회원 정보가 담긴 게시판이 노출됐거나 관리자 계정이 뚫린 정황을 발견했다면, 그 순간부터 시간이 흐르기 시작합니다. 개인정보 유출 사고는 사고 자체보다 ‘알고도 늦게 대응한 것’이 더 큰 책임으로 돌아오는 영역입니다.
인지 후 72시간, 신고가 먼저입니다
유출을 알게 된 때부터 72시간 이내에 개인정보보호위원회(개인정보 포털 또는 KISA 118)에 신고해야 합니다. 1천 명 이상 유출, 민감정보·고유식별정보 유출, 해킹 등 외부 공격에 의한 유출은 규모와 관계없이 신고 대상입니다. ‘원인 파악이 끝난 뒤 신고하겠다’는 판단이 가장 흔한 실수입니다. 파악된 내용만으로 우선 신고하고, 추가 사항은 이후에 보완할 수 있습니다.
이용자 통지도 같은 시한입니다
유출된 항목, 시점과 경위, 이용자가 할 수 있는 조치(비밀번호 변경 등), 회사의 대응과 문의 창구를 담아 이메일이나 문자로 알려야 합니다. 연락처를 모르는 회원이 있다면 홈페이지 공지로 갈음할 수 있는 요건도 있으니, 공지문은 30일 이상 게시하는 것이 안전합니다.
재발 방지가 실제 처분을 좌우합니다
같은 사고라도 이후 조치에 따라 결과가 달라집니다. 관리자 비밀번호와 접근 권한 정리, 오래된 플러그인 업데이트, 불필요하게 보관 중이던 개인정보 파기까지 실행하고 기록으로 남기세요. 수집 항목과 보유 기간은 개인정보처리방침 페이지 가이드를 기준으로 다시 점검해 보시길 권합니다.
평소에 ‘우리 사이트가 어떤 개인정보를 어디에 저장하는지’ 목록 한 장을 만들어 두면, 사고 시 신고서 작성 시간이 몇 시간에서 몇 분으로 줄어듭니다.
※ 본 글은 일반적인 안내로 법률 자문이 아니며, 신고 요건과 절차는 사안에 따라 다를 수 있습니다. 실제 사고 발생 시 KISA 118과 전문가에게 문의하시기 바랍니다.
IDC.KR은 보안 업데이트와 개인정보 관련 페이지 구성까지 포함해 홈페이지를 관리합니다. 운영 중인 사이트 점검이 필요하다면 여기로 문의해 주세요.
