부킹닷컴이 네덜란드 정보국(GDPR 관리 감독 기구)으로 부터 고객 정보 유출 사고로 47만 유로, 원화로 약 6억 4천만 원에 이르는 벌금을 선고받았다. 지난 2018년, 세계 최대 숙박 예약 업체인 부킹닷컴에서 UAE의 호텔 객실을 예약한 4,109명의 개인 정보가 유출되으며 97개 카드의 보안코드를 포함해서 283명의 카드 지불 데이터가 유출된 사실에 따른 벌금이 확정된 것이다.
그러나 실제 유출된 정보의 규모 대비 과도한 벌금이 내려졌다는 평이다. 예를 들어, 같은 해 고객 50만 명의 정보가 유출되었던 British Airline사건의 경우 최종 선고된 벌금액은 2204만 6000유로, 한화로 29억 7천만 원이다. 또한 전 세계에서 약 3억 3900만 명의 고객 자료가 유출되었다고 신고한 Marriott International 사건의 경우에도 최종 벌금 선고액은 2045만 유로, 한화로 약 27억 3500만 원이었다. 그런데 상대적으로 적은 숫자인 4000여 명의 정보 유출사고에 47만 유로, 약 6억4천만 원의 벌금형을 확정한 것은 이례적이라는 것이다.
여기에는 중대한 이유가 있다. GDPR 규정 제33조에 따르면, 개인정보의 침해가 발생할 경우 72시간 내에 감독기관에 해당 내용을 신고하게 되어있다. 그러나 부킹닷컴은 2018년 유출 사실에 대해 2019년 1월 13일 처음 인지하였음에도 불구하고 2월 7일에 이 사실을 보고했다. 인지 이후 22일이 지나고 나서다.
[GDPR] 제33조. 감독기관에 대한 개인정보 침해 통지
1항. 개인정보의 침해가 발생할 경우, 컨트롤러는 부당한 지체 없이, 가급적 이를 알게 된 후 72시간 내에, 제55조에 따라 감독기관에 해당 개인정보의 침해를 통지해야 한다. 단, 해당 개인정보의 침해가 자연인의 권리와 자유에 위험을 초래할 것으로 예상되지 않는 경우는 예외로 한다. 72시간 내에 감독기관에 이를 통보하지 않을 경우에는 지연 사유를 동봉해야 한다.
이번 사건이 GDPR에서 규정한 ‘개인정보 침해 통지’에 대해 EU가 더욱 강경한 태도를 취할 것이라는 시그널이라고 해석되는 이유다. 네덜란드 연합뉴스의 vice president인 Monique Verdier 또한 “데이터 유출은 아무리 조심해도 발행할 수 있는 일이지만, 이에 따른 소비자들의 피해와 재발방지를 위해서는 반드시 “제때에 보고하는 것”이 중요하다.”라고 강조했다[출처].
국내에서도 개인정보보호위원회가 작년 12월, 개인정보가 유출되었을 경우 기업의 대응 방법을 알리는 ‘개인정보 유출 대응 매뉴얼’을 발표했다. 유출 통지 및 신고와 관련된 내용을 살펴보면, 국내법상 개인정보처리자 및 정보통신서비스 제공자, 신용정보회사등에서 정보유출이 발생했을 경우 유출 대상이 1명 이더라도 반드시 이를 통지하게 되어있다. 정보통신서비스 제공자의 경우 침해 사고 발생 이후 24시간 이내 신고하여야 하며, 그 외 기관의 경우에도 5일 이내 신고하여야 한다.[개인정보 보호법 제34조, 제39조의 4, 신용정보법 제39조의 4]
[개인정보 유출 대응 절차]
1) 정보보호 책임자, 담당자 및 고객지원 부서 등으로 이루어진 신속대응팀 마련
2) 피해 최소화를 위한 침해유형별(해킹, 내부자, 이메일, 노출) 긴급조치 시행
3) 유출 통지 및 신고
4) 피해 구제 및 재발 방지를 위한 대책을 마련
* 개인정보 유출 대응 매뉴얼, 개인정보보호위원회(2020.12)
정보 유출에 대한 신고 및 통지 의무는 정보주체의 주권 강화와 함께 국내외에서 점차 그 중요성이 강조되는 추세다. 유출 사고가 일어나지 않도록 대비하는 것이 가장 중요하겠지만 부득이 사고가 일어날 경우 기업의 투명하고 신속한 대응이 반드시 따라야 할 것이다.