한국, 아태 개인정보 불법유통 대응 주도…GPEN 역내 공조체계 구축

핵심 요약

- 개인정보보호위원회가 글로벌 개인정보 집행네트워크(GPEN) 아태지역 공동 대응을 주도 - 역내 개인정보 불법유통 차단을 위한 국제공조 체계 강화 및 정보공유 플랫폼 구축 - 국경 간 개인정보 침해 사안에 대한 실효적 집행력 확보를 위한 다자협력 모델 제시

주요 내용

개인정보보호위원회(이하 개보위)가 글로벌 개인정보 집행네트워크(Global Privacy Enforcement Network, GPEN)의 아시아·태평양 지역 활동을 주도하며 개인정보 불법유통에 대한 국제공조 체계를 강화하고 있다. GPEN은 전 세계 70여 개국 개인정보 보호기관이 참여하는 비공식 협력체로, 국경을 넘는 개인정보 침해에 공동 대응하기 위해 2010년 출범했다.

개보위는 이번 활동을 통해 아태지역 내 개인정보 불법 수집·거래 사이트에 대한 공동 모니터링 체계를 구축하고, 역내 집행기관 간 신속한 정보공유 채널을 마련했다. 특히 다크웹과 텔레그램 등을 통해 유통되는 대량의 개인정보(이메일, 전화번호, 주민등록번호 등)에 대한 추적 및 차단 활동을 강화한다는 방침이다.

국경 간 개인정보 침해 사건은 관할권 문제로 단일 국가의 대응만으로는 실효성이 제한적이다. 개보위는 이번 GPEN 공조를 통해 역내 국가 간 상호 법집행 지원(Mutual Legal Assistance) 절차를 간소화하고, 침해 사업자에 대한 동시 조사·제재를 추진할 수 있는 기반을 마련했다. 이는 우리나라가 글로벌 개인정보 보호 규범 형성에 주도적 역할을 수행하고 있음을 보여주는 사례다.

또한 개보위는 GPEN 회원국을 대상으로 한국의 개인정보 불법유통 대응 사례와 법제도를 공유하며, 「개인정보 보호법」상 과징금·형사처벌 등 강력한 제재 수단과 정보통신망을 통한 불법유통 차단 기술적 조치를 모범 사례로 제시했다. 이를 통해 아태지역 개인정보 보호 수준의 상향 평준화를 도모하고 있다.

전문가 시각

국경 간 개인정보 불법유통은 단순 정보 유출을 넘어 보이스피싱, 스미싱, 타겟형 사이버 공격의 기반 인프라로 악용되고 있다. GPEN과 같은 다자협력 체계는 단일 국가의 법집행 한계를 극복하는 유일한 실효적 수단이다. 특히 아태지역은 개인정보 보호 법제의 성숙도가 국가별로 상이하므로, 한국이 주도하는 이번 공조 활동은 역내 집행력 격차를 해소하고 실질적인 피해자 구제 경로를 확보하는 데 기여할 것이다.

기업 입장에서는 글로벌 사업 운영 시 각국의 개인정보 보호 규제뿐 아니라 GPEN과 같은 국제 공조 네트워크의 동향을 지속적으로 모니터링해야 한다. 특히 국경 간 데이터 이전 및 제3자 제공 시 불법유통 경로로 활용될 위험을 사전 차단하기 위한 기술적·관리적 보호조치(암호화, 접근통제, 제공내역 기록 등)를 ISMS-P 인증기준에 따라 철저히 이행해야 한다.

ISMS-P 심사원 체크포인트

1. 2.8.1 개인정보 제공 시 보호조치 (ISMS-P) 제3자 제공 시 제공 목적 외 이용 방지를 위한 계약서 작성, 제공 내역 기록·보관, 정기적 모니터링 이행 여부를 점검한다. 특히 해외 사업자에게 개인정보를 제공하는 경우 「개인정보 보호법」 제39조의12(국외 이전 시 고지·동의)에 따른 정보주체 고지 및 별도 동의 획득 여부, 이전 국가의 개인정보 보호 수준 검토 기록을 확인해야 한다.

2. 2.8.3 개인정보 처리 위탁 보호조치 (ISMS-P) 위탁계약 시 수탁자의 개인정보 불법유통 방지 의무, 재위탁 제한, 위탁업무 종료 시 개인정보 파기 조항 등을 명시하고, 정기 실태점검을 통해 수탁자가 개인정보를 무단으로 제3자에게 제공하거나 불법 유통 경로로 유출하지 않는지 확인해야 한다. 특히 해외 위탁의 경우 GPEN 등 국제 공조 대상이 될 수 있으므로 계약서 내 준거법 및 분쟁 해결 조항을 명확히 해야 한다.

3. 개인정보 보호법 제59조(금지행위) "누구든지 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보를 … 제3자에게 제공하여서는 아니 된다"는 금지 조항 위반 여부를 점검한다. 불법유통 적발 시 5년 이하 징역 또는 5천만 원 이하 벌금(제72조)이 부과되므로, 내부 직원 및 협력사의 개인정보 무단 제공·판매 행위에 대한 예방 교육 및 모니터링 체계 구축이 필수적이다.

위반 조항

개인정보 보호법 제59조(금지행위) 제1항 제3호: "거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위" 제1항 제5호: "정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위"

개인정보 보호법 제72조(벌칙) 제59조 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처함. 국외로 개인정보를 불법 유출한 경우 제71조에 따라 10년 이하 징역 또는 1억 원 이하 벌금 부과 가능.

개인정보 보호법 제39조의3(과징금) 불법유통으로 인한 경제적 이익이 발생한 경우 관련 매출액의 100분의 3 이하 범위 내에서 과징금 부과 가능.

CPPG·ISMS-P 연계 포인트

1. 국외 이전 시 보호조치 (CPPG 파트 II-4) 개인정보의 국외 이전 시 「개인정보 보호법」 제39조의12에 따라 ①이전 국가·수령자·목적·항목·보유기간 고지, ②정보주체 별도 동의 획득, ③이전 국가의 개인정보 보호 제도 확인이 필수다. GPEN 공조 대상이 되는 불법유통 사업자와의 거래 차단을 위해 제3자 제공 내역의 정기 모니터링 및 이상 거래 탐지 체계 구축이 요구된다.

2. 개인정보 불법유통 모니터링 의무 (ISMS-P 2.9.2) 개인정보 유출사고 발생 시 즉시 신고·통지 의무(제34조) 외에도, 불법유통 경로(다크웹, 텔레그램, 해외 유출 사이트 등)에 대한 상시 모니터링 체계를 갖추어야 한다. 특히 대량 개인정보를 처리하는 정보통신서비스 제공자는 개인정보 유출 징후 탐지 시스템(DLP, 이상행위 탐지 등)을 운영하고, GPEN 등 국제 공조 요청 시 신속한 대응 체계를 마련해야 한다.