보안 사고 및 개인정보보호 뉴스레터 — 2026-06-08
본 뉴스레터는 최신 보안 유출 사고, 관련 법률 판례, 그리고 CISO/CPO를 위한 규제 환경 변화를 다룹니다. 이번 호에서는 티빙, CU 편의점택배 등 대형 기업들의 연쇄 개인정보 유출 사고와 CISO 제도 개선안을 집중 보도합니다.
보안 사고 및 개인정보보호 뉴스레터 — 2026-06-08
1. 개인정보 유출 사고 및 시사점
티빙(TVING) 회원 개인정보 유출 사고
2026년 5월 30일 오후 6시 1분, CJ ENM의 온라인동영상서비스(OTT) 플랫폼 티빙의 DB에 신원 미상의 해커가 직접 침입하여 회원 개인정보를 외부로 전송했습니다. 유출된 정보에는 CI(연계정보), 생년월일, 주소, 결제 정보 등이 포함되었으며, 티빙은 앱 첫 화면 하단에 비밀번호 변경 안내를 강화하는 대응책을 시행했습니다.
CU 편의점택배 서비스 개인정보 유출 사고
BGF네트웍스의 100% 모회사인 BGF리테일이 운영하는 CU 편의점 택배 서비스에서 회원 아이디, 비밀번호, 이름, 생년월일, 성별, 연계정보(CI), 주소, 이메일, 휴대전화 번호가 유출되었습니다. BGF네트웍스는 공격 IP 차단 및 모니터링 강화 조치를 실시했으며, 회사는 표적 피싱 공격 우려에 대한 실시간 모니터링을 진행 중입니다.
연쇄 유출 사고의 광범위한 영향
지난 며칠간 티빙에 이어 CU까지 개인정보가 유출되면서, 국내 주요 기업들의 개인정보 보호 체계 전반에 대한 점검 필요성이 대두되고 있습니다. CJ ENM과 BGF리테일은 각각 대형 그룹사의 IT 컨트롤타워 역할을 하고 있어, 계열사 간 정보 공유 시스템의 보안 강화가 시급한 상황입니다.
2. 정보유출 사고 및 판례 시사점
최근 발생한 개인정보 유출 사고들은 안전조치의무 위반이라는 공통적인 법적 쟁점을 드러냈습니다. 개인정보처리자는 「개인정보보호법」 제29조에 따라 개인정보의 안전성 확보를 위하여 기술적, 관리적, 물리적 조치를 강구할 의무를 부담합니다.
판례상 핵심 시사점:
- 불법 개인정보 수집 처벌 강화: 정보주체의 동의 없이 개인정보를 불법으로 수집할 경우 강력한 민·형사상 처벌이 실행되어야 합니다.
- 개인정보보호법 개정에 따른 책임 강화: 사업주 또는 대표자는 개인정보 보호에 필요한 전문 인력 확보, 충분한 예산 지원 등 총괄적인 관리 조치를 실효성 있게 이행하여야 할 법적 의무를 부담하게 됩니다.
3. 개인정보보호법 최근 현황 (CISO/CPO 필수)
CISO 겸직제한 완화 — 6월 1일 국무회의 의결
과학기술정보통신부가 기업 사이버 침해사고 예방 및 대응 역량을 강화하기 위해 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정안을 2026년 6월 1일 국무회의에서 의결했습니다. 종전 법률에서는 CISO의 다른 업무 겸직을 금지했으나, 개정안에서는 CPO 등 유사 업무도 수행 가능하도록 완화되었습니다. 이는 중소기업의 인력 부담을 경감하고 보안 리더십의 실질적 효율성을 높이기 위한 조치입니다.
CPO 역할 강화 및 대표자 책임 명확화
개인정보보호법 개정안은 개인정보 처리 및 보호에 관한 사업주 및 대표자의 책임을 강화하는 한편, CPO의 실질적 역할과 권한을 보장함으로써 사전 예방 중심의 개인정보 보호 활동을 강화하려는 것으로 평가됩니다. 개정법은 CPO와 CISO 모두에게 이사회 보고 의무를 부과하고 있으므로, 법 시행 전에 두 역할 간 보고 체계가 충돌하지 않도록 정비가 필요합니다.
ISMS-P 인증 의무화 및 침해사고 통지 의무 확대
개정안은 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대해 ISMS-P 인증을 의무화함으로써 지속적 개인정보보호 관리체계 구축을 확산시킬 계획입니다. 또한 개인정보보호법은 통지 의무의 기산점을 '유출 확인 시'에서 '유출 가능성 인지 시'로 앞당기고, 위조·변조·훼손까지 통지 대상을 확대했으며, 정보통신망법은 침해사고 발생 시 이용자에 대한 통지 의무를 새로 신설했습니다.
권고사항
CISO 및 CPO는 다음 사항을 즉시 점검하시기 바랍니다:
- DB 접근 제어 강화: 직원 업무용 PC 해킹에 따른 정보 유출을 방지하기 위해 DB 접근 권한의 최소화 원칙 준수
- 개정법 대비 체계 정비: 2026년 6월 1일 국무회의 의결 내용에 따른 CISO-CPO 보고 체계 재정립
- 침해사고 대응 프로세스 전면 재검토: 유출 가능성 인지 시부터의 신속한 통지 절차 구축
- ISMS-P 인증 준비: 대통령령 기준 해당 여부 검토 및 인증 절차 사전 준비
This content was collected, curated, and summarized entirely by AI — including how and what to gather. It may contain inaccuracies. Crew does not guarantee the accuracy of any information presented here. Always verify facts on your own before acting on them. Crew assumes no legal liability for any consequences arising from reliance on this content.
Powered by
