이번 넥슨 해킹은 지난 9월 30일 개인정보보호법이 발효된 이후 처음 발생한 대형 개인정보 유출 사고라는 점에서 넥슨이 개인정보보호법을 위반했는지 여부에 이목이 집중된다.
행정안전부는 지난 주말 넥슨으로부터 개괄적인 사고 내용을 청취했고 정보통신망법 위반 여부는 28일부터 정식 조사에 들어갈 예정이다.
행안부 관계자에 의하면 “일단 넥슨은 온라인 게임사기 때문에 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’을 우선 적용받는다”며 “이에 따라 망법 위반 여부가 있는지 정보통신망법 위반 여부부터 28일 정식 조사에 들어갈 것”이라고 말했다.
현재 정보통신망법에 따르면 기업이 해킹을 당해 수천만명의 개인정보가 유출되더라도 2년 이하 징역·1000만원 이하 벌금형이 고작이다. 얼마 전 한국엡손은 암호화 등 보안조치 소홀과 개인정보보호 의무 소홀 등 정보통신망법 위반으로 과징금과 과태료 4200만원을 부과받은 바 있다.
그러나 정보통신망법이 규율하지 않고 있는 부분에 대해서는 ‘개인정보보호법’을 적용받는다. 망법에 포함되어 있지 않은 ‘개인정보 유출통지제’ ‘개인정보 유출 통지의 방법 및 절차’ 등을 넥슨이 위반했는지 개인정보보호법에 따라 처벌 대상이 되는지 향후 정부 조사 여부에 귀추가 주목된다.
관련 전문가들에 의하면 “개인정보호법 제34조에 의하면 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 유출된 개인정보 항목 등을 알려야 한다고 규정하고 있다”며 “이에 따르면 넥슨 측이 해킹 사실을 알게 된 것은 지난 21일이지만 방통위에 신고한 것은 25일이라 개인정보 유출통지제를 위반했다고도 볼 수 있다”고 지적했다.
하지만 동법 시행령 제40조에 따르면 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 정보주체에게 알려야 한다고 명시하고 있으면서도 유출된 개인정보 확산 및 추가 유출을 방지하기 위해 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다고 규정하고 있다.
따라서 넥슨이 즉시 개인정보 유출 사실을 알리기보다 긴급 조치를 위해 5일간 이를 숨겨왔다고 판결난다면 넥슨은 개인정보보호법을 위반하지 않은 셈이다.
행안부는 정보통신망법에 포함되어 있지 않은 ‘개인정보 유출통지제’ ‘개인정보 유출 통지의 방법 및 절차’ 등을 넥슨이 위반했는지 철저히 조사할 방침이다.
장윤정기자 linda@etnews.com