검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개'통합검색 결과 입니다. (181건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"사람은 반려견에게 너무 많은 것을 요구하고 있다"

개는 오랫동안 인간의 가장 가까운 동반자로 사랑받아 왔다. 그러나 최근 미국 사회에서는 반려견에게 지나치게 많은 역할을 기대하는 경향이 나타나고 있으며, 이는 반려견과 인간 모두에게 바람직하지 않은 결과를 낳을 수 있다는 지적이 나왔다. 이 같은 내용은 더컨버세이션 등 외신을 통해 보도됐다. 미국 수의사협회에 따르면, 미국 가구의 약 42.6%가 개를 기르고 있다. 고양이(32.6%)보다 높은 수치다. 또 다른 조사에서는 미국 반려동물 보호자의 97%가 “반려동물은 가족의 일원”이라고 답했고, 51%는 “인간 가족과 동등하다”고 응답했다. 그만큼 반려동물에 대한 애정이 깊어졌다는 의미다. 수의사 관련 법률 전문가인 마크 쿠싱 변호사는 이런 변화를 '반려동물 혁명'이라고 표현했다. 그는 인터넷 확산 이후 고립감을 느끼는 사람들이 인간 대신 반려동물에 더욱 집중하게 됐다고 분석했다. 그 결과 반려동물은 미국 사회에서 점점 더 특권적인 지위를 차지하게 됐다는 설명이다. 하지만 미주리 과학기술대학교 인문사회과학 특별교수인 마거릿 그레보비츠 교수는 특히 코로나19 봉쇄 이후 상황이 달라졌다고 지적했다. 이제 개는 단순한 동반자를 넘어, 인간이 스스로 해결하지 못하는 문제를 대신 해결해 줄 존재로까지 기대를 받고 있다는 것이다. 2025년 발표된 한 연구에 따르면, 개 주인들은 '동료 의식'이나 '정서적 지원' 등 여러 측면에서 사랑하는 사람보다 반려견을 더 높이 평가하는 경향을 보였다. 또 자녀·연인·친족 등 가까운 인간관계에 비해 반려견과의 관계에서는 부정적인 상호작용이 적다고 느끼는 것으로 나타났다. 미국 사회의 전반적인 신뢰 수준은 낮아지고 있다. 1972년에는 미국인의 46%가 “대부분의 사람을 신뢰할 수 있다”고 답했지만, 2018년에는 34%로 떨어졌다. 최근에는 친구를 만나는 빈도가 줄었다는 응답도 늘었고, 낯선 사람과의 대화를 회피하는 경향도 보고된다. 사람들은 집에서 보내는 시간을 늘리고, 그 시간을 반려동물과 함께 보내는 데 만족감을 느끼고 있다. '사람에게는 기대하기 어렵지만, 개에게는 기대할 수 있다'는 인식이 확산되고 있다는 분석이다. 그러나 그레보비츠 교수는 이 같은 기대가 과도해질 경우 문제가 발생할 수 있다고 경고했다. 개가 사랑받고 있다는 느낌을 주고, 출산 부담을 덜어주며, 일상의 단조로움이나 경쟁 사회의 스트레스를 완화해 준다는 인식이 지나치면, 반려견에게서 '치유의 감정'을 지속적으로 끌어내는 구조로 이어질 수 있다는 것이다. 이는 자원을 과도하게 채굴하는 것과 마찬가지로 결국 지속 가능하지 않다는 설명이다. 또한 반려동물을 인간의 아이처럼 대하는 생활 방식이 확산되면서 불필요한 의료 행위나 검사, 투약을 요구하는 사례도 늘고 있으며, 이는 동물에게 해를 끼칠 수 있다고 지적했다. 보호자가 외출한 사이 집에 홀로 남겨진 개들은 지루함과 만성적 스트레스에 시달리며 건강 문제를 겪기도 한다. 그레보비츠 교수는 “반려견이 우리의 사회적·정서적 공백을 메워줄 것이라고 기대하는 것은 오히려 반려견과 인간 모두의 번영을 저해할 수 있다”고 말했다. 이어 “가정과 가족, 사회의 구조를 인간과 동물 모두에게 더 나은 방향으로 재구성할 필요가 있다”면서 "접근성 높은 의료 체계와 양질의 식량 등 인간의 삶을 개선하는 조건을 마련하는 것이 결국 반려동물의 삶을 개선하는 길이 될 것"이라고 강조했다.

2026.02.22 12:05백봉삼 기자

프랜차이즈, 자사앱 활성화 안간힘…이용자 보호는?

프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다. 20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다. 앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 "외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다"며 "점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제"라고 설명했다. 자사앱 확대 속도에 못 미치는 개인정보 관리 수준 문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다. 실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다. 여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다. 올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다. 이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 '관리 부실'로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다. 개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다. 프랜차이즈 "개인정보 보호 조치 강화" 한 목소리...전문가 "보안 투자 필수" 프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다. 최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다. 교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다. bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다. 염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다. 특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다. 염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.

2026.02.20 17:42류승현 기자

국회 "쿠팡 영업정지 고려는 아직...계정 도용 확인돼야"

3367만 건의 개인정보가 유출된 쿠팡 사태를 두고 공정거래위원회는 과징금을, 개인정보보호위원회는 과태료 부과 여부를 들여다본다. 영업정지는 법적 요건이 충족되지 않아 현실화가 불투명하지만, 요건이 충족될 경우 실현 가능성을 배제할 수는 없을 전망이다. 이훈기 더불어민주당 의원은 19일 서울 국회의원회관에서 열린 '을지로위원회 쿠팡 개인정보 유출 대책 간담회'에 참석해 “영업정지는 법 적용도 그렇고, 많이 고민해볼 사안”이라고 말했다. 영업정지의 핵심 쟁점이 되는 '개인정보 도용' 여부가 입증되지 않았기 때문이다. 현재 공정위 차원에서는 쿠팡 사태에 대해 과태료 및 시정 조치를, 개보위는 과징금을 부과하는 제재를 검토 중이다. 김남근 더불어민주당 의원은 “영업정지에 대해서는 전자상거래법상 개인정보 유출이 아니라 다른 사람에게 넘어가서 이용되고 있다는 도용까지 확인돼야 하는데, 이것까지는 확인되지 않았기 때문에 영업정지는 아직 고려하지 않고 있다”고 답했다. 영업정지 처분이 현실화되려면 공정위가 조사 결과를 토대로 계정 도용으로 인한 재산상의 손해가 발생했거나 발생할 우려가 있는지, 사업자가 피해 회복 조치를 취하지 않았는지를 검토한 후 시정 조치를 취해야 한다. 시정 조치만으로 소비자 피해보상이 어렵다고 판단되면 이 때 영업정지 처분이 가능해진다. 다만, 개인정보 도용 확인 시 영업정지 가능성은 열어뒀다. 김 의원은 추후 쿠팡의 개인정보 유출 사고로 인한 도용 사태가 발생하면 영업정지나 과태료 처분 등을 추가적으로 고려할 수 있을지를 묻는 질문에 “그럴 수 있다고 본다”고 덧붙였다. 이날 을지로위원회에서는 정부가 다양한 방식을 통해 유출된 개인정보가 3367만 건이라는 점을 바로잡을 수 있도록 노력하겠다고 밝혔다. 이어 배송지 목록 등이 유출됐다는 점을 고려해 쿠팡 회원이 아닌 인물들도 피해가 예상된다는 점을 통지하기로 했다. 또 모의해킹 과정에서 발견된 문제점과 관련해서는 근본적인 개선 방안을 마련할 것을 촉구했다. 보안 측면에서는 재발 방지 대책을 수립할 것을 권고했다. 가령 비정상적으로 발급된 토큰(전자출입증)을 사전에 탐지하고 차단하는 체계를 도입하는 식이다. 회원 탈퇴가 어렵게 돼 있던 부분에 대해서는 쿠팡 측에서도 권고를 받아들여 탈퇴 절차를 간소화하기로 했다. 이외에도 을지로위원회는 김범석 쿠팡Inc 의장의 재벌 총수 지정 문제와 택배 과로사, 독과점 문제 등은 앞으로도 계속해서 점검해나가기로 뜻을 모았다.

2026.02.19 16:40박서린 기자

명품 브랜드 SaaS 해킹 사태, 남일 아니다…클라우드 통제권 부각

루이비통·디올·티파니 등 글로벌 명품 브랜드 3곳이 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템 운영 과정에서 대규모 개인정보 유출 사고를 겪은 가운데, 기업 클라우드 통제권이 산업 전반의 화두로 떠오르고 있다. 19일 업계에 따르면 이번 사태는 단순한 보안 취약점 문제를 넘어 SaaS 중심 클라우드 구조 속에서 기업 데이터 통제권의 중요성을 드러낸 사례로 평가된다. 개인정보보호위원회(개인정보위)는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 3개 사업자에 총 360억 3300만원의 과징금과 1080만원의 과태료를 부과했다. 이들 기업은 SaaS 기반 고객관리 서비스를 운영하는 과정에서 개인정보 유출 사고가 발생했다. 루이비통은 직원 기기 악성코드 감염으로 SaaS 계정 정보가 탈취되며 약 360만 명의 개인정보가 세 차례에 걸쳐 유출됐다. 디올과 티파니 역시 SaaS 접근 권한 관리 과정에서 허점이 드러나 각각 195만 명, 4600여 명의 정보가 외부로 빠져나갔다. 표면상으론 해킹이나 피싱, 내부 관리 부실이 주요 문제로 지적되지만 업계에서는 이를 SaaS 기반 클라우드 운영 구조의 한계를 보여준 사례로 보고 있다. 고객 데이터는 기업 소유이나 실제 시스템 운영과 접근 권한 설정은 외부 SaaS 플랫폼 구조에 의존하는 만큼 통제 경계가 복잡해졌다는 분석이다. SaaS는 자체 서버에 소프트웨어(SW)를 설치하는 대신 인터넷을 통해 클라우드 형태로 제공받는 방식이다. 초기 구축 비용을 줄이고 유지관리 효율성을 높일 수 있어 많은 기업이 글로벌 SaaS를 도입하고 있지만, 데이터·계정·접근 권한 관리 역시 서비스 구조에 종속되는 특징을 갖는다. 특히 SaaS 환경에서는 '책임 공유 모델'의 경계가 모호해질 수 있다는 지적이 나온다. 인프라형 클라우드(IaaS)는 인프라를 제공하는 클라우드 서비스 기업(CSP)과 고객의 책임 구분이 비교적 명확하다. 반면 SaaS는 애플리케이션 보안 설정, 접근 통제, 로그 관리 등이 계약 조건과 사업자 정책에 따라 달라진다. 결과적으로 기업은 데이터를 보유하면서도 세부 운영 통제 범위는 제한될 수 있다는 의미다. 이 같은 문제는 SaaS 확산 흐름과도 맞닿아 있다. 시장조사업체 아스튜트 애널리티카에 따르면 기업들은 평균 110개 이상의 SaaS 애플리케이션을 사용하는 것으로 나타났다. SaaS가 늘어날수록 비용 중복, 가시성 부족, 거버넌스 리스크 역시 확대되는 구조다. 여러 SaaS에 데이터가 분산되면 기업 내부에서 전체 데이터 흐름과 접근 권한을 통합적으로 파악하기도 쉽지 않다. 국내 기업들도 고객관계관리(CRM)·협업툴·HR·마케팅 자동화 등 핵심 업무를 글로벌 SaaS에 의존하는 비중이 빠르게 확대되고 있다. 특히 멀티 SaaS 환경이 일반화되면서 기업 내부에서 데이터 흐름과 접근 권한을 통합적으로 관리하기 더 어려워지고 있다는 지적이 나온다. 해외 업계에서도 SaaS 확산에 따른 관리 난이도가 주요 과제로 지목된다. SaaS는 도입은 쉽지만 관리가 어렵고 누가 어떤 애플리케이션에 접근하고 있는지 지속적으로 관리하는 것은 쉽지 않다는 분석이다. 가시성이 확보되지 않으면 비용 통제뿐 아니라 데이터 거버넌스 측면에서도 공백이 생길 수 있다는 우려가 제기된다. 이번 제재 과정에서 개인정보위는 SaaS를 도입하더라도 개인정보 보호 책임이 면제되거나 전가되지 않는다고 강조했다. 규제 관점에서 결과 책임은 기업에 있다는 점을 재확인했다. 다만 업계에서는 실제 운영 통제 범위와 법적 책임 범위 사이의 괴리를 줄이기 위한 계약·관리 체계 보완이 필요하다는 의견도 나온다. ▲접근 로그의 실시간 확보 및 보존 범위 ▲데이터 저장 리전과 이전 가능성 ▲재위탁 사업자 운영 구조 ▲대량 다운로드 제한 정책 ▲사고 발생 시 통지 의무와 범위 등을 계약 단계에서 명확히 규정해 구체적인 통제 환경을 갖춰야 한다는 설명이다. 공공·금융 등의 시장에서도 인공지능(AI)과 클라우드 기반 서비스가 빠르게 확산되는 상황에서 SaaS 의존도는 더욱 높아질 전망이다. 마케팅, 고객관리, 협업, 인사관리 등 핵심 업무가 클라우드 플랫폼 위에서 구동되면서 기업은 점점 더 클라우드 구조 안에서 사업을 운영하게 된다. 이 과정에서 보안 강화 못지않게 데이터 접근 구조, 로그 확보 권한, 벤더 관리 체계 등 통제 가능한 거버넌스 설계가 중요해질 것으로 보인다. 업계 관계자는 "단순히 클라우드 서비스를 쓰는 것이 능사가 아니라 얼마나 통제 가능한 구조를 설계했느냐가 관건"이라며 "AI와 SaaS가 확산되는 상황에서 보안 솔루션을 덧붙이는 방식에 앞서 기업 스스로 데이터 흐름과 책임 구조를 처음부터 설계하는 접근이 필요하다"고 말했다.

2026.02.19 15:06한정호 기자

개보위, 마이데이터 전 분야로 확대...시행령 개정 8월 시행

·# A씨는 여러 대형병원에 흩어져 있는 건강검진, 진료내역 등을 마이데이터 기관을 통해 자신의 건강 상태를 스스로 관리할 수 있다(의료 마이데이터). 또 필요할 경우 건강관리 서비스를 지원하는 전문기관을 통해 장기 치료 중인 질병에 부담이 적은 맞춤형 일자리를 추천받고(고용 마이데이터), 치료 중 소득 공백을 메울 수 있는 복지지원금 신청을 자동 안내받을 수 있으며(복지 마이데이터), 구매 내역을 분석해 건강관리에 도움이 되는 식재료를 추천받아 할인된 가격에 이용할 수 있다(유통 마이데이터). 개인정보위원회가 그리는 마이데이터 전 분야 확산 시나리오다. 개보위는 정보주체가 자신의 개인정보를 원하는 곳으로 이동해 활용할 수 있는 '마이데이터 제도'와 관련한 '개인정보 보호법 시행령' 개정안이 지난 10일 국무회의에서 의결됐다고 밝혔다. 이에, 시행령 개정을 통해 앞으로는 대형병원 뿐만 아니라 교통, 문화,여가, 유통 등 일정 규모 이상의 전 분야 기업과 기관의 홈페이지에서 조회되는 정보를 개인이 직접 내려받아 관리하거나, 안전성이 보장된 전문기관의 도움을 받아 다양한 본인 정보를 한 곳에 모아 활용하는 것이 가능해진다. 위에 언급한 A씨의 전송정보를 활용하는 전문기관은 안전조치 요건 등을 갖췄는지 엄격한 심사를 통해 지정받으며, 정보전송자와 사전협의해 안전성 및 신뢰성이 보장된 방식으로만 정보를 전송할 수 있다. A씨는 '온마이데이터' 플랫폼에서 안전하다고 판단되는 서비스를 스스로 선택할 수 있고, 모든 전송 과정은 A씨의 명시적인 판단 및 의사결정 확인 후 진행된다. 또한, A씨는 온마이데이터 플랫폼을 통해 언제든 정보 전송을 중단하거나 이미 전송된 정보의 삭제를 요청할 수도 있다. 이번 개정안은 지난해 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 폭넓게 체감하고 활용할 수 있도록 확대한 것으로, 기존 의료·통신 분야에 한정된 본인 대상 정보전송자(개인정보 처리자)와 전송정보 범위를 전 분야로 확대한 내용을 담고 있다. 또 전 분야로 확대된 본인전송요구권을 보다 안전한 방식으로 행사할 수 있게 절차와 방법 등도 구체화해 규정했다. 개정안은 유예기간을 거쳐 오는 8월부터 시행된다. 개정안은 국민이 직접 본인 정보를 관리한다는 컨셉이다. 하지만 산업계 일각에서는 개인정보 유출 위험성과 국내 소비자 정보의 중국계 기업 활용 등을 우려하는 지적이 나왔다. 본인 대상 정보전송자 및 전송정보 기준 첫째, 본인 대상 정보전송자의 기준은 개인정보 보호역량을 갖추고 있는 대규모 개인정보처리자 등으로 규정했다. 구체적인 기준은, 중소기업기본법 등에 따른 평균매출액 등이 1800억원 초과하면서 정보주체 수가 100만 명 이상 또는 민감·고유정보 5만 명 이상의 대규모 시스템 운영 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이다. 전송을 요구할 수 있는 정보는 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 포함 된다. 다만 별도 생성 정보(개인정보처리자의 본질적 행위와 '별도'로 개인정보를 분석·가공해 생성한 정보를 의미. 예를 들어 환자 치료와 별개로 진단·처방내역 등을 분석한 후 별도 생성한 위험군 등 분류·통계정보 등), 제3자 권리·이익을 침해하는 정보, 영업비밀 등 다른 법령에 따라 보호가 필요한 정보는 제외할 수 있다. 안전한 본인전송 방법 둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우에 안전하게 전송할 수 있는 전송방법을 규정했다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받게 했다. 원칙적으로는 API(애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 본인 대상 정보전송자가 대리인과 사전협의를 거친 안전성‧신뢰성이 보장된 대리인에 한해 제한적으로 스크래핑을 허용했다. 또 본인 대상 정보전송자는 대리인이 사전에 협의한 방식으로 본인전송요구를 대리하는 경우 정당한 사유없이 거절하지 못하도록 규정했다. 아울러, 본인전송방법으로 본인 대상 정보전송자가 자신이 관리하는 인터넷 홈페이지를 통해 정보주체가 접속해 열람, 조회할 수 있는 정보를 안전한 암호화 알고리즘으로 암호화해 내려받는 방식도 가능하다고 명시했다. 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있다. 전송요구권 행사 범위 확대 셋째, 정보주체의 전송요구권 행사 범위가 기존 의료‧통신에서 전 분야로 확대된다. 다만 본인 대상 정보전송자의 전송 준비 등에 소요되는 시간 등을 고려해 공공시스템운영기관과 제3자 대상 정보전송자는 시행을 공포된 날로부터 6개월 유예하되, 평균 매출액 등이 1800억원을 초과하는 민간 분야에 해당하는 본인 대상 정보전송자(평균 매출액 등 1800억원 초과하는 자로서 정보주체수 100만명 이상 또는 민감‧고유식별정보 5만명 이상인 개인정보처리자, 시행령 제42조의2제1항제1호)의 경우 1년 유예했다. 향후 계획 개인정보위는 마이데이터가 국민이 체감 가능한 분야로 확산되도록 제3자 전송 분야도 '26년도 에너지, 교육, 고용, 문화‧여가 분야로 확대하기 위한 실무협의체를 구성, 운영할 계획이다. 아울러 이번에 개정한 시행령 주요 내용과 본인전송요구권 확대와 관련해 오는 3월부터 개인정보관리 전문기관 지정 및 지원사업 계획에 대한 설명회를 열 계획이다. 송경희 위원장은 “이번 시행령 개정으로 정보주체인 국민은 자신의 개인정보 주권을 적극적으로 행사하고, 본인의 의사에 따라 정보를 이동해 활용할 수 있을 것으로 기대한다”면서 “안전하고 신뢰 가능한 기업 및 기관을 통해 정보가 전송되도록 함으로써 마이데이터 제도에 대한 국민의 신뢰 및 체감 가능한 성과를 창출하도록 노력할 것”이라고 말했다.

2026.02.16 12:32방은주 기자

개보위, 공공 부문 집중관리시스템 387개로 확대

개인정보 보호를 보다 엄격히 적용해야 하는 공공 부문의 집중관리시스템이 올해 확대 됐다. 총 58개 기관의 387개 시스템으로 2024년(57개 기관, 382개 시스템작년)에 비해 기관 수가 1곳 늘었고 시스템은 5개가 추가됐다. 혈액정보관리시스템(대한적십자사) 등 국민의 개인정보 처리가 많은 8개 시스템은 집중관리시스템으로 새로 지정됐다. 반면 감염병 확산 시 한시적으로 이용한 역학조사지원시스템(질병관리청) 등은 지정에서 제외했다. 또 개보위는 주요 공공시스템을 대상으로 긴급 실태점검을 하고, 고유식별정보 실태조사도 전면 개편한다. 개보위는 이 같은 내용을 골자로 한 주민등록번호 등 주요 개인정보를 대규모로 처리하는 공공기관의 사전예방 중심 관리 강화 방안을 12일 마련, 발표했다. 안에 따르면 개보위는 ①위험기반 관리(Risk-based) ②증적중심 점검(Evidence-based) ③결과와 인센티브 연계(Outcome-linked)로 자발적 개선 유도 원칙을 세우고, 이에 맞춰 사전예방 업무를 추진해 나갈 계획이다. 이번 조치는 인공지능·클라우드 확산, 플랫폼 경제로의 전환 등으로 대규모·고위험 개인정보 처리가 일상화하면서 개인정보 유출 및 침해 위험이 높아지는 데 따른 것으로, 공공기관의 경우 국민 개인정보를 당사자 동의 여부와 무관하게 법령에 따라 대규모로 처리함에 따른 위험도가 크지만, 과징금 부과 등 사후 제재 효과가 크지 않아, 우선적으로 실태점검과 안전 관리체계 확립에 나섰다. 2025년 기준 공공부문 유출 신고 현황은 128건이다. 전체 신고 건수의 28.6%를 차지했다. 최근 몇년간 지속 증가했다. 2022년은 23건, 2023년은 41건, 2024년은 104건에 달했다. 유출 원인은 업무과실(64%), 해킹(32%) 순이였다. 위반유형은 안전조치 의무(64%), 주민등록번호 등 수집제한(8%)으로 나타났다. 개인정보 보유 100만명 이상, 사업비 100억 이상 등이 조건...58개 기관 해당 집중관리시스템 대상 조건은 ①보유량 100만명 이상 ②취급자 수 200명 이상 ③사업비 100억 ④주민등록정보 연계 ⑤민감정보 처리 등이다. 구체적인 공공시스템 목록은 개인정보위 홈페이지에 공개됐다. 개보위는 혈액정보관리시스템(대한적십자사) 등 국민의 개인정보 처리가 많은 8개 시스템을 집중관리시스템으로 신규 지정했다. 반면 감염병 확산 시 한시적으로 이용한 역학조사지원시스템(질병관리청)은 지정에서 제외했다. 또 기존 집중관리시스템으로 지정한 워크넷 등 3개 시스템이 고용24로 통폐합됨에 따라, 고용24(한국고용정보원)를 집중관리시스템으로 지정, 변경했다. 이에 공공부문 집중관리시스템은 2024년 382개 시스템(57개 운영기관)에서 2026년 387개 시스템(58개 운영기관)으로 확대됐다. 집중관리시스템으로 지정하면, 개인정보취급자 권한부여시 인사정보와 연계, 접속기록 자동 분석 등 일반 시스템보다 강화한 안전조치를 적용해야 한다. 387개 집중관리시스템 등 대상 최신 보안 패치 적용 여부 등 조사 개인정보위는 오는 3월까지 공공기관의 387개 집중관리시스템과 1만 명 이상의 주민등록번호를 처리하는 시스템을 대상으로 긴급 실태점검을 실시한다. 이번 점검은 최근 대형 유출사고에서 확인한 주요 취약요인을 점검하고 조치하기 위한 것이다. 집중관리시스템은 최신 보안패치 적용여부, 취급자 접속 시 인증서·일회용 비밀번호 등 안전한 인증수단 적용, 로그기록에 주민등록번호 등 주요정보가 남지 않도록 비식별조치 여부 등을 중점 점검한다. 또 1만 건 이상 주민등록번호를 처리하는 시스템은 주민등록번호 암호화 시 안전한 암호화 알고리즘 이용 여부와 암호키 관리 방식 등을 점검한다. 점검 결과 미흡 사항은 기관 별로 우선 조치하되, 위험도에 따라 컨설팅 등 개선조치 지원을 통해 점검의 실효성을 확보할 계획이다. 고유식별정보 실태조사 전면 개편...26개 점검 항목 대폭 손질 개인정보 보호법에 따라 개보위는 일정 규모(공공은 1만명 이상 고유식별정보 처리, 민간은 5만명 이상 고유식별정보 처리) 이상 주민등록번호 등 고유식별정보를 처리하는 기관의 안전관리 실태를 점검해야 한다. 그간은 자체점검 결과를 서면으로 제출하는 형식적 점검에 그쳤고, 조사의 강제성이 없어, 처리자 자율에 의존하는 측면이 크다는 지적이 있었다. 이에 당초 고유식별정보 관리실태 점검 취지에 맞게, 공공기관의 개인정보파일 목록에 있는 고유식별정보 유형, 처리 규모 등을 바탕으로 위험 정도를 파악해 점검 대상을 선정한다. 이를 위해 개인정보파일 목록을 상반기 중 현행화할 예정이다. 또 기존 26개 점검 항목을 대폭 손질해 고유식별정보에 접근할 수 있는 취급자 권한 부여 현황 및 취급자가 정보 조회 시 일부 마스킹 등 비식별조치, 암호키 관리실태 등 핵심항목 위주로 깊이 있게 점검하되, 구체적인 증빙자료를 제출하도록 해 점검의 실효성을 높일 계획이다. 아울러, 미흡사항 확인 시 개선계획 제출을 의무화하고, 점검 결과 우수기관에 대해서는 일정기간 점검 면제 및 포상 등 인센티브를 제공할 예정이다. 송경희 개보위 위원장은 "공공기관은 당사자의 동의 없이도 법령에 따라 전 국민의 중요 개인정보를 대규모로 처리하고 있으므로 사전 예방적 관리가 더욱 요구되는 영역”이라면서 “공공부문을 필두로 우리 사회 전반에 사전 예방 중심 개인정보 보호 체계가 뿌리내릴 수 있도록 개인정보위는 '사전예방 중심 정책'을 적극 펼쳐나갈 것”이라고 밝혔다.

2026.02.16 11:50방은주 기자

개보위 "설명절...개인정보 유출 조심하세요"

개인정보보호위원회는 설명절을 맞아 택배 및 선물 문자 등이 급증함에 따라 개인정보 유출에 대한 13일 주의를 당부했다. 개인정보위는 택배 주문 시 보이스피싱, 스팸이나 스미싱 방지를 위해 필수 정보만 입력·제공하고, 가급적 임시 가상번호(가상전화번호, 안심전화번호, 송장정보 비노출 등 개인정보를 보호하는 서비스)를 제공하는 쇼핑몰과 택배사를 이용하는 것이 좋다고 전했다. 택배 문자 수신 시, 택배사의 인증된 공식번호로 보낸 안심링크만 클릭하고 주문한 적이 없는 배송 안내 문자는 스미싱일 가능성이 높으므로 링크에 접속하지 않도록 주의를 요구했다. 특히, 택배가 공개된 장소에 오래 방치될 경우 개인정보 노출의 위험이 있으므로 가급적 즉시 수령하고, 수령 후에는 택배상자의 운송장을 폐기해 개인정보 노출을 방지해야 한다. 운송장 바코드를 통해서도 개인정보를 확인할 수 있으므로 바코드도 확실하게 제거할 것을 권장했다. 이와함께, SNS에 가족이나 지인과 함께 찍은 사진을 게시할 경우 위치정보가 노출될 수 있다는 것을 인지하고, 이를 원치 않을 경우 위치정보를 비활성화하는 조치가 필요하다고 밝혔다. 개인정보위는 “택배와 선물, 안부 문자 등이 급증하는 설명절 기간 동안 이를 이용한 보이스피싱, 스미싱 등의 피해 역시 커지는 만큼 개인정보 유출 방지를 위해 이용자들이 주의와 관심을 기울여 달라"고 당부했다.

2026.02.13 19:05방은주 기자

넷마블 '칠대죄: 오리진', 원작 성우진 인터뷰 공개

넷마블(대표 김병규)은 오픈월드 RPG 신작 '일곱 개의 대죄: 오리진' 출시를 앞두고, 원작 애니메이션 성우진이 참여한 릴레이 인터뷰 영상을 공개한다고 13일 밝혔다. 이번 영상은 원작 성우 7인이 게임 플레이 소감과 본인이 연기한 캐릭터에 대한 생각을 전하는 릴레이 인터뷰다. 인터뷰 영상은 오는 14일 엘리자베스 역의 성우 '아마미야 소라' 편을 시작으로 멜리오다스, 킹, 트리스탄, 티오레 등 주요 캐릭터를 연기한 성우의 인터뷰가 차례로 공개될 예정이다. 각 영상에는 성우가 오리진을 통해 구현된 원작 애니메이션의 세계에 대한 감상과 이용자에게 전하는 메시지가 담긴다. 넷마블은 이번 성우 인터뷰 공개를 기념해 이용자 중 추첨을 통해 네이버페이 쿠폰 등 경품을 증정하는 이벤트를 진행한다. 일곱 개의 대죄: 오리진은 전 세계 누적 판매 5500만부 이상을 기록한 인기 만화 '일곱 개의 대죄'를 기반으로 오픈월드 RPG 신작이다. 이용자는 브리타니아 대륙을 자유롭게 탐험하고, 위기 상황에서 영웅을 교체하는 태그 전투, 강력한 합기, 무기와 영웅 조합에 따라 변화하는 액션 등을 즐길 수 있다. 오픈월드에서 친구와 파티를 꾸려 모험을 떠나거나, 보스에 도전하는 등 다양한 멀티플레이 요소가 특징이다.

2026.02.13 17:10진성우 기자

개보위, 조직문화 개선 추진..."일 잘하는 개방 조직 변신"

개인정보보호위원회가 조직 문화 개선에 나섰다. 국민이 신뢰하고 일 잘하는 개방적 조직이 목표다. 불합리한 관행과 불필요한 일을 현 시점에 맞게 진단하고, 업무 프로세스를 성과 중심으로 과감히 개선한다. 12일 개보위에 따르면, 우선 과장급 이상 간부를 대상으로 일부 공직사회에 남아있는 '간부 모시는 날(직원들이 순번을 정해 사비로 간부의 식사를 대접하는 것)' 관행에 대한 제로방침을 분명히 하고 서약식도 열었다. 아울러, 불합리하고 관행적인 절차 근절, 공정한 성과 평가, 소통과 존중 기반의 리더십 교육도 실시했다. 또 직급을 막론하고 자유롭게 의견을 개진할 수 있는 이른바 '조직 문화 개선의 날'을 운영한다. 2월 중 간담회를 통해 불합리한 업무구조와 불필요한 일을 구체적으로 정의하고, 활발한 아이디어 제안과 소통문화 정착을 위한 실천방안도 폭넓게 논의한다. 이러한 논의 결과를 토대로 핵심 프로젝트를 선정, 연내 가시적인 변화를 도출한다. 또 조직 문화 개선에 앞장 선 직원들을 대상으로 포상금을 지급하는 등 인센티브도 부여할 예정이다. 송경희 위원장은 “유출사고 반복과 AI 대전환 등 최근 개인정보위가 당면한 환경이 녹록치 않다”며 “개인정보위에 대한 국민의 기대와 급증하는 업무수요에 비해 조직규모가 충분하지 않은 만큼, 그 어느 조직보다 효율성과 합리성이 중요하다. 작은 불합리까지도 적극적으로 찾아내고 실질적으로 변화시켜 국민께 신임받는 조직으로 거듭나겠다"고 말했다.

2026.02.12 22:21방은주 기자

아동 정보까지 건드렸다...'버거킹'·'메가커피' 과징금 집중된 이유

개인정보보호위원회가 식음료 프랜차이즈와 원격 예약·대기 플랫폼 등 10개 사업자에 대해 제재를 가한 가운데, 버거킹과 메가MGC커피 두 곳에 과징금이 집중됐다. 다수 사업자가 개인정보 단순 관리 부실로 적발된 것과 달리, 이들 두 회사는 동의 없이 아동 개인정보를 수집하거나 이용자 정보를 다른 목적으로 사용한 탓이다. 개인정보보호위원회는 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과했다. 아울러 시정명령 및 공표명령도 함께 의결했다. 이 과징금은 사업자별로 보면 사실상 두 곳에 집중됐다. 먼저 버거킹 운영사 비케이알이 9억 2400만원, 메가MGC커피 운영사 엠지씨글로벌이 6억 4200만원을 각각 부과받았다. 스타벅스와 맥도날드 등 나머지 8곳은 별도의 과징금 없이 과태료와 시장명령만 받았다. 다수 사업자에게서 확인된 개인정보 미파기·안전조치 미흡이 관리 부실에 해당한다면, 두 회사는 동의 없는 처리·목적 외 이용처럼 법 위반 무게가 큰 사안이 핵심으로 적시됐다는 설명이다. 개보위에 따르면 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 처리해 개인정보보호법 제22조의2 위반으로 판단됐고, 이에 따라 과징금 9억 2400만원이 부과됐다. 여기에 개인정보 이용·제공 내역 미통지, 목적 달성 후 미파기, 접속기록 미보관 등 위반 사항이 함께 적시돼 과태료 1530만원과 시정명령·공표명령도 병과됐다. 이에 대해 버거킹 측은 과거 시스템 및 관리 미비에 따른 행정조치라고 강조했다. 엠지씨글로벌은 회원가입 과정에서 마케팅 활용에 동의하지 않았음에도 자동 동의 처리되도록 설정돼, 미동의 회원에게 마케팅 메시지가 발송된 점이 적발됐다. 개보위는 이를 동의 없이 목적 외로 개인정보를 이용한 행위(보호법 제18조)로 보고 과징금 6억 4200만원을 부과했다. 여기에 과태료 1천530만원과 시정명령·공표명령이 추가됐다. 엠지씨글로벌 측은 “외부로 개인정보가 유출되거나 이로 인한 피해 사례는 없었다”며 “앱 운영 과정에서 사전 동의 절차가 충분히 반영되지 않은 일부 미흡이 확인됐고, 조사 과정에서 즉시 시정 조치를 완료했다”고 밝혔다. 또 “2024년 7월 현장조사에서 지적된 사항은 개선 과정에서 이전 시스템의 일부 절차 미흡이 확인된 것으로, 당시 지적 사항은 모두 조치했다”며 “현재는 앱 전면 개편을 통해 개인정보 보호와 내부 통제 체계를 강화해 운영 중”이라고 해명했다.

2026.02.12 17:06류승현 기자

[법과 상식 사이] 이름도 개인정보가 아닐 수 있다?

“사람 이름을 아는 것만으로 개인정보 문제가 생길까?” 일상에서 우리는 수많은 사람의 이름을 알고 살아간다. 학교 친구의 이름을 기억하기도 하고 거래처 담당자의 이름을 휴대전화에 저장해 두기도 한다. 이름을 알고 있다는 사실 자체만으로는 대체로 법적 문제가 되지 않는다. 그럼에도 개인정보보호법을 이야기할 때 많은 사람들은 이름이나 연락처처럼 개인과 관련된 정보는 모두 법의 엄격한 보호 대상이라고 생각하는 경우가 적지 않다. 하지만 개인정보보호법에서 보호하려는 개인정보는 단순히 '개인과 관련된 정보'라는 의미보다 한층 더 구체적인 개념이다. 법은 특정 개인을 알아볼 수 있는 정보를 개인정보로 정의한다. 다시 말해, 정보의 종류보다 그 정보로 실제 개인을 식별할 수 있는지 여부가 중요하다. 이러한 기준 때문에 개인정보는 절대적으로 고정된 개념이 아니라 이용되는 환경과 결합 가능성에 따라 달라질 수 있는 상대적인 개념이 된다. 그래서 같은 이름이나 번호라도 어떤 상황에서는 개인정보가 되고, 어떤 경우에는 그렇지 않을 수 있다. 예를 들어 '김철수'라는 이름만으로는 동일한 이름을 가진 사람이 많아 일반적으로 특정 개인을 식별할 수 있다고 보기는 어렵다. 그러나 '○○고등학교 3학년 김철수'처럼 추가적인 속성 정보가 결합되면 누구인지 특정할 수 있는 가능성은 높아진다. 여기에 거주 지역이나 동아리 활동 정보까지 더해지면 식별 가능성은 현저히 증가한다. 직장 정보도 마찬가지다. '대기업 인사팀장'이라는 표현만으로는 특정 개인을 떠올리기 어렵지만 직원 수가 적은 회사에서 해당 직위를 가진 사람이 한 명뿐이라면 개인을 식별할 가능성이 생길 수 있다. 휴대전화 번호 전체는 개인을 식별할 수 있는 정보이지만 일부 숫자만으로는 특정 개인을 알아보기 어려운 경우가 많다. 다만 여기에 이름이나 직장 정보가 결합되면 다시 개인정보에 해당할 가능성이 높아진다. 결국 개인정보에 해당하는지는 정보의 내용만으로 기계적으로 판단되는 것이 아니라 조직 규모나 이용 환경 같은 맥락까지 함께 고려해 판단해야 한다. 개인정보 개념의 상대성 개인정보를 상대적인 개념으로 이해해야 한다는 점은 법 적용 과정에서 불확실성을 동반한다. 기술 수준이나 정보 결합 가능성에 따라 개인정보 해당 여부가 달라질 수 있어 규제 예측 가능성이 낮아진다는 비판도 존재한다. 그럼에도 법이 이러한 구조를 채택한 이유는 보호 대상을 미리 정해진 정보의 목록으로 한정할 경우 기술 발전과 함께 나타나는 새로운 식별 위험을 효과적으로 포착하기 어렵기 때문이다. 실제로 오늘날에는 위치정보, 온라인 활동 기록, 소비 패턴처럼 단독으로는 개인을 특정하기 어려운 정보라도 다른 데이터와 결합될 경우 특정 개인을 정밀하게 식별할 수 있다. 개인정보 보호가 요구되는 이유 역시 정보 자체를 보호하기 위해서라기보다 해당 정보를 통해 개인이 원하지 않는 방식으로 특정되거나 분석될 위험을 방지하기 위해서다. 이러한 맥락에서 개인정보보호법은 보호 대상을 개별 정보의 종류가 아니라 '개인을 식별할 수 있는 가능성'에 두고 있다. 가명정보는 여전히 보호대상 최근에는 통계 작성이나 연구를 목적으로 개인을 직접 식별할 수 있는 요소를 제거한 데이터 활용이 확대되고 있다. 그러나 이러한 정보가 곧바로 개인정보에서 제외되는 것은 아니다. 이름이나 주민등록번호와 같은 직접 식별 정보를 삭제하거나 대체하더라도, 다른 정보와 결합하거나 추가 분석을 통해 특정 개인을 다시 알아볼 수 있다면 해당 정보는 여전히 개인정보에 해당한다. 개인정보보호법은 이러한 중간 형태의 데이터를 '가명정보'로 구분한다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보이지만 재식별 가능성이 완전히 제거된 것은 아니다. 이 때문에 가명정보는 일정 범위에서 활용이 허용되면서도 여전히 개인정보로서 법적 보호의 대상이 된다. 개인정보에 해당하는지는 단순히 식별 정보가 삭제되었는지 여부만으로 결정되지 않는다. 정보의 결합 가능성, 재식별에 필요한 비용과 기술 수준, 그리고 정보가 이용되는 환경까지 종합적으로 고려된다. 데이터 분석 기술이 발전할수록 과거에는 안전하다고 평가되었던 정보라도 다시 개인을 식별할 위험을 가질 수 있기 때문이다. 이러한 이유로 개인정보 판단 기준은 고정된 정보 목록이 아니라 기술 변화와 이용 맥락에 따라 유동적으로 해석될 수 밖에 없다. 이처럼 개인정보에 해당하는지는 정보의 형태만 보고 단순하게 판단할 수 없다. 핵심 기준은 결국 “이 정보로 특정 개인을 식별할 수 있는가”라는 질문에 있다. 같은 정보라도 이용되는 환경과 다른 정보와의 결합 가능성에 따라 개인정보가 될 수도 있고 그렇지 않을 수도 있다. 따라서 개인정보보호법을 이해할 때는 특정 정보의 명칭이나 유형에만 주목하기보다 해당 정보가 개인을 식별하거나 분석하는데 어떤 역할을 할 수 있는지를 중심으로 판단할 필요가 있다. 이러한 관점은 기술 변화 속에서도 개인정보 보호의 목적과 적용 범위를 일관되게 이해하는 출발점이 된다.

2026.02.12 17:06안정민 컬럼니스트

"버거킹·투썸 등 10곳 소비자 정보보호 미흡"

투썸플레이스 등 유명 식음료 프랜차이즈를 운영하는 회사 7곳과 캐치테이블 등 3개 플랫폼 사업자 등 총 10곳이 소비자의 개인정보보호 미흡으로 과징금과 과태료를 부과 받았다. 이들 10곳 중 가장 유명한 식음료 프랜차이즈인 스타벅스 운영사는 시정명령만 받아, 10곳 중 처분이 가장 약했다. 반면 버거킹은 9억2400만원으로 과징금이 가장 많았다. 개인정보보호위원회는 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만 원의 과태료를 부과했다. 아울러 시정명령 및 공표명령도 함께 의결했다. 처분을 받은 10개 식음료 사업자는 플랫폼 분야에서 ▲와드(캐치테이블) ▲테이블링(테이블링) ▲야놀자에프앤비솔루션(도도포인트, 나우웨이팅) 등 3사와 프랜차이즈 분야 ▲에스씨케이컴퍼니(스타벅스) ▲비케이알(버거킹) ▲엠지씨글로벌(메가MGC커피) ▲한국맥도날드(맥도날드) ▲투썸플레이스(투썸플레이스) ▲이디야(이디야) ▲더본코리아(빽다방) 등 7개사다. 개인정보위는 최근 음식점, 카페 등에서 정보통신기술(ICT)을 접목한 원격 예약·대기 및 키오스크(KIOSK) 주문 방식 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라, 식음료 분야의 개인정보 처리실태를 조사했다. 앱 서비스 이용률 및 안전조치의무 등 개인정보 보호법 위반 이력을 고려해 원격 예약·대기 플랫폼 앱 및 프랜차이즈 사업자를 선정했고, 구체적인 조사 결과는 다음과 같다. 조사 결과(종합) 대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리했다. 또 앱 등 온라인 서비스 제공과정에서 개인정보를 동의 없이 홍보·마케팅에 이용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법 준수를 소홀히 한 사례를 확인했다. 분야별로 살펴보면, 플랫폼 사업자의 경우 온·오프라인에서 수집한 개인정보를 연동하면서, 원격 예약 및 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인했다. 프랜차이즈 사업자의 경우, 개인정보 처리업무를 제3자에게 위탁하면서, 수탁자에 대한 관리·감독을 소홀히 하거나 100만 명 이상의 정보주체의 개인정보를 처리하면서 개인정보 수집·이용·제공 내역을 주기적으로 정보주체에게 통지하지 않는 등 보호법 위반 사실을 확인했다. 사업자별 위반내용 및 처분 결과 조사 대상 사업자의 주요 위반 내용과 처분 결과는 다음과 같다. 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용했고, 엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정, 미동의 회원에게 마케팅 메시지(앱푸시)를 발송했다. 또 와드(캐치테이블)와 테이블링(테이블링), 야놀자에프앤비솔루션, 한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실을 확인했다. API(application Programming Interface)는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계 및 전송하는 방식을 말한다. 투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영했고, 더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의 받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 했다. 그 밖에 대부분의 사업자가 보유기간이 경과하거나 처리목적이 달성된 개인정보를 파기하지 않고 보관했고, 접근권한 관리 및 접근통제, 접속기록 보관 등의 안전조치의무를 소홀히 한 사실이 확인됐다. 이에, 개인정보위는 법정대리인 동의없이 만 14세 미만 아동의 개인정보를 수집·이용한 행위(보호법 제22조의2 위반)에 대해, 비케이알에 9억2천4백만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 이용(보호법 제18조 위반)한 엠지씨글로벌에 6억4천2백만 원의 과징금을 부과했다. 또, 사업자들의 기타 보호법 위반행위에 대해 총 과태료 1억 1130만 원을 부과하고, 재발방지를 위하여 시정명령과 공표명령도 함께 처분했다. 이번 조사 및 처분 의의 이번 조사·처분은 일상에서 매일 접하는 식음료 서비스의 전반적인 개인정보 관리 체계를 면밀히 점검 잠재된 개인정보 침해 요인을 선제적으로 제거하고, 유출사고로 인한 사회적 비용과 피해를 최소화하였다는 점에서 의미가 크다고 개보위는 밝혔다. 또 개보위는 아동·청소년의 개인정보는 특별한 보호가 필요하며, 다양한 참여자가 연결된 플랫폼 생태계에서 적법 처리 근거, 필요·최소한의 정보 수집 등 프라이버시 중심의 서비스 설계가 중요하다고 강조했다. 아울러, 디지털 환경에서 처리 목적 등을 달성한 개인정보의 미파기는 잠재적 유출 사고의 핵심 변수로 작용할 수 있는 만큼 불필요한 개인정보의 즉시 파기를 당부했다. 개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로, 상시 점검 및 사전 예방 활동을 강화해 나갈 방침이다.

2026.02.12 11:00방은주 기자

"SaaS 해킹 주의"...개보위, 루이비통 등 명품 3사 과징금 총 360억 부과

개인정보보호위원회(개인정보위)가 11일 제3회 전체회의를 열고 '개인정보 보호법'을 위반한 명품브랜드 판매 3개 사업자 ▲루이비통코리아 ▲크리스챤디올꾸뛰르코리아 ▲티파니코리아에 에 총 360억 3300만 원의 과징금과 1080만 원의 과태료를 부과했다. 이 가튼 처분 사실 공표도 함께 명령했다. 이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출사고가 발생했다. SaaS(Software as a Service)는 소프트웨어를 회사 내부 서버에 설치하지 않고 인터넷을 통해 클라우드 형태로 외부에서 제공하는 방식을 말한다. 개보위는 이들 3사 사례가 방법만 다를뿐 모두 해킹에 해당한다고 밝혔다. 각 회사별 구체적인 위반 내용과 처분 결과는 다음과 같다. 루이비통 : 과징금 213억 8,500만 원과 결과 공표 루이비통은 직원 기기가 악성코드에 감염돼 서비스형 소프트웨어 계정 정보를 해커에게 탈취당했다. 이에, 약 360만 명의 개인정보가 총 3차례('25.6.9.~13.)에 걸쳐 유출됐다. 루이비통은 2013년부터 구매 고객 등 관리를 위해 해당 서비스형 소프트웨어를 도입·운영하면서, 접근할 수 있는 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았으며, 개인정보취급자가 외부에서 접속할 때 안전한 인증수단을 적용하지 않은 것으로 나타났다. 이에 개인정보위는 루이비통에 과징금을 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다. 디올 : 과징금 122억 3,600만 원과 과태료 360만 원 부과, 결과 공표 디올은 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라 약 195만 명의 개인정보가 유출됐다. 디올은 구매 고객 등 관리를 위해 2020년부터 해당 서비스형 소프트웨어를 도입·운영하면서, 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았으며, 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았다. 또 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 확인하지 못했다. 아울러, 개인정보 유출 인지('25.5.7.) 후 정당한 사유 없이 72시간을 경과해 유출 통지('25.5.12.)를 한 사실도 확인했다. 이에 개인정보위는 디올에 과징금 및 과태료를 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다. 티파니 : 과징금 24억 1,200만 원과 과태료 720만 원 부과, 결과 공표 티파니는 디올의 유출 경위와 마찬가지로, 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라, 약 4600여 명의 개인정보가 유출됐다. 티파니는 2021년부터 마케팅을 위해 해당 서비스형 소프트웨어를 도입·운영하면서, 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았으며, 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았다. 아울러, 개인정보 유출 인지('25.5.9) 후 정당한 사유 없이 72시간을 경과해 신고 및 통지('25.5.22.)한 사실도 확인했다. 이에 개인정보위는 티파니에 과징금 및 과태료를 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다. 이번 조사 및 처분 의의 최근 많은 기업은 초기 구축 비용 절감 및 유지관리 효율성 등을 이유로 글로벌 대기업의 서비스형 소프트웨어를 도입해 운영하고 있다. 그러나, 서비스형 소프트웨어에 대한 신뢰를 토대로 비용·편의 측면만 고려 시 개인정보 안전성 확보에는 소홀히 할 우려가 있어 주의가 요구된다. 고객 관리 등을 위해 서비스형 소프트웨어를 도입해 개인정보를 처리하는 경우 이는 개인정보처리시스템에 해당하므로 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하는 등의 조치를 취해야 한다고 개보위는 밝혔다. 아울러, IP 주소 등을 제한해 인가받지 않은 접근을 통제하고, 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 인증 수단(일회용 비밀번호(OTP), 인증서, 보안토큰 등)을 필수적으로 적용해야 한다. 개인정보위는 "기업이 서비스형 소프트웨어를 도입하는 경우에도 개인정보를 안전하게 관리하는 책임이 면제 또는 전가되지 않는 만큼 해당 서비스가 제공하는 개인정보 보호 기능을 개인정보처리자가 충분히 적용해 개인정보 유출사고를 예방해야 할 것”이라고 강조했다.

2026.02.12 11:00방은주 기자

"개인정보 보호 체계, 사후 규제에서 사전 예방으로"

생성형 AI를 넘어 에이전틱 AI, 피지컬 AI 등으로 AI 기술이 빠르게 진화하는 가운데, 정부가 개인정보 보호 체계를 '사전 위험 예방 및 책임 강화' 중심으로 전환하겠다는 정책 방향을 제시했다. 한국정보통신진흥협회(KAIT)는 12일 오전 조선팰리스 서울 강남에서 국내 주요 AI 디지털 기업, ICT 유관기관, 학계 전문가, 정부 관계자 등 70여 명이 참석한 가운데 제12차 디지털 인사이트 포럼을 열었다. 이날 포럼은 AI 확산에 따른 개인정보 활용 증가와 보호 체계 재정립 필요성을 주요 의제로 다루며, 산업계와 정부 간 정책 방향을 공유하는 자리로 마련됐다. 최근 산업 전반에서 AI 학습과 자동화된 의사결정, 개인화 서비스 구현을 위해 대규모 개인정보 활용이 일상화되고 있다. 플랫폼, 금융, 의료, 모빌리티, 행정 등 다양한 분야에서 AI 도입이 확산되면서 산업 특성을 반영한 개인정보 보호 체계 고도화가 핵심 정책 과제로 부상하고 있다. 특히 의료 AI의 민감정보 처리 문제, 금융 AI의 자동화 의사결정 책임성, 모빌리티 분야의 위치정보와 영상데이터 활용 등 영역별 쟁점이 다양화되면서 획일적 규제에서 벗어난 정교한 정책 접근이 요구되고 있다. 최재유 포럼 공동의장은 “AI 시대에는 인공지능 기술 이외에도 데이터를 어떻게 책임 있게 축적, 활용하느냐가 기업 경쟁력을 좌우하게 될 것”이라며 “오픈클로, 몰트북과 같은 사례가 보여주듯이 기술 혁신과 함께 데이터 책임성과 신뢰 확보가 병행될 때 지속 가능한 성장과 발전이 가능하다”고 강조했다. 기조강연에 나선 송경희 개인정보보호위원회 송경희 위원장은 'AI 시대, 개인정보 보호 체계 대전환'을 주제로 정책 방향을 설명했다. 송 위원장은 “AI는 방대한 개인정보 활용을 전제로 작동하는 기술로, 개인정보 보호는 AI 신뢰성과 사회적 수용성을 좌우하는 핵심 요소”라며 “사후 규제 중심에서 벗어나, 사전에 위험을 막고 책임을 강화하는 방향으로 개인정보 보호 체계를 전환해야 한다”고 말했다. 이어, “AI 학습과 활용 과정의 개인정보 보호를 위해 제도적 기술적 지원을 강화하고, 기업 책임성 제고를 통해 신뢰 기반 AI 생태계를 조성하겠다”고 밝혔다. 한편, 이날 포럼에서는 회원사인 진인프라 최춘식 전무가 자사의 AI, 클라우드, 데이터센터 등 디지털 인프라 분야 사업 현황을 소개했다. 최 전무는 “진인프라는 20여 년간 공공, 금융, 민간 분야에서 IT 인프라 구축과 운영을 수행해왔으며, 클라우드와 AI 인프라를 결합한 디지털 전환(DX) 사업을 확대하고 있다”고 했다.

2026.02.12 10:05박수형 기자

[인사] 개인정보보호위원회

◆ 국장급 전보 ▲ 기획조정관 서정아

2026.02.11 14:46방은주 기자

[쿠팡 사태⑤] "조회도 유출"…지능형 해킹 아닌 '관리 부실' 결론

쿠팡 개인정보 침해 사고와 관련해 정부 민관합동조사단은 “조회된 개인정보는 모두 유출로 봐야 한다”며 전체 유출 규모를 3367만 건으로 공식 확인했다. 조사단은 이번 사고를 고도화된 해킹이 아닌 인증체계·키 관리 부실 등 내부 보안 관리 실패로 규정하고, 쿠팡이 주장해온 '3천여 건 유출' 주장은 조사 과정 중 하나일 뿐이라고 선을 그었다. 또 현재까지는 결제 정보가 유출되지는 않은 것으로 잠정 결론지었다. 다음은 쿠팡 침해사고 민관합동조사단 조사결과 브리핑 일문일답. Q. 사건 발생 후 조사결과 발표까지 시간이 많이 걸린 이유는 무엇이냐. 쿠팡이 협조를 안 한 부분이 있는 건지, 조사하는 그런 범위가 달랐던 것인지. 중국인에 대해 조사는 이뤄졌는지. 쿠팡 사건 관련 국가정보원 지시 여부는 사실인지. 최우혁 과학기술정보통신부 정보보호네트워크정책실장: 처음에 쿠팡의 자료 협조가 미진한 부분이 있었는데 이후에는 신속하게 대응을 해왔다. 시간이 걸리는 것은 데이터가 방대하기 때문. 기초 데이터의 숫자량이 많았기 때문에 조사하는데 어려움이 있었다. 중국인 조사 여부는 저희 영역이 아니다. 국정원 관련 사항은 국정원에 문의해달라. Q. 정부가 쿠팡 개인정보 유출 규모에 대해 유출과 조회 두 단어로 나눴다. 이는 법적 책임을 구분하기 위함인지. 유출에 한해서만 법적으로 책임이 더 커지고 조회 건은 처벌이 낮아질 가능성이 있는지. 쿠팡이 전체 회원 수를 공개하지 않았는데 사실상 전 회원이 다 피해를 입은 거로 봐도 되는지. 최 실장: 유출과 조회는 법적으로 차이가 있는게 아니다. 조회가 유출을 의미한다. 조회라고 책임이 가벼워지는 것은 아니다. 쿠팡 전체 가입자 수에 대해서는 확인이 불가능해 정보 유출 피해자가 쿠팡 전체 가입자인지는 자체적으로 판단해 설명하기 어렵다. Q. 현재 회원과 비회원 피해 비중이 나온 것이 있는지. 최근 쿠팡이 16만5000여 건 계정 유출을 추가 확인했다고 발표했는데 이런 발표를 공식적으로 생각하시는지 쿠팡의 자체 조사로 보고 있는지. 최 실장: 저희는 침해 사고에 대한 원인 분석, 그 다음에 포괄적인 유출 정보 범위에 대한 부분, 재발 방지 대책을 내는 기관이다. 회원과 비회원의 유출 규모는 아직 개보위가 발표하지 않았다. 구체적으로 보려면 개보위의 발표를 기다려 줘야할 것 같다. Q. 이번에 발표했던 3367만건이 당초 정부가 발표했던 3370만건 범위로 이해하면 되는지. 쿠팡이 3000여 건만 저장됐다가 삭제됐다는 발표를 했는데 이 주장에 대한 진위 여부는 어떻게 되는지. 추가 유출 16만5000여 건은 이번에 발표한 3367만건에 포함되지 않는 건지. 지난주 금요일 국회 좌담회 이후 나흘 만에 최종 브리핑이 나왔는데, 최근 미국 의회 중심으로 제기되는 쿠팡 차별론, 디지털 무역 장벽 논란을 의식할 수 밖에 없었던 건지? 최 실장: 유출된 개인정보가 3000여 건이라는 것은 쿠팡이 이야기한 것이다. 저희에게는 참고 요소일 뿐이고, 쿠팡 서버를 다 뒤져서 외부 공격자가 얼마만큼 확인되고, 얼마만큼 (정보가) 조회·유출됐는지를 오늘 말씀드렸다. 16만5000여 건에 대해서는 3367만 건 이외인 것으로 쿠팡이 밝혔고, 이는 저희도 인지하고 있었던 부분이다. 개보위에서 최종적으로 얼마만큼 개인정보 유출이 일어났는지 정리를 할 것이다. 초창기에 어렴풋이 본 숫자가 3370만건 정도였고, 최종적으로는 3367만건으로 이해해주면 된다. Q. 쿠팡 사태 개인정보 유출에 IP가 2000개 정도 사용됐다고 하는데, 이 과정에서 IP 구체적으로 어떻게 사용됐는지. 이동근 민관합동조사단 부단장: IP는 공격자가 (개인정보를) 유출할 때 사용했 IP가 로그에 남아있던 것을 뽑은 것이다. 숫자가 여러 개 나오는데 추정하기로는 해커가 하나의 IP만 사용한 것이 아니라 다양한 IP를 써서 정보를 유출했고 그 증거를 찾았다고 보면 된다. Q. 조회를 유출로 본다고 말했는데, 이를 굳이 나눈 이유는 무엇인지. 차이를 좀 더 명확하게 설명해달라. 공격자의 수법이 전자출입증을 생성해 개인 페이지를 하나하나 들어가서 다 웹크롤링 한 건지. 이 부단장: 조회, 유출 관련해서는 자료에서 볼 수 있듯이 '조회해서 유출'로 돼 있다. 조회라고 표현한 이유는 들어가는 순간 보이는 것처럼 고객 정보를 다 본 시스템, 예를 들어 공격자의 PC라든지 노트북이라든지, 서버라든지 그런 쪽으로 다 전송되기 때문에 그렇게 표현했다. 1억 건이나 되는 것을 다 사람이 들어가서 할 수는 없다. 웹크롤링이라고 해서 자동화된 기법을 사용했고 공격자는 스크립트 형태로 프로그램을 짜고 정해진 주소를 입력하면 그 주소에 가서 웹 페이지를 통째로 긁어와서 개인정보나 기타 정보들을 추출하는 수 있는 방식을 사용했다고 보면 된다. Q. 이번 사고가 전 직원의 소행인데, 이를 관리 소홀이라고 보는 시각이 맞는지 아니면 지능화된 해킹으로 봐야하는지. 그럼 조회로 숫자가 세어진 것은 유출이 안됐다고 봐야하는 건지. 최 실장: 저희가 인증체계 관련 이 문제점도 강하게 질타하고 지적했다. 키 관리시스템도 제대로 안되고 있는 부분도 정확히 지적했다. 이는 분명히 관리의 문제다. 지능화된 공격으로 보기는 어렵다. Q. 1억4000여 회로 표현된 것이 일단은 횟수로 확인 된 것만 발표한 것인지. 건수 등도 최종적으로 개보위의 판단을 거쳐 나온다고 보면 되는 건지 아니면 판단하기 어려운 상황으로 보이는지. 웹 로그 분석 결과 접속기록을 확인했다고 발표했는데, 접속한 위치도 확인이 되는 것인지. 최 실장: 1억4000여 건을 조회했다. 조회된 정보는 유출된 것으로 보고 있다. 그 다음 개인정보에 대한 3367만건은 개보위나 경찰청, 저희(과기정통부)도 숫자를 동일하게 보고 있다. 거듭 말했듯이 개보위의 발표를 기다려달라. (공격자의 접속 위치는) 수사와 관련된 건이라 정확하게는 어떤 국가라든지 이런 건 말씀드리기 어렵다. Q. 쿠팡이 주장한 개인정보 유출 3000여 건에 대해서는 유출 범위를 축소하려는 시도로 해석될 여지가 있는지. 법적으로 문제가 될 소지는 없는지. 최 실장: 피조사기관이 하는 것은 하나의 주장일 뿐이다. 그 주장에 대해 조사를 하고, 검증을 하고 체크를 해서 국민들에게 투명하게 조사결과를 발표하는 것이 조사단의 의무다. 그들의 이야기하는 부분은 저희가 평가할 것은 아니고, 이를 엄정하고 투명하게 조사할 뿐이다. 또 숫자가 조사결과보다 적다고 해서 처벌하는 규정은 없다. Q. 공격자가 지금까지 확인된 바로는 1명이 맞는지. 배후에 다른 조직이 있거나 이런 것은 없는지. 1명에 의해 이렇게 큰 규모의 개인정보가 유출됐다는 것도 심각한 문제인 거 같은데 이 부분에 대해서는 어떻게 보는지. 최 실장: 이는 수사의 영역이다. 지금 공격자가 1명이다, 여러 명이다 이렇게 말씀드릴 수 있는 정보가 저희에게 있지 않다. 나중에 경찰의 (수사) 결과를 봐주셔야 한다. Q. 서명 키가 개발자의 개인 노트북에 저장된 사실을 적발했다고 하는데, 확인한 시점은 언제인지. 부적절하게 보관해 온 개발자라든지 직원 규모를 몇 명 정도로 보는지. 모의 해킹에서는 쿠팡 측이 인증체계의 구조적 결함을 임시방편으로 일부만 막았다고 본 거 같은데 구체적으로 어떤 내용인지. 이 부단장: 전 재직자는 이번에 문제가 됐던 키가 포함된 시스템을 직접 개발할 때 참여했던 인물이다. 숫자를 명확하게 말하기는 어렵지만, 팀에 있는 멤버들이 업무를 확인한 결과 키를 저장하고 있는 것으로 확인했다. 과거에도 퇴사한 공격자가 동일한 형태의 업무를 했기 댐누에 키를 저장할 수 있었고, 저희가 지적했던 키 관리가 전반적으로 이뤄지지 않았다는 부분이다. 몇 명이 이를 가지고 있는 지는 말씀드리지 어렵지만, 이력관리가 잘 안되는 부분이 있다. 근본적으로는 토큰을 가지고 공격자가 할 수 있는 경로상에서 문제점들을 진단하고 제거했어야 되는데 모의해킹한 부분에 대해서만 집중 관리하다보니 토큰을 검증하는 체계에 대해서는 전혀 검토가 이뤄지지 않아서 이번 사고와 연결됐다고 말씀드릴 수 있다. Q. 유출과 조회가 계속 헷갈리는 것이 보통은 유출이다. 이번에는 조회를 했다는 점이 혼란을 주는데, 1억4000여 건을 조회했다는 점을 고려하면 특정인의 배송지 목록 페이지에는 여러명이 있을 수 있다. 이를 곱하면 실제 유출정보는 많을 거 같다. 이 부단장: 3367만건이라고 명시한 부분은 '내 정보 수정하기'의 성명과 이메일을 쌍으로 계산했다. 이 숫자에 대해서는 웹 접속 기록상 정확하게 식별해서 구별할 수 있는 데이터가 있어 (저희가)셀 수 있었다. 그러나 배송지 주소는 상당히 복잡하게 돼 있다. 안에 등록돼 있는 개수도 많고, 최대 20개까지 등록돼 있다. 그 숫자를 지금 다 산정해서 발표한다면 시간이 많이 걸릴 수 있다 보니 조회한 순간 정보가 통제권 밖으로 나가기 때문에 1억4000여 건을 조회해서 유출했다고 말씀드렸다. 정확한 개별 건들은 향후 개보위가 발표할 숫자다. 임정규 민관합동조사단장: 배송지 목록을 보면 한 페이지에 어떤 사람은 주소를 하나만 넣은 사람이 있고, 주소를 20개 넣은 사람이 있다. 이를 하나부터 20개까지 분류할 수 있는데 저희는 조회한 한 페이지를 하나로 본 것이다. 그래서 이것을 1억4000여 건 조회했다고 발효한 것이다. Q. ISMS-P 접근 권한별 직무 분리와 암호 정책 수립이 미흡한 것을 확인했다고 했는데, 인증 취소도 검토하는지. 최 실장: (쿠팡은) ISMS-P 인증 기준에 미달하는 부분이 있었다. 통상적인 절차는 인증 기준 미달에 대해 보완조치를 요청한다. 보완 조치 이후에도 개선이 안 돼 있으면 그 다음에 시정 명령을 하고, 안하면 취소하는 절차를 진행한다. ISMS-P는 기업에서 정보보호를 사전적으로 잘 대비하는 체계를 갖추라는 의미이기 때문에 취약점, 미달 기준이 나왔을 때 이를 보완하는 것을 가장 우선으로 하고 있다. Q. 쿠팡은 유출된 개인정보가 3000여 건이라고 주장하고 하는데, 이를 잘못된 수치라고 보는지. 2차 피해가 없다고 주장하는데, 조사 과정에서 유출된 정황이나 사례는 없는지. IP가 조회된 장소가 해외, 중국일 가능성도 있는지. 최 실장: (쿠팡이 주장한) 3000여 건은 조사하는 과정의 하나일 뿐이다. 이에 대해 지금 수치가 맞다, 틀리다 말하는 것은 불필요하다. 2차 피해에 대한 부분은 현재까지 확인한 바로는 다크웹 등에서 확인하지 못했다. IP 조회 장소 등은 수사와 연계된 부분이 있어 경찰과 정보 공유를 한 상황이다. 이 부분에 대해서는 서울지방경찰청으로 문의를 해달라. Q. 유출자가 외부 서버 전송이 가능한 공격 스크립트를 작성한 것으로 확인됐다. 유출자가 의도적으로 외부 서버 전송 기능을 포함시켰다고 봐야 하는지 아니면 자동 기능인지. 데이터 외부 전송기록이 남아있지 않은 이유가 무엇인지, 유출자나 쿠팡 측이 기록을 삭제한 것인지. 전자출입증을 1대 1로 위변조한 것이 맞는지. 최 실장: 쿠팡으로부터 제출받은 공격자의 하드디스크와 SSD에 포함된 내용을 포렌식했다. 이곳에서 공격자가 제작한 것으로 보이는 스크립트를 확인했고 이 스트립트에 외부 클라우드를 연동하는 기능이 있었다. 이 기능 자체가 정보를 가지고 오면 그쪽으로 보내는 기능이 있었기 때문에 기능상으로는 클라우드를 이용하는 것으로 보인다. 제출받은 하드디스크상에서 직접적으로 통신한 기록이 남아있지는 않았고 남아있지 않은 이유는 로그가 일부 삭제됐을 수 있다. 삭제의 흔적도 있는데 그게 정확히 로그라고 단정할 수 있는 것까지는 남지 않았다. 이 부단장: 토큰을 위변조했을 때 매번 접속할 때마다 새로 생성해서 사용했다. 토큰 구조상 고유번호가 들어가야 한다. 그 번호를 넣을 때마다 새로 서명 키, 일종의 도장을 찍고 만들어야 되기 때문에 접속할 때마다 이런 형태의 토큰을 생성햇다고 보면 된다. Q. (이번 사태의) 유출 규모나 보안 관리 부실에 대해 처벌이 적다는 느낌이 있다. 정보통신망법상 신고 지연 외에 관리 부실 등으로 더 처벌할 수 있는 법적 근거는 없는지. 최 실장: 과징금은 개보위의 영역이다. 정보통신망법상에서는 지연 신고, 그 다음 재발 장지 대책에 대해 적절하지 않다는 문제가 있다면 과태료에 대한 부분만 지금 조치할 수 있다. SK텔레콤 때 조사한 것을 보면 동일한 수준까지 밖에 안된다. 앞으로 법 개정에 따라 침해 사고에 대해서 과징금을 물릴 수 있도록 입법이 진행되고 있다. 국회에서 입법이 되고 나면 침해 사고에 대해 나중에는 과징금을 물릴 수 있는 제도가 만들어질 것이다. Q. 결제 정보는 유출된 게 확인된 바 없는지. 최 실장: 저희가 조사한 사항으로는 없는 것으로 알고 있다.

2026.02.10 17:28박서린 기자

[쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는

쿠팡 침해사고 조사 결과에서 3367만여 건 '유출', 1억4천만여 회 '조회'라는 두 가지 수치가 함께 제시되면서 그 차이를 놓고 혼란이 일었다. 조사단은 “조회 역시 유출로 본다”는 입장을 분명히 하면서, 추후 개인정보보호위원회가 개별 정보를 모두 분리해서 유출 규모를 발표할 예정이라고 했다. 10일 과학기술정보통신부는 정부서울청사에서 민관합동조사단 조사 결과를 발표하며 "조회하는 순간 개인정보는 이미 통제권 밖으로 나가기 때문에 조회는 곧 유출"이라고 명확히 했다. 그럼에도 불구하고 조사 결과에는 '유출'과 '조회'가 나뉘어 제시됐다. 조사단에 따르면 3367만여 건 유출로 명시된 수치는 '내정보 수정' 페이지에서 확인된 성명과 이메일을 기준으로 산정됐다. 해당 페이지는 한 번 접속할 때마다 한 명의 성명과 이메일이 명확하게 노출되며, 접속기록(로그) 상에서도 개별 계정을 식별할 수 있어 정확한 건수 산정이 가능했다는 설명이다. 반면 배송지 목록 페이지의 경우 상황이 다르다. 이 페이지에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 성명, 전화번호, 주소, 마스킹된 공동현관 비밀번호 정보가 함께 포함돼 있다. 한 계정당 최대 20개까지 배송지를 등록할 수 있다. 조사단은 이 페이지가 1억4800만 회 이상 조회된 사실을 확인했지만, 페이지 안에 포함된 개인정보의 정확한 개별 건수를 현 단계에서 산정하기는 어렵다고 말했다. 이에 따라 조사단은 해당 페이지에 몇 번 접근했는지를 기준으로 조회 횟수를 발표했고, 이 조회 역시 개인정보 유출로 본다고 설명했다. 조사단 측은 “배송지 목록 페이지는 한 번 조회될 때마다 유출되는 개인정보의 개수가 사람마다 다르다”며 “이 안에 들어 있는 개별 정보를 모두 분리해 산정하는 작업은 개인정보보호위원회에서 최종적으로 판단할 사안”이라고 말했다. 조사단은 “조회라고 해서 책임이 가벼워지거나, 유출만 처벌 대상이 되는 것은 아니다”라며 “정보통신망법상으로는 조회와 유출을 모두 유출로 보고 있다”고 강조했다. 다만 개인정보보호법에 따른 유출 규모 확정과 과징금 산정은 개인정보보호위원회 소관이라고 덧붙였다. 조사단은 “조회·유출이라는 표현은 기술적 사실을 설명하기 위한 구분일 뿐, 법적 책임을 나누기 위한 구분은 아니다”라며 “최종적인 개인정보 유출 규모는 개인정보보호위원회의 판단을 기다려야 한다”고 밝혔다.

2026.02.10 16:50안희정 기자

최수연 네이버, 지식인 오류 사과..."개보위 선제적 신고"

최수연 네이버 대표가 인물정보 서비스 개편 과정에서 일부 이용자의 지식iN 과거 답변 이력이 노출된 것과 관련해 공식 사과했다. 최 대표는 6일 네이버 공지사항을 통해 “지난 2월 3~4일 양일간 지식iN 서비스 업데이트 이후 인물정보 등록 이용자의 과거 지식iN 답변 내역을 확인할 수 있는 링크가 인물정보 검색 결과에 공개됐다”며 “네이버 이용자 여러분께 심려를 끼쳐드린 점에 대해 진심으로 사과드린다”고 밝혔다. 최 대표는 네이버가 해당 상황을 인지한 직후인 4일 오후 10시쯤 관련 조치를 완료했으며, 현재 인물정보 서비스에서는 지식iN 프로필 링크가 제공되지 않고 있다고 설명했다. 해당 업데이트는 원래 상태로 롤백됐고, 동일한 문제가 향후 재발하지 않을 것으로 보고 있다는 입장이다. 최 대표는 “인물정보와 지식iN 서비스뿐 아니라 네이버 서비스 전반에서 유사한 문제가 다시는 발생하지 않도록 관련 설정과 프로세스에 대해 강도 높은 점검을 진행할 예정”이라고 밝혔다. 이번 사안과 관련해 최 대표는 개인정보보호위원회에 선제적으로 신고를 진행했으며, 향후 이뤄질 개인정보보호위원회의 조사에도 성실히 협조하겠다고 덧붙였다. 아울러 “이번 일로 피해를 입은 이용자들이 추가적인 어려움이나 곤란을 겪지 않도록 피해 확산 및 재발 방지에 책임감 있는 자세로 임하겠다”고 강조했다. 최 대표는 “다시 한 번 네이버 서비스를 이용해주시는 분들께 불편과 심려를 끼쳐드린 점 깊이 사과드리며, 신뢰받는 서비스를 제공하기 위해 최선을 다하겠다”고 말했다.

2026.02.06 19:33안희정 기자

[법과 상식 사이] 전화번호를 알려줘도 될까

지인이 누군가의 전화번호를 물어보는 순간 우리는 종종 망설이게 된다. “이거 알려주면 개인정보보호법 위반 아닐까?” 개인정보 보호에 대한 사회적 경각심이 높아진 것은 분명 바람직한 변화다. 그러나 그 영향으로 법이 요구하지 않는 상황에서도 스스로를 과도하게 제한하는 장면이 적지 않다. 문제는 많은 사람들이 무엇이 실제로 금지되고 무엇이 허용되는지를 정확히 알지 못한다는 데 있다. 개인정보보호법은 몇 가지 관점만 이해해도 생각보다 훨씬 명확하게 보인다. 먼저 짚어야 할 점은, 개인정보보호법이 '개인정보처리자'를 중심으로 작동하는 법이라는 사실이다. 이 법은 모든 사람의 일상적 행위를 규제하기 위한 법이 아니라 개인정보를 업무 목적 아래 체계적으로 처리하는 주체에게 법적 의무를 부과한다. 예를 들어, 학원 원장이 수강생의 이름과 연락처 명단을 관리하거나, 온라인 쇼핑몰 운영자가 고객의 주소와 전화번호를 저장해 배송에 활용하는 경우가 그렇다. 이들은 개인정보를 특정한 목적에 따라 지속적· 체계적으로 처리한다는 점에서 전형적인 개인정보처리자에 해당한다. 이러한 법 구조를 전제로 보면 일반적으로 개인이 가족이나 지인과 사적으로 연락처를 교환하거나 휴대전화에 저장하는 정도의 행위에 대해서는 개인정보처리자에게 부과되는 것과 동일한 수준의 법적 의무가 적용되지는 않는다. 개인정보보호법상 각종 의무의 핵심적 부담 주체는 원칙적으로 업무를 목적으로 개인정보파일을 운용하는 개인정보처리자로 설정되어 있고 단순한 사적 주소록 관리는 보통 그 요건에 해당하지 않기 때문이다. 그렇다고 곧바로 “법의 규율 대상이 아니다”라고 단정해서는 안된다. 개인정보보호법은 기본적으로 개인정보처리자를 규율하지만 업무상 알게 된 개인정보를 누설하거나 부당하게 이용하는 행위는 개인정보처리자가 아니더라도 처벌 대상이 될 수 있다. 또한 법에서 말하는 개인정보의 '처리'에는 정보를 수집하거나 이용하는 것뿐 아니라 저장해 두는 행위까지 포함되므로 연락처를 휴대전화에 저장하는 행위 역시 형식적으로는 개인정보 처리에 해당할 수 있다. 물론 이러한 사적 저장이나 이용이 곧바로 위법이나 처벌로 이어지는 것은 아니다. 다만 해당 전화번호가 업무 수행 과정에서 취득되었거나 업무 목적에 따라 이용된 경우에는 개인정보처리자 여부와 관계없이 법 위반 여부를 판단해야 하는 사안이 될 수도 있다. 한편 동창회나 동호회처럼 친목 도모를 목적으로 단체를 운영하며 개인정보를 처리하는 경우, 법은 이를 전형적인 영리·업무 목적의 개인정보 처리와는 구별해 일부 규정의 적용을 배제하고 있다. 이는 해당 주체가 개인정보처리자에 해당하지 않아서라기보다는 처리 목적과 그로 인한 침해 위험의 정도를 고려해 법적 의무의 범위를 조정한 결과로 이해하는 것이 정확하다. 그래서 전화번호를 알려줘도 될까? 그렇다면 다시 처음의 질문으로 돌아가 보자. 가장 현실적이고 안전한 답은 의외로 단순하다. “번호를 전달해도 되는지 먼저 물어볼게요.” 이 한 문장은 상대방의 자기결정권을 존중하면서 불필요한 오해와 법적 위험을 동시에 줄여 준다. 개인정보보호법은 정보를 가진 사람을 통제하려는 법이 아니라 그 정보의 당사자인 정보주체에게 통제권을 보장하려는 법이다. 결국 중요한 것은 전화번호를 알려줘도 되느냐가 아니라 그 정보에 대한 결정권이 누구에게 있는지를 인식하고 존중하는 태도다. 그 점만 분명히 인식한다면 우리는 법을 과도하게 두려워할 필요도 가볍게 여길 필요도 없다.

2026.02.06 15:03안정민 컬럼니스트

개보위 "쿠팡, 회원계정 16만5천여개 추가 유출 신고"

개인정보보호위원회는 5일 "쿠팡 측에서 오늘 16시 02분 배송지 목록 확인과정에서 기존 3370만개 회원계정 외에 16만 5천여개 회원계정의 추가 유출이 확인됐다고 신고했다"고 밝혔다. 유출내용은 16만5455개 계정의 회원이 입력한 배송지 정보(입력한 이름, 전화번호, 주소)다. 개인정보보호법 상 개인정보처리자는 유출 사실을 알게 된 경우 지체없이 정보주체에게 통지해야 한다. 이에 개보위는 지난해 유출사고 발생 직후부터 배송지 목록에 포함된 정보주체에 대해 유출 통지를 해야 한다고 두 차례 권고했다.12.3, 12.10, 1.14 의결) 또 개인정보위는 "이번 쿠팡 측이 신고한 추가 유출 내용(16.5만개 회원계정)에 대해 조사 과정을 통해 엄밀하게 검증할 계획"이라면서 "현재 민관합동조사단 등과 함께 쿠팡 회원계정은 물론 비회원까지 포함해 정확한 유출규모 및 경위에 대해 철저히 조사중"이라고 밝혔다.

2026.02.05 21:56방은주 기자

Prev 1 2 3 4 5 6 7 8 9 10 Next