검색 - IT세상을 바꾸는 힘 지디넷코리아

[법과 상식 사이] 전화번호를 알려줘도 될까

지인이 누군가의 전화번호를 물어보는 순간 우리는 종종 망설이게 된다. “이거 알려주면 개인정보보호법 위반 아닐까?” 개인정보 보호에 대한 사회적 경각심이 높아진 것은 분명 바람직한 변화다. 그러나 그 영향으로 법이 요구하지 않는 상황에서도 스스로를 과도하게 제한하는 장면이 적지 않다. 문제는 많은 사람들이 무엇이 실제로 금지되고 무엇이 허용되는지를 정확히 알지 못한다는 데 있다. 개인정보보호법은 몇 가지 관점만 이해해도 생각보다 훨씬 명확하게 보인다. 먼저 짚어야 할 점은, 개인정보보호법이 '개인정보처리자'를 중심으로 작동하는 법이라는 사실이다. 이 법은 모든 사람의 일상적 행위를 규제하기 위한 법이 아니라 개인정보를 업무 목적 아래 체계적으로 처리하는 주체에게 법적 의무를 부과한다. 예를 들어, 학원 원장이 수강생의 이름과 연락처 명단을 관리하거나, 온라인 쇼핑몰 운영자가 고객의 주소와 전화번호를 저장해 배송에 활용하는 경우가 그렇다. 이들은 개인정보를 특정한 목적에 따라 지속적· 체계적으로 처리한다는 점에서 전형적인 개인정보처리자에 해당한다. 이러한 법 구조를 전제로 보면 일반적으로 개인이 가족이나 지인과 사적으로 연락처를 교환하거나 휴대전화에 저장하는 정도의 행위에 대해서는 개인정보처리자에게 부과되는 것과 동일한 수준의 법적 의무가 적용되지는 않는다. 개인정보보호법상 각종 의무의 핵심적 부담 주체는 원칙적으로 업무를 목적으로 개인정보파일을 운용하는 개인정보처리자로 설정되어 있고 단순한 사적 주소록 관리는 보통 그 요건에 해당하지 않기 때문이다. 그렇다고 곧바로 “법의 규율 대상이 아니다”라고 단정해서는 안된다. 개인정보보호법은 기본적으로 개인정보처리자를 규율하지만 업무상 알게 된 개인정보를 누설하거나 부당하게 이용하는 행위는 개인정보처리자가 아니더라도 처벌 대상이 될 수 있다. 또한 법에서 말하는 개인정보의 '처리'에는 정보를 수집하거나 이용하는 것뿐 아니라 저장해 두는 행위까지 포함되므로 연락처를 휴대전화에 저장하는 행위 역시 형식적으로는 개인정보 처리에 해당할 수 있다. 물론 이러한 사적 저장이나 이용이 곧바로 위법이나 처벌로 이어지는 것은 아니다. 다만 해당 전화번호가 업무 수행 과정에서 취득되었거나 업무 목적에 따라 이용된 경우에는 개인정보처리자 여부와 관계없이 법 위반 여부를 판단해야 하는 사안이 될 수도 있다. 한편 동창회나 동호회처럼 친목 도모를 목적으로 단체를 운영하며 개인정보를 처리하는 경우, 법은 이를 전형적인 영리·업무 목적의 개인정보 처리와는 구별해 일부 규정의 적용을 배제하고 있다. 이는 해당 주체가 개인정보처리자에 해당하지 않아서라기보다는 처리 목적과 그로 인한 침해 위험의 정도를 고려해 법적 의무의 범위를 조정한 결과로 이해하는 것이 정확하다. 그래서 전화번호를 알려줘도 될까? 그렇다면 다시 처음의 질문으로 돌아가 보자. 가장 현실적이고 안전한 답은 의외로 단순하다. “번호를 전달해도 되는지 먼저 물어볼게요.” 이 한 문장은 상대방의 자기결정권을 존중하면서 불필요한 오해와 법적 위험을 동시에 줄여 준다. 개인정보보호법은 정보를 가진 사람을 통제하려는 법이 아니라 그 정보의 당사자인 정보주체에게 통제권을 보장하려는 법이다. 결국 중요한 것은 전화번호를 알려줘도 되느냐가 아니라 그 정보에 대한 결정권이 누구에게 있는지를 인식하고 존중하는 태도다. 그 점만 분명히 인식한다면 우리는 법을 과도하게 두려워할 필요도 가볍게 여길 필요도 없다.

2026.02.06 15:03안정민 컬럼니스트

쿠팡 "16만5000여 계정 개인정보 유출 추가 확인"

지난해 말 3370만건의 대규모 개인정보가 유출됐던 쿠팡이 동일한 사건에서 16만5000여 건의 계정이 추가 유출됐다. 쿠팡은 5일 "지난해 11월 발생했던 것과 같은 개인정보 유출 사건에서 약 16만5000여 건 계정의 추가 유출이 확인됐다"고 공지했다. 유출된 정보는 입력한 이름, 전화번호, 주소 등 고객이 입력한 주소록 정보다. 다만 쿠팡은 "결제 및 로그인 정보를 포함해 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았다"고 주장했다. 이어 "내부 모니터링을 한층 강화해 유사시 즉시 대응할 수 있는 체계를 확립하고 운영 중"이라며 "현재까지 2차 피해 의심사례는 발견되지 않고 있다"고 말했다.

2026.02.05 18:05박서린 기자

코인베이스, 개인정보 유출 고객에게 5500억원 보상

미국 암호화폐 거래소 코인베이스가 개인정보를 유출 당한 이용자에게 4억 달러(약 5500억원)까지 돌려주겠다고 나섰다. 23일(현지시간) 미국 잡지 와이어드에 따르면 코인베이스는 '보상 비용으로 많게는 4억 달러가 들 것'이라고 미국 증권거래위원회(SEC)에 보고했다. 지난주 코인베이스는 해킹당해 소비자 이름, 주소, 이메일 주소, 전화번호, 신분증 정보 등이 빠져나갔다고 밝혔다. 해커가 수집한 고객 정보로 연락해 코인베이스라고 사칭한 뒤 '암호화폐를 나눠주겠다'고 속이려 했다고 코인베이스는 설명했다. 또 해커가 이용자 개인정보를 빼내기 위해 내부 직원을 매수했다며 내부자는 시스템 접근 권한을 악용했다고 전했다.

2025.05.24 08:27유혜진 기자

개인정보위 처벌 세진다···"징벌적 손해배상 수준 높일 것"

SK텔레콤(SKT)에서 2600만 개인정보가 털려 나가자 징벌적손해배상을 해야 한다는 목소리가 커졌다. 고학수 개인정보보호위원장은 21일 서울 중구 은행회관에서 한국개인정보보호책임자(CPO)협의회와 '개인정보 정책 포럼'을 열고 이같이 발표했다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 밝혔다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 말했다. 현재 개인정보위는 개인정보유출 기업에 대해 과태료와 과징금만 부과하고 있다. 강대현 개인정보위 조사총괄과장도 “징벌적 손해배상 수준으로 처벌 수위를 높여 정보주체가 당한 피해를 실질적으로 구제하겠다”며 “구체적으로 피해를 보상하는 방안과 과징금을 부과하는 기준을 연계하도록 추진할 것”이라고 강조했다. 고낙준 개인정보위 신기술개인정보과장은 “기업이 정보주체 피해를 보상하면 과징금을 감면하는 방법을 생각하고 있다”며 “과징금과 과태료만으로는 실제 피해를 구제하는 데 한계가 있다”고 지적했다. 그러면서 “SK텔레콤이 개인정보를 암호화하지 않았던 게 문제”라며 “법정 의무 암호화 대상이 아닌 개인정보도 암호로 만들었다면 개인정보가 유출됐다고 해도 과징금을 줄여줄지 검토하고 있다”고 덧붙였다. 개인정보위는 이런 대책에 각계각층 의견을 받아 다음 달 방침을 확정하기로 했다. 아울러 SK텔레콤 사고로 큰 위기를 맞았다고 봤다. 강 과장은 “최근 개인정보 유출 사고는 해킹 같은 사이버 범죄로 규모가 커졌다”며 “작은 물구멍이 커져 댐이 무너지듯 일어난다”고 짚었다. 지난달 국내에서 유출된 개인정보는 SK텔레콤 2500만건에 기타 1100만건을 더한 3600만건으로, 지난해 3배다. 지난해에는 1377만건 빠져나갔다. 고 과장은 “SK텔레콤 고객 정보 유출 사고는 인공지능이 발전하는 시대 핵심인 믿음을 무너뜨린 중대한 사건”이라며 “100만명 이상 개인정보를 취급하는 기업을 중심으로 새로운 기준을 적용하려고 한다”고 설명했다.

2025.05.21 22:55유혜진 기자

명품 '디올', 해킹돼 고객정보 유출…100일 지나 알려

프랑스 사치품 브랜드 크리스챤 디올이 해킹 당해 고객 정보가 유출됐다. 사건이 터진 지 100일 지나서야 고객에게 공지했다. 14일 업계에 따르면 디올은 지난 1월 26일 제3자가 일부 고객 정보에 접근한 사실을 지난 7일 알아챘다고 최근 고객에게 이메일을 보냈다. 디올은 고객 이름과 경칭, 휴대전화 번호, 이메일 주소, 우편 주소, 구매 정보, 선호 정보 등이 유출됐다고 밝혔다. 은행 정보, 신용카드 정보 등 금융 정보는 포함되지 않았다고 전했다. 그러면서 고객 정보 기밀을 지키고 보안하는 게 디올의 최우선 순위라고 강조했다. 아울러 당국에 이 사실을 통보해 조사하고 있다고 설명했다.

2025.05.14 11:35유혜진 기자

'블랙야크' 보안 뚫렸다...개인정보 34만 건 유출

의류 브랜드 BYN블랙야크의 회원 34만 명 개인 정보가 유출됐다. 회사는 이번 사고로 소비자들에게 피해가 가지 않도록 최선을 다하겠다는 입장을 냈다. 6일 블랙야크에 따르면, 이번 정보 유출은 지난 4일 해커에 의한 홈페이지 공격을 통해 발생했다. 유출된 개인정보 항목은 ▲이름(닉네임) ▲성별 ▲생년월일 ▲휴대전화 번호 ▲주소 뒷부분 등이다. 블랙야크는 본 사안을 인지한 직후 사고 원인을 파악했고, 해당 IP와 불법 접속 경로를 차단한 뒤 취약점을 점검해 보안 조치했다고 말했다. 개인정부 유출 등으로 인해 손해가 발생한 경우 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있다. 회사는 “개인정보 유출로 인해 심려를 끼쳐드린 점에 대해 다시 한번 깊이 사과드린다”며 “유출로 인한 피해가 발생하지 않도록 최선을 다하겠다”고 했다.

2025.03.06 20:00류승현 기자