더불어민주당 권향엽 국회의원(순천광양곡성구례을·산업통상자원중소벤처기업위원회)이 <개인정보 보호법> 개정안을 대표발의했다고 27일 밝혔다. 개인정보 유출사건 발생 시 통지대상을 확대하는 게 골자다.

 현행법 제34조 제1항은 개인정보 유출이 확인된 당사자에게만 유출 항목, 유출 시점 및 경위, 2차 피해 예방법 등을 통지하도록 규정하고 있다. 이 때문에 SKT, KT, 쿠팡 개인정보 유출과 같은 대규모 사건이 아닌 경우, 이용자들은 사건발생사실 자체를 모를 수밖에 없다.

 문제는 개인정보보호위원회나 한국인터넷진흥원의 사건조사에 수개월이 소요되는 데다, 조사결과에 따라 추가 피해가 확인될 수 있다는 점이다. 추가 피해자의 경우 이 공백기간 동안 개인정보 유출 가능성을 인지하지 못한 채, 스미싱·보이스피싱과 같은 2차 피해에 고스란히 노출된다.

 일례로 지난 4월 산업부 <공공데이터 활용 공모전> 홈페이지가 해킹당해 공모전 접수자 1명의 개인정보가 유출된 사건이 발생했다. 산업부는 42일이 지나서야 해킹 사실과 개인정보 유출 사실을 알게 됐고, 해당 시점을 기준으로 유출이 확인된 1명에게만 사건을 통지했다.

 개인정보보호위원회는 7개월이 지난 지금까지 이 사건을 조사 중이다. 개인정보보호위원회는 권향엽 의원실에 ‘최종조사결과에 따라 유출규모가 달라질 수 있다’고 답변했다. 공모전 홈페이지 이용자들은 자신이 추가 피해자로 확인될 수 있음에도 불구하고 사건발생 자체를 여전히 인지하지 못하고 있다.

 한편, 송경희 개인정보보호위원장은 지난 10월 14일 국회 정무위원회 국정감사에 출석해 “개인정보 유출 가능성이 있는 단계부터 피해자에게 통지하고 신고할 수 있는 체제로 개선하는 방안을 검토하겠다”고 답변한 바 있다. 개인정보보호위원회 ‘제도개선TF’에서도 이같은 내용을 검토 중인 것으로 알려졌다.

 권향엽 의원은 “현행법은 잠재적 피해자들을 2차 피해 위험에 노출시킨 채 방치하고 있다”고 지적하며 “개인정보 유출 가능성이 있는 모든 이용자들에게 사건발생 사실을 통지하도록 의무화해 2차 피해 예방의 골든타임을 지켜야 한다”고 말했다.