소비자주권시민회의 티빙의 개인정보보호 촉구

티빙은 1,953만 명 개인정보 보유 근거 밝혀라


▶유료회원‧MAU 두 배 넘는 유출 규모…개인정보 보유 근거부터 규명해야
▶안전조치의무뿐 아니라 파기의무 위반 여부도 철저히 조사해야
▶대법원 “법령상 의무위반으로 유출사고 원인 제공하면 배상책임”


지난 6월 2일 티빙에서 대규모 개인정보 유출이 확인된 지 한 달 이상 지났다. 국회 이정헌  의원실이  개인정보보호위원회(이하,  개인정보위)와  과학기술정보통신부로부터 제출받아 공개한 자료에 따르면, 현재까지 파악된 유출 규모만 1,953만 명에 이른다. 이는  티빙의  유료회원(약  500만  명)과  월간활성이용자(MAU,  약  800만~900만  명)의 두  배가  넘는  규모로,  지난해부터  국내  주요  기업에서  계속되고  있는  대규모 개인정보 유출 사고가 다시 한번 되풀이된 것이다.
유출  정보에는  아이디‧이름‧생년월일‧성별‧휴대전화번호‧비밀번호뿐  아니라  연계정보 (CI)‧중복가입확인정보(DI)까지  포함됐으나,  한  달  이상  지난  지금까지  티빙과  정부 어느  쪽도  유출  경위와  전체  피해  범위,  피해  확산을  방지하기  위한  조치  등 구체적인 정보를 충분히 공개하고 있지 않다.
침입경로와 기술적 사실관계는 정부 민관합동조사 결과를 기다려야 한다. 그러나 “왜 실제 이용 규모의 두 배가 넘는 개인정보를 보유하고 있었는가”는 이와 별개로 지금 규명할  수  있는  문제다.  또  이는  「개인정보  보호법」에  따른  개인정보의  파기의무 위반과 그로 인한 손해배상책임 및 과징금에 직결되는 쟁점이다.


「개인정보 보호법」(이하, 법) 제21조는 보유기간이 지나거나 처리 목적이 달성되는 등 개인정보가  불필요하게  된  경우  이를  지체  없이  파기하도록  규정한다.  다른  법령에 따라  보존이  필요한  경우에도  다른  개인정보와  분리해  저장‧관리해야  하며,  파기할때에는 복구‧재생되지 않도록 조치해야 한다. 그런데 이러한 파기의무는 법 제21조에 따른  의무인  동시에  안전조치의무와도  밀접하게  연결된다.  법  제29조는  개인정보 처리자에게 안전성 확보에 필요한 기술적‧관리적 조치를 하도록 요구하고, 그 위임에 따른 법 시행령 제30조는 안전성 확보 조치에 관한 세부 기준을 개인정보위 고시로 정하도록  하는데,  이에  따른  개인정보위  고시  「개인정보의  안전성  확보조치  기준」 제13조는  개인정보를  파기할  때  복원할  수  없도록  완전히  파기하는  방법을 구체화하고 있다. 따라서 보유 목적이나 기간이 끝난 개인정보를 파기하지 않았다면 우선 법 제21조 위반이 문제되고, 그 정보가 운영 데이터베이스나 백업본 등에 복원 가능한  상태로  남아  있었다면  법  제29조에  따른  안전조치의무  위반  여부도  함께 검토해야 한다.


물론 유출 규모가 실제 이용자 수를 초과한다는 사실만으로 파기의무 위반이 곧바로 확정되는  것은  아니다.  

무료회원,  장기  미접속회원,  CJ  ONE이나  통신사  등  제휴 서비스를 통해 생성된 계정 중에는 적법한 보유 근거가 있는 정보도 포함돼 있을 수 있다.  실제로  7월  14일  국회  이정헌  의원실이  공개한  자료에  따르면,  KT가  자사 개인정보  유출  피해  보상  차원에서  제공한  티빙  이용권을  통해  가입한  41만  6천여 명의 개인정보와 네이버‧카카오 간편로그인으로 연동 가입한 회원의 개인정보가 이번 유출  대상에  포함된  것으로  확인됐다.  티빙  역시  네이버‧카카오‧디즈니플러스  등 제휴사를 통해 가입한 회원들의 본인인증정보를 상당수 보유하고 있다고 인정했으며, SK텔레콤‧LG유플러스  결합상품,  SSG닷컴  등을  통해  생성된  계정의  개인정보도 별도로 보유 중인 것으로 파악됐다. 따라서 티빙과 개인정보위는 계정 유형별 규모와 각 개인정보의 처리 목적‧보유기간‧보유의 법적 근거를 구체적으로 밝혀야 한다.
이러한  파기의무  위반이  확인된다면  그  법적  의미는  결코  가볍지  않다.  

「개인정보 보호법」은  개인정보처리자의  법  위반  행위로  정보주체가  손해를  입은  경우, 개인정보처리자가  스스로  고의  또는  과실이  없었음을  증명하지  못하면  그  책임을 면할  수  없도록  규정하고  있고,  개인정보처리자의  고의  또는  중대한  과실로  인하여 개인정보가 분실‧도난‧유출‧위조‧변조 또는 훼손되어 정보주체에게 손해가 발생한 경우 법원은 그 손해액의 5배까지 손해배상액을 정할 수 있게 규정되어 있다.


해당  개인정보가  파기  대상임을  인지하고도  장기간  방치했거나,  비용  등을  이유로 파기를  미룬  정황이  확인된다면,  이는  개인정보처리자의  법  위반  또는  개인정보 유출에  대한  개인정보처리자의  과실을  인정할  수  있는  주요한  사항이  될  수  있다. 대법원도  카드고객정보  유출  사건에서,  개인정보처리자가  개인정보  보호를  위해 준수해야  할  법령상  의무를  위반해  유출사고의  원인을  제공한  경우  손해배상책임을 부담한다고 판단한 바 있다(대법원 2019. 10. 18. 선고 2018다207953 등 판결).

마지막으로 개인정보의 파기의무 위반 여부는 개인정보위 제재와 관련해서도 중요한 문제다.  법  제64조의2  제1항  제9호는  개인정보의  분실·도난·유출·위조·변조·훼손 자체를  과징금  부과  대상으로  정하므로,  개인정보의  유출이  발생한  이상  파기의무 위반  여부와  별개로  과징금은  문제가  된다.  다만  같은  호  단서는  개인정보처리자가 법  제29조에  따른  안전성  확보조치를  다한  경우  과징금  부과  대상에서  제외하는데, 개인정보위  고시  기준에  따른  개인정보의  파기  역시  이러한  안전성  확보조치의 하나에  해당한다.  따라서  파기  대상  개인정보를  파기하지  않아  이번  유출에 포함되었다면,  이는  티빙이  법  제29조에  따른  안전성  확보조치를  다했다고  보기 어려운  주요한  사정이  될  수  있다.  그러므로  개인정보위는  티빙의  파기  조치  이행 여부를  조사해  과징금  부과  여부와  수준을  판단해야  하며,  불필요한  개인정보의 보유가 피해 규모를 키웠는지도 함께 확인해야 할 것이다.


이에 <소비자주권시민회의>는 다음과 같이 촉구한다.


첫째,  개인정보위는  유출된  1,953만  명의  개인정보  중  탈퇴회원,  장기  미이용자, 보유기간이  지난  개인정보가  얼마나  포함됐는지  조사하고,  각  정보가  실제로 파기 또는 분리보관 대상이었는지를 계정 유형과 항목별로 구체적으로 특정해 조속히 공개하라. 이는 소비자의 민사상 손해배상청구에서 티빙의 고의‧과실을 판단하는 근거로 활용될 수 있어야 한다.


둘째, 티빙은 계정 유형별 보유 근거와 파기 예정일, 실제 파기 이행 여부를 스스로 공개하라.  개인정보를  계속  보유할  필요와  법적 근거가  있었다면  티빙이  이를 구체적으로 소명해야 한다.


셋째,  개인정보위는  파기의무  위반이  확인될  경우  이를  법  제21조  위반에  그치지 않고,  법  제29조  안전조치의무  위반의  내용으로  구성해  시정조치와  과징금 산정에 반영하라.
개인정보가  유출됐다는  사실만으로  기업의  책임이  자동  인정되는  것은  아니다. 그러나  법에  따라  파기했어야  할  개인정보를  정당한  이유  없이  계속  보유하다 유출까지  발생했다면,  이는  개인정보처리자가  법이  정한  최소한의  의무조차  지키지 않았다는  의미다.  

침입경로와  공격  수법에  대한  판단은  정부  조사  결과를  기다려야 하지만, 그토록 많은 개인정보를 보유했던 이유와 그에 따른 책임 소재는 정부 조사 결과와 무관하게 지금부터 밝힐 수 있다.


<소비자주권시민회의>는 티빙이 개인정보 보유 근거와 파기의무 이행 여부를 스스로 소명할  것을,  그리고  개인정보위가  파기의무와  안전조치의무  위반  여부를  철저히 조사해 그 결과를 조속한 시일 내에 투명하게 공개할 것을 촉구한다.

 

 

작성 2026.07.16 10:33 수정 2026.07.16 10:56

RSS피드 기사제공처 : 한국데이터뉴스 / 등록기자: 한국데이터신문 무단 전재 및 재배포금지

해당기사의 문의는 기사제공처에게 문의

댓글 0개 (1/1 페이지)
댓글등록- 개인정보를 유출하는 글의 게시를 삼가주세요.
등록된 댓글이 없습니다.