에서 생성되는 통화내역, 로그기록, 구매내역 등도 모두 개인정보가 될 수 있습니다.

법원은 휴대전화 번호 뒷자리 4자리까지도 해당 정보만으로 그 전화번호 사용자가 누구인지 알 수 있거나, 적어도 다른 정보와 쉽게 결합하여 해당 사용자를 알아볼 수 있다고 해서 개인정보에 해당한다고 인정한 바 있습니다.

Q. 제 개인정보가 유출되었는지는 어떻게 확인할 수 있을까요?

A. 만약 대규모 해킹 등으로 특정 기업에서 개인정보가 유출된 경우, 일반적으로 각 기업별로 자체적인 개인정보 유출 여부 확인 서비스를 제공하고 있습니다. 주요 포털 사이트, 통신사 등에서도 상시적으로 개인정보 유출 여부 확인이 가능합니다.

그런데 위 방법으로 개인정보 유출 여부를 확인하기 어렵거나, 특별한 사건이 없는데도 본인의 개인정보가 유출됐는지 여부를 확인하고 싶은 경우 (예를 들어, 스미싱 문자 메시지 수신 횟수가 갑자기 급격하게 증가하는 경우 등) 개인정보보호위원회와 한국인터넷진흥원(KISA)이 제공하는 ‘털린 내 정보 찾기’ 서비스(https://kidc.eprivacy.go.kr/intro/service.do)를 이용할 수 있습니다.

털린 내 정보 찾기 서비스란 사용자가 자주 이용하는 사이트의 아이디와 비밀번호를 최대 10개까지 검사해보고 개인정보 유출 여부를 확인해주는 서비스로, 다크웹 등 음성화 사이트에서 불법 유통되고 있는 국내 계정정보와 구글의 비밀번호 진단 서비스 등을 활용해 유출여부를 확인할 수 있습니다.

개인정보 유출이 확인된 경우 이용자는 비밀번호를 변경하거나, 해당 사이트에서 휴대전화 인증코드 등 2차 인증 서비스를 적용하도록 설정해 추가 피해를 예방할 수 있고, 사용하지 않거나 아이디, 비밀번호가 기억나지 않는 웹사이트의 경우 개인정보 포털(https://www.privacy.go.kr/front/main/main.do)에서 제공하는 ‘정보주체 권리행사(웹사이트 회원탈퇴)’ 서비스를 이용할 수 있습니다.

▲ 해킹 (사진 출처 = 게티이미지뱅크)

Q. 알아보니 제 개인정보가 유출됐다고 합니다. 저는 이제 어떻게 대처해야 할까요?

A. 개인정보가 유출된 경우, 먼저 국번 없이 118 또는 한국인터넷진흥원 개인정보침해신고센터(https://privacy.kisa.or.kr/main.do) 등을 통해 침해 사실을 신고할 수 있습니다. 만일 해당 개인정보 유출이 해킹 등으로 인한 것일 경우 관할 경찰서 사이버범죄수사팀이나 민원실 등에 범죄 신고 또한 가능합니다.

또한 「개인정보 보호법」에 따라 유출된 개인정보의 정보주체는 포털 사이트 등 개인정보처리자 등과 개인정보와 관련한 분쟁이 발생했을 경우 개인정보 분쟁조정위원회에 분쟁조정을 신청하거나, 직접 민사소송을 청구하거나 또는 집단 소송의 일원으로 참여할 수 있습니다.

구체적으로 정보주체는 개인정보처리자의 고의 또는 과실로 인해 개인정보가 분실‧도난‧유출‧위조‧변조 또는 훼손된 경우 별다른 손해의 입증 없이도 300만 원 이하의 범위에서 손해배상을 청구할 수 있고, 그 이상의 손해를 입증하는 경우 해당 손해액만큼의 손해배상을 청구할 수 있습니다.

특히 이러한 개인정보의 유출이 개인정보처리자의 고의 또는 중과실로 인해 발생한 경우, 법원은 최대 5배의 징벌적 손해배상 의무를 부과할 수 있습니다.

▲ 정수진(사법연수원 32기) 변호사

정수진 변호사는 2003년부터 2023년까지 20년간 서울고등법원(공정거래 전담부, 형사 부패‧선거 전담부, 상사‧기업 전담부 등), 서울중앙지방법원, 서울동부지방법원, 서울남부지방법원 등 각급 법원에서 고법판사 또는 판사로 재직하면서 다양한 분야의 사건을 두루 담당하여 재판 실무에 정통합니다. 또한 사법연수원 기획교수 및 서울고등법원 공보관 등을 역임해 사법행정 업무에 관한 경험도 쌓았습니다. 정 변호사는 오랜 기간 법원에서 쌓은 경험을 바탕으로 특히 공정거래, 상사‧기업, 기업형사, 건설‧부동산, 행정, 가사 사건 등의 분야에서 뛰어난 전문성을 보유하고 있습니다.

▲ 가장현(사법연수원 39기) 변호사

가장현 변호사는 2013년 법무법인(유) 광장에 합류한 공정거래법 전문 변호사로서 공정거래, 기업인수‧합병, 기업지배구조 및 기업일반 자문 업무를 담당하고 있습니다.