넷마블 로고/뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

(서울=뉴스1) 김민수 김민재 기자 = 넷마블(251270)이 611만건의 개인정보 유출을 인정한 데 이어, 추가로 확인된 유출 정황을 관계기관에 이틀 만에 신고한 것으로 확인됐다.

현행법 시행령에서는 추가 확인 사실을 '즉시' 신고해야 한다고 규정하지만, 기준이 모호해 제도 개선이 필요하다는 지적이 나온다.

5일 업계에 따르면 넷마블은 12월 1일 오후 6시쯤 약 8000건의 개인정보가 추가로 유출된 것으로 의심되는 정황을 파악했다.

개인정보보호위원회(개보위)에 신고한 시점은 12월 3일 오후 6시로, 인지 후 약 48시간이 지난 뒤였다. 이번 건은 새로운 침해사고가 아니라 추가 확인 사항이기 때문에 한국인터넷진흥원(KISA)에 신고할 의무는 없으나, 개보위 신고는 필요하다.

현행 개인정보보호법 시행령 제40조 제2항은 초기 신고 당시 파악하지 못한 내용이 뒤늦게 드러날 경우 '확인되는 즉시 신고해야 한다'고 규정한다. 다만 이 조항의 '즉시'가 정확히 어느 정도의 시간을 뜻하는지 명확히 제시돼 있지 않아, 신고 시점을 둘러싼 해석 논란이 발생하고 있다.

법조계에서는 통상 '즉시'가 내부 검토 절차를 생략하고 사실을 알게 되는 즉시 신고하는 개념으로 이해되지만, 현실적으로 기업이 유출 여부를 판단하기 위한 기술적 검증 과정이 필요한 경우도 있어서다.

제도 보완이 필요하다는 의견이 제기되는 이유다.

'즉시 신고' 의무를 위반했을 때 제재할 근거 역시 현행 법률에는 별도로 마련돼 있지 않다.

넷마블은 "추가 정황을 확인했을 당시 유출이 의심되는 상태였으며, 실제 유출 여부 판단을 위한 검증 과정이 필요했다"며 "정확한 확인을 위한 시간이 소요됐을 뿐 고의적 지연은 없었다"고 설명했다.

kxmxs4104@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.