검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개보위'통합검색 결과 입니다. (68건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

개보위, 개인정보 유출 샌드위치 전문점 써브웨이 조사 착수

개인정보보호위원회(위원장 고학수)는 개인정보 유출로 물의를 빚은 샌드위치 전문점 써브웨이 인터내셔날 비브이(이하 써브웨이)에 대해 조사에 착수했다고 1일 밝혔다. 구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인한다. 법 위반 발견 시 관련 법령에 따라 처분할 예정이라고 덧붙였다. 써브웨이는 앞서 개인정보 유출로 26일부터 조사를 받고 있는 한국파파존스와 동일하게 홈페이지 URL 주소의 뒷자리 숫자 변경 시 다른 고객의 주문정보(연락처, 주문내역 등)가 별도의 인증절차 없이 확인이 가능한 상태로 운영된 것으로 알려졌다. 두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼, 각 사업자들은 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개보인정보위는 밝혔다. 한편 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리실태 조사를 진행하고 있다. 하반기에 조사결과를 발표할 예정이다.

2025.07.01 22:41방은주

AI시대 개인정보보호는?...개보위, 3차 미래포럼 개최

개인정보보호위원회(위원장 고학수)는 24일 서울 명동 소재 포스트타워에서 제3차 '2025 개인정보 미래포럼'을 개최했다. 이 행사는 개인정보 분야 의제를 선제적으로 논의하고, 산업계·시민사회 등 현장의견을 수렴하는 '개인정보 정책 토론의 장'이다. 학계·법조계·산업계·시민사회 등 전문가 40명으로 구성됐다. 올해 2월과 4월 포럼 의제였던 '신산업 현장의 프라이버시 리스크 관리'(1~2차 포럼)에 이어 이번 포럼에서는, '인공지능시대 개인정보 보호'를 의제로 발제와 토론을 진행했다. 첫 번째 발제를 맡은 이종규 티사이언티픽(TSCIENTIFIC) 이사는 자연어 처리 모델(컴퓨터가 인간의 언어를 이해, 생성, 조작할 수 있도록 하는 인공지능 기술)에 기반한 인공지능을 활용해 채팅 등 비정형(대화형) 텍스트 속에서 개인정보를 실시간으로 탐지하고 비식별화하는 기술 등을 소개했다. 이 회사는 AI를 이용한 개인정보보호전문기업으로 1998년 8월 설립됐다. 이어 두 번째 발제를 한 김기태 UPSDATA(주) 대표는 실시간으로 생성되는 데이터에 포함된 개인정보를 인공지능을 활용해 비식별 처리하면서 데이터 유용성을 확보하는 기술 연구 성과를 공유했다. 이는 위험 상황에서의 범죄신고 및 응급 상황에서 환자 건강정보를 가정용 건강기기에서 의료기관으로 전송하는 경우 등 실시간으로 데이터를 수집·분석하는 과정에서의 시간지연과 정보손실을 최소화하는 장점이 있다. 개인정보위는 이날 포럼에서 제안된 의견을 반영해 신기술·신산업 혁신에 친화적인 환경 기반을 구축해 나갈 계획이다. 개인정보위는 디지털 환경에서 개인정보를 보호하며 데이터를 자유롭게 활용할 수 있도록 개인정보 보호 강화 및 활용 기술에 대한 연구개발(R&D)을 지원하고 있다. 오는 8월 개최 예정인 제4차 개인정보 미래포럼도 '인공지능 시대 개인정보 보호'를 의제로 진행하며, 인공지능 신뢰성 제고를 위한 개인정보보호 강화기술 등을 논의할 예정이다.

2025.06.24 16:00방은주

"개보위, 싱크탱크 역할 개인정보보호원 신설해야"

"싱크탱크 역할을 하는 개인정보보호원을 신설하고 개인정보보호 기금도 만들어야 합니다." 최경진 가천대 교수(한국인공지능법학회장)은 18일 국회도서관 소회의실 지하 1층에서 열린 '인공지능 시대 개인정보 거버넌스 강화를 위한 대토론회'에서 기조 발제를 하며 AI시대를 맞아 바람직한 거버넌스상으로 이 같은 방안을 제시했다. 이날 행사는 박지원, 이헌승, 강준현, 김현 국회의원과 국회입법조사처, 개인정보보호협회, 개인정보전문가협회, 한국인터넷진흥원이 공동 주최했다. 현재 개인정보보호에 관한 최상위 정부 조직은 2000년 8월 발족한 개인정보보호위원회다. 장관급 부처이지만 위원회고, 인력과 예산이 50여 정부중앙부처중 가장 작다. 이어 최 교수는 AI시대 바람직한 거버넌스로 전문부처 전환과 독립위원회 강화 두 방안 중 독립위원회 강화 방안을 더 좋아한다면서 "개인정보위 위원회 확대와 개인정보분쟁조정위원회 역할 강화, 개인정보통합증진센터 신설 등도 필요하다고" 덧붙였다. 개인정보분쟁조정위원회 역할 강화와 관련해 "정보주체 피해 구제는 미미한데 과징금만 때리는 것으론 부족하다. 그러면 국민은 그래서 뭐?라고 묻는다"면서 각 지역에 개인정보 통합권익증진센터 신설도 필요하다고 말했다. 개인정보보호기금 신설과 관련해서는 "과징금을 열심히 받고 있는데, 어디로 가는지 모르는게 아니라, 과징금을 기반으로 기금을 만들어야 한다. 출연도 들어와야 하고, 1차 기금 사용처는 피해 구제고 2차는 민원을 돕는 거다. 더 나아가, 크게 보면, 개인정보 처리 절차를 바꿔야 하는데, (기금을 사용해) 연구개발도 해야 하고, 기술도 활용해야 한다"고 밝혔다. 또 최 교수는 개인정보 개념에 대해 "커질 가능성이 있다. 더 이상 개인정보가 아닌게 없다. 어디까지 확장할 지 고민해야한다. 일본은 옵트아웃이 원칙이라 완충 지대를 만들어놨다"면서 "개인정보냐 아니냐의 이분법적 접근은 곤란하다. 이런 접근법은 시간이 갈 수록 법과 현실과의 괴리를 초래한다"고 지적했다. 보안산업계는 제로트러스트가 화두다. 제로트러스트는 아무도, 특히 기존과 달리 내부자도 믿지 말고 보안에 이중, 삼중 장치를 하라는 개념이다. 모든 곳에서 보안 사고가 일어날 수 있으니 경계하라는 의미다. 최 교수는 "제로트러스트에도 프라이버시는 포기할 수 없다"면서 "(정보호) 활용이냐 보호냐?는 끊임없이 추구하는 동적 개념이다. 균형점을 찾는게 바람직한 거버넌스"라고 짚었다. "AI시대에 맞는 새로운 거버넌스 정립이 필요하다"면서 유연성 있는 체계를 주문하며 "자율구제프레임워크를 개인정보에서도 강조해야 할 때가 왔다"고 밝혔다. 개인정보보호법과 관련한 여러 법도 언급하며 "위치정보법과 정보통신망법중 본인확인기관 부분은 당장 개보위가 가져와도 될 듯 하다"고 주장했다. 단 개보위가 모든 영역을 다 관여 못하고, 또 너무 마서면 다른 부처의 위축을 부른다면서 "(개인정보에 관한한) 왕형님처럼 있으면서 원칙 해석과 기준을 제시해야 한다"면서 "특히 깨어서 늘 긴장감을 주는 어웨어니스(awareness)가 중요하다. 개보위가 깨어있으려면 전문성과 인력 증원 등도 필요하다"고 강조했다. 이어 거버넌스 방향은 배의 평형수처럼 결국 균형이라면서 "정보주체를 위한 등대(세이프가드) 역할과 처리자입장에서는 개보위 지침을 잘 지키면 되는, 신뢰를 주는, 안전망 같은, 이 두 역할을 (개보위가) 해야 한다"고 주문했다. 최 교수에 앞서 기조발표를 한 최영진 성대 인공지능융합원 교수(전 개인정보위원회 부위원장)은 '개인정보 거버넌스의 역사적 변화와 시사점'을 주제로 발표를 했다. 우리나라와 미국 등 선진국의 개인정보보호법 연혁을 보면 미국은 첫 출발이 1974년이다(프라이버시 액트). OECD는 1980년, UN은 1990년, 우리나라는 1994년 만든 대한민국 공공기관 개인정보법이 시작이다. 최영진 교수는 "우리나라가 시작은 미국보다 20년 정도 늦었지만 2011년 이후에는 비슷한 수준이다"면서 "이는 우리가 전산화는 늦었지만 정보화는 앞섰기 때문"이라고 해석했다. 우리나라 개인정보보호법은 2011년 3월 처음 제정, 현재까지 일곱차례 개정했다. 최영진 교수는 이 중 2015년, 2020년, 2023년 개정이 중요하다고 설명했다. 2015년(3차) 개정엔 침해요인 평가 신설과 기본계획 담당 부처가 행자부에서 보호위로 바뀌었다. 또 2020년(6차) 개정은 사실상 전부 개정으로 중앙행정기관으로 개인정보위 신설과 개인정보위에 조사처분 권한을 부여하는 한편 정보통신망법 개인정보 규정 통합을 담았다. 가명정보 개념 신설과 데이터결합 근거 규정 마련도 이때 이뤄졌다. 2023년(7차) 개정때는 마이데이터의 전송요구권 신설과 프로파일링 거부권 신설, 국외 이전 조항 정비, 이동형 영상기기 관련 규정 신설 등이 이뤄졌다. 최영진 교수는 개인정보보호위원회 전망과 과제에 대해 6가지를 제시했다. 첫째, 개인정보 관련 법은 세계적으로 점차 활용이 강화되는 방향으로 이동 둘째, 안전한 활용을 위한 기술적, 제도적 조치의 중요성 증대 셋째, 개인정보 관련 규제 합리화 및 위원회의 전문성 강화 넷째, 인공지능 시대의 가치있는 데이터(개인정보 포함 데이터) 다섯째, 개인정보의 안전한 활용 보장 여섯째, 개인정보보호위원회의 정책, 규제기관으로서의 역량 강화 필요 등이다.

2025.06.18 17:53방은주

네이버, 스마트스토어 판매자 정보 유출 의혹 부인

스마트스토어 판매자 정보가 다크웹에서 파일 형태로 거래되고 있다는 보도가 나오자 네이버가 해킹 흔적은 전혀 없었다고 해명했다. 17일 네이버는 입장문을 통해 “자사는 통신판매중개업자로서 비슷한 형태의 온라인 커머스 사업자와 마찬가지로 현행법상 스마트스토어 판매자의 사업자 정보를 소비자에게 제공할 법적 의무가 있다”고 밝혔다. 이어 “보도된 스마트스토어 판매자 정보는 법령에 따라 공개된 사업자 정보로서 제3자에 의해 수집된 것으로 보인다”며 “자체 점검 결과 자사 시스템 내 이용자 개인정보 데이터베이스(DB) 침해 정황 등 해킹 흔적은 전혀 없는 것으로 파악됐다”고 강조했다. 또 “이와 같은 제3자에 의한 정보 수집을 막기 위해 판매자 정보 확인 시 자동입력 방지 기능을 도입하고 판매자 정보가 포함된 URL 주소에 무작위 문자열을 삽입하는 등 접근 차단 등의 조치를 시행하고 있다”고 설명했다. 향후 추가적으로 크롤링 탐지 강화, 정보 접근 제어 고도화 등의 조치를 지속적으로 확대하겠다고도 했다. 끝으로 네이버는 “현재까지 해당 정보의 유통으로 인한 피해는 접수된 바 없으나, 개인정보보호위원회와 한국인터넷진흥원(KISA)과 긴밀히 협조해 해당 정보 유통으로 인한 피해가 발생하지 않도록 만전을 기하겠다”고 약속했다.

2025.06.17 20:53박서린

약속 시점 어긴 예스24…서비스 완전 정상화 언제?

랜섬웨어에 감염돼 홍역을 치렀던 인터넷 서점 예스24가 약속한 기한이 지났음에도 모든 기능을 복구하지 못했다. 상품 상세와 카트·결제 등 일부 기능 정상화와 더불어, 피해보상액 산정까지 해결해야 할 과제가 산적해 있다. 16일 예스24 홈페이지에 접속하면 도서 및 음반·DVD, 문구·기프트, 이(e)북 상품 구매, 크래마클럽 서비스, 주문 결제, 1:1 문의, 티켓 서비스에 한해 이용 가능하다고 안내하고 있다. 또 홈페이지 먹통 사태 전에 이미 주문한 도서도 정상적으로 배송되고 있다. 다만, 지난 13일과 마찬가지로 사락, 채널예스, 미리보기·미리듣기를 포함한 상품 상세, 업체 배송을 포함한 카트·결제, 주요 서비스 중 일부 등은 여전히 이용할 수 없다. 최초로 홈페이지가 복귀된 뒤 이틀 동안 이(e)북 상품 구매, 크레마클럽 서비스만 복구됐다. 이는 당초 약속했던 시점보다 정상화가 더뎌지고 있는 것이다. 앞서 예스24는 2차 입장문에서 “사태 해결까지 늦어도 이달 15일 이내로 정상화가 예상된다”고 언급한 바 있다. 예스24 관계자는 “완전한 서비스 재개 일정은 섣불러 말씀드리기가 어렵다”며 “기존에 주문했던 책들은 순차적으로 배송되고 있고, 이미 수령한 고객도 있는 걸로 알고 있다”고 말했다. '시스템 장애'라던 늑장 대응에 거짓 해명까지 이용자 불편을 불러온 예스24 홈페이지, 앱 먹통 사태가 처음 시작된 것은 일주일 전인 지난 9일 새벽 4시경이다. 당시 예스24는 홈페이지와 앱에 접속 불가로 도서 주문, 티켓 예매 등 온라인 서비스 전반을 이용할 수 없게 되자 공지사항을 통해 “시스템 장애로 인한 접속 오류”라고 강조한 바 있다. 사건이 해결될 기미가 보이지 않았던 와중에 최수진 국민의힘 의원이 국회에서 예스24 홈페이지, 앱 먹통 사고가 시스템 상의 문제가 아닌 랜섬웨어에 의한 공격이라고 밝히면서 늑장 대응이라는 질타를 받기도 했다. 얼마 후 예스24는 랜섬웨어에 의한 공격을 공식화하며 “한국인터넷진흥원(KISA) 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 주장했다. 그러자KISA는 예스24가 기술지원에 동의하지 않아 협력하고 있지 않다며 예스24와 상반된 입장을 내놓은 바 있다. 양측의 의견 차로 혼란을 빚으면서 예스24는 거짓 해명 논란에 휩싸이기도 했다. 분석가들이 지난 10일과 11일 예스24 본사로 2차례 방문했으나 상황을 예스24로부터 구두로 공유받은 것 외 추가적으로 확인하거나 협력해 조사한 것이 없다는 것이 KISA 측 설명이었다. 늑장 대응에 더해 거짓 해명으로 지적받자 예스24는 소통 과정에서 혼선으로 생긴 오류라며 “10, 11일 2차례 KISA 방문 후 어느정도 상황이 정리되면 본격적으로 협력을 논의한 상태였다. 이 부분에 대해 별도의 기술지원 신청 없이도 조사에 착수됐다고 이해한 것”이라고 해명했다. 또 “13일 오후 중 도서, 티켓 등 일부 서비스를 개재할 예정”이라며 “이후 전자책을 포함한 그 외의 서비스들도 순차적으로 이용 가능할 것으로 예상된다”며 거듭 사과했다. 복구 지연, 시스템 또는 데이터 문제에 '무게' 이후 지난 13일 예상한 시점에 맞춰 홈페이지가 열리면서 예스24 일부 서비스는 이용 가능해졌지만, 서비스 완전 복구가 지연되면서 나머지 서비스의 정상화 시점은 오리무중이다. 랜섬웨어로 인한 피해 규모가 어느 정도인지 명확하지 않아 복구 시점을 가늠하기 어렵다는 게 업계 전문가 견해다. 여기에 좌석번호가 확인되지 않아 공연에 입장하지 못했던 건을 포함해 홈페이지, 앱이 먹통되며 발생한 피해보상액 산정, 보상 시점에 대한 문제도 산적해있다. 뿐만 아니라 개인정보보호위원회가 조사에 착수하면서 개인정보 유출에 대한 우려에서도 자유로울 수 없다. 염흥열 순천향대 정보보호학과 교수는 “보통 인터넷 기업들은 서비스가 중단되더라도 몇 시간, 최대 하루 이내에 서비스가 복구되도록 설계 목표치를 잡고 있다. 5일이나 서비스가 중단된 것은 굉장히 이례적인 일”이라고 말했다. 이어 “복구 지연에는 여러 이유가 있을 수 있는데, 시스템 자체가 망가졌을 수도 있고 데이터가 망가졌을 수도 있다. 그 중에서도 데이터가 망가졌을 가능성이 크다”며 “여러 경우가 있어 (정확한 서비스 재개 시점을) 단정하기는 어렵다”고 덧붙였다. 예스24에 기술 지원을 제공하고 있는 KISA 관계자도 “조사 중인 사안으로 복구 시점을 예측하기는 어렵다”고 답했다.

2025.06.16 16:28박서린

개보위, 한국연구재단 조사...해킹당해 개인정보 12만건 유출

개인정보보호위원회(위원장 고학수)는 해킹에 따른 한국연구재단의 개인정보유출에 대해 조사에 착수했다고 13일 밝혔다. 앞서 한국연구재단은 학술 및 연구개발 활동 지원을 위한 '온라인논문투고시스템'(JAMS, Journal and Article Management system)에서 취약점 해킹 공격으로 약 12만 건의 개인정보 유출이 있었다며 개인정보위에 12일 오후 4시경 신고했다. 유출된 개인정보는 성명, 생년월일, 연락처, 이메일주소, 계정 ID 등이다. JAMS에 등록된 개별 학회는 약 1600여곳이다. 이에 개인정보위는 "자료제출 요구, 현장 조사 등을 통해 구체적인 유출 경위 및 피해 규모, 안전조치 의무 및 유출 통지·신고 의무 등 '개인정보 보호법' 준수 여부를 조사할 것이며 법 위반 사항이 확인되는 경우, 관련 법령에 따라 처분할 예정"이라고 밝혔다. 한국연구재단은 전 학문분야를 아우르는 국가 기초연구지원시스템의 효율화 및 선진화를 목적으로 한국연구재단법에 따라 2009년 6월 26일 설립된 연구관리 전문기관이다. 국내에서 유일하게 인문사회와 이공계를 아우르는 모든 학문 분야를 지원하고 있다. 올 2월 기준 예산은 8조 4천여억원이다. 한국연구재단은 14일 오전 9시 현재 홈페이지에 개인정보 유출 사실을 공지하지 않은 상태다. 보통 민간은 해킹을 당하면 개인정보위에 신고하고, 또 그 사실을 홈페이지에 공지한다. 이에 대해 한국연구재단은 "즉시 JAMS 홈페이지(JAMS PORTAL) 및 JAMS에 등록된 약 1600여개의 개별 학회 홈페이지를 통해 사과문을 공지했다. 이후에는 사과문 알림창을 통해 해킹 피해 조회 서비스도 추가로 제공하고 있다"면서 "JAMS를 이용하는 학회 및 회원에게 보다 신속하고 정확하게 안내하기 위해 재단 홈페이지가 아닌 해당 홈페이지를 통해 즉시 공지했다"고 설명했다. 한편 한국연구재단은 전산실 이전 작업을 오는 7월 18~20일 진행할 예정이다. 이에, 이 시기에 정보시스템 접속 불가와 일부 기능 사용이 불가하다고 홈페이지에 공지해 놓았다.

2025.06.14 09:20방은주

예스24, 이제야 KISA에 'SOS'…서비스 정상화 계획대로 될까

홈페이지, 앱 먹통 사태가 계속되고 있는 인터넷 서점 예스24가 사고 나흘이 지나서야 한국인터넷진흥원(KISA)에 협력을 요청했다. 해킹을 당한 직후 기술지원 요청을 하지 않고, 4일 차에 접어들어서야 협력한 배경에 관심이 쏠린다. 12일 KISA에 따르면 이날 오전 예스24는 KISA에 홈페이지, 앱 접속 불능 사고에 대한 기술지원을 요청했다. KISA 관계자는 “오전 11시에서 11시 30분 사이 예스24가 기술지원을 요청했다”며 “기술지원을 요청함에 따라 지금 원인을 분석 중”이라고 말했다.이어 “원인 조사는 피해 확산, 재발 방지에 초점이 맞춰질 것”이라고 덧붙였다. 예스24가 KISA에 기술 지원을 요청한 것은 이번 사태가 발생한지 나흘만이다. 앞선 지난 9일 새벽 4시 예스24는 랜섬웨어의 공격으로 홈페이지와, 앱 접속이 불가능해지면서 도서 주문부터 공연 예매, 이(e)북 열람까지 주요 서비스 전반이 모두 마비됐다. 당초 예스24는 이번 사건과 관련해 “시스템 장애”라는 입장을 고수했으나 랜섬웨어에 의한 장애라는 사실이 알려지자 뒤늦게 해킹 사실을 인정해 빈축을 산 바 있다. 예스24 실책은 또 있다. 이후 발표한 사과문에서 “KISA 등과 함께 사고 원인 분석, 피해 사실 여부 파악에 최선을 다하고 있다”고 했으나 이는 사실이 아니었다. KISA가 “예스24와 협력해 조사한 사실이 없다”고 반박문을 내면서 예스24 발표는 거짓 해명으로 드러났다. 사고 파악을 위해 예스24 본사로 KISA 분석가들이 두 차례 방문했음에도 기술지원에 동의하지 않다가, 사건이 장기화되자 부랴부랴 기술지원에 동의한 것이 아니냐는 의문도 나온다. 예스24가 지난 11일 저녁 낸 2차가 입장문에서 밝힌대로, 오늘 2시 30분경 일부 공연 제작사의 공연 현장 입장처리 시스템이 복구되기 시작했다. 뮤지컬 '매디슨 카운티의 다리', '구텐버그'의 제작사 쇼노트는 공식 인스타그램을 통해 “예스24 예매자 정보가 복구돼 신분증 지참 혹은 예매 내역, 개인정보 확인으로 티켓 수령이 가능하다”고 안내했다. 이에 예스24가 주장대로 도서 등 주요 서비스가 하루 이틀 내 순차적으로 복구될지 여부에도 이목이 쏠린다. 회사 측은 늦어도 15일까지 모든 시스템을 복구하겠다고 밝혔었다. 예스24 관계자는 “판매 페이지, 좌석 등을 확인해야 공연에 입장할 수 있어 공연 기획사가 볼 수 있는 페이지가 가장 먼저 열렸다”며 “나머지 서비스의 복구는 명확한 시간을 장담하기 어렵다”고 말했다.

2025.06.12 15:47박서린

개인정보 유출 전북대 6.2억, 이대 3.3억 과징금

개인정보보호위원회(위원장 고학수)는 11일 개최한 제13회 전체회의에서 개인정보를 유출해 개인정보 보호법(이하 '보호법')을 위반한 전북대학교와 이화여자대학교에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다고 밝혔다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대학교(32만여 명 유출)는 6억 2300만 원, 이화여자대학교(8만 3천여 명 유출)는 3억 4300만 원의 과징금을 각각 부과했다. 개인정보위는 개인정보 유출 신고에 따라 조사한 결과, 이들 대학의 학사정보시스템에 구축 당시부터 취약점이 존재해 왔고, 일과 시간 외 야간 및 주말에는 외부의 불법 접근을 탐지해 차단하는 모니터링이 제대로 이뤄지지 않는 등 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 사실을 확인했다. 대학별 위반 내용과 처분 결과는 다음과 같다. ■ 전북대학교 2024년 7월 28일~29일 이틀간 해커가 에스큐엘(SQL) 인젝션(데이터베이스 명령어 주입) 및 파라미터(입력값) 변조 공격으로 전북대학교 학사행정정보시스템에 침입해 32만여 명의 개인정보(주민등록번호 28만여 건 포함)를 탈취했다. 'SQL 인젝션'은 데이터베이스 명령어를 악의적으로 조작해 서버를 오작동시킴으로써 접근권한 없는 정보를 열람 또는 변조하는 공격 방식이다. 또 '파라미터 변조'는 웹 애플리케이션에서 입력된 데이터 검증 로직의 취약점을 악용해 입력값 조작을 통해 개인정보를 탈취하는 해킹 기법을 말한다. 개인정보위 조사 결과, 해커는 학사행정정보시스템의 비밀번호 찾기 페이지에 존재하는 취약점을 악용해 학번 정보를 입수한 후 학적정보 조회 페이지 등에서 약 90만 회의 파라미터 변조 및 무작위 대입을 통해 전북대학교 학생 및 평생교육원 홈페이지 회원 총 32만여 명의 개인정보에 접근한 것으로 파악됐다. 해당 취약점은 2010년 12월 시스템 구축 당시부터 존재했다. 아울러 전북대학교는 기본적 보안 장비는 갖추고 있었으나 외부 공격에 대한 대응이 미흡했고, 특히 일과시간 외에는 모니터링을 소홀히 한 결과 주말‧야간에 발생한 비정상적 트래픽 급증 현상을 2024년 7월 29일 오후에야 뒤늦게 인지한 것으로 나타났다. 이에 따라 개인정보위는 전북대학교에 총 6억 2300만 원의 과징금과 540만 원의 과태료를 부과하면서 이를 대학 홈페이지에 공표하도록 명하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계도 권고했다. ■ 이화여자대학교 2024년 9월 2일~3일 이틀간 해커가 시스템의 데이터베이스(DB) 조회 기능 취약점을 악용한 파라미터 변조 공격(개인정보 조회 시, 세션값(사용자 식별값)과 조회 대상 정보가 불일치하는 경우에도 파라미터(학번) 변조를 통해 다른 사용자의 개인정보 조회가 가능한 취약점 존재)으로 이화여자대학교 통합행정시스템에 침입해 8만 3천여 명의 주민등록번호를 포함한 개인정보를 탈취했다. 개인정보위 조사 결과, 해커는 통합행정시스템에 접근하여 약 10만 회의 파라미터 변조 및 무작위 대입을 통해 이화여자대학교 학부생 및 학부 졸업생 8만 3천여 명의 개인정보를 탈취한 것으로 드러났다. 이화여자대학교 역시 이러한 취약점이 2015년 11월 시스템 구축 당시부터 존재해 왔던 것으로 나타났으며, 기본적인 보안 체계는 갖추고 있었으나 외부 공격(예: 동일한 아이피(IP)에서 타인의 개인정보를 반복적으로 조회 시도하는 경우 등)에 대한 대응이 미흡했고, 특히 일과시간 외에는 주말‧야간 모니터링을 소홀히 하는 등 외부의 불법적인 접근 통제 조치가 미흡했던 것으로 밝혀졌다. 이에 따라 개인정보위는 이화여자대학교에 총 3억 4300만 원의 과징금을 부과하면서 이를 대학 홈페이지에 공표하도록 명하는 한편, 모의해킹 등 취약점 점검을 강화하고 상시 모니터링 체계를 구축하도록 시정명령 함과 동시에 책임자에 대한 징계를 권고했다. ■이번 조사‧처분 의의 대학의 경우 대개 생성규칙이 단순한 '학번' 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약한 측면이 있고, 대규모 고유식별정보를 처리하고 있어 유출 사고 발생 시 정보주체의 막대한 피해가 예상된다. 이에 따라 파라미터 변조 공격에 대비하고, 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다. 개인정보위는 최근 대학에서 개인정보 유출 사고가 잇따르는 점을 감안해 교육부에 “전국 대학 학사정보관리시스템의 개인정보 관리가 강화될 수 있도록 전파해 줄 것과 관련 내용을 대학 평가 등에 반영될 수 있도록 검토해 줄 것”을 요청할 예정이다. 실제 지난해부터 올해 5월말까지 전국 대학에서 21건의 개인정보 유출 신고가 발생했다.

2025.06.12 12:00방은주

고학수 개보위원장 "SKT 해킹, 국민이 이미 큰 피해"

고학수 개인정보보호위원장이 SK텔레콤 해킹으로 국민이 이미 큰 피해를 당했다고 일침을 날렸다. 개인정보가 털린 데다 국민이 불안해 가입자식별모듈(USIM·유심)을 바꾸려 새벽부터 몰리는 일 모두 피해 양상이라는 입장이다. 고 위원장은 21일 서울 중구 은행회관에서 열린 '개인정보 정책 포럼' 기자간담회에서 “SK텔레콤은 역대급 사고를 냈다”며 “국민 믿음이 무너지는 매우 중대한 사건”이라고 말했다. 그는 “SK텔레콤 고객과 일반 국민 관점에서 이 사건을 바라봐야 한다”며 “회사를 믿었던 고객 2600만명이 엄청난 피해를 입었다”고 강조했다. 고 위원장은 “'피해를 증명하면~'이라는 단서를 다는 사람이 있지만, 이미 어마어마한 피해가 발생했다는 게 핵심”이라며 “개인정보 나간 것 자체가 피해”라고 지적했다. 그는 “국민이 불안한 게 또 피해”라며 “'내 전화번호 나가서 어떡하지' 불안해하고 유심 바꾸려 새벽부터 줄 서고 시간 쓰고 돈 쓰고 애쓰면서 혼란스러워한다”고 전했다. 그러면서 “이게 피해가 아니면 무엇이 피해냐”며 “자꾸 '정보 유출로 인한 피해가 없다'거나 '복제폰 못 만들어서 피해 없다'고 하지 말라”고 비판했다. 이어 “복제폰 같은 2차 피해가 터져야 피해 생겼다고 말하는 것은 잘못”이라며 “2차 피해는 당연히 이후 감시하고 최소화해야 한다”고 덧붙였다. 고 위원장은 “SK텔레콤이 피해를 막지 못했다”며 “왜 못 막았는지, 어떤 안전 조치를 안 지켰는지 개인정보위가 철저하게 조사해 SK텔레콤이 법을 어겼다면 강력히 제재할 것”이라고 밝혔다. 과징금에 대해서는 “LG유플러스와 차원이 전혀 다른 유례없는 상황”이라고 언급했다. SK텔레콤 고객 정보가 빠져나가 징벌적손해배상도 화두로 떠올랐다. 고 위원장은 “개인정보보호법에 징벌적손해배상 관련 조항이 있다”면서도 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 털어놨다. 또 “법과 제도를 고쳐야 한다고 생각한다”며 “소비자 개인이 당한 피해를 실제로 구제하는 방안을 마련하겠다”고 나섰다. SK텔레콤이 소비자에게 '개인정보가 유출됐다'고 하지 않고 '가능성이 있다'며 빠져나갈 구멍을 만든 데에도 쓴 소리를 했다. 고 위원장은 “개인적으로 굉장히 유감”이라며 “'유출 가능성', '조사 결과 나중에 필요하면 알리겠다'는 식은 개인정보보호법이 요구하는 바가 아니다”라고 주장했다. 그는 “이렇게 큰 회사가 몇 주 지날 때까지 통지하지 않은 것도 잘못”이라며 “법적으로 제때 통지하지 않으면서 그마저도 부실하게 통지했다”고 목소리를 높였다. 다만 “개인정보위는 SK텔레콤이 충실하게 이행하지 않았다고 생각해 '통지가 미흡했다'고 회사에 공문 보냈다”며 “'다시 통지하라'고 하기에는 실익이 떨어져 처분 과정에 이런 통지 내용을 반영할 것”이라고 설명했다.

2025.05.21 22:56유혜진

개인정보위, 매달 현장 상담서 마이데이터·AI규정 설명

개인정보보호위원회는 29일 부산 해운대구 가명정보활용지원센터에서 '찾아가는 개인정보 현장 상담'을 실시했다. 지난달 서울에 이어 두 번째다. 개인정보위는 올해 추진할 가명정보와 마이데이터 제도 개선 방향, '개인정보보호법' 상 인공지능(AI) 특례 규정 등을 설명했다. 법령 해석 사례와 더불어 개인정보 보호 방안과 지난달 시행된 마이데이터 서비스 제도를 안내했다. 개인정보위는 '안전지킴이'도 두고 있다. 개인정보 보호 분야에서 실무 경험과 전문성을 쌓은 퇴직공무원이 안전지킴이로 활동한다. 이들은 온라인에 유·노출된 개인정보와 불법 유통 게시물을 탐지하고, 개인정보를 보호하는 데 어려움을 겪는 스타트업·소상공인을 상담한다. 개인정보위는 연말까지 매달 전국 7개 권역에서 찾아가는 상담을 하기로 했다. 5월(서울), 6월(대구), 7월(강원), 8월(인천), 9월(서울), 10월(대구), 11월(전북), 12월(대전) 등으로 계획했다.

2025.04.29 16:56유혜진

"AI 학습 정보 수집 때도 처리방침 투명하게 공개"

정부가 기관이나 기업들이 소비자들의 개인정보를 인공지능(AI) 학습에 활용할 경우에도 처리 방침을 투명하게 밝히도록 권고했다. 개인정보보호위원회는 28일 서울 강남구 한국과학기술회관에서 '개인정보 처리 방침 작성 지침 설명회'를 열고 이같이 밝혔다. 기관이나 기업들은 개인정보보호법 제30조에 따라 개인정보 처리 방침을 투명하게 작성 및 공개해야 한다. 개인정보보호위원회는 이 조항을 AI 학습에도 적용하도록 권고했다. 임종철 개보위 서기관은 "기관이나 기업이 AI 학습용 정보를 소비자로부터 수집해 이용한다면 어떤 식으로 투명하게 할 것인지 기준을 개인정보 처리 방침에 명시하길 권한다”고 말했다. 그는 정보주체 동의 없이 처리할 수 있는 개인정보 항목과 동의가 필요한 항목도 소개했다. 회원 서비스 운영이나 판매 상품을 사후 처리(AS)하기 위해 상담하는 등 계약 체결·이행에 관한 사항은 동의 없이 처리할 수 있다. 하지만 민감정보, 고유식별정보, 개인정보 제3자 제공의 경우 계약을 체결·이행하는 일이더라도 동의를 받아야 처리할 수 있다. 소비자에게는 개인정보 관련 고충을 직접 처리하는 부서 연락처를 알려주거나, 개인정보책임자(CPO)가 책임지고 고충을 처리하는 고객센터 등 유관 부서 연락처를 공개하도록 했다. CPO 소속 부서 연락처만 기재하면 됐던 기존 규정을 좀 더 강화한 것이다. 개인정보 처리 방침 공개 방식은 좀 더 다양화했다. 이에 따라 사업자 홈페이지 첫 화면 말고도 '서비스 메뉴', '설정', '회원가입', '로그인 영역' 등에 처리 방침을 표시해도 된다. 임 서기관은 “모바일 앱 환경이 다양해져서 공개 방식을 고쳤다”며 “기존에는 반드시 홈페이지 첫 화면 아래에 처리 방침을 공개해 맨 밑으로 화면을 내려야 이를 볼 수 있었다”고 강조했다. 행태 정보를 수집·이용·제공한다거나 소비자가 거부하는 방법을 알리는 요령도 안내했다. 이동일 개보위 사무관은 “사업자는 인터넷 쿠키와 맞춤형 광고를 차단하는 방법 등 정보 주체가 거부권을 행사할 방법을 제시해야 한다”며 “웹브라우저에 저장된 쿠키 삭제, 제3자 쿠키 삭제, 모든 쿠키 삭제 등 단계별로 맞춤형 광고를 차단할 수 있다”고 설명했다. 이날 설명회에는 공공·민간 부문 개인정보처리자 400명이 참석했다.

2025.04.29 16:05유혜진

[기고] 대한민국이 AI 강국으로 가는 길, 데이터 활용의 딜레마를 넘어

개인정보보호위원회가 주관해 상정하고 지난 2월 국가인공지능위원회가 심의해 채택한 '인공지능(AI) 데이터 확충 및 개방 확대방안'은 AI 시대를 맞아 우리나라가 경쟁력을 갖추기 위한 본격적인 첫걸음이라고 할 수 있다. 국가인공지능위원회는 이 방안을 채택하면서 AI 기반의 디지털 전환이 가속화되는 시대에 대응하고 AI 경쟁력을 높이기 위한 양질의 데이터를 보다 많이 확보하며 이를 적극적으로 활용할 수 있는 정책 마련을 목표로 삼았다. 이 의안에서 무엇보다 주목할 점은 AI 정책의 최상위 거버넌스 기구인 국가인공지능위원회가 AI 발전을 위해 데이터 접근이 필수적이라는 점을 공식적으로 인정했다는 것이다. 이는 데이터 활용을 둘러싼 사회적 인식과 정책 방향에 중요한 전환점이 될 수 있다. 다만 보다 중요한 과제는 이 방안의 취지를 뒷받침할 수 있는 구체적이고 실행력 있는 후속 정책을 신속히 마련한 후 실제 집행으로 이어가는 일이다. 이 과정에서 AI 모델이 실제로 어떻게 설계되고 학습되는지를 이해하는 것이 필수적이다. 산업 현장과 기술의 현실을 충분히 고려하지 않은 채 이론에만 머무는 논의는 오히려 과도한 규제나 비현실적인 기준으로 이어져 혁신을 저해할 위험이 있다. 이번 의안은 AI가 학습에 필요한 데이터를 활용할 때 정보주체의 '동의'만을 유일한 법적 근거로 삼지 않겠다는 취지를 담고 있다. 이는 동의를 받기 어려운 현실적인 제약과 형식적인 동의가 오히려 개인정보 보호를 약화시킬 수 있다는 문제의식에서 출발한 것이다. 동의 외에도 정당한 이익, 공익 목적, 가명정보 활용 등 다양한 법적 근거를 합리적으로 마련하면 데이터 활용의 유연성을 높이고 AI 혁신의 기반도 한층 더 강화할 수 있다. 결국 어떤 대안을 채택하고 그 기준을 어떻게 설계하느냐에 따라 한국 사회가 나아갈 AI 시대의 방향은 크게 달라질 것이다. '계약의 필요성(제15조 제1항 제4호)'과 '정당한 이익(같은 항 제6호)'은 개인정보보호법상 동의에만 의존하기 어려운 현실을 보완할 수 있는 중요한 법적 근거다. 지난해 12월 개인정보보호위원회가 공개한 개인정보 처리 통합 안내서에서도 이 두 근거의 적용 범위를 넓히려는 방향성을 확인할 수 있다. 이 방향성은 데이터 활용의 현실성과 기술 발전의 속도를 함께 고려하려는 시도의 일환이라고 볼 수 있다. AI 학습에는 필연적으로 대규모 데이터의 활용이 요구되며 이를 뒷받침하려면 기술적 맥락과 사회적 현실을 반영한 유연한 법적 근거가 필요하다. 그런 점에서 '계약의 필요성'과 '정당한 이익'의 적극적인 해석과 적용은 앞으로의 AI 정책과 데이터 활용 논의에서 핵심적인 역할을 하게 될 것이다. AI 모델의 발전은 이제 단순한 IT 기술의 문제가 아니라 국가 경제 전반의 경쟁력과 대한민국 사회 전체의 이익과 직결된 과제가 됐다. 기업들은 경쟁력 있는 AI 기술을 학습하고 고도화하는 일을 생존 전략의 일부로 받아들이고 있으며 일반 국민 역시 AI 기술을 통해 보다 나은 서비스를 누릴 기회를 기대하고 있다. 한국 사회의 현실을 제대로 반영하는 AI 기술을 개발하기 위해서는 국내 이용자에 기반한 데이터가 필수적이다. 우리의 언어, 지리, 문화적 맥락을 반영하지 못하는 기술은 결과적으로 편향되거나 차별적인 판단을 내릴 수밖에 없다. 이러한 문제는 AI가 우리의 일상 속으로 깊이 들어오고 있는 지금 중대한 사회적 문제로 부상하고 있다. 결국 해답은 데이터 접근성의 획기적 확대에 있다. 이미 세계 각국은 데이터 주도권 확보를 위한 경쟁에 돌입했다. 유럽 개인정보보호이사회(EDPB)는 AI 학습을 위한 적법 근거로 '정당한 이익'을 명시했고 일본은 개인정보보호법 개정을 통해 일정한 요건 하에서는 동의 없이도 AI 학습 데이터 활용을 허용하는 방안을 추진 중이다. 이제 우리도 더 이상 논의를 미룰 수 없다. AI 시대에 걸맞은 구체적이고 실행 가능한 법적 기준을 마련해야 할 때다. 데이터 활용과 개인정보 보호는 대립하는 개념이 아니라 조화를 이뤄야 할 정책 목표다. 이를 위한 정교한 설계가 절실하다. 이 중요한 전환점에서 가장 필요한 것은 현장의 현실을 반영한 제도다. 기술을 직접 개발하고 데이터를 다루는 이들의 목소리를 반영하지 못한 규제는 결국 우리 스스로의 경쟁력을 제약하는 결과를 낳게 된다. AI 강국을 향한 우리의 여정이 규제의 그늘 속에 가로막힐 수 있다는 지적에 귀를 기울어야 할 것이다.

2025.04.14 17:17조경식

'블랙야크' 보안 뚫렸다...개인정보 34만 건 유출

의류 브랜드 BYN블랙야크의 회원 34만 명 개인 정보가 유출됐다. 회사는 이번 사고로 소비자들에게 피해가 가지 않도록 최선을 다하겠다는 입장을 냈다. 6일 블랙야크에 따르면, 이번 정보 유출은 지난 4일 해커에 의한 홈페이지 공격을 통해 발생했다. 유출된 개인정보 항목은 ▲이름(닉네임) ▲성별 ▲생년월일 ▲휴대전화 번호 ▲주소 뒷부분 등이다. 블랙야크는 본 사안을 인지한 직후 사고 원인을 파악했고, 해당 IP와 불법 접속 경로를 차단한 뒤 취약점을 점검해 보안 조치했다고 말했다. 개인정부 유출 등으로 인해 손해가 발생한 경우 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있다. 회사는 “개인정보 유출로 인해 심려를 끼쳐드린 점에 대해 다시 한번 깊이 사과드린다”며 “유출로 인한 피해가 발생하지 않도록 최선을 다하겠다”고 했다.

2025.03.06 20:00류승현

'딥시크' 서비스 중단 파장…뤼튼·마음AI 등 R1 사용자 '안도'

정부가 중국 생성형 인공지능(AI) '딥시크'의 앱 다운로드를 국내서 중단시킨 가운데 '딥시크'를 활용하고 있는 업체들에게도 어떤 영향이 있을지 관심이 쏠린다. '딥시크'는 과도한 개인정보 수집에 따른 침해 문제를 고려한 우리 정부의 요청으로 다운로드가 중단된 상태로, 향후 국내 개인정보보호법에 따른 개선과 보완이 이뤄진 후 서비스가 재개될 예정이다. 17일 업계에 따르면 딥시크는 현재 ▲딥시크가 직접 운영하는 챗봇 서비스 및 기업용 API(외부 서비스와 연동하는 기능 제공) ▲딥시크가 개발한 오픈소스 '딥시크-R1' 모델로 누구나 다운로드해 자체 서버에 설치해 사용할 수 있는 두 가지 형태로 운영 중이다. 이 중 문제로 지적된 것은 챗봇 서비스 및 기업용 API다. 딥시크가 광범위한 사용자 개인정보를 수집하며 해당 데이터가 중국 서버에 저장된다는 점에서다. 이에 개인정보보호위원회는 지난달 31일 딥시크 본사에 개인정보 수집·처리 방식 관련 공식 질의서를 보내고 서비스에 대한 자체 분석에 착수했다. 그 결과 그간 여러 곳에서 지적된 제3사업자와 통신 기능 및 개인정보 처리 방침상 미흡한 부분이 일부 확인됐다. 이 같은 사실을 파악한 딥시크 사는 지난 10일 법무법인 태평양을 국내 대리인으로 지정한 후 글로벌 서비스 출시 과정에서 국내 보호법에 대한 고려가 일부 소홀했음을 인정했다. 또 지난 14일에는 앞으로 개인정보위에 적극 협력하겠다는 의사도 표명했다. 하지만 개인정보위는 보호법에 따라 딥시크 서비스를 시정하기까지는 상당한 시일이 걸릴 것으로 봤다. 또 추가적인 우려가 확산되지 않게 잠정 중단 후 개선·보완하도록 딥시크 사에 요구했다. 최장혁 개인정보위 부위원장은 "딥시크 앱의 국내 서비스가 지난 15일 오후 6시부터 잠정 중단됐다"며 "국내 개인정보 보호법에 따른 개선·보완이 이뤄진 후에 서비스가 재개될 예정"이라고 말했다. 이번 일로 앱마켓에선 당분간 신규로 딥시크 앱을 다운받을 수 없게 됐다. 다만 기존 앱 이용자와 웹 서비스 이용은 제한되지 않는다는 점에서 개인정보위는 개인정보를 입력하지 않는 등 신중하게 이용할 것을 당부했다. 또 개인정보위는 서비스 중단 기간에 딥시크 개인정보 처리 실태를 점검할 계획이다. 서비스 재개는 국내법에 따른 개선·보완을 진행한 뒤 진행될 방침이다. 남석 개인정보위 조사조정국장은 "기존에 앱을 다운받은 경우 사업자 측에서 마땅히 할 수 있는 조치가 없고 인터넷 역시 차단이 쉽지 않다"며 "실태점검 과정에서 보호법상 준수 의무 등을 살펴보고 결과 발표 시 대책을 발표할 것"이라고 설명했다. 반면 딥시크 R1 모델을 쓰는 기업들은 이번 개인정보위의 중단 방침에서 제외됐다. 현재 R1 모델을 쓴 것으로 알려진 곳들은 뤼튼테크놀로지스와 마음AI, 포티투마루 등이 대표적이다. 뤼튼테크놀로지스는 자체 클라우드에 R1 모델을 탑재하고 카카오톡을 통해 무료 질의응답 서비스를 제공하고 있다. 마음AI는 기업용(B2B) 상품으로 내부망에 전용 R1 모델을 설치할 수 있는 서비스를 출시했다. 포티투마루는 멀티 LLM 기반 생성형 AI 솔루션에 R1 모델을 지원한다. 현재까지 R1 모델을 채택한 기업들의 테스트에서는 보안 위협이 확인되지 않은 것으로 파악됐다. 해외 기업들도 최근 딥시크 R1 모델을 적극 도입하고 나섰다. 마이크로소프트(MS)와 아마존, 인텔, AMC, 엔비디아 등이 대표적이다. 뤼튼 관계자는 "자사 서비스는 클라우드 기반의 안전 서비스를 제공하는 것으로, 개보위의 이번 방침과 전혀 관련이 없다"며 "서비스 중단할 계획은 없는 상태로, 자사는 B2C 기업으로서 양질의 서비스를 제공하기 위해 더 노력할 것"이라고 말했다.

2025.02.17 17:18장유미

인터넷기업협회, 13일 개인정보 동의제도 개편 관련 세미나 개최

한국인터넷기업협회가 오는 13일 오후 2시 FKI타워 사파이어홀에서 '개인정보 동의제도 개편이 가지는 의미와 영향력' 세미나를 개최한다. 지난 2011년 개인정보보호법 제정 이후 계약 체결 및 이행을 위해 불가피한 경우 외에는 필수적으로 동의를 받는 관행이 오랜 기간 지속됐으나, 최근 시행된 개인정보 보호법에서는 서비스 이용계약과 관련하여 개인정보를 수집·이용할 때에는 동의 없이 가능하도록 개정됐다. 이에 따라, 지난해 12월 개인정보보호위원회는 '개인정보 처리 통합 안내서(안)'를 공개했으나, 한편으로는 안내서에서 필수동의 자체를 금지하는 것은 법적 근거가 부족하다는 지적이 이어지고 있다. 협회는 개인정보 동의제도의 개편이 가지는 법적 의미와 영향력에 대한 심도 깊은 논의를 위하여 세미나를 마련했다고 설명했다. 이번 행사에서는 법무법인 세종 안정호 변호사가 '개정 개인정보 보호법에 따른 동의제도 개편에 관하여'를, 건국대학교 법학전문대학원 이상용 교수가 '필수동의와 계약 자유의 원칙'을 주제로 발표할 예정이다. 전북대학교 법학전문대학원 김도승 교수가 좌장을 맡아 진행되며, 성균관대학교 법학전문대학원 이승민 교수, 법무법인 인 권창범 변호사, 한국디지털광고협회 곽대섭 팀장, 개인정보보호위원회 임종철 사무관이 토론에 참여한다.

2025.02.06 11:05류승현

애플 '시리' 앞에선 입조심 필수?…'엿듣기 의혹' 美 소송에 韓 정부도 사태 파악 착수

아이폰 등에 탑재된 음성 비서 서비스 '시리(Siri)'가 사용자 개인정보를 무단 수집해 광고에 활용했다는 의혹이 일자 애플이 전면 부인했다. 미국에선 관련 소송이 진행돼 문제가 제기된 상태로, 국내 소비자들이 어떤 반응을 보일지 주목된다. 애플은 8일 공식 입장문을 통해 "시리는 설계 초기부터 사용자의 개인 정보를 보호하도록 설계됐다"며 "시리 데이터는 마케팅 프로파일 구축을 위해 사용된 바가 전혀 없고 어떠한 목적으로도 결코 타인에게 판매된 적도 없다"고 해명했다. 애플의 이 같은 움직임은 최근 미국에서 제기된 '시리' 개인정보 유출 집단 소송에서 미국 소비자들에게 거액의 합의금을 제시했다는 소식이 전해진 데 따른 것이다. 합의금은 500만 달러(한화 약 1천400억원) 규모로, 대상은 '시리' 기능을 도입한 2014년 9월부터 지난달 말까지 발생한 사례 등이다. 소송 청구인들은 '시리'가 음성 호출 없이 의도치 않게 활성화돼 사적인 대화를 녹음했다고 주장했다. 또 이 데이터를 광고주를 포함한 제3자에게 제공했다고도 봤다. 만약 '에어 조던' 운동화나 '올리브 가든' 레스토랑에 대한 대화를 나누면 이후 관련 광고가 '아이폰' 등에 게재되는 식이다. 이에 국내에서도 '시리 엿듣기 의혹'에 대한 국내 이용자들의 불안이 커졌다. 이에 개인정보보호위원회는 최근 국내에서 '시리' 기능과 관련해 동일한 피해가 있는지 애플을 상대로 사실 관계 확인에 나섰다. 일단 애플은 미국에서 소송 청구인들이 주장한 것에 대해선 여전히 인정하지 않고 있다. 다만 합의서를 제출한 것과 관련해선 "2019년 당시 이미 해소한 3자 그레이딩(grading, 현재 중단된 '시리' 품질 평가 과정 중 일부)에 대한 우려에서 벗어나기 위해 본 사건에 대해 합의했다"고 밝혔다.

2025.01.08 17:12장유미

"가명정보 활용 확대"…개인정보위, 국민 체감형 연구 지원 '박차'

개인정보보호위원회(개인정보위)가 국민 체감도가 높은 가명정보 활용 선도사례를 선정하며 연구·지원 강화에 나섰다. 이를 통해 공공과 민간의 데이터 활용도를 높이고 실질적 변화를 촉진하겠다는 계획이다. 개인정보위는 내년에 추진할 '제4기 가명정보 결합 선도사례'로 교육, 의료, 물류 등 6개 과제를 선정했다고 29일 밝혔다. 이번 과제는 가명정보 활용 과정을 집중 지원해 데이터 기반 혁신을 유도할 예정이다. 선정된 주요 과제에는 대학 입시와 학자금 대출 정보를 통해 교육정책 방안을 마련하거나 건강검진 데이터를 바탕으로 주요 질환 발병 예측 모형을 개발하는 사업이 포함된다. 또 물류와 공항 서비스 개선을 목표로 유동인구 데이터 분석에도 활용된다. 이와 더불어 기존 1~3기 선도사례에서 축적된 데이터 활용 경험이 내년부터 가이드라인 형태로 제공된다. 연구 완료 과제 12건의 데이터와 가명처리 내역은 관련 기관 협의를 거쳐 가명정보 지원 플랫폼 및 세미나를 통해 공개될 예정이다. 개인정보위는 가명정보 활용이 어려운 기관을 위해 구체적인 데이터 활용 사례를 단계적으로 확대할 방침이다. 이로써 법적 리스크와 비용에 대한 우려를 해소하고 맞춤형 지원을 강화할 계획이다. 현재 완료된 연구 중 하나는 아동권리보장원이 수행한 복지서비스 효과 분석이다. 업계에서는 이 연구가 설문조사에 의존하지 않고 데이터 기반으로 아동복지와 사회보장 서비스 간 연계를 실질적으로 규명한 점에서 의미가 크다고 평가한다. 개인정보위 관계자는 "가명정보 활용은 데이터 시대의 핵심 과제"라며 "공공과 민간이 함께 혁신을 만들어 갈 수 있도록 적극 지원하겠다"고 밝혔다.

2024.12.29 12:00조이환

"AI 시대 개인정보, 어떻게 보호할 것인가"…개인정보위, 정책 설명회 개최

개인정보보호위원회(개인정보위)가 인공지능(AI) 시대를 맞아 개인정보 보호와 활용을 조화롭게 지원하기 위한 정책을 종합적으로 설명한다. 이를 통해 신뢰 기반의 데이터 혁신 생태계 조성에 나설 계획이다. 개인정보위는 오는 19일 서울 양재 엘타워에서 기업과 공공기관 실무자들을 대상으로 'AI 시대 개인정보 정책 종합 설명회'를 개최할 예정이라고 12일 밝혔다. 이번 행사는 개인정보 보호법 전면 개정과 AI 활용 정책방향을 기반으로 안내서와 혁신 지원 사례를 공유하기 위한 자리다. 설명회에서는 개인정보 처리 원칙과 기준을 담은 다양한 가이드라인이 공개된다. 주요 내용으로는 개인정보 처리 통합 안내서, 자동화된 결정과 정보주체 권리 안내서, AI 프라이버시 리스크 관리 모델 등이 포함될 예정이다. 특히 합성 데이터를 활용한 개인정보 보호 방안과 이동형 영상정보처리기기 안내서 같은 실무 중심의 자료도 소개된다. 행사 중 질의응답과 상담창구를 통해 현장 실무자들의 궁금증을 실시간으로 해결할 기회도 제공될 계획이다. 또 설명회에서는 개인정보보호 중심 설계(PbD) 인증서 수여식과 인증 제품 전시도 함께 열릴 예정이다. 이를 통해 개인정보 보호를 실현하는 기술과 사례를 직접 확인할 수 있을 것으로 기대된다. 양청삼 개인정보정책국장은 "이번 설명회는 AI 시대를 대비한 개인정보 처리 원칙과 기준을 집대성한 자리"라며 "현장 의견을 반영해 지속적으로 안내서를 업데이트하고 개인정보 법제 개선에 반영하겠다"고 밝혔다.

2024.12.12 15:51조이환

현대해상·악사 등 보험사 위법 마케팅 적발…개인정보위 '강력 제재'

개인정보보호위원회(개인정보위)가 국내 주요 다이렉트 자동차보험사들의 개인정보보호법 위반 행위를 적발하고 강력한 제재를 결정했다. 이번 조치는 불법 마케팅 관행과 내부통제 미흡 문제를 바로잡기 위해 내려졌다. 개인정보위는 현대해상화재보험, 악사손해보험 등 12개 다이렉트 자동차보험사에 대해 조사를 진행한 결과 4개 보험사에 과징금 92억770만원을 부과하고 모든 대상 보험사에 개인정보 보유기간 개선을 명령했다고 12일 밝혔다. 현대해상 등 4개 보험사는 상품 소개에 동의하지 않은 고객에게 동의를 유도하는 팝업창을 운영하며 개인정보를 수집했다. 이 과정에서 동의 변경의 명확한 고지 없이 고객을 오도한 것으로 확인됐다. 이렇게 수집된 개인정보는 자동차보험뿐 아니라 운전자보험과 건강보험 등 타 상품 마케팅에까지 사용됐다. 특히 문자와 전화 등을 통해 약 3천만 건의 마케팅이 이뤄졌고 이로 인한 스팸 신고도 다수 접수됐다. 또 조사 대상 보험사 모두가 보험료 계산 후 계약을 체결하지 않은 고객 정보를 1년간 보유하며 법적 보유기간을 초과하는 사례도 발견됐다. 롯데손해보험은 만료된 개인정보 32만 건을 파기하지 않아 과태료 처분을 받았다. 개인정보위는 "정보주체가 개인정보 처리에 대한 충분한 고지를 받고 자유롭게 결정할 수 있어야 한다"며 "개인정보 보호책임자(CPO)의 내부통제 역할이 강화돼야 한다"고 강조했다.

2024.12.12 15:49조이환

[인사] 개인정보보호위원회

◇전보 ▲조사조정국 조사1과장 김해숙

2024.12.10 11:16장유미

Prev 1 2 3 4 Next