프라이버시 이슈를 보다, 프리-뷰
안녕하세요. 구독자님! 오늘의 프리-뷰는 개인정보보호위원회의 올해 조사업무 방향을 자세히 설명드리고, 1월에 일어난 사건사고와 이슈, 그리고 해외소식까지 놓치지 않고 정리했어요. 이제 곧 설이네요! 구독자님, 새해 복 많이 받으세요😊
개인정보위가 올해 조사 예정인 곳은 어디?
개인정보보호위원회가 올해 조사업무 추진 방향을 발표했어요. 중점 점검 조사 분야를 따로 언급했지만, 사실상 대부분의 온라인 서비스가 타깃이 될 것으로 보여요.
공공부문 주요 정보시스템
N번방, 신당역 살인사건부터 스토킹, 협박 문자 발송까지 공공기관에서 유출된 개인정보를 이용한 범죄가 끊이지 않았는데요. 이를 막기 위해 주민등록번호와 같은 민감정보를 다루는 1,515개를 시작으로 1만 개의 공공 시스템을 집중 점검한다고 해요. 개인정보를 볼 수 있는 권한을 엄격하게 나누고, 접속 기록을 잘 관리하고 있는지 등 기술적·관리적 안전조치를 잘 지키고 있는지 확인할 예정입니다.
다크패턴 등 온라인 서비스 7개 분야
  • 다크패턴: 다크패턴을 이용한 권리 침해 여부에 대해 생활과 밀접한 온라인 서비스 4대 분야 중 이용률이 높은 100개를 우선적으로 점검할 예정이에요.
  • 애드테크: 쿠키를 활용하여 행태정보를 수집해 맞춤형 광고에 활용하는 사업자들을 대상으로 점검에 들어가요. 쿠키는 그 자체만으로는 개인을 식별하기 어려워도, 다른 정보와 결합된다면 모든 온라인 활동 기록을 추적하고 식별할 수 있기 때문에 사용자의 동의 없이 함부로 활용해서는 안 되거든요.
  • API 제공사업자: API 서비스의 개인정보 처리 과정을 점검할 예정으로, 통합계정·소셜로그인 서비스를 우선적으로 조사할 예정이라고 해요.
  • 비대면 플랫폼 서비스: 코로나19로 인해 비대면 서비스가 급증하였는데요. 회원가입 단계의 동의 절차와 안전조치 준수 여부에 대해 조사할 예정이에요. 의료, 교육, 화상회의 분야를 먼저 순차적으로 조사한다고 해요.
  • 슈퍼앱: 슈퍼앱은 하나의 앱에서 여러 서비스를 함께 제공하는 걸 말해요. (ex. 카카오, 토스) 다른 서비스로의 접근 및 전환이 쉽기 때문에(카카오톡 → 카카오페이), 개인정보 수집 동의 절차와 개인정보 최소 수집의 원칙을 잘 지키고 있는지 점검할 예정이에요.
  • 스마트 기기: 웨어러블 워치, AI 음성 인식 기기 등 스마트 기기를 통해서 행태정보 외에도 건강 정보와 같은 민감정보가 수집될 수 있어 사업자의 주의가 필요해요. 스마트 기기를 통해 처리되는 개인정보 현황을 파악할 예정이라고 합니다.
  • 대형 수탁사 및 솔루션 제공사업자: 개인정보 보호법 2차 개정안이 통과되면 법률을 위반한 수탁자의 처분도 가능해져요. 수탁 기업은 위탁받은 대량의 개인정보를 보유하고 있는 경우가 많아 관리가 중요하지만, 지금까지는 제재 규정이 없어 처벌이 어려웠어요. 개정안 통과를 앞두고 고객센터, 솔루션 제공 사업자 등 수탁 기업의 개인정보 관리 현황에 대해 본격 점검을 시작한다고 해요.
개인정보 보호 취약 분야
  • 아동 개인정보: 아동은 직접적으로 권리 행사가 어렵기 때문에 더욱 주의가 필요한데요. 14세 미만 아동을 대상으로 하는 서비스에 대해 법정대리인 동의 여부 등을 조사할 예정이에요.
  • 국외 이전: AWS나 GCP 같은 클라우드에 데이터 보관을 하고 계시나요? 사용하시는 리전이 한국인지, 해외인지 확인해 보세요. 해외 리전을 사용 중이라면, 추가적인 절차와 안전 관리가 필요하답니다. 이용자 수가 많은 앱들부터 순차적으로 조사에 들어갈 예정이라고 해요.
  • 국내 대리인: 작년 메타의 개인정보 처리방침 개정 강제 동의를 기억하시나요? 사실 조사 과정에서 메타 국내 대리인과의 연락이 되지 않아 개보위가 큰 어려움을 겪었었는데요. 페이퍼컴퍼니 지정 등 글로벌 사업자의 국내 대리인 운영 실태를 조사하겠다고 해요.
공무원이 개인정보 유출하면 바로 해임!
최근 N번방, 송파 살인, 신당역 살인사건 등 공공기관의 개인정보처리시스템에서 무단 열람 혹은 유출된 개인정보가 범죄에 악용되는 사고가 유독 많았죠. 이 같은 사고를 막기 위해 ‘개인정보 보호 법규 위반에 대한 징계 처리 지침’이 마련되었어요.

이제는 개인정보를 고의로 유출하거나 악의적으로 이용하고, 심각한 피해가 발생하는 경우 공무원직을 박탈해요. 이 지침은 2023년 1월 1일부터 즉시 시행되고 있어요!
LG유플러스, 약 18만 명의 개인정보 해킹
새해 첫날부터 다크웹에 ‘LG유플러스 고객 2000만 건 판매’라는 게시글이 올라왔어요. LG유플러스의 사실 확인 결과, 약 18만 명의 고객 정보가 유출되었다고 해요. 유출된 정보는 이름, 생년월일, 전화번호로 민감한 납부 관련 금융 정보는 유출되지 않았어요.

이미 두 차례나 개인정보 유출 피해를 겪고도 ESG 개인정보보호 우수기업에 선정될만큼 개인정보 보호에 힘썼던 LG유플러스지만, 또다시 유출 사고가 발생했어요. 대기업도 피해 가기 힘든 개인정보 유출. 평소의 관리와 사전 예방이 중요하다는 점을 일깨워주는 소식이었어요.
리멤버, 단체 이메일 발송 과정에서 개인정보 유출
명함관리 앱 리멤버가 단체 메일을 발송하는 과정에서 수신자 메일 주소 365개가 노출되는 사고가 발생했어요. 📧단체 메일을 발송할 때는 다른 수신자의 이메일 주소를 알 수 없도록 ‘개별 발송’ 기능을 사용해야 해요. 이러한 사고는 담당자들의 실수로 빈번하게 일어나곤 하는데요. 한순간의 실수가 정보 유출에 과태료까지 이어질 수 있는 상황이니 메일 발송 버튼을 클릭할 때까지 긴장을 늦추지 말아야 해요!
개인정보 유출로 인한 과태료 부과 

  • SCK컴퍼니(구 스타벅스커피 코리아): 휴면 계정 해제 시 아이디와 비밀번호를 확인하는 검증 값을 누락하여, 4명의 개인정보가 유출되었어요. (과태료 1,000만 원)
    *작년 이슈가 되었던 aws 보안 취약점, CPO에 대한 부당한 인사 조치에 대해서는 개인정보 보호법 위반 사실이 없다고 확인되었어요.

  • 다노: 직원의 실수로 CS 내역 파일을 1:1 상담 문의자에게 이메일로 전송하여 51명의 개인정보가 유출되었어요. CS 데이터 파일과 1:1 상담 파일을 서로 다른 폴더에 분리하여 보관하였다면 막을 수 있었던 사고였어요. (과태료 300만 원)

  • 농심: SNS 간편 회원가입을 할 때 비정상적인 식별값이 부여되어서 회원가입은 되지 않고, 다른 이용자의 계정으로 로그인되며 1명의 개인정보가 노출되었어요. (과태료 360만 원)

  • 아이엠오(b2b 전용 문자발송 웹사이트): 소홀한 보안조치를 이용하여 해커가 유저의 계정 9건을 탈취해, 탈취 계정으로 스팸 문자를 보냈어요. 유출 사실을 안내하거나 신고도 하지 않았고요. (과태료 780만 원)

  • 엘피아이팀(b2b 전용 휴대폰 액세서리 쇼핑몰): 외부에서 개인정보처리시스템에 접속 시 2차 인증 등 안전한 인증수단을 사용하지 않았어요. (과태료 360만 원)
개인정보 논란에 휩싸이던 토스, 이젠 개인정보 보호에 앞장 서요
개인정보 유출, 개인정보 판매 논란으로 곤욕을 겪었던 토스가 이용자가 직접 개인정보 사용 내역을 확인할 수 있는 서비스를 출시했어요. 이름하여 ‘개인정보 안심 리포트’. 내 개인정보가 정확히 어떤 목적으로, 어느 곳에서 쓰이고 있는지 알려주는 서비스예요. 이렇게 투명하게 이용 내역이 공개되면, 기업들이 고객들의 개인정보를 함부로 쓰는 일들을 막을 수 있겠죠?
출처 : Toss 안심리포트 화면 캡쳐
그러고 보면, 토스의 이런 행보는 처음이 아니에요. 지난 개인정보 유출 때도 이례적으로 기업에서 먼저 (손해배상 소송이 제기되기도 전에) 유출 피해자들에게 10~20만 원의 보상금을 지급한 적이 있어요. 👉이게 왜 특별하냐면, 지금까지는 피해자가 소송을 제기하여 보상금을 지급하라는 판결이 나와야만 보상금을 주는 것이 일반적이었거든요. 토스는 개인정보를 보호하지 못한 점에 대해 먼저 책임을 지고 사과한 거죠.

사람들의 개인정보 보호 인식이 높아지며, ‘내가 이 기업을 얼마나 신뢰할 수 있는가’가 선택의 기준이 되기도 하죠. 이용자의 개인정보 이용 내역을 여실히 공개하는 기업은 해외에서도 거의 없었어요. 토스가 개인정보 내역을 투명하게 공개한 것을 시작으로, 더 많은 기업이 유사한 서비스를 제공하길 기대해 봅니다🥰
메타, 사상 최대 합의금 지불하며 개인정보 유출 소송 종료 🇺🇸
‘케임브리지 애널리티카 스캔들’(컨설팅 업체 케임브리지 애널리티카(CA)가 2016년 도널드 트럼프의 대선 성공을 위해 미국 페이스북 계정의 개인정보를 무단으로 수집하여 정치 광고에 사용한 사건)에 대한 소송에서 메타가 7억 2500만 달러(약 9300억 원)를 배상하기로 합의했어요. 이는 지금까지 메타가 집단소송으로 지급한 합의금 중 가장 높은 금액이에요😲

무단으로 쓴 건 CA인데, 왜 메타가 배상을 하냐고요? CA는 자체 개발한 페이스북 퀴즈 앱을 통해 사용자들의 개인정보를 수집했어요. 이게 가능한 이유는 페이스북이 동의도 없이 이용자들의 개인정보를 CA에게 제공했기 때문이고요. 약 8,000만 명의 데이터가 수집되었다니 어마 무시하죠? 4년 넘게 이어지던 이 소송은 미국에서 진행된 개인정보 유출 집단소송 중 가장 큰 성과를 거두며 종료되었답니다.
메타, 맞춤형 광고 제공으로 인한 벌금 받아 🇮🇪
메타가 아일랜드 DPC(데이터보호위원회)로부터 GDPR 위반으로 3억 9000만 유로(약 5260억 원)의 벌금을 받았어요. 메타가 페이스북과 인스타그램에서 이용약관을 변경하며, 약관에 동의하면 마케팅 광고를 수신하는 것에 동의하는 것으로 간주하는 방침이 문제가 되었어요. 광고를 보내려면 사용자에게 먼저 동의를 받아야 하는 것이 원칙이었거든요. 메타가 항소 의지를 밝혀서 이후 소식도 기다려봐야겠어요.
MS, 쿠키 무단 수집에 대한 과징금 받다 🇫🇷
마이크로소프트(MS)가 프랑스 CNIL(개인정보보호 감독기구)로부터 6천만 유로(약 817억 원)의 과징금을 받았어요. 검색엔진 ‘Bing’에서 쿠키를 거부하는 방법을 찾기 어려웠고, 무단으로 수집한 쿠키를 통해 광고 수익을 거두었기 때문이에요. 우리나라와는 다르게, EU에서는 쿠키를 수집하기 위해서는 *옵트인 동의가 필요해요.
*옵트인(Opt-in): 정보주체가 사전 동의를 해야만 개인정보를 처리할 수 있는 방식
애플, 데이터 무단 수집으로 벌금 받다 🇫🇷
프랑스 CNIL이 애플에게 800만 유로(약 107억 원)의 벌금을 부과했어요. 애플이 앱스토어 사용자들의 광고 ID를 동의받지 않고 수집했기 때문이에요. 해당 문제는 업데이트되어 iOS 14.6 이후 버전에서는 개선되었다고 하네요.
오늘의 프리-뷰는 어떠셨나요?
주식회사 토브데이터 
© 2023 TOVDATA INC. All Rights Reserved.
contact@tovdata.com  |  수신거부