개인정보 유출 신고 72시간 규칙 — 사고 발생 시 기업이 해야 할 것

DB가 털렸습니다. 혹은 직원이 실수로 고객 이메일 목록을 외부에 보냈습니다. 이 순간 기업이 해야 할 일은 명확합니다. 72시간 안에 신고, 이용자에게 통지. 이 두 가지를 놓치면 유출 자체보다 더 큰 과징금이 날아옵니다.

유출 신고 의무의 법적 근거

개인정보보호법 제34조:

개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 알리고, 개인정보보호위원회에 신고하여야 한다.

'지체 없이'의 실무 기준: 개인정보보호위원회 고시에 따라 72시간 이내 신고가 원칙입니다.

신고 의무 발생 기준

모든 개인정보 유출이 신고 대상은 아닙니다.

| 구분 | 신고 의무 | |------|---------| | 1명이라도 개인정보 유출 | 이용자 통지 의무 발생 | | 1,000명 이상 유출 | 개인정보보호위원회 신고 의무 발생 | | 민감정보·고유식별정보 유출 (규모 무관) | 즉시 신고 권장 |

실무 팁: 유출 규모가 불분명한 초기에는 1,000명 미만이더라도 선제적으로 신고하는 것이 사후 처리에 유리합니다.

72시간 타임라인

T+0    유출 사실 인지
       → 즉시 내부 인시던트 선언
       → 개인정보 보호책임자(CPO)에게 보고

T+4h   초동 조치
       → 유출 경로 차단 (취약 엔드포인트 오프라인, 계정 잠금)
       → 유출 범위 추정 (어떤 데이터, 얼마나)

T+24h  이용자 통지 준비
       → 통지 대상 목록 확정
       → 통지 이메일/문자 초안 작성

T+48h  이용자 통지 발송
       → 이메일, 앱 내 알림, 문자 등 접근 가능한 채널로

T+72h  ⚠️ 데드라인
       → 개인정보보호위원회 신고 완료
       → privacy.go.kr 온라인 신고 시스템 이용

이용자 통지 필수 내용

이용자에게 알려야 할 항목:

✅ 통지 필수 포함 항목

1. 유출된 개인정보 항목
2. 유출 시점 및 경위 (알고 있는 범위에서)
3. 유출로 인해 발생할 수 있는 피해 유형
4. 이용자가 취할 수 있는 조치 (비밀번호 변경 등)
5. 회사 측의 대응 조치
6. 정보주체가 피해 최소화를 위해 할 수 있는 것
7. 담당 부서 및 연락처

통지 이메일 예시:

제목: [중요] 개인정보 유출 안내 및 사과 말씀

안녕하세요, OOO 서비스입니다.

20XX년 XX월 XX일, 당사 시스템에서 개인정보 유출이 발생했습니다.
진심으로 사과드립니다.

[유출 정보]
- 항목: 이메일 주소, 이름
- 규모: 약 XXX명

[원인 및 조치]
- 원인: 외부 해킹 공격 (SQL 인젝션)
- 조치: 취약점 즉시 패치, 접근 경로 차단 완료

[권고 사항]
- 동일 비밀번호를 다른 서비스에서 사용 중이라면 즉시 변경 바랍니다
- 의심스러운 이메일이나 문자는 클릭하지 마세요

문의: privacy@example.com / 02-XXX-XXXX

개인정보보호위원회 신고 방법

온라인 신고: 개인정보보호 포털 (privacy.go.kr) → 개인정보침해신고센터

신고 내용:

✅ 신고 시 제출 항목

□ 유출된 개인정보 항목 및 규모
□ 유출 경위 (해킹 / 내부 유출 / 분실 등)
□ 유출 발생(추정) 시각
□ 피해 예상 범위
□ 현재까지 취한 조치
□ 이용자 통지 여부 및 방법
□ 담당자 연락처

유출 후 추가 조치

사후 원인 분석 (Post-Mortem)

원인 분석 보고서 포함 항목:
- 유출 타임라인 (최초 공격 시도부터 인지까지)
- 근본 원인 (Root Cause)
- 피해 범위 최종 확정
- 재발 방지 대책
- 보안 개선 일정

보안 강화 조치

유출 후 반드시 점검해야 할 것:

□ 유출 경로가 된 취약점 패치 완료 확인
□ 전체 시스템 취약점 스캔
□ 내부 계정 비밀번호 전체 강제 재설정
□ 접근 로그 전수 분석 (유출 기간 동안)
□ 외부 보안 전문업체 포렌식 의뢰 (대규모 유출 시)

신고 지연 시 제재

| 위반 유형 | 제재 | |----------|------| | 72시간 내 미신고 | 과태료 최대 3,000만 원 | | 이용자 미통지 | 과태료 최대 3,000만 원 | | 유출 사실 은폐 | 형사처벌 가능 + 과징금 | | 재발 방지 미흡 | 행정처분 + 손해배상 |

2026년 개정법 기준: 고의적 은폐 또는 중과실 인정 시 과징금이 전체 매출의 최대 3%까지 부과됩니다.

사전 준비: 인시던트 대응 계획(IRP) 수립

사고가 나고 나서 대응 절차를 찾는 것은 너무 늦습니다. 지금 아래를 준비해두세요:

✅ 사전 준비 체크리스트

□ 인시던트 대응 책임자 지정 (CPO + IT 담당자)
□ 유출 발생 시 연락 체계 (내부 에스컬레이션 플로우)
□ 이용자 통지 이메일 템플릿 초안 준비
□ 개인정보보호위원회 신고 시스템 계정 사전 생성
□ 외부 보안 전문업체 연락처 보유
□ 유출 범위 파악을 위한 DB 쿼리 사전 작성

pipaguard로 유출 대응 준비 점검

개인정보 유출 사고 대응 절차가 갖춰져 있는지 자동으로 진단해드립니다.

무료 PIPA 진단 →

개인정보 유출 신고 72시간 규칙 — 사고 발생 시 기업이 해야 할 것

유출 신고 의무의 법적 근거

개인정보보호법 제34조:

개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 알리고, 개인정보보호위원회에 신고하여야 한다.

'지체 없이'의 실무 기준: 개인정보보호위원회 고시에 따라 72시간 이내 신고가 원칙입니다.

신고 의무 발생 기준

모든 개인정보 유출이 신고 대상은 아닙니다.

실무 팁: 유출 규모가 불분명한 초기에는 1,000명 미만이더라도 선제적으로 신고하는 것이 사후 처리에 유리합니다.

72시간 타임라인

T+0    유출 사실 인지
       → 즉시 내부 인시던트 선언
       → 개인정보 보호책임자(CPO)에게 보고

T+4h   초동 조치
       → 유출 경로 차단 (취약 엔드포인트 오프라인, 계정 잠금)
       → 유출 범위 추정 (어떤 데이터, 얼마나)

T+24h  이용자 통지 준비
       → 통지 대상 목록 확정
       → 통지 이메일/문자 초안 작성

T+48h  이용자 통지 발송
       → 이메일, 앱 내 알림, 문자 등 접근 가능한 채널로

T+72h  ⚠️ 데드라인
       → 개인정보보호위원회 신고 완료
       → privacy.go.kr 온라인 신고 시스템 이용

이용자 통지 필수 내용

이용자에게 알려야 할 항목:

✅ 통지 필수 포함 항목

1. 유출된 개인정보 항목
2. 유출 시점 및 경위 (알고 있는 범위에서)
3. 유출로 인해 발생할 수 있는 피해 유형
4. 이용자가 취할 수 있는 조치 (비밀번호 변경 등)
5. 회사 측의 대응 조치
6. 정보주체가 피해 최소화를 위해 할 수 있는 것
7. 담당 부서 및 연락처

통지 이메일 예시:

제목: [중요] 개인정보 유출 안내 및 사과 말씀

안녕하세요, OOO 서비스입니다.

20XX년 XX월 XX일, 당사 시스템에서 개인정보 유출이 발생했습니다.
진심으로 사과드립니다.

[유출 정보]
- 항목: 이메일 주소, 이름
- 규모: 약 XXX명

[원인 및 조치]
- 원인: 외부 해킹 공격 (SQL 인젝션)
- 조치: 취약점 즉시 패치, 접근 경로 차단 완료

[권고 사항]
- 동일 비밀번호를 다른 서비스에서 사용 중이라면 즉시 변경 바랍니다
- 의심스러운 이메일이나 문자는 클릭하지 마세요

문의: privacy@example.com / 02-XXX-XXXX

개인정보보호위원회 신고 방법

온라인 신고: 개인정보보호 포털 (privacy.go.kr) → 개인정보침해신고센터

신고 내용:

✅ 신고 시 제출 항목

□ 유출된 개인정보 항목 및 규모
□ 유출 경위 (해킹 / 내부 유출 / 분실 등)
□ 유출 발생(추정) 시각
□ 피해 예상 범위
□ 현재까지 취한 조치
□ 이용자 통지 여부 및 방법
□ 담당자 연락처

유출 후 추가 조치

사후 원인 분석 (Post-Mortem)

원인 분석 보고서 포함 항목:
- 유출 타임라인 (최초 공격 시도부터 인지까지)
- 근본 원인 (Root Cause)
- 피해 범위 최종 확정
- 재발 방지 대책
- 보안 개선 일정

보안 강화 조치

유출 후 반드시 점검해야 할 것:

□ 유출 경로가 된 취약점 패치 완료 확인
□ 전체 시스템 취약점 스캔
□ 내부 계정 비밀번호 전체 강제 재설정
□ 접근 로그 전수 분석 (유출 기간 동안)
□ 외부 보안 전문업체 포렌식 의뢰 (대규모 유출 시)

신고 지연 시 제재

2026년 개정법 기준: 고의적 은폐 또는 중과실 인정 시 과징금이 전체 매출의 최대 3%까지 부과됩니다.

사전 준비: 인시던트 대응 계획(IRP) 수립

사고가 나고 나서 대응 절차를 찾는 것은 너무 늦습니다. 지금 아래를 준비해두세요:

✅ 사전 준비 체크리스트

□ 인시던트 대응 책임자 지정 (CPO + IT 담당자)
□ 유출 발생 시 연락 체계 (내부 에스컬레이션 플로우)
□ 이용자 통지 이메일 템플릿 초안 준비
□ 개인정보보호위원회 신고 시스템 계정 사전 생성
□ 외부 보안 전문업체 연락처 보유
□ 유출 범위 파악을 위한 DB 쿼리 사전 작성

pipaguard로 유출 대응 준비 점검

개인정보 유출 사고 대응 절차가 갖춰져 있는지 자동으로 진단해드립니다.

무료 PIPA 진단 →

개인정보 유출 신고 72시간 규칙 — 사고 발생 시 기업이 해야 할 것

개인정보 유출 신고 72시간 규칙 — 사고 발생 시 기업이 해야 할 것

유출 신고 의무의 법적 근거

신고 의무 발생 기준

72시간 타임라인

이용자 통지 필수 내용

개인정보보호위원회 신고 방법

유출 후 추가 조치

사후 원인 분석 (Post-Mortem)

보안 강화 조치

신고 지연 시 제재

사전 준비: 인시던트 대응 계획(IRP) 수립

pipaguard로 유출 대응 준비 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 유출 신고 72시간 규칙 — 사고 발생 시 기업이 해야 할 것

개인정보 유출 신고 72시간 규칙 — 사고 발생 시 기업이 해야 할 것

유출 신고 의무의 법적 근거

신고 의무 발생 기준

72시간 타임라인

이용자 통지 필수 내용

개인정보보호위원회 신고 방법

유출 후 추가 조치

사후 원인 분석 (Post-Mortem)

보안 강화 조치

신고 지연 시 제재

사전 준비: 인시던트 대응 계획(IRP) 수립

pipaguard로 유출 대응 준비 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글