직장에서 “이거 괜찮은 거야?” 하고 법무팀에 던져지는 질문 중, 개인정보와 관련된 이슈가 점점 많아지고 있지 않으신가요? 직원 수 50명 미만의 중소기업이라고 해서 예외는 없습니다.
제가 경찰에서 집중수사팀장으로 재직하며 접했던 실제 사건들 중 상당수는 대기업이 아닌 중소기업에서 발생했습니다. 인력과 예산의 부족, 개인정보보호법에 대한 낮은 인식, 외주업체와의 소통 미흡 등이 복합적으로 얽혀 있었죠.
오늘은 실무자 입장에서 꼭 짚어야 할, 중소기업에서 자주 발생하는 개인정보보호법 위반 사례와 그에 대한 대응 방안을 살펴보겠습니다.
1. 암호화 없이 저장된 고객 정보 – "기술적 조치 미비"
서울 강북의 한 온라인 쇼핑몰은 고객 이름, 주소, 휴대폰 번호를 내부 DB에 평문으로 저장하고 있었습니다. 해킹 사고로 4천여 명의 정보가 외부에 유출되었고, 고객들의 항의와 함께 개인정보보호위원회로부터 과징금 처분을 받게 되었죠.
관련 법령: 개인정보보호법 제29조, 동법 시행령 제30조(암호화 등 기술적 보호조치)
실무 포인트:
- DB에 저장된 개인정보 필드는 AES256 이상 알고리즘으로 암호화.
- 관리자 계정이라도 접근권한 제한(RBAC) 설정.
- HTTPS 기반 SSL 인증서 필수 적용.
- 백업파일, 로그파일 등 부가 저장소도 암호화 여부 확인.
- 6개월 단위 암호화 점검 및 기록 유지.
2. 퇴사자 계정 미삭제 – "관리적 조치 소홀"
부산의 한 스타트업에서는 퇴사한 기획팀 직원의 업무용 계정이 그대로 남아 있었고, 경쟁업체로 이직한 그 직원은 3개월간 고객 제안서를 무단으로 열람했습니다. 회사는 뒤늦게 해당 행위로 인한 손해배상 소송에 휘말렸습니다.
관련 법령: 개인정보보호법 제29조(안전조치 의무), 행정안전부 개인정보 관리수칙
실무 포인트:
- 퇴사 발생 시 IT계정 회수 절차를 포함한 퇴사자 체크리스트 운영.
- Google Workspace, MS365 등의 관리 콘솔에서 자동화 처리 도입 고려.
- 인사팀-IT팀 간 월 1회 계정 실태 교차 점검 필수.
3. 마케팅 문자 발송 – "정보주체 동의 없는 활용"
경기 지역의 한 교육 업체는 고객에게 수강 관련 마케팅 문자를 무작위로 발송했습니다. 문제는 동의 절차가 없었다는 점입니다. 이에 일부 수신자는 신고를 제기했고, 과태료 부과 처분을 받았습니다.
관련 법령: 개인정보보호법 제15조, 제22조 / 정보통신망법 제50조
실무 포인트:
- 개인정보 수집 시 '선택적 동의 항목'을 별도로 구분해 체크.
- 동의서에 수집목적, 이용범위, 보유기간 등 명확히 표기.
- 전자적 동의이력(IP 등) 2년 이상 보관.
- 문자/이메일 하단에 수신 거부 방법(080 번호, 링크 등) 포함.
4. CCTV 설치와 사전 고지 의무
한 중소기업은 사무실 내 보안을 이유로 CCTV를 설치했지만, 설치 목적·운영 시간 등을 명시한 안내문이 없어 직원 불만과 함께 민원이 제기됐습니다. 개인정보위는 이 또한 ‘영상정보처리기기 운영관리 방침 미수립’으로 판단했습니다.
관련 법령: 개인정보보호법 제25조, 영상정보처리기기 가이드라인
실무 포인트:
- 안내문에 목적, 촬영범위, 운영시간, 보관기간, 책임자 연락처 명기.
- 음성 녹음 기능은 통신비밀보호법 위반 우려로 반드시 비활성화.
- 영상 보관기간은 통상 30일 이내 설정. 초과 시 내부 승인 문서화.
- 위탁 운영 시 계약서에 보호책임 명문화.
5. 위탁업체 관리 미흡 – "책임은 원청에게 돌아온다"
한 화장품 회사는 콜센터를 외주 업체에 맡겼는데, 그 수탁업체 직원이 고객 정보를 SNS 광고업체에 넘기는 사건이 발생했습니다. 문제는 계약서에 개인정보 보호 관련 조항이 전혀 없었다는 점이었습니다.
관련 법령: 개인정보보호법 제26조(업무 위탁 시 조치)
실무 포인트:
- 위탁계약서에 ① 처리항목 명시, ② 위탁 목적/범위, ③ 재위탁 금지, ④ 보호조치 의무, ⑤ 점검 권한 포함.
- 수탁자 교육 기록 및 자료 보관.
- 연 1회 이상 수탁업체 대상 보안점검 보고서 확보.
- 유출 시 손해배상 책임 명시.
보너스: 실무자를 위한 간단한 체크리스트 (YES/NO)
- 모든 고객정보는 암호화된 채 저장되고 있는가?
- 퇴사자 계정은 즉시 비활성화되고 로그아웃 조치가 되는가?
- 마케팅 수신 동의는 별도 항목으로 명확히 구분되어 있는가?
- CCTV 안내문은 법정 항목을 모두 포함하고 있는가?
- 위탁 계약서에 개인정보 보호 조항이 명시돼 있는가?
예방이 최고의 보호책입니다
경찰에서의 수사 경험상, 많은 중소기업들이 위법의 ‘고의’보다는 ‘무지’ 또는 ‘방심’으로 인해 처벌을 받는 경우가 많았습니다. 그러나 법은 결과 중심으로 작동합니다. ‘몰랐다’는 이유만으로 면책되지는 않습니다.
정기적인 내부 교육, 실무 매뉴얼의 문서화, 외부 전문가와의 협업 등을 통해 실무 대응 체계를 갖추는 것이 중요합니다. 무엇보다 개인정보 보호는 단순한 법적 리스크 관리가 아닌, 고객과 사회의 신뢰를 지키는 기업의 핵심 가치이자 경쟁력입니다.
![[법무 뉴스레터] 억울한 형사 고소, 기업이 피해자가 되는 순간의 썸네일 이미지](https://cdn.maily.so/4u50ec9230xvc3pmul0t3by63pkp)
의견을 남겨주세요