데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 G-PRIVACY 2022가 3월 29일 더케이호텔서울 가야금홀에서 공공, 금융, 기업 개인정보보호 및 정보보안 실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 이혁중 제주항공 CPO(상무)는 ‘개인정보 유출 대응’을 주제로 실무적인 강연을 진행해 보안실무자들의 관심을 끌었다.

이혁중 CPO는 “개인정보 유출 사고는 계속 발생하고 있다. 개인정보보호팀이 있고 모의훈련을 해도 막상 유출사고를 당하면 우왕좌왕하는 경우가 많다. 법에서는 개인정보뿐만 아니라 결합해서 개인정보를 유출할 수 있는 정보는 모두 개인정보로 보기 때문에 대부분의 회사 정보가 개인정보라고 보면 된다. 실제로 개인정보 유출 사고가 발생하면 어떤 프로세스로 대응해야 할지 설명해 보겠다”고 시작했다.

개인정보 유출 대응 절차는 △개인정보 유출 신속 대응 TF구성 △유출 원인 파악 및 추가 유출 방지 조치 △개인정보 유출 신고 및 통지 △이용자 피해구제 및 재발방지 대책 마련 순이다.

그는 “유출사고가 발생하면 24시간 내(개인정보처리자는 5일 이내, 정보통신서비스제공자는 24시간 내)에 처리해야 할 일이 너무 많다. TF 구성부터 원인파악, 추가 유출방지조치, 유관기관에 신고 및 고객통지까지 해야 한다”며 “CPO를 중심으로 IT부서와 협업하고 법무팀과도 법적인 문제를 최소화하도록 협력해야 한다. 또 추측성 기사가 보도되지 않도록 홍보팀과 협력해 대외소통창구를 일원화하는 것이 중요하다. 그렇지 않으면 업무가 마비될 정도로 많은 항의 전화를 받게 된다”고 전했다.

특히 이 상무는 개인정보 유출 시점을 명확히 하기 위해 전화가 아닌 문서로 확보해야 한다고 조언한다. 그래야 24시간의 대응 시작점을 공식적으로 확인할 수 있어 대응에 도움이 된다고 말했다.

또 홈페이지에 개인정보 유출공지를 게시할 때 추가 유출 사항이 있을 수 있다는 내용을 포함해 공지를 올려야 한다고 조언했다. 추가 유출 사항이 발생할 경우 별도의 사고로 볼 수 있기 때문에 법무팀과 협의해 공지내용에 대해 신중하게 결정하라는 것이다. 법적으로 중요한 부분이 될 수 있다.

그리고 기관에 유출 신고시 파악된 팩트만 간결하게 작성하고, 신고기관에 사고 관련 문서를 제출할 때 숨김없이 성실히 기술해서 제출해야 한다고 전했다.

특히 평상시 법에서 요구하는 기술적·관리적 보호조치에 대한 준수 여부를 반드시 체크하고 안되는 부분에 대해서는 증거 자료를 확보해 둬야 한다고 조언했다.

보다 상세한 내용은 이혁중 CPO의 강연영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★