• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'개인정보위'통합검색 결과 입니다. (84건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

락앤락·유베이스·썬포토 3사 개인정보보호법 위반 과징금

개인정보보호위원회(개인정보위)가 락앤락(밀폐용기 등 플라스틱 제품 제조), 유베이스(기업 대상 콜센터 아웃소싱 서비스 제공),썬포토(사진·영상장비 판매) 3사에게 총 7억 100만 원의 과징금과 540만 원의 과태료를 부과했다. 구체적으로, 락앤락에는 과징금 5억 300만 원에 과태료 540만 원 및 공표명령을, 유베이스에는 과징금 1억 6800만 원과 공표명령을, 썬포토에는 과징금 3000만 원과 공표명령을 각각 내렸다. 개인정보위는 8일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 이들 3개 사업자에게 이 같은 결정을 했다. ■ 락앤락: 과징금 5억 300만 원, 과태료 540만 원 부과 및 공표명령 신원 미상의 해커가 2024년 4월 메일 서버에 존재하는 취약점을 악용해 이 회사 내부 시스템에 침입해 회원 데이터베이스(DB)를 유출(1차, 2024.5.29.~2024.5.30.)했다. 이후 2024년 11월 내부 시스템에 재침입해 파일서버 내 업무자료 등을 유출(2차, 2024.11.22.~2024.11.26.)하는 사고가 일어났다. 두 차례에 걸쳐 약 130만 명의 개인정보(이름, 휴대전화번호, 주소 등) 및 임직원의 개인정보(주민등록증, 운전면허증, 통장 사본 등) 1111건이 유출됐다. 조사 결과, 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지 및 대응하지 못해 해커의 협박메일 수신시까지 유출사실을 인지하지 못했다. 또 2022년 공개된 보안 취약점을 업데이트 하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했고, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다. 임직원 개인정보 및 폐점 매장 구매자 정보(총 4만9466건)를 파기하지 않은 사실도 개보위는 확인했다. 이에, 개보위는 락앤락에 과징금 5억 300만 원, 과태료 540만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다. ■ 유베이스: 과징금 1억 6,800만 원 부과 및 공표명령 해커가 2024년 4월 유베이스가 운영하는 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 개인정보(이름, 전화번호, 이메일, 회사명)를 유출하고 텔레그램에 게시했다. 조사 결과, 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 또한, 안전한 인증수단 없이 아이디·비밀번호 만으로 접속이 가능하도록 운영하고, 개인정보처리시스템의 접속기록 보관·관리도 미흡했다. 이에 따라 개인정보위는 유베이스에 과징금 1억 6800만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표하게 했다. ■ 썬포토: 과징금 3000만 원 부과 및 공표명령 > 해커는 2024년 8월 썬포토가 운영하는 웹사이트 관리자 계정으로 접속해 회원 약 17만 명의 개인정보(이름, 아이디, 휴대전화번호, 성별 등) 및 주문정보(13건)를 유출했다. 또 주문자 1인에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다. 조사 결과, 썬포토는 웹사이트 관리자 페이지에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았고, 개인정보처리시스템에 대한 접속기록을 보관·관리하지 않는 등 안전성 확보조치 의무를 위반한 사실이 확인됐다. 이에, 개인정보위는 썬포토에게 과징금 3000만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표하게 했다. ■ 이번 조사·처분의 의의 최근 개인정보처리시스템에 대한 접근통제 미흡, 안전한 인증수단 미적용 등 기본적인 안전조치 소홀로 개인정보가 유출되는 사고가 지속적으로 발생하고 있다. 이를 예방하기 위해 개인정보처리자는 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한해야 하며, 특히 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단을 적용할 것을 개인정보위는 당부했다.

2026.07.09 10:00방은주 기자

쿠팡 6300억 역대급 과징금, 보안 전문가들 평가는?

3000만명 이상의 개인정보 유출 사고가 발생한 쿠팡에 개인정보보호위원회(개인정보위)가 6300억원에 달하는 과징금을 부과했다. 이는 SK텔레콤 유출 사고로 지난해 8월 부과받은 과징금(1348억원)의 4배를 웃도는 수치다. 개인정보위는 보안의 기본 중 기본인 인증키 관리를 소홀히 했다는 점 등을 이유로 과징금을 엄중하게 선정했다는 입장인데, 취재에 응한 보안 전문가들은 적정 수준으로 판단했다. 또 "업계 전반에 경종을 울릴 만한 사건"으로 평가했다. "개인정보보호 노력 지속 감경 요소 참작...국민 일상 밀접한 플랫폼이어서 엄중 처분" 개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보보 법규를 위반한 쿠팡에 총 6246억8100만원 과징금과 1680만원 과태료를 부과했다. 개인정보위가 부과한 과징금 중 역대 최대치다. 개인정보위가 쿠팡에 매긴 과징금을 살펴보면 개인정보 유출 사고로 인해 부과된 과징금이 4235억7500만원이다. 이용자들의 타사 온라인 활동 기록을 무단 수집한 점과 관련해서는 2011억600만원의 과징금이 부과돼 총 과징금이 산정됐다. 이 외 임직원 건강 관련 민감정보 이용에 대한 과징금은 2800만원이 부과됐다. 또한 쿠팡풀필먼트서비스(CFS)에도 총 2억4800만원 과징금을 부과했다. 개인정보위는 개인정보 유출 사고 발생 시 안전조치 의무 위반, 개인정보보호법 위반 사항 등이 확인될 경우 사고 직전 3개년도 매출의 최대 3%까지 과징금을 부과할 수 있다. 금융감독원 전자공시시스템에 따르면 쿠팡 한국 법인의 지난 3년간 연결기준 평균 매출액은 약 32조원이다. 이 금액에 3%를 적용해 최대 과징금을 매기면 9600억원, 즉 1조원에 육박하는 과징금 부과가 가능하다. 다만 과징금 산정 과정을 세부적으로 살펴보면 매출액의 3%까지 부과되는 경우는 거의 없다. 유출 사고와 직결되는 매출액만을 기준으로 과징금을 산정하고, 중대성 판단과 더불어 개인정보보호 노력, 피해 회복 노력 등을 감안해 과징금을 가중 혹은 감경하는 절차를 밟기 때문이다. 최대 매출액 10%에 달하는 과징금을 부과할 수 있다는 개인정보보호법 개정안이 오는 9월 시행되는 만큼 이번 쿠팡 과징금 부과에는 이같은 징벌적 과징금이 부과되지는 않았다. 개인정보위에 따르면 쿠팡은 사고가 발생한 쿠팡 이커머스 서비스 매출만을 기준으로 과징금이 정해졌다. 쿠팡이츠, 쿠팡플레이 등 이번 유출 사고와 관련이 없는 독립적인 매출액은 과징금이 부과되는 매출액 기준에서 제외된 것이다. 다만 연간 매출액 약 30조원을 상회하는 대규모 개인정보처리자로서, 인증 시스템 및 인증키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못했다는 점을 중대성 판단에 고려했다는 것이 개인정보위의 설명이다. 정보보호 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증의 취득·유지, 민관협력 자율규제 규약 이행 등 개인정보보호 노력을 지속한 점도 감경 요소로 참작됐다. 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 보상 절차도 감경 요소로 작용했다. 개인정보위는 11일 제11회 전체회의 브리핑에서 "위반 기간 및 최근 3년 내 동종행위로 과징금이 부과됐는지 여부와 조사 방해·협조 여부 등 요소를 고려해 최종 과징금을 산정했다"며 "1억2000만개의 주소들이 관리되고 있는 국민의 일상생활과 밀접한 온라인 플랫폼이기 때문에 엄중하게 처분을 했다. 또 보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다"고 밝혔다. "상징적 과징금…보안 중요성 인지시켰을 것" vs "법 집행 형평성 의문" 보안업계에서는 이번에 쿠팡에 부과된 과징금을 두고 '적정' 수준이라는 의견이 지배적이다. 최대 수위의 과징금이 부과됐으며, 이를 계기로 유출사고에 대한 경각심을 끌어올리는 계기가 될 것이라는 예상이다. 이용준 극동대 해킹보안학과 교수는 "총 과징금 6300억원의 과징금 중 유출사고로 인한 과징금이 4000억원이 넘는데, 3000만명의 데이터가 유출된 점으로 보아 1인당 1만원이 넘는 수준의 과징금이 부여된 것으로 보인다"며 "부과할 수 있는 범위 내에서 최대 규모로 과징금을 부과한 것으로 보이는데, 이를 통해 이커머스, 온라인 쇼핑 업계 전반에 경종을 울릴 만한 사건으로 기록될 전망"이라고 밝혔다. 이 교수는 "과거에는 보안에 대한 투자가 ISMS-P 등 법적 기준에만 맞춰서 형식적으로 투자가 이뤄졌는데, 쿠팡 사태를 다른 기업들이 보고 자발적으로 법에서 요구하는 수준보다 보안 투자를 확대해야 한다는 경각심을 가졌을 것"이라며 "충분히 의미 있고 보안에 대한 중요성을 인지시키는 과징금"이라고 평가했다. 김선희 가천대 스마트보안학과 초빙교수도 "인증키 관리, 내부자 관리는 온전히 기업 책임인데, 6300억원에 달하는 과징금은 개인정보위가 최대 수준으로 부과한 것으로 보인다"며 "쿠팡이 과징금에 대해 향후 어떻게 대응할지는 지켜봐야겠지만, 개인정보위의 엄정한 대응을 확인할 수 있는 대목"이라고 말했다. 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "쿠팡은 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았다. 조사에 협조적이기는 커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 강조했다. 반대로 이번 쿠팡에 대한 개인정보위 제재 수위가 과하고, 법 집행 형평성에 의문이 제기될 수 있는 판단으로 보인다는 학계 의견도 있었다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "다만 제재 수위는 기업 규모 자체보다 해당 정보의 민감성, 실제 피해 수준, 사고 이후의 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다. 특히 이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 더욱 신중한 접근이 요구된다"고 밝혔다. 이은희 인하대 소비자학과 명예교수는 "규제 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"며 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 우려했다. 김대종 세종대 경영학부 교수는 "보안 관리 소홀에 대한 책임은 당연히 져야 하지만 기업이 얻은 부당이득이나 실제 피해와 관계없이 매출 규모에 비례해 천문학적인 과징금을 부과하는 방식이 과연 바람직한지는 따져볼 필요가 있다"면서 "기업 입장에서는 성장할수록 규제 리스크가 기하급수적으로 커지는 구조로 받아들일 수 있고, 이는 결국 투자와 혁신을 위축시키는 잘못된 신호가 될 수 있다“고 말했다.

2026.06.11 16:36김기찬 기자

개인정보위, 쿠팡 6247억 '철퇴'…작년 과징금 총액 4배

쿠팡이 6247억원 규모의 역대 최대 규모 과징금 철퇴를 맞았다. 지난해 개인정보보위원회(개인정보위)가 부과한 전체 과징금 총합보다 높다. 개인정보위는 지난 10일 제11회 전체회의를 열고, 개인정보보호 법규를 위한판 쿠팡에 총 6246억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다. 이는 지난해 개인정보위가 부과한 한 해 과징금 총액(1677억원)의 4배 수준에 달하는 금액이다. 개인정보위가 부과한 역대 최대 과징금이다. 이와 별개로 개인정보보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다. 유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리·통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 '회원이 아닌 정보주체' 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다. 쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령했고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다. 개인정보위는 쿠팡에 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관‧관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고했다. 앞서 개인정보위는 지난해 11월20일 쿠팡의 유출신고를 접수하고 이튿날부터 개인정보 유출 조사에 착수했다. 이후 개인정보위는 국회 청문회, 언론 보도 및 타 부처 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 올해 1월7일 추가적인 조사를 추진했다. 개인정보위는 쿠팡 서비스가 국민 대다수가 일상적으로 이용하는 생활 인프라 성격의 플랫폼으로, 개인정보 유출 및 침해사고 발생 시 대국민 영향도가 큰 점 등을 고려해 한국인터넷진흥원(KISA)과 함께 집중조사 TF를 구성했다. TF는 사실관계, 개인정보 보호 법규 위반 여부 등을 '법과 원칙에 따라 책임에 상응하는 처분 부과' 원칙 아래 중점적으로 확인했다. 3322만 명 정보 유출…'CPO 독립성 방해'에 조사 방해까지 TF 조사 결과 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 회원 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 확인됐다. 회원정보 수정 페이지에서 3305만7012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인됐다. 배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(비식별화))가 6398만6351건 유출됐다. 아울러 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었고, 회원이 아닌 정보 주체는 최소 433만8368명에 달한다는 것이 TF의 조사 결과다. 주문 목록 페이지에서는 회원 5만8349명의 주문내역(주문일, 상품명, 수량, 가격) 27만2470건이 유출된 것으로 확인됐다. 이와 관련 개인정보위는 쿠팡이 기본적인 안전관리 체계 미비 및 관리 소홀로 이번 사태가 발생한 것으로 판단했다. 조사 과정에서 확인된 주요 관련 법령 위반 사항은 ▲안전조치 의무 위반 ▲개인정보 유출통지 의무 위반 ▲개인정보보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다. 동의 없는 '납치 광고'로 1100만 명 온라인 활동기록 무단 수집 쿠팡이 판매하는 상품을 광고 파트너의 매체를 통해 홍보하도록 하는 제휴 마케팅 프로그램인 '쿠팡 파트너스'를 운영하고 있다. 개인정보위 조사 결과에 따르면 쿠팡은 2024년 12월23일부터 올해 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다. 쿠팡이 수집한 타사 온라인 활동기록은 기기 식별자 및 회원번호와 함께 광고 DB에 저장되어 있어 그 자체로도 개인 식별이 가능한 개인정보에 해당한다. 이에 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다. 개인정보위는 타사 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집‧저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있도록 해야 하는데 이를 명확히 알리지 않았다는 점도 지적했다. 아울러 자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 '부정 광고(납치 광고)'를 개제해 용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다. 또 개인정보위 조사 결과 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다. CFS와 관련해서는 경찰청 출입기자 개인정보 수집·이용 문제가 불거졌다. 개인정보위 조사 결과에 따르면 CFS는 2023년 9월부터 2024년 2월까지 물류 센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 '허위사실유포' 사유로 취업제한 목록에 등록하였고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다. 뿐만 아니라 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 것과 관련, 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단해 과징금을 부과했다. 개인정보위 "유출사고 엄격한 법적 책임 명확히했다" 평가 개인정보위는 이번 조사 및 처분을 통해 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 다시 한번 명확히했다고 평가했다. 또한 대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다고 봤다. 송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 밝혔다.

2026.06.11 11:00김기찬 기자

개보위, 10일 쿠팡 제재안 심의…역대 최대 과징금 나올까

지난해 11월 대규모 개인정보 유출 사건이 발생한 쿠팡에 대한 과징금 수위가 오는 10일 결정된다. 역대 최대 수준 과징금이 현실화될지 관심이 쏠린다. 개인정보보호위원회는 오는 10일 전체 회의를 열고 쿠팡의 제재안을 심의할 예정이다. 앞서 과학기술정보통신부 민관합동조사단은 지난 2월 쿠팡 유출 사고 조사 결과를 발표한 바 있다. 이때 유출된 이용자 성명, 이메일 주소를 포함한 개인정보는 3367만3817건 수준이다. 개보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 이후 쿠팡은 의견 제출 기한 연장을 요청한 후 의견서를 제출했고 개보위는 이를 검토해온 것으로 알려졌다. 이번 전체회의에서 개보위는 쿠팡의 개인정보보호법 위반 여부와 과징금 부과 등 제재 수위를 논의한다. 구체적인 과징금 액수와 처분 내용을 위원들의 심의를 거쳐 최종 확정될 예정이다. 업계에서는 유출 규모와 대응 과정 등을 고려하면 '역대급' 과징금이 부과될 수 있다고 보고 있다. 현행법에서는 개인정보 유출 사고 발생 시 매출액의 최대 3% 범위 내에서 과징금을 부과할 수 있도록 규정하고 있는데, 지난해 쿠팡의 매출액은 345억 달러(약 52조 1813억원)으로 부과 가능한 최대 과징금은 1조5000억원대다. 지금까지는 지난해 발생한 SK텔레콤의 유심 정보 유출 사고에 역대 최대 과징금이 부과됐다. 당시 SK텔레콤을 상대로 부과된 과징금 규모는 1348억원 가량이다. 다만, 쿠팡이 행정소송을 통해 불복할 가능성도 배제할 수 없다. SK텔레콤은 올해 1월 과징금 관련 행정 소송을 제기한 바 있다.

2026.06.09 15:06박서린 기자

개보위, '유출사고' 티빙 조사 착수

개인정보보호위원회(개인정보위)가 해킹으로 개인정보가 유출된 티빙에 대한 유출사고 조사에 착수했다. 개인정보위는 지난 3일 오전 2시경 티빙으로부터 개인정보 유출 신고를 접수해 조사에 착수했다고 4일 밝혔다. 앞서 온라인동영상서비스(OTT) 'TVING'을 운영하는 티빙은 지난 2일 이용자 개인정보를 저장하고 있는 데이터베이스(DB)에 외부 비인가 접근을 통한 개인정보 유출 사고를 당했다. 현재까지 유출된 데이터는 ▲이용자 아이디 ▲이름 ▲생년월일 ▲성별 ▲중복가입 확인정보 ▲연계정보 ▲휴대전화번호 ▲이메일 ▲환불계좌번호 ▲비밀번호 등이다. 일부 항목의 경우 암호화된 채 유출된 것으로 파악된다. 현행 법에 따르면 유출사고를 당한 기업은 72시간 내로 개인정보위 등 관계기관에 신고해야 한다. 개인정보위는 자료제출 요구, 현장 조사 등을 통해 구체적인 유출 경위, 피해 규모, 안전조치 의무 및 유출 통지·신고 의무 등 개인정보보호법 준수 여부를 조사한다는 방침이다. 법 위반 사항이 발견되면 관련 법령에 따라 엄정히 처분할 예정이다.

2026.06.04 15:09김기찬 기자

쿠팡 개인정보 유출 조사 마무리…개인정보위 "곧 결정"

3367만명의 개인정보를 유출한 쿠팡에 대한 제재 수위가 이르면 내달 결정될 것으로 보인다. 송경희 개인정보보호위원회 위원장은 지난 12일 정부서울청사에서 열린 정책브리핑에서 “쿠팡에 대한 조사를 다 마무리했다”면서 “조사 결과에 대한 사전 통지를 보냈고, 사업자 의견 제출을 받고 있다”고 말했다. 그러면서 “지금 사업자가 제출한 의견을 받아서 검토 중이고, 검토가 완료되면 개인정보위 전체 회의에서 의결하도록 하겠다”며 “단계가 빠르게 진행되고 있다”고 덧붙였다. 개인정보위 규정에 따르면 조사관은 조사 결과보고서를 바탕으로 처분 내용을 당사자에게 사전통지해야 하며, 당사자는 14일 이상의 기간 내 의견을 제출할 수 있다. 이와 관련해 쿠팡은 개인정보위에 보낸 의견서에서 전반적인 처분 방향에 동의하기 어렵다는 취지의 의견을 견지한 것으로 알려졌다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출의 최대 3%까지 부과할 수 있다. 한국 쿠팡 모회사 쿠팡Inc의 지난해 매출은 약 49조원으로 3%를 단순 계산하면 법정 최대 과징금 규모는 대략 1조5000억원 수준이 될 전망이다. 쿠팡Inc의 경우 매출 대부분이 한국에서 발생하고 있다. 개인정보위 전체 회의는 이달 13일과 27일 예정돼 있지만 13일 회의에는 해당 안건이 상정되지 않으면서 내달 중 결과가 나온다는데 힘이 실린다.

2026.05.13 09:52박서린 기자

"공공기관 개인정보 보호 평균 76.5점"...1442곳 조사

개인정보보호위원회(개인정보위)가 중앙부처·지자체·공기업 등 총 1442개 공공기관을 대상으로 실시한 '2025년 공공기관 개인정보 보호수준 평가' 결과, 54개 기관(6.6%)이 최고 등급을 획득했다. 이번 평가는 개인정보 관리 체계를 내실화하고 실행 중심의 보호 역량을 제고하기 위해 '개인정보 보호법' 제11조의2에 따라 2024년부터 실시하고 있는 제도다. 자체평가를 통해 공공기관의 법적 의무사항 이행 여부를 점검하고, 전문가 평가단의 심층평가를 통해 기관의 개인정보 보호 노력과 성과를 종합 평가, 개인정보 안전 활용 가점과 유출 사건·사고 등을 비롯한 감점을 적용, 최종 점수를 산출한다. 평가 결과 총점 평균은 76.5점으로 집계됐다. B등급을 받은 기관이 342개(41.8%)로 가장 많았다. 유형별로는 공기업·준정부기관(평균 87.5점)의 개인정보 보호수준이 가장 우수했고, 기초자치단체(평균 73.2점)의 개인정보 보호수준이 가장 미흡한 것으로 나타났다. 자체평가는 법적 의무 이행 여부에 대한 40개 정량지표로 구성했다. 전체 기관 평균 이행률은 90.0%로 나타났다. ▲가명정보 처리 시 안전조치 ▲보안 프로그램 설치·운영 및 업데이트 지표 이행률이 높았던 반면 ▲개인영상정보 관리대장 기록·관리 ▲동의 시 주요내용 고지 및 명확화 지표는 이행률이 낮았다. 심층평가는 개인정보 중점 관리 업무를 중심으로 한 8개 지표로 구성됐다. 개인정보 전문가로 구성된 평가단이 기관의 성과와 노력도를 평가한다. 그 결과, '안전성 확보조치를 위한 노력' 지표의 평균 점수가 2.26점(5점 만점)으로 가장 낮았다. 내부관리계획 수립 시 기관장 승인 등 의사결정 프로세스 누락, 이행 여부 점검의 형식적 운영 등 관리 거버넌스 부재가 주된 원인으로 분석됐다. 가점 및 감점 평가에서는 신기술 환경에서의 '개인정보 안전 활용 사례'(가점 지표)와 '유출·처분 여부 및 허위 자료 제출 여부'(감점 지표) 등을 평가했다. 신기술 가점을 받은 기관이 평가 점수(가점 제외)도 높았다. 개인정보 관리 체계를 잘 갖춘 기관에서 신기술 환경에서의 개인정보의 안전한 활용을 위한 노력도 잘 이뤄지고 있음을 보여줬다. 또한, 유출·처분 감점을 받은 기관이 평가 점수(감점 제외)도 낮은 것으로 분석, 기관의 개인정보 보호 수준과 사고 발생 가능성 사이에 관련성이 있음이 나타났다. 개인정보위는 평가 결과를 정부업무평가 등과 연계하고, 평가 결과 우수 기관 및 담당자에게 개인정보 보호의 날에 표창·포상을 수여하고 우수 사례집을 발간할 계획이다. 미흡 기관에 대해서는 개선권고를 발령하고 이행점검을 실시한다. 또한 개인정보위는 맞춤형 컨설팅을 통해 공공기관의 보호수준 향상을 지원할 예정이다. 이번 평가에서 맞춤형 컨설팅에 참여한 기관은 90개 기관으로, 그 중 52.2%(47개)가 등급 상향을 달성했고 참여 기관 평균 점수도 전년 대비 9.6점 상승했다. 송경희 개인정보위 위원장은 “이번 평가는 소중한 국민의 개인정보를 다루는 공공기관이 선제적으로 개인정보 보호 안전관리 체계를 구축하도록 하고, 공공부문의 책임성을 강화하기 위한 제도”라며 “우수기관의 선제적 예방 사례를 전 공공부문으로 확산하고, 필요 기관에는 집중 컨설팅을 제공하여 공공부문의 보호 수준 격차를 해소하겠다"고 밝혔다.

2026.04.27 22:29방은주 기자

개보위 과징금, 상위 20건 중 절반이 10억 넘어

개인정보보호위원회(개인정보위)로부터 지난해 100억 원이 넘는 과징금을 받은 기업은 2곳으로 집계됐다. 2024년 말 부과받은 쿠팡과 현대해상화재보험을 포함하면 10억 원이 넘는 과징금을 받은 기업도 10곳으로 나타났다. 27일 국제사이버보안인증협회(회장 공병철)가 개인정보위 공고문에 따라 집계·분석한 최근 2년간 개인정보위 과징금 및 과태료 상위순 20개 기업을 보면, SK텔레콤, 우리카드 등 기업이 개인정보보호법 위반으로 100억 원이 넘는 과징금을 부과받은 것으로 조사됐다. (아래 도표 참조) 가장 많은 과징금을 부과받은 SK텔레콤은 지난해 4월께 발생한 유심 해킹 사태로 1347억9100만 원의 과징금 철퇴를 맞았다. 여기에 더해 과태료도 960만 원을 부과받았다. 개인정보위에 따르면 개인정보보호법 제64조의 2에 따라 위반 사항이 발견될 경우 과징금을 부과한다. 이어 동법 제75조에 따른 위반 사항이 적발될 경우에는 과태료를 부과한다. 과징금과 과태료를 같은 기준으로 동시에 적용할 수 없으며, 명확한 기준은 법령에 따라 나뉘지만 크게 사안의 중대성에 따라 과징금과 과태료 사항이 나뉜다. SK텔레콤에 이어 우리카드는 지난해 3월 말께 개인정보위로부터 134억5100만 원의 과징금을 맞았다. 앞서 우리카드는 가맹점주 7만4천여명의 개인정보를 동의도 받지 않고 마케팅에 활용한 사항이 적발돼 과징금을 물게 됐다. 10억 원 이상의 과징금을 부과받은 기업은 높은 순으로 ▲메타 67억 원 ▲현대해상화재보험 61억9800만 원(과태료 102만 원) ▲카카오페이 59억6800만 원 ▲악사손해보험 27억1500만 원 ▲애플 24억500만 원(220만 원) ▲알리익스프레스 19억7800만 원(780만 원) ▲섹타나인 1477억7700만 원(720만 원) ▲SK스토아 14억3200만 원(300만 원) ▲비와이엔블랙야크 13억9100만 원 ▲쿠팡 13억1000만 원 등이다. 이 외에도 최근 2년간 과징금을 받은 기업 및 기관으로는 ▲테무 Whaleco Technology Limited 8억7900만 원(과태료 176만 원) ▲모두투어네트워크 7억4700만 원(과태료 102만 원) ▲월드코인 재단 7억2500만 원 ▲전북대학교 6억2300만 원(과태료 540만 원) ▲법무법인 로고스 5억2300만 원(과태료 690만 원) ▲동행복권 5억300만 원(과태료 480만 원) ▲엔에이치엔위투 5억300만 원(과태료 480만 원) ▲테무 Elementary Innovation Pte. Ltd. 4억 9000만 원 등이다. 공병철 정보보안인정협회장은 "정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등이 의무화됐고 과징금 부과 기준도 매출의 3%에서 10%로 상향 조정됐다"면서도 "그러나 ISMS-P 인증 심사를 받기 위한 기업들이 비용을 셀프로 지출하고 있으며, 인증 심사원도 심사에 따른 보수가 25년 전 금액과 똑같은 수준이 현재까지 유지되고 있다"고 지적했다. 그는 "개인정보위가 확보한 과징금 재원을 바탕으로 이같은 인증을 국고에서 수행토록 하며, 인증 심사원 역시 국가에서 보수를 지급함으로써 심사의 투명성을 더욱 제고할 수 있어야 한다"며 "이처럼 명확한 재원 활용 방안이 마련되지 않으면 과징금 부과 기준의 상향도 정책적 명분을 얻을 수 없다"고 강조했다.

2026.04.27 21:48김기찬 기자

민·관·학 함께하는 '디지털 트러스트' 대국민 캠페인 열린다

인공지능(AI)이 일상과 산업의 판도를 바꾸는 'AI 대전환'의 시대가 도래했다. 하지만 기술의 화려한 발전 뒤편에는 딥페이크를 활용한 가짜뉴스, 정교한 보이스피싱, 소비자를 기만하는 다크패턴 등 디지털 신뢰를 흔드는 위협들이 그림자처럼 따라붙고 있다. 기술이 아무리 뛰어나도 사용자가 이를 믿고 사용할 수 없다면, 그 가치는 반감될 수밖에 없다. 이에 지디넷코리아는 대한민국이 진정한 AI 강국으로 거듭나기 위한 필수 조건으로 '디지털 신뢰(Digital Trust)'를 제안하며, 이달 7일부터 약 두 달간 '2026 디지털 트러스트 캠페인'을 본격 전개한다. "보안 없이는 혁신도 없다"… 심층 기획부터 대국민 참여까지 이번 캠페인은 “AI 기술이 서 말이라도 '보안'으로 꿰어야 보배”라는 슬로건 아래 진행된다. 단순한 구호에 그치지 않고, 기업의 기술 철학을 사회적 가치로 확장하며 국민이 직접 참여해 신뢰의 기준을 함께 정립하는 데 목적을 뒀다. 주요 프로그램으로는 먼저 디지털 신뢰 이슈를 정면으로 다룬 10여 편의 심층 기획 기사가 연재된다. 이를 통해 해킹, 랜섬웨어, 개인정보 유출 등 우리 사회가 직면한 디지털 위기 상황을 진단하고 실질적인 대안을 모색할 예정이다. 기획 연재와 동시에 진행되는 캠페인의 핵심 실천 과제로는 국민 누구나 쉽게 따라 할 수 있는 '7대 안전수칙'이 제시됐다. ▲모르는 링크는 클릭하지 않는 '출처 확인' ▲영상과 목소리도 의심해 보는 '의심하기' ▲개인정보에 자물쇠를 채우는 '정보보호' ▲자극적인 뉴스를 검색으로 검증하는 '팩트체크' ▲보안 소프트웨어를 최신으로 유지하는 '업데이트' ▲교묘한 상술을 경계하는 '낚시 주의(다크패턴 방지)' ▲피해 경험을 나누는 '함께 실천' 등이 그 내용이다. 국민들이 직접 목소리를 낼 수 있는 참여형 이벤트도 마련된다. 캠페인 페이지를 통해 '디지털 트러스트 7대 안전수칙'과 관련된 개인적인 경험이나 생각을 공유할 수 있으며, 국민의 창의적인 아이디어가 담긴 캠페인 표어 공모전도 함께 진행돼 안전한 디지털 환경에 대한 공감대를 넓힐 계획이다. 우수 참여자에게는 추첨을 통해 애플 맥북 네오·에어팟맥스2·에어팟프로3·에어팟4·스타벅스 쿠폰 등을 증정한다. 민·관·학 한뜻으로 뭉쳐…국내 대표 IT 기업 대거 참여 이번 캠페인에는 대한민국의 디지털 생태계를 이끄는 주요 기업들이 대거 동참해 힘을 실었다. 글로벌 메신저 플랫폼 라인을 비롯해 국민 서비스인 카카오와 카카오페이, 배달 문화의 혁신을 이끈 우아한형제들이 참여하며, 이커머스 솔루션의 중심인 카페24와 금융 혁신의 아이콘 토스도 뜻을 모았다. 또한 중고거래 플랫폼 번개장터, 여행과 라이프스타일을 책임지는 여기어때와 무신사, 종합 IT 기업 NHN이 이름을 올렸으며, 글로벌 로봇 가전 기업인 로보락과 에코백스, 이커머스 데이터 플랫폼 커넥트웨이브도 신뢰 구축 여정에 함께한다. 보안 및 인프라 분야에서는 국내 대표 보안 기업인 안랩과 지니언스, 그리고 소상공인 데이터 플랫폼 한국신용데이터가 참여해 기술적 신뢰를 뒷받침한다. 정부와 유관 기관의 전폭적인 지원도 이어진다. 과학기술정보통신부, 방송통신위원회, 개인정보보호위원회, 한국인터넷진흥원(KISA)이 후원 기관으로 나서 정책적 무게감을 더했다. 여기에 한국인터넷기업협회, 한국정보보호산업협회, 전국정보보호정책협의회, 한국정보보호학회 등 학계와 산업 협단체가 협력해 디지털 신뢰를 위한 학술적·산업적 토대를 마련한다. 김경묵 지디넷코리아 대표는 “디지털 신뢰는 기업의 투명한 운영과 국민의 깨어있는 시민의식이 만날 때 완성된다”며 “이번 캠페인이 안전하고 투명한 디지털 세상을 만드는 소중한 마중물이 되길 기대하며, 많은 참여를 부탁드린다”고 밝혔다. 이번 캠페인은 6월 초까지 이어지며, 참여 방법은 (☞해당 링크)를 클릭하거나 지디넷코리아 웹사이트 상단에 표기된 '디지털트러스트'를 클릭해 캠페인 페이지에 들어가면 된다. 또는 위 이미지에 나온 QR코드를 스캔해도 된다.

2026.04.07 10:01백봉삼 기자

명품 브랜드 SaaS 해킹 사태, 남일 아니다…클라우드 통제권 부각

루이비통·디올·티파니 등 글로벌 명품 브랜드 3곳이 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템 운영 과정에서 대규모 개인정보 유출 사고를 겪은 가운데, 기업 클라우드 통제권이 산업 전반의 화두로 떠오르고 있다. 19일 업계에 따르면 이번 사태는 단순한 보안 취약점 문제를 넘어 SaaS 중심 클라우드 구조 속에서 기업 데이터 통제권의 중요성을 드러낸 사례로 평가된다. 개인정보보호위원회(개인정보위)는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 3개 사업자에 총 360억 3300만원의 과징금과 1080만원의 과태료를 부과했다. 이들 기업은 SaaS 기반 고객관리 서비스를 운영하는 과정에서 개인정보 유출 사고가 발생했다. 루이비통은 직원 기기 악성코드 감염으로 SaaS 계정 정보가 탈취되며 약 360만 명의 개인정보가 세 차례에 걸쳐 유출됐다. 디올과 티파니 역시 SaaS 접근 권한 관리 과정에서 허점이 드러나 각각 195만 명, 4600여 명의 정보가 외부로 빠져나갔다. 표면상으론 해킹이나 피싱, 내부 관리 부실이 주요 문제로 지적되지만 업계에서는 이를 SaaS 기반 클라우드 운영 구조의 한계를 보여준 사례로 보고 있다. 고객 데이터는 기업 소유이나 실제 시스템 운영과 접근 권한 설정은 외부 SaaS 플랫폼 구조에 의존하는 만큼 통제 경계가 복잡해졌다는 분석이다. SaaS는 자체 서버에 소프트웨어(SW)를 설치하는 대신 인터넷을 통해 클라우드 형태로 제공받는 방식이다. 초기 구축 비용을 줄이고 유지관리 효율성을 높일 수 있어 많은 기업이 글로벌 SaaS를 도입하고 있지만, 데이터·계정·접근 권한 관리 역시 서비스 구조에 종속되는 특징을 갖는다. 특히 SaaS 환경에서는 '책임 공유 모델'의 경계가 모호해질 수 있다는 지적이 나온다. 인프라형 클라우드(IaaS)는 인프라를 제공하는 클라우드 서비스 기업(CSP)과 고객의 책임 구분이 비교적 명확하다. 반면 SaaS는 애플리케이션 보안 설정, 접근 통제, 로그 관리 등이 계약 조건과 사업자 정책에 따라 달라진다. 결과적으로 기업은 데이터를 보유하면서도 세부 운영 통제 범위는 제한될 수 있다는 의미다. 이 같은 문제는 SaaS 확산 흐름과도 맞닿아 있다. 시장조사업체 아스튜트 애널리티카에 따르면 기업들은 평균 110개 이상의 SaaS 애플리케이션을 사용하는 것으로 나타났다. SaaS가 늘어날수록 비용 중복, 가시성 부족, 거버넌스 리스크 역시 확대되는 구조다. 여러 SaaS에 데이터가 분산되면 기업 내부에서 전체 데이터 흐름과 접근 권한을 통합적으로 파악하기도 쉽지 않다. 국내 기업들도 고객관계관리(CRM)·협업툴·HR·마케팅 자동화 등 핵심 업무를 글로벌 SaaS에 의존하는 비중이 빠르게 확대되고 있다. 특히 멀티 SaaS 환경이 일반화되면서 기업 내부에서 데이터 흐름과 접근 권한을 통합적으로 관리하기 더 어려워지고 있다는 지적이 나온다. 해외 업계에서도 SaaS 확산에 따른 관리 난이도가 주요 과제로 지목된다. SaaS는 도입은 쉽지만 관리가 어렵고 누가 어떤 애플리케이션에 접근하고 있는지 지속적으로 관리하는 것은 쉽지 않다는 분석이다. 가시성이 확보되지 않으면 비용 통제뿐 아니라 데이터 거버넌스 측면에서도 공백이 생길 수 있다는 우려가 제기된다. 이번 제재 과정에서 개인정보위는 SaaS를 도입하더라도 개인정보 보호 책임이 면제되거나 전가되지 않는다고 강조했다. 규제 관점에서 결과 책임은 기업에 있다는 점을 재확인했다. 다만 업계에서는 실제 운영 통제 범위와 법적 책임 범위 사이의 괴리를 줄이기 위한 계약·관리 체계 보완이 필요하다는 의견도 나온다. ▲접근 로그의 실시간 확보 및 보존 범위 ▲데이터 저장 리전과 이전 가능성 ▲재위탁 사업자 운영 구조 ▲대량 다운로드 제한 정책 ▲사고 발생 시 통지 의무와 범위 등을 계약 단계에서 명확히 규정해 구체적인 통제 환경을 갖춰야 한다는 설명이다. 공공·금융 등의 시장에서도 인공지능(AI)과 클라우드 기반 서비스가 빠르게 확산되는 상황에서 SaaS 의존도는 더욱 높아질 전망이다. 마케팅, 고객관리, 협업, 인사관리 등 핵심 업무가 클라우드 플랫폼 위에서 구동되면서 기업은 점점 더 클라우드 구조 안에서 사업을 운영하게 된다. 이 과정에서 보안 강화 못지않게 데이터 접근 구조, 로그 확보 권한, 벤더 관리 체계 등 통제 가능한 거버넌스 설계가 중요해질 것으로 보인다. 업계 관계자는 "단순히 클라우드 서비스를 쓰는 것이 능사가 아니라 얼마나 통제 가능한 구조를 설계했느냐가 관건"이라며 "AI와 SaaS가 확산되는 상황에서 보안 솔루션을 덧붙이는 방식에 앞서 기업 스스로 데이터 흐름과 책임 구조를 처음부터 설계하는 접근이 필요하다"고 말했다.

2026.02.19 15:06한정호 기자

SKT, '개인정보 유출' 과징금 1348억원 취소 소송 제기

SK텔레콤이 유심 해킹 사태에 따른 개인정보보호위원회의 약 1천348억 원 과징금 처분에 불복해 행정소송을 제기했다. 19일 업계에 따르면 SK텔레콤은 이날 오후 개인정보위의 과징금 처분 관련 행정소송 소장을 법원에 제출했다. 앞서 개인정보위는 지난해 8월 SK텔레콤 해킹 사고를 조사한 결과 이용자 2천324만4천649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출됐다고 발표했다. 보안 조치 미흡 등의 책임을 물어 위원회 출범 이후 최대 규모인 1천347억9천100만 원의 과징금을 부과했다. SK텔레콤은 소송에서 해킹 사고 이후 보상안과 정보보호 혁신안에 총 1조2천억 원을 투입한 점, 유출로 인한 금융 피해가 실제로는 없었던 점 등이 고려돼야 한다는 입장인 것으로 전해졌다. 또 고의적·영리 목적의 개인정보 활용이 인정된 구글·메타 사례와의 형평성 문제도 제기할 것으로 보인다.

2026.01.19 21:20홍지후 기자

개보위 "의료분야 데이터 스크래핑, API로 개선해야"

개인정보보호위원회(개인정보위)와 한국인터넷진흥원(KISA)는 16일 14시 서울시 중구 프레스센터에서 '의료분야 스크래핑 대응 및 안전성 강화 토론회'를 개최했다. 이날 토론회는 의료 분야에서 쓰이는 의료분야 주요 공공기관 홈페이지에 대한 '스크래핑' 대응 및 안전성 강화 방안을 논의하기 위해 마련됐다. 스크래핑(Scraping)은 사용자로부터 ID, 비밀번호, 인증정보 등을 얻어 사용자 대신 홈페이지에 접속해 화면에 표시된 개인정보를 자동화된 프로그램으로 긁어 오는 방식을 말한다. 개인정보위는 마이데이터 본인전송요구권 확대와 본인전송의 안전성·신뢰성을 강화하기 위해 개인정보 보호법 시행령 개정을 추진하고 있다. 시행령이 개정되기 전에도 안전한 마이데이터 전송체계를 마련하기 위해 지난 4월부터 건강보험공단, 심사평가원, 질병관리청 등 스크래핑이 많이 일어나는 의료분야 홈페이지 정보전송자와 합동점검회의를 개최했고, 스크래핑 대응을 위한 홈페이지 안전성 강화 방안을 논의했다. 이번 토론회는 그간 개인정보위와 의료분야 공공기관의 논의 내용 및 추진상황을 공유하는 동시에, 스크래핑의 위험성과 개인정보 침해 가능성을 점검하고, 홈페이지 사용자인 국민의 권리행사 보장 및 안전하게 개인정보를 내려받기 위한 제도·기술적 개선 방안을 논의하기 위해 마련됐다. 패널들은 개인정보 스크래핑이 해킹의 한 방식인 '크리덴셜 스터핑'과 구분하기 어렵고, 자동화된 스크래핑 접속이 한꺼번에 몰리는 경우 다른 사용자의 홈페이지 이용을 방해한다는 점에 공감했다. '크리덴셜 스터핑'은 다크웹 등에 유출된 ID, 비밀번호 등을 자동 대입해 공격하는 해킹 방식이다. 또 개인정보위는 ▲정보주체인 개인이 기업 홈페이지에서 본인정보를 자유롭게 내려받을 수 있어야 하며 ▲이를 대리하는 대리인이 개인정보를 잘 관리할 수 있을지 사전에 확인할 수 있어야 하며 ▲기업 홈페이지 관리자는 대리인 식별 및 어떤 개인정보를 가져갔는지 기록에 남겨야 한다고 강조했다. 이를 위해 개인정보위는 국민건강보험공단, 건강보험심사평가원 등과 함께 관련된 제도 개선을 추진할 방침이라고 설명했다. 개인정보위는 스크래핑이 사용자 동의를 얻었다고 해도 과도한 정보를 수집하거나 인증 정보가 유출될 우려가 있다고 당부했다. 아울러 개인정보의 목적 외 이용 등 정보유출·오남용 위험이 높아 안전한 전송방식으로 전환할 필요가 있다고 강조했다. 개인정보위가 지목한 안전한 전송방식은 'API(어플리케이션 프로그래밍 인터페이스)'다. API는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증 및 권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식을 말한다. 스크래핑 방식의 위험 요인과 관련해 발제한 김동범 서울대 혁신융합대학 전문위원은 "스크래핑 방식은 사용자의 ID 및 패스워드를 그대로 받아 사용하기 때문에 목적 외로 사용할 가능성이 굉장히 높다. 이는 A라는 사이트에만 접속을 하는 것이 아니라 동일한 계정정보를 사용하고 있는 B, C 사이트까지도 데이터를 가져올 수 있다"며 "A항목, B항목 등 일부분만 가져오는 것이 수집하는 방법이 기술적으로 나올 수 없기 때문에 인증 정보의 탈취 위험이 크다"고 지적했다. 아울러 "스크래핑 방식은 인증 이중장치와 같은 방어 수단을 회피해서 다음 단계로 진입해 정보를 수집한다. 이 과정에서 서비스 장애 및 인프라 부하가 발생할 수 있고, 과도한 트래픽으로 인해 오류가 생길 우려가 있다"며 "또한 법적 및 관리적 위험성도 있는데, 지적재산법 및 웹사이트 이용약관을 위반할 소지도 있다"고 경고했다. 이 외에도 김 전문위원은 국내외 보건의료정보 관려 법령 비교 및 서비스 현황, 정책 동향 등에 대해 소개했다. 이어진 패널토의에서는 개인정보위를 비롯해 보건복지부, 국세청 등 정부기관과 국민건강보험공단 및 학계, 산업계 관계자들이 참석했다. 이날 토의는 개인 의료정보 스크래핑 위험성과 이를 대체할 API 기반의 안전한 정보 전송 체계 구축 방안을 심도 있게 논의했다. 하승철 개인정보위 마이데이터추진단장은 이날 개회사에서 "스크래핑이나 크롤링 등 이런 기술들이 아주 오래전부터 쓰였던 기술이고, 특히 제도적으로 모호한 분야에서는 비공개된 개인정보까지 끌어보는 형태까지 뿌리내려 있어 개선해야 할 여지가 있다"며 "안전의 측면에서 이번 토론회가 쟁점들을 폭넓게 다루고 좋은 해법들이 마련될 수 있었으면 한다"고 밝혔다.

2026.01.17 07:46김기찬 기자

[유미's 픽] "설명 못 하는 AI는 리스크"…개인정보위 과징금 카드에 AI 업계 '긴장'

개인정보 침해 사고 이후 제재에 의존해 온 기존 조사 방식이 한계에 이르면서 위험 기반 접근과 개인정보 처리 전주기 관리 강화가 새로운 정책 기조로 부상했다. 인공지능(AI)·플랫폼 확산으로 대규모 데이터 활용이 일반화된 상황에서 앞으로는 AI 기업들이 기술 개발 초기 단계부터 개인정보 보호를 전제로 서비스 구조를 설계해야 할 것으로 보인다. 16일 개인정보보호위원회가 확정한 '2026년 개인정보 조사업무 추진 방향'에 따르면 정부는 앞으로 개인정보 침해 가능성이 높은 분야를 선별해 집중 점검하고, 조사·처분 전후 모니터링을 확대할 계획이다. AI와 클라우드 확산으로 최근 기업의 데이터 집중도가 높아진 점을 반영한 조치다. 이번 추진 방향에서 AI 산업이 직접적인 영향을 받는 부분은 신기술 분야에 대한 선별적 점검이다. 개인정보위는 AI 자동화 결정, 생체·영상정보 처리, 블록체인·분산신원인증(DID) 등을 위험성이 높은 영역으로 명시했다. 또 AI 채용 솔루션이나 금융·신용평가 서비스처럼 자동화된 결정을 수행하는 AI는 해당 여부와 함께 설명 의무 이행, 평가 기준의 투명성이 점검 대상이 된다. 단순한 성능 경쟁을 넘어 왜 그런 결과가 도출됐는지를 설명할 수 있어야 한다는 의미다. 얼굴·음성 인식, 영상 분석 등 생체·영상 데이터를 활용하는 AI 서비스는 고위험 분야로 분류돼 실태 점검이 강화된다. 기술 제공자라고 하더라도 개인정보 처리 책임에서 자유롭기 어렵다는 점에서 관련 기업들의 부담이 커질 것으로 보인다. 블록체인과 DID 분야 역시 점검 대상이다. 개인정보위는 분산원장의 특성으로 인해 발생할 수 있는 개인 식별 가능성 통제와 참여자 간 책임 구조를 들여다볼 계획이다. 조사 방식도 달라진다. 자료제출명령 미이행 시 이행강제금을 부과하고 조사 착수 단계에서 증거보전명령을 도입해 조사 강제력을 높인다. 특히 올해 12월 구축 예정인 기술분석센터는 AI 업계의 주요 변수로 꼽힌다. 기술분석센터는 AI 기반 서비스 전반에서 개인정보가 어떻게 처리·결합·이용되는지를 분석하는 역할을 맡는다. 이로 인해 그동안 알고리즘이 복잡하다는 이유로 설명을 피하던 대응 방식은 이제 더 이상 통하지 않을 것으로 보인다. 업계 관계자는 "이젠 AI 모델 구조와 데이터 흐름을 설명할 수 없는 상태 자체는 리스크가 될 것"이라고 말했다. 제재 수위도 크게 높아진다. 개인정보위는 매출액의 최대 10%에 달하는 징벌적 과징금 도입을 추진하고 반복 위반에 대한 가중 처벌과 감경 기준 강화를 예고했다. 이는 대규모 데이터를 다루는 AI 플랫폼 기업은 물론, 성장 단계의 AI 스타트업에도 재무적 부담이 될 것으로 예상된다. 업계에선 벌금 문제를 넘어 투자 유치나 인수합병(M&A) 과정에서 데이터 관리 체계가 핵심 검증 항목으로 떠오를 것으로 전망했다. 실제로 이번 추진 방향에는 기업 결합이나 파산·회생 과정에서 발생하는 개인정보 이전·파기의 적법성 점검도 포함됐다.이 같은 정책 기조 변화는 기업 내부 운영 방식에도 영향을 미칠 것으로 보인다. 대규모 개인정보 처리자는 해킹 대응 능력을 포함한 내부통제체계를 정기적으로 점검받게 되며 시정명령 이후 이행 여부에 대한 관리도 강화된다. 최고경영자(CEO)의 관리 책임이 강조되면서 개인정보보호책임자(CPO)의 역할 역시 커질 전망이다. AI 개발 조직과 보안·법무 조직 간 협업도 사실상 필수 요건으로 자리 잡을 가능성이 크다. 이번 조사 방향은 한국 AI 산업에 대해 빠른 기술 혁신보다 위험 관리와 책임을 우선하라는 신호로 읽힌다. 단기적으로는 규제 대응 부담이 커질 수 있지만, 중장기적으로는 개인정보 보호 역량을 갖춘 기업 중심으로 시장이 재편될 가능성도 있다. 업계 관계자는 "개인정보 보호 설계 수준이 향후 규제 대응 비용과 서비스 지속 가능성을 좌우하는 요소로 적용할 가능성이 크다"며 "앞으로 AI 경쟁력은 모델 성능뿐 아니라 개인정보 보호를 어떻게 설계했는지까지 포함하는 개념이 될 것"이라고 말했다.

2026.01.16 17:56장유미 기자

개보위, 정책에 청년 의견 반영…정책 개선 방안 논의

개인정보보호위원회(개보위)가 개인정보 정책의 지속가능성 강화를 위해 청년의 의견을 청취하는 자리를 마련했다. 개보위는 26일 정부 서울청사에서 제2기 '개인정보위 2030자문단' 제3차 전체회의를 개최했다고 28일 밝혔다. 이번 회의는 개인정보 정책 전반에 대한 발전 및 개선방안 등을 논의하기 위해 마련됐다. 먼저 보호·활용 분과는 개인정보 보호법의 '목적 명확화', '최소 수집 원칙' 등이 다양한 목적으로 최대한 많은 데이터 수집을 요구하는 인공지능(AI) 기술 개발에 제약이 되고 있다는 지적이 나왔다. 이에 개보위는 특정 개인을 식별하지 않도록 처리해 활용하는 가명정보에 대해서는 데이터 처리 목적과 기간을 유연하게 적용하는 등 AI 기술 특성에 맞도록 제도를 개선할 것을 제안했다. 침해 방지 및 권리 강화 분과에서는 최근 대규모 개인정보 유출사고가 반복되면서 국민 불안이 커지고 있으나, 기업의 사후 개선 노력은 여전히 부족하다고 평가했다. 이에 따라 유출사고 기업의 사후조치 이행 여부를 점검하고, 정기적 안전조치를 확인할 수 있도록 공시하는 방안을 제시했다. 소통·협력 분과는 현재 K-ESG 가이드라인 평가지표 중 개인정보 분야는 사회(S) 22개 문항 중 하나로 포함되어 있으나, 평가항목인 개인정보 관련 법/제도 위반에 대한 처벌수위, 자율적 노력 및 활동의 성과 점검 지표가 개인정보보호 체계 성숙도를 측정하기에 적합하지 않아 개선이 필요하다고 제언했다. 고은영 개보위 청년정책담당관은 "청년들이 제시한 정책 제안은 현행 제도의 한계를 보완하고 미래 지향적 발전 방향을 모색하는 데 큰 힘이 될 것"이라며 "개인정보위는 청년들의 목소리를 정책에 적극 반영해 지속가능한 개인정보 보호체계를 마련해 나가겠다"고 강조했다.

2025.09.28 15:41김기찬 기자

셀렉트스타, 구글·MS와 'AI 신뢰성' 표준 논의…글로벌 리더십 '증명'

셀렉트스타가 자체 기술력을 앞세워 글로벌 인공지능(AI) 신뢰성 표준을 정립한다. 셀렉트스타는 지난 15일 서울에서 열린 '글로벌 프라이버시 총회(GPA 2025)', 17일부터 이틀간 일본 오사카에서 개최된 '글로벌 스타트업 엑스포 2025(GSE 2025)'에 연이어 참가했다고 19일 밝혔다. 이 자리에서 회사는 자체 개발한 AI 신뢰성 검증 솔루션 '다투모 이밸'을 국제 무대에 소개했다. 특히 서울 그랜드 하얏트 호텔에서 진행된 GPA 사전 행사 '오픈소스 데이'에서는 국내 스타트업 중 유일하게 발표 세션을 맡았다. 구글, 마이크로소프트, 메타, 오픈AI 등 글로벌 빅테크 기업과 어깨를 나란히 해 주목받았다. 발표자로 나선 황민영 셀렉트스타 부대표는 생성형 AI 신뢰성 검증 솔루션 '다투모 이밸'을 소개했다. 그는 한국어 벤치마크 데이터셋 구축 사례를 공유하며 기업의 챗봇 개발 시 ▲환각 현상 방지 ▲시스템 안전 기준 충족 ▲적절한 데이터 기반 답변 보장이 핵심이라고 강조했다. 이어진 일본 오사카 'GSE 2025'에서는 단독 부스를 운영하며 일본 및 해외 기업과 협력 가능성을 모색했다. 황 부대표는 유망 스타트업 피치 세션인 '딥 테크 스타트업 피치 이벤트' 무대에 올라 글로벌 투자자와 업계 리더들에게 셀렉트스타의 비전을 발표했다. 셀렉트스타의 국내 입지도 강화되고 있다. 김세엽 대표는 지난 8일 출범한 국가인공지능전략위원회 데이터 분과위원으로 위촉돼 대한민국 AI 액션플랜 수립에 참여한다. 더불어 회사는 '독자 AI 파운데이션 모델' 사업 정예팀에도 합류해 모델 개발에 힘을 보태고 있다. 황민영 셀렉트스타 부대표는 "AI 신뢰성과 개인정보보호는 글로벌 딥테크 기업들 사이에서 초미의 관심사로 떠오르고 있다"며 "이번 GPA와 GSE 참여를 통해 국제 파트너들과 긴밀히 협력하고 글로벌 AI 생태계에서 신뢰성 표준을 만들어가겠다"고 밝혔다.

2025.09.19 17:42조이환 기자

개인정보 유출 책임 CEO가 진다...개보위, 종합 대책 발표

민간의 잇달은 해킹 사고와 관련해 개인정보위원회가 11일 종합 대책을 내놨다. 12대 과제로 이뤄졌다. 앞으로 기업에서 해킹이 발생해 개인정보 유출 사고가 나면 이의 책임을 최고경영자(CEO)가 지는 법이 만들어진다. 또 개인정보보호 관리체계(ISMS-P) 인증 의무화도 추진된다. 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 지난 4월 18일 발생한 에스케이텔레콤(이하 'SKT') 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 '개인정보 안전관리 체계 강화 방안'을 마련, 추진한다고 11일 밝혔다. 이번 '개인정보 안전관리 체계 강화 방안'은 지난 SKT 고객정보 유출 사고에서 드러난 제도적,기술적 미비점을 보완하는 한편, 그간의 사후 땜질식 처방과 제재만으로는 급속히 발전하는 해킹 기술에 적절하게 대응하기 어렵다는 문제 인식을 기반으로 기업이 보다 적극적, 선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련을 핵심 방향으로 마련됐다. 개인정보위는 이번 방안을 마련하기 위해 지난 5월부터 위원회의 여러 부서가 참여하는 전담반을 구성하고, 관련 전문가 및 사업자 간담회, 국내외 자료 조사 등을 통해 현행 규제시스템의 문제점과 기업의 인식과 관행, 인력 및 예산 투자 규모, 피해자에 대한 권리구제 실효성 등을 종합적으로 분석해 아래와 같은 개선방향을 도출했다. ■ 어떤 개선방안 마련했나? 개인정보위는 이번 SKT 고객정보 유출 사고에서 드러난 바와 같이 국민 생활에 밀접한 대규모 정보시스템 중에서 이미 해킹이 이뤄졌거나 악성 프로그램이 설치돼 있을 가능성을 고려해 유사 사고 예방을 위한 기술적 조치를 우선 추진할 방침이다. 아울러, 최고경영자(CEO)의 책임 명확화와 인력과 예산 투입 기준 등의 상시적, 전사적 내부통제 강화를 위한 방안과 엄정한 조사 및 처분 체계와 피해자의 권리구제 실질화 등을 위해 필요한 다양한 과제를 발굴해 시행할 예정이다. 자세한 내용은 아래와 같다. 1) 유사사고 예방을 위한 선제적 제도개선 ① 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화하고, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다. ② 평소 개인정보 보호를 위한 선제적, 적극적 보호조치를 한 기업에 대한 인센티브 제공(과징금 감경 등) 체계 정비를 추진한다. ③이미 유출된 개인정보가 웹, 딥웹, 다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유해 유출경로 확인 및 차단조치 등 2차 피해 예방을 적극 지원한다. ④ 개인정보 보호 수준을 객관적으로 평가 및 인증하는 '개인정보보호 관리체계(ISMS-P)' 인증 제도는 신종 해킹기법을 고려한 현장심사(취약점 점검, 모의해킹 등) 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템, 이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다. 2)상시적 내부통제 강화 ① 개인정보 보호 분야의 투자(인력/예산) 확대를 위한 구체적 기준을 제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위해 어느 정도 노력했는 여부에 따라 다양한 인센티브 제공을 검토, 추진한다. 예컨대, 유출사고 발생시 책임 경감과 공공기관 개인정보 보호 수준 평가시 가점 등이 인센티브의 한 사례다. '개인정보 보호법 시행령'제32조제4항에 따른 전문 CPO 지정 의무기관은 매출액 1500억원 이상인 자로 100만명 이상의 개인정보를 처리하는 기업 등을 말하는데, 현재 이 숫자가 700여 곳에 달한다. ② 기업 최고경영자(CEO)에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 하고, 실질적인 관리주체인 개인정보보호책임자(CPO)가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄해 내부통제 할 수 있도록 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다. ③ 그동안 공공분야에서 대규모 개인정보처리스템을 신규 구축 또는 변경하는 경우 의무적으로 적용하고 있는 '개인정보 영향평가'를 민간에서도 활성화 될 수 있도록 대상, 방법, 기준 구체화, 평가기관 및 인력 전문성 제고 등을 통해 자율적 수행 기반을 마련한다. ④ 대규모 수탁사(클라우드 서비스 사업자 등) 또는 솔루션 공급자 등과 같은 법적 사각지대 관리를 강화하는 한편, '개인정보 안심설계 인증제' 도입을 통해 중소 사업자 등에게 개인정보 보호 수준이 검증된 제품을 사용토록 권장함으로서 보안역량 제고를 추진한다. 3) 엄정한 처분 및 권리구제 실질화 ① 같은 방식으로 반복적인 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 통해 경각심을 가질 수 있도록 하고, 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 위한 검토를 추진한다. 또 개인정보 유출로 인해 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람 뿐 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대하는 등 추가적 피해 확산을 방지하기 위한 조치를 강화한다. ② '개인정보 보호법' 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토 및 추진한다. 역대 과징금 부과액을 보면 2021년 82억원 → '22년1018억원 → '23년 232억원 → '24년 611억원에 달했다. ③이 밖에도 개인정보위는 시장감시 및 권리구제 지원을 위한 '개인정보 옴부즈만'을 설치한다. '개인정보 옴부즈만'은 학계, 시민단체, 일반국민 등 15인 이내로 구성해 운영한다. 또 전문인력 양성과 신기술, 신제품의 개인정보 침해 위협 선제대응 등을 통해 정보주체의 권리구제 기반을 강화하는데, 이를 위해 ISMS-P 인증심사원, 개인정보 영향평가사 등 교육과정 운영과 대학교 석박사 과정을 신설한다. 석박사 과정 신설에 따른 예산 30억을 확보, 내년에 개설할 예정이다. ④ 한편, 일정 규모 이상의 기업에서 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험상품 개발 및 개선 유도를 통해 손해배상 보장제도 내실화와 유연화 및 자율적 피해구제 확산을 지원한다. ■ 향후 계획 개인정보위는 이번에 발표한 '개인정보 안전관리 체계 강화 방안'이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견수렴을 통해 이행 가능한 합리적 기준(인력, 예산, 인센티브 등)을 명확히 설정하고, 이를 법령과 고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 예정이다. 대부분의 법률 개정사항은 연내 개정안을 마련해 내년 상반기 국회에 제출하고, 중장기 검토가 필요한 사항은 이해관계자 의견수렴 후 내년까지 개정안을 마련해 추진한다. 아울러, 민간의 자율적 참여를 통해 합리적 기준을 설정했음에도 그런 기준을 준수하지 못하고 유출 사고가 발생한 경우에는 그 원인과 책임에 따라 엄정하게 제재할 계획이다. ■ 현황 ① 현행 규제시스템(개인정보 보호법」 제29조, 시행령 제30조, 고시(개인정보의 안전성 확보조치 기준 등)은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무 사항을 중심으로 규율하고 있고, 기업이 이보다 더 추가적이고 적극적인 보호조치를 해야 할 제도적 유인이 부족한 상황이다. 또 급속히 발전하고 있는 해킹 기술을 고려할 때, 유출사고 발생시마다 각종 규제를 추가하는 기존 방식으로는 신종 해킹기법에 유연하게 대응할 수 있는 예방적 보호 체계 마련이 곤란하고, 기업이 분야별 위험도에 상응하는 최적의 안전조치를 선제적으로 채택 시행하는 것에 일정한 한계가 있어 왔다. 이에, 사고 발생시 엄정한 제재 기조는 유지하면서도 사후적 조치(제재, 의무화) 보다는 사전적 예방(선제적 조치, 인센티브)를 중심으로 하는 개인정보 안전관리 체계로의 패러다임 전환이 필요하다고 개인정보위는 밝혔다. ② 개인정보 보호와 관련한 국민 감수성이 상당히 높은 편임에도 불구하고 세계적 수준에 비해 관련 인적, 물적 투자 규모는 아직 낮은 수준이며, 이는 많은 기업에서 개인정보 보호를 위한 자원 투입을 소극적 준법감시(compliance) 측면의 '비용'으로 보는 인식·관행이 그 배경으로 지적된다. 2024년 통계청 사회조사보고에 따르면 개인정보 유출에 관해 국민 과반수 이상(57.6%) 안전하지 않다고 응답(범죄ㆍ질병 등 11개 분야 중 가장 안전하지 않은 분야로 인식)했고, 정보기술 투자액 대비 정보보호 부분 투자 비율('23.12월 기준)은 한국 6.1%인데 반해 미국은 11.6%다. 이에, 기업 최고경영자(CEO)의 책임성 강화, 자원 투입 확대 등을 통해 고객정보 보호는 '불필요한 비용'이 아닌 '전략적 투자, 기본적 책무'라는 인식을 사회 전반에 확립하고, 국민의 신뢰를 받을 수 있도록 노력할 필요가 있다. ③ 동일한 원인으로 유출사고가 반복되는 기업 등 개인정보 보호에 현저히 소홀한 기업에 대해서는 보다 엄정한 제재를 부과할 수 있는 체계가 부족하고, 과징금은 전액 국고에 귀속되어 실제 피해자의 권리구제를 위해서는 활용할 수 없는 모순적 상황이다. 또한, 현행법상 개인정보 유출 통지의 대상은 개인정보 유출이 확인된 피해자를 대상으로 하고 있으나, 금번 SKT 고객정보 유출 사고와 같은 경우에는 유출 정보를 활용한 불법거래 차단 등의 선제적 조치 필요성을 고려할 때, 유출 가능성이 있는 모든 사람에게 해당 내용을 신속히 통지하는 등 추가적인 피해 확산을 방지하기 위한 조치가 필요하다. 이에, 대규모 개인정보 유출사고 근절을 위한 엄정한 조사 및 처분 체계를 강화하고 개인정보 분쟁조정, 손해배상 보장제도 내실화 등 정보주체의 권리구제를 실질화하는 한편, 과징금을 실제 피해자의 피해구제에 활용할 수 있는 방안을 검토할 필요가 있다고 개인정보위는 설명했다. 고학수 개인정보위 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 '불필요한 비용'이 아닌 고객의 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”라고 말했다.

2025.09.11 17:38방은주 기자

마이데이터 두고 이커머스 업계 "심각한 부작용 초래" 우려

개인정보보호위원회가 본인전송요구권(마이데이터)을 전 산업으로 확대하는 시행령 개정을 추진하는 가운데, 이커머스 업계가 강력한 반대 입장을 내놨다. 한국온라인쇼핑협회는 “산업 현장의 우려가 제대로 반영되지 않은 채 졸속으로 추진되는 개정은 심각한 부작용을 초래할 것”이라며 제도 재검토를 요구했다. 협회는 21일 배포한 입장문에서 개인정보위가 “중소기업과 스타트업은 제외되고, 중견 이상 기업도 홈페이지 다운로드 기능만 추가하면 된다”며 비용이 크지 않다고 주장한 데 대해 “현실과 괴리돼 있다”고 지적했다. 협회는 실제로는 API 개발, 보안 강화, 인프라 구축 등 대규모 투자가 불가피하다며, 최근 중국발 C-커머스 공습과 SK텔레콤 개인정보 유출 사태로 경영 환경이 악화된 상황에서 이는 국내 기업들에 치명적인 부담이 될 수 있다고 강조했다. 업계는 이번 개정안이 불과 1년 전 규제개혁위원회가 유통 분야를 전송의무 대상에서 제외하기로 한 결정을 뒤집은 것이라고 반발했다. 협회는 “학계·시민사회·산업계가 모두 반대했던 기존 합의를 무시한 졸속 추진”이라며 정책 신뢰성을 문제 삼았다. 또한 개인정보위가 “영업비밀 유출 가능성은 거의 없다”고 선을 그은 데 대해서도 업계는 동의하지 않았다. 협회는 “기업이 다년간 투자해 구축한 영업기밀이나 공동계약 정보, 가족 구성원 데이터 등이 함께 저장된 경우 현실적으로 분리 전송이 불가능하다”며, 추상적인 예외 규정만으로는 권리 침해를 막을 수 없다고 주장했다. 특히 협회는 개인정보위가 개인정보관리 전문기관을 통한 대리 행사와 자동화 도구(스크래핑) 사용을 일부 허용한 점을 강하게 비판했다. 협회는 “이는 개인정보보호법 제29조의 안전성 확보 의무와 정면으로 충돌하며, 금융권에서도 이미 금지된 방식”이라며 “전문기관 남용, 불법 데이터 거래, 시스템 마비 등 역효과를 낳을 것”이라고 경고했다. 협회는 개인정보 자기결정권 강화라는 취지에는 공감하지만, 전 산업으로의 일괄 확대는 경쟁력 약화와 소비자 피해로 이어질 수 있다고 주장했다. 이에 따라 ▲개인정보 전문기관 대리 행사 제한, ▲공공성과 국민 편익이 명확한 분야부터 단계적 도입, ▲영업비밀 및 제3자 권리 보호 장치 강화, ▲스크래핑 전면 금지 등을 요구했다. 협회는 “정부가 약속한 '소통 지속'이 형식적 절차에 그치지 않고, 실제 제도 설계에 반영돼야 한다”며 “앞으로도 업계 목소리를 지속적으로 전달할 것”이라고 밝혔다. 한국온라인쇼핑협회는 국내 온라인쇼핑 관련 대표 기업들로 구성된 비영리 민간 경제 단체로서 이커머스 기업 주요 100여개 회원사와 온라인 영세소상공인 1천여개 회원사들이 가입돼 있다.

2025.08.21 11:36안희정 기자

개인정보관리 전문기관 탄생 초읽기...개보위 "이르면 하반기 업무 수행"

개인정보보호위원회(위원장 고학수)가 1일 한국광고문화회관(서울 송파구)에서 본인전송요구권 확대를 위한 개인정보보호법 시행령 개정안 설명회를 개최했다. 200명 이상이 모일만큼 성황을 이뤘다. 빠르면 올 하반기, 여러 웹사이트에 흩어져 있는 내 정보를 본인전송요구를 통해 안전하게 수집하고 관리하는 업무를 개인정보관리 전문기관이 수행할 수 있다. 개인정보위는 이날 설명회에서는 전문기관 지정을 희망하는 기업과 기관을 대상으로 ▲본인전송요구권 행사 대행 업무 ▲통합조회 및 관리 서비스 운영 방안 ▲개인정보 보호를 위한 안전성 확보 요건 ▲API(애플리케이션 프로그래밍 인터페이스) 연계 및 스크래핑 방식 등 개인정보 연계 전략 ▲정보주체 이익을 위한 활용 사업 및 수익 배분 방안 등 전문기관의 역할과 책임을 소개했다. 개인정보위는 본인 전송 요구 확대에 따른 과도한 정보 집중을 방지하기 위해 의료, 통신, 쇼핑, 숙박·여가 등 분야별로 전문기관을 별도 지정하는 방식을 검토중이다. 정보주체로부터 본인전송요구권 행사를 위임받은 전문기관은 의료, 통신, 물품구매, 티켓 예매 등 여러 사이트에 흩어진 개인정보를 정보주체 본인만이 접근 가능한 개인정보 저장소에 보관하는 역할을 수행한다. 또 정보주체와 정보 활용에 대한 위임계약을 체결할 경우 저장소에 보관된 정보를 열람, 분석, 맞춤형 서비스, 리포트 제공, 알림 서비스, 제3자 데이터 전송 등 다양한 방식으로 활용할 수 있다. 이때 정보주체가 충분히 인지하고 결정한 경우 수익사업 수행도 가능하며 발생한 수익은 정보주체와 전문기관이 합리적으로 배분할 수 있다. 정보주체의 대리인으로서 본인전송요구권 행사를 지원하려는 전문기관은 개인정보 저장소에 보관된 개인정보가 어떤 목적으로 활용되는지 정보주체가 명확히 확인하고 판단할 수 있도록 정보를 제공하고, 통제권을 보장해야 한다. 이를 위해 전문기관은 ▲정보의 활용 목적 설명 및 고지 ▲전송 이력 알림 ▲열람·정정·삭제 요청 등 통제권 보장 조치를 마련해야 한다. 또 안전하고 신뢰할 수 있는 전문기관만이 사전 협의된 스크래핑 방식으로 정보전송자(개인정보처리자)의 홈페이지 등을 통해 개인정보를 수집할 수 있도록 안전성 기준을 강화할 예정으로, 전문기관은 개인정보 유출 방지를 위한 암호화, 접근권한 관리, 접근제어, 해킹공격 대응 등 개인정보 보호를 위한 높은 수준의 보안 역량 및 전문성을 갖춰야 한다. 아울러, 개인정보위는 본인전송요구권 확대에 따라 전문기관이 본인전송요구권을 대리해 통합조회 등 업무 수행에 필요한 역할과 자격 요건, 안전성 기준, 업무 범위 등에 대해, 전문기관 지정을 희망하는 기업 및 기관을 대상으로 정보제공요청서(RFI)를 오는 18일까지 접수받는다. 자세한 내용은 한국인터넷진흥원(KISA) 홈페이지를 참고하면 된다. 하승철 개인정보위 마이데이터추진단장은 "정보주체가 본인 의사에 따라 자유롭게 본인 정보 활용 여부를 결정할 수 있는 신뢰할 수 있는 환경을 조성할 것"이라며 "국민이 신뢰할 수 있는 데이터 생태계가 조성될 수 있게 데이터 활용 기업들도 적극 협조해 달라"고 당부했다.

2025.07.01 23:26방은주 기자

개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고

개인정보보호위원회(위원장 고학수) 11일 전체회의를 열고 클라우드 서비스 제공사업자(Cloud Service Provider, CSP) 3개 사인 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform, NCP)에 대한 사전 실태점검 결과를 발표했다. 이들 3개사의 서비스를 이용하는 국내 고객사는 약 65만 곳에 달한다. 공정위 조사자료(2021년)에 따르면 AWS는 국내 CSP시장에서 62%, 애저는 12%, 네이버클라우드는 7%를 차지했다. 이번에 실태점검 결과를 발표한 전승재 개인정보위 조사조정국 조사3팀장은 "CSP를 대상으로 개인정보 실태 조사를 한 건 이번이 처음이며 CSP같은 중간재를 대상으로 개인정보 실태를 조사한 것도 이번이 처음"이라고 밝혔다. 이번 사전 실태점검은 개인정보보호법(제63조의2)에 따른 것이다. 개인정보 보호 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도다. 법 위반 또는 개선 필요사항 발견 시 시정과 개선을 권고할 수 있다. 개보위는 "이번 실태점검은 클라우드를 기반으로 개인정보처리시스템을 운영하는 이용사업자(중소기업·스타트업·소상공인 포함)들이 클라우드 상 안전조치 기능 미비로 인해 개인정보 보호법(이하 '보호법') 위반 또는 개인정보 유출 위험에 노출되는 것을 선제적으로 예방하기 위해 진행했다"고 설명했다. ■ 점검 결과 점검대상 클라우드 서비스들은 보호법상 필수 안전조치 기능 자체는 제공하고 있지만 ① 일부 기능의 경우 이용사업자가 추가 설정을 해야 하거나 ②별도 솔루션을 구독해야만 하는 경우도 있어 이용사업자들에게 적극적인 안내가 필요한 것으로 조사됐다. ① 기본 안전조치 설정 외 추가 설정이 필요한 기능 개인정보보호법은 개인정보취급자에게 업무 수행에 필요한 최소한의 범위로 개인정보처리시스템의 접근권한을 차등 부여하고 접속계정을 공유하지 않을 것을 요구한다. 이를 위해 필요한 하위계정 발급 및 접근권한 설정 기능은 점검 대상 클라우드 서비스들에서 기본 제공되는데, 이용사업자가 이 기능을 활용하려면 자사 담당자별로 하위계정을 발급하고 각기 접근권한을 부여하는 조치를 추가로 해야만 한다. 또 보호법은 개인정보취급자가 개인정보처리시스템에 접속할 수 있는 범위를 인터넷 프로토콜(이하 IP) 주소 등으로 제한하고, 외부 인터넷에서 접속 시 아이디·비밀번호 이외의 안전한 인증수단(이하 '2차 인증')을 적용할 것을 요구한다. 점검 대상 서비스들은 접속IP 주소 대역 제한 기능을 기본으로 갖추고 있지만, 실제 이용사업자가 자사 환경에 맞게 허용·제한할 IP 주소 대역을 추가로 설정해야만 한다. 2차 인증 기능의 경우 대개 기본 탑재되어 있지만 일부 추가설정이 필요한 부분이 있어 이용사업자의 주의를 요한다. ② 별도 솔루션 서비스 구독 등이 필요한 기능 보호법은 개인정보처리시스템과 관련, 개인정보취급자에게 접근권한을 부여한 기록(log)을 3년간 보존 및 개인정보취급자가 접속한 기록을 1년(일정 규모 이상 개인정보처리자는 2년)간 보존해야 하며, 이 접속기록을 평상시 및 공격을 받을 시를 비롯해 상시 분석함으로써 개인정보 유출 시도(이상행위)를 탐지할 의무를 부여한다. 점검대상 클라우드 서비스들은 기록보존 기능 자체는 기본으로 제공하지만 보존 기간이 대개 수십 일 수준으로 단기에 그치고 있었다. 이용사업자가 1~3년의 보존의무를 이행하려면, 기록을 별도로 장기 보관하는 기능을 자체 구현하면서 필요한 별도 저장용량을 구입하거나, 또는 클라우드사업자가 제공하는 별도 기록 관리 솔루션을 구독해야 한다. 이상행위 탐지와 관련해서는, 기본적인 기능을 기본으로 제공하는 클라우드사업자도 일부 있었으나, 실제 현장에서 필요로 하는 수준의 이상행위 탐지시스템은 대개 별도 구독 솔루션으로 제공하고 있었다. 이 외에 암호 키 관리, 악성프로그램 방지 등의 기능도 별도 솔루션으로 구독해야 하는 경우가 다수 있었다. ■ 개선 권고 개인정보위는 클라우드사업자 3사를 대상으로 이들이 제공하는 안전조치 기능 중 추가 설정 또는 별도 솔루션 구독이 필요한 기능의 존재 및 설정방법을 개발문서(가이드, 설명서 등)를 통해 이용사업자에게 명확히 알릴 것을 개선권고하는 한편, 타 클라우드 사업자 및 이용사업자들을 대상으로도 한국인터넷진흥원 등 전문기관과 함께 적극적으로 계도해 나갈 계획이다. 개보위는 "이번 실태점검 및 후속 개선을 통해 클라우드를 활용하는 국내 다수 개인정보처리자들의 인식과 보호 수준이 향상될 것이 기대한다"고 밝혔다.

2025.06.12 12:00방은주 기자

SaaS도 보안 문제가···개보위, 명품 브랜드 디올·티파니 개인정보 유출 조사

개인정보보호위원회(위원장 고학수)는 LVMH(루이비통모에헤네시) 산하 디올과 티파니의 개인정보 유출 사고에 대한 조사에 착수해 진행 중이라고 1일 밝혔다. 특히 두 회사는 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용중으로, 두 건 모두 고객관리 서비스에 접속하는 직원계정 정보를 이용해 개인정보가 유출된 사고로 확인돼 해당 서비스형 소프트웨어도 함께 들여다볼 계획라고 개인정보위는 밝혔다. SaaS(Software as a Service, 서비스형 소프트웨어)는 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식이다. 앞서 디올은 1월경 발생한 유출사고를 5월 7일 인지했다고 신고(5.10.)했고, 티파니는 4월경 발생한 유출사고를 5월 9일 인지했다고 신고(5.22.)했다. 개인정보위는 조사를 통해 정확한 유출 대상·규모 파악, 기술적·관리적 안전조치 이행 등 개인정보 보호법 위반 여부를 확인하고, 사고 이후 유출 신고와 개별 정보주체에게 통지까지 상당 시일이 소요된 부분에 대해서도 집중적으로 확인하고 있다. 개인정보위는 법 위반 발견 시 관련 법에 따라 처분할 예정이다. 한편 개보위는 SaaS를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는, 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP(아이피) 주소 제한 등 접근 통제 조치가 필요하며, 피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다고 밝혔다.

2025.06.01 12:35방은주 기자

  Prev 1 2 3 4 5 Next  

지금 뜨는 기사

이시각 헤드라인

급한 불 끈 홈플러스...경영 정상화는 ‘산 넘어 산’

미국 우버가 독일 딜리버리히어로 품는 이유

글로벌 AI 시장, 미·중 모델 고집 여전...한국 현주소는

전국민에 ‘모두의 AI’ 보급...반도체·AIDC·피지컬AI 집중 육성

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.