해킹 및 정보유출 이슈 관련 법적 이슈와 과제
CFE Report No. 25-12
| 발행처 | 자유기업원 (Center for Free Enterprise) |
| 발행인 | 최승노 (자유기업원 원장) |
| 집필자 | 이성엽 (고려대학교 기술경영전문대학원 교수) |
| 발간일 | 2025. 10. 30. |
| 시리즈 | CFE Report |
| 문의 | 02-3774-5000, cfemaster@cfe.org |
1. 최근 해킹 정보유출 현황과 특성
핵심 요약: 해킹과 정보유출이 서버 침입을 넘어 통신망·인증 절차 탈취로 진화하고 있으며, 공격 경로가 다양화되고 사고 원인·규모 확정까지 장시간이 소요되는 구조적 문제가 드러났습니다.
12만
논문투고시스템(JAMS) 해킹 피해자 수
2,696만
SKT 음성통화인증 서버 해킹
158만
GS리테일 개인정보 유출
2억 4천만
KT 무단 소액결제 피해액
해킹 기법의 고도화
새로운 사이버 공격 양상
🖥️
전통적 해킹
서버 침입·탈취
→
📡
통신망 공격
인증정보 가로채기
→
🔑
크리덴셜 스터핑
계정 탈취 공격
→
🤖
APT 공격
고도화된 지속위협
그림 1. 해킹 기법의 진화 과정
정보유출 사고의 주요 특성
- 공격 다양화: KT 무단 소액결제는 펨토셀(femtocell) 초소형 기지국을 이용한 통신망 취약점 악용 사례
- ISMS 인증 실효성 문제: 롯데카드는 ISMS-P 인증을 받았음에도 해킹 발생
- 원인·규모 파악 곤란: 전문기관도 정확한 해킹 경로나 유출 규모 확정에 장시간 소요
- 기업의 이중적 지위: 개인정보 보호 책임자인 동시에 해킹 공격의 피해자
⚠️ 구조적 문제: 현행 개인정보 보호 체계가 사고 이후의 제재와 수습에 과도하게 치우쳐 있어, 사전 예방보다는 사후 처벌에 집중되고 있습니다.
2. 법적 규제와 제재의 현황
개인정보보호법상 유출 통지 의무
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때 지체 없이(5일 이내) 정보주체에게 통지하고, 72시간 이내에 개인정보보호위원회에 신고해야 합니다.
개인정보 유출 신고·통지 절차
🔍
유출 발견
담당직원 인지
→
⏰
5일 이내
정보주체 통지
→
📋
72시간 이내
개보위 신고
그림 2. 개인정보 유출 신고·통지 절차
과징금 부과 체계
| 구분 | 과징금 기준 | 상한 | 특징 |
|---|---|---|---|
| 개인정보보호법 | 전체 매출액의 100분의 3 | 20억원 | 안전성 확보조치 다한 경우 면제 |
| 신용정보법 | 정액 방식 | 50억원 | 매출액 연동 없음 |
| 전기통신사업법 | 관련 매출액의 3% | - | 영업정지 대체 과징금 |
과징금 부과 고려사항
참고: 개인정보보호법 개정으로 과징금 부과 시 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성을 확보하도록 11가지 고려사항이 명시되었습니다.
3. 법적 이슈와 정책과제
과징금 제도의 본질과 문제점
핵심 이슈: 과징금은 본질적으로 부당이득 환수 수단이나, 외부 해킹으로 인한 단순 유출처럼 부당이득이 발생하지 않은 사안에도 매출 연동형 제재를 동일하게 적용하는 문제가 있습니다.
✅ 부당이득 환수형
- 동의 없는 개인정보 수집·이용
- 맞춤형 광고를 위한 행태정보 활용
- 매출 연동 과징금 적용 타당
❌ 제재형 (부당이득 없음)
- 외부 해킹에 의한 정보유출
- 안전성 확보조치 미이행
- 정액 또는 구간형 과징금 적용 고려
제재 균형성 문제
대법원은 위메프 사건에서 과징금 액수가 위반행위 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우 재량권 일탈·남용으로 위법하다고 판시했습니다.
⚠️ 판례의 경고: 결과 중심의 제재가 누적되면 기업의 초기 신고와 사실 공개를 위축시키고, 재발 방지에 필요한 기술·조직 투자 유인을 약화시킬 수 있습니다.
사전예방 중심 전환 필요성
AI 등 신기술이 적용되면서 사전 동의는 비현실적이고 비효율적이 되었습니다. 실시간으로 수많은 데이터가 생성·결합되는 상황에서 이용자가 일일이 동의 여부를 판단할 수 없습니다.
PbD
프라이버시 중심 설계
PETs
프라이버시 강화기술
국가책임제
데이터보호 국가심사
4. 해결방안과 제언
과징금 제도 개선
- 목적별 분리: 부당이득이 수반된 위반에 한해 매출 연동형 적용, 외부 해킹 등 단순 유출은 정액형으로 전환
- 비례성 강화: 제재의 목적과 수단을 비례원칙에 맞게 정렬
- 예측가능성 확보: 구간형 과징금 도입으로 기업의 예측가능성 향상
사이버보안 거버넌스 통합
분산된 현행 체계 vs 통합 거버넌스
🏛️
국정원
공공 사이버보안
📡
과기부
민간 사이버보안
💼
금융위
금융 사이버보안
🔒
개보위
정보유출 조사
⬇️
🛡️
사이버안전청
통합 컨트롤타워
그림 3. 사이버보안 거버넌스 통합 방안
국제 사례: 미국 CISA, 영국 NCSC와 같은 컨트롤타워 모델은 공공·민간의 보안 정책, 침해 대응, 정보 공유를 한 축에서 총괄하고 있습니다.
기술적 해결방안
단기
프라이버시 중심 설계(PbD) 인증제도 도입
중기
동형암호, 차등프라이버시 등 PETs 기술 확산
장기
데이터 최소화, 목적 제한, 보안 내장 의무화
결론: 해킹·정보유출 대응의 초점은 '더 강한 처벌'이 아니라 '비례원칙에 부합하는 제재와 실질적 재발방지'에 맞추어야 합니다. 이를 통해 초기 신고와 신속 복구가 촉진되고, 이용자 신뢰와 데이터 기반 혁신이 함께 강화될 것입니다.
참고문헌 (References)
- 김기범, 해킹 및 개인정보유출 등 정보보호법의 이슈와 과제 세미나 자료집, 사)한국데이터법정책학회, 2025.8.21.
- 김태오, 해킹 및 개인정보유출 등 정보보호법의 이슈와 과제 세미나 자료집, 사)한국데이터법정책학회, 2025.8.21.
- 박균성, 『행정법입문』, 박영사, 2025, 222-223면
- 박종국, 해킹 및 개인정보유출 등 정보보호법의 이슈와 과제 세미나 자료집, 사)한국데이터법정책학회, 2025.8.21
- 이성엽, 국가 사이버안보 법제와 거버넌스의 바람직한 정립 방향 — 미국의 사례와 한국의 시사점을 중심으로, 행정법연구, 2022, vol., no.67
- 홍정선, 『기본경찰행정법』, 박영사, 2013
- 개인정보보호위원회, 개인정보 보호 법령 및 지침·고시 해설, 2020. 12.