검색 - IT세상을 바꾸는 힘 지디넷코리아

개정 '개인정보법' 혼선 막는다...개인정보위, 현장설명회 개최

개인정보보호위원회가 개정된 '개인정보 보호법'에 따른 혼선을 방지하기 위해 일선 기업 보안 담당자들을 찾아간다. 개인정보위는 오는 18일 한국광고문화회관 2층 그랜드볼룸에서 개정된 '개인정보법' 현장 설명회를 개최한다고 13일 밝혔다. 지난해 3월 공포된 '개인정보법' 중 인공지능(AI) 등 자동화된 결정에 대한 권리, 개인정보 보호책임자(CPO) 자격 요건 등 일부 규정이 오는 15일부터 시행된다. 이번 현장 설명회는 ▲자동화된 결정에 대한 정보주체의 권리 ▲개인정보 보호책임자 전문성·독립성 강화 ▲공공분야 개인정보 보호수준 평가 확대 ▲손해배상책임 보장 의무대상 보완 등 새롭게 신설되거나 변경된 사항을 중심으로 설명할 예정이다. 별도 사전등록 절차 없이 개인정보 분야 담당자를 비롯해 누구나 참석할 수 있다. 더불어 주요 개정 사항에 대한 세부 기준 및 사례 등을 담은 개정사항 안내서를 12일자로 개인정보위 누리집에 게재했다.

2024.03.13 17:43이한얼

개인정보위, 도로교통공단 가명정보 결합기관지정

앞으로 교통 안전 데이터와 복지·의료·통신 등 데이터를 안전하게 가명정보로 결합할 수 있게 되면서 도로교통 행정이 개선될 것으로 기대된다. 개인정보위는 도로교통공단을 가명정보 결합전문기관으로 지정했다고 29일 밝혔다. 결합전문기관은 개인정보 보호법 제28조의3 및 같은 법 시행령 제29조의2에 따라 개인정보위 또는 관계 중앙행정기관의 장으로부터 지정받은 기관이다. 서로 다른 가명정보를 결합해 데이터를 활용하는 연구자‧기업 등에게 제공하는 역할을 한다. 개인정보위는 지정심사위원회와 함께 가명처리, 결합·반출 등을 위한 인적·물적 요건에 대해 서류 현장 심사를 했다. 공단이 안전한 데이터 처리 환경을 갖추고 있음을 확인했다. 도로교통공단은 운전면허정보, 유형·지역별 교통사고 정보, 보호구역 지정 정보, 사고다발지점 정보 등 교통‧안전과 관련한 다양한 데이터를 보유·관리하고 있다. 공단은 결합전문기관으로 지정됨에 따라 교통안전 데이터와 복지·의료·통신 등 여러 분야의 데이터를 안전하게 가명정보로 결합해 도로교통 행정 개선, 고령자 사고 예방 등 국민 교통안전에 관한 연구를 적극 지원한다는 방침이다.

2024.02.29 14:01이한얼

개인정보위, '개인정보 안심구역' 3월 순차 시행...정책설명회 개최

정부가 새롭게 시범도입하는 '개인정보 안심구역' 제도를 실제 수요조사를 거쳐 오는 3월부터 순차적으로 진행한다. 개인정보보호위원회는 27일 가명정보 활용 활성화 관련 제도 개선사항 정책 설명회를 개최하고 이같이 밝혔다. 이날 개인정보위는 지난해 관계부처 합동으로 발표했던 '가명정보 활용 확대방안'과 '데이터 경제 활성화 추진과제'에 포함됐던 개인정보 안심구역 시범운영, 비정형데이터의 가명처리 기준 등에 대해 안내했다. 먼저, 새롭게 시범도입하는 '개인정보 안심구역'에 대해서는 지난 12월에 통계청과 국립암센터를 '개인정보 안심구역'으로 지정한 후 현장 심사 등을 진행해 왔다. 개인정보위는 오는 3월부터는 실제 기업・연구자로부터 활용 수요조사 및 연구계획 심의 등을 순차적으로 진행할 예정이다. 안심구역에서는 ▲가명처리 수준 완화 ▲가명정보 장기보관·재사용 ▲다양한 결합키 활용 ▲영상·이미지 등 빅데이터에 대한 표본(샘플링) 검사 ▲개인정보보호 강화기술(PET) 실증 등을 지원한다. 오는 4월 중에는 개인정보 안심구역 시범운영기관을 추가로 공모할 예정이다. 또한 개인정보위는 최근 개정된 '가명정보 결합 및 반출 등에 관한 고시'와 비정형데이터 가명처리 가이드라인 등 주요 내용도 설명했다. 개인정보위는 건강보험공단, 심평원 등 결합전문기관이 자신이 보유한 데이터를 신속하게 다른 데이터와 결합해 과학적 연구에 활용할 수 있도록 제도를 개선했다. 특히 이날 설명회에서는 인공지능 시대에 활용 수요가 폭발적으로 늘어난 영상, 이미지, 음성정보 등을 안전하게 활용하기 위해 마련한 비정형데이터 가명처리 가이드라인에 대한 여러 질의응답이 오고갔다. 개인정보위는 가이드라인에서 제시된 사례 중 가명처리 기준이 엄격해서 부담이 된다는 일부 기업의 우려에 대해서도 의견을 피력했다. 개인정보위는 "가이드라인의 예시로 가장 안전하게 처리한 시나리오들을 수록한 것"이라며 "모든 상황에 일률적으로 같은 방법과 수준으로 처리하라는 것은 아니다"고 설명했다. 또 개인정보처리자는 처리 목적, 환경, 민감도 등을 고려해 합리적인 처리방법으로 활용할 수 있다는 것이 대원칙이라는 입장이다. 양청삼 개인정보위 개인정보정책국장은 "앞으로도 데이터 활용 현장과 긴밀히 소통 정책에 대한 기업․연구자 분들의 이해도를 높이는 한편, 현장에서 어려움을 느끼는 규제들을 신속히 개선해 데이터가 보다 원활하게 활용될 수 있도록 적극 지원해 나가겠다"라고 밝혔다.

2024.02.27 15:53이한얼

카카오VX 위탁 운영 골프장 세라지오 GC... "개인정보 털렸다"

국내 한 골프장에서 개인정보가 유출된 정황이 포착됐다. 회원 대상의 문자발송 시스템에 해킹 공격이 들어온 것으로 추정되는데 보안 당국은 현재 피해규모 파악에 나섰다. 경기도 여주 소재 골프클럽인 세라지오 GC는 지난 18일 협력업체 문자발송 시스템에 사이버 공격이 발생해 개인정보가 유출됐다고 23일 밝혔다. 세라지오 GC 위탁 운영사인 카카오VX는 이날 11시께 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 보안 당국에 신고했다. 다만 개인정보 유출 피해 규모나 사이버 공격 정황, 배후 등 정확한 사고 원인에 대해서는 조사가 진행 중이다. 개인정보위 관계자는 "오전에 신고를 받고 현재 부서 배정을 논의 중이다"면서 "피해규모와 사고원인, 배후 등은 조사를 통해 파악될 것"이라고 밝혔다. 개인정보위는 조사를 거쳐 위법여부를 파악하고 위법한 사안이 발견될 시 과징금 혹은 과태료를 부과할 수 있다. 또 해킹 공격을 감행한 범행 일당에 대해서는 경찰에 형사 고발을 검토할 수 있다. 카카오VX 관계자는 "카카오VX에서 운영 중인 골프장의 협력업체에서 개인정보 유출 정황이 확인된 것이 맞다"면서 "이를 인지한 즉시 한국인터넷진흥원(KISA)과 개인정보보호위원회 등의 관계기관에 신고를 마쳤다"고 설명했다. 앞서 지난해 11월 전문해커 A씨는 자체 제작 해킹 프로그램을 통해 지난 2017년부터 골프장 웹사이트 425개를 해킹해 고객 정보 850만 건을 빼돌렸다가 경찰에 검거된 바 있다.

2024.02.23 16:54이한얼

개인정보위, 2기 대학생 기자단 발족…청년 체감 정책 입안

개인정보보호위원회가 청년들이 공감할 수 있는 정책을 추진하기 위해 대학생 기자단을 운영하고 국민 사이의 소통창구 역할을 맡긴다. 개인정보위는 제2기 대학생 기자단이 22일 정부서울청사에서 발대식을 가졌다고 밝혔다. 제2기 대학생 기자단은 지난 1월부터 1개월간 전국 대학생을 대상으로 개인정보위 SNS를 통해 공개 모집했다. 이를 통해 총 15명의 대학생이 치열한 경쟁을 뚫고 최종 선발됐다. 향후 약 10개월간 온·오프라인을 통해 개인정보위의 주요 정책과 행사를 국민 눈높이에 맞춰 소개하고, 개인정보 보호 분야에서 위원회와 국민 사이의 소통창구 역할을 맡게 된다. 특히, 이번 대학생 기자단은 단순 블로그 기사, 카드뉴스 제작, 유튜브 콘텐츠 제작에서 벗어나, 위원회의 청년 자문 역할을 맡고 있는 2030자문단과의 유기적이고 다양한 협업 활동까지 활발하게 추진할 예정이다. 또한, 기자단과 2030자문단이 제안한 정책과 홍보 아이디어는 내부 검토를 거쳐 실제 반영하는 방안도 추진될 예정이다. 고학수 개인정보위 위원장은 "대학생 기자단과 함께 보다 적극적으로 청년세대와 소통하고 국민 눈높이에 부응하는 개인정보 정책 설계와 홍보가 이루어질 것으로 기대한다"고 말했다.

2024.02.22 16:43이한얼

개인정보위, AI 시대 데이터 경제 활성화 지원

산업계가 인공지능(AI) 활성화를 위해 신기술과 신서비스 기획 개발 과정에서 개인정보 보호 규제의 유연한 적용을 요청했다. 개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 20일 판교 스타트업캠퍼스에서 '산업계 신년 간담회'를 개최했다. 이번 신년 간담회는 지난 15일 '2024년 개인정보위 주요 정책 추진계획' 발표를 계기로 데이터·AI 산업을 지원하기 위한 개인정보 정책을 공유하고, 기업 현장의 목소리를 직접 듣기 위해 마련됐다. 간담회에는 온라인 플랫폼 기업, 이동통신사, 온라인 쇼핑몰, AI스타트업 관계자 12명이 참여했다. 개인정보위는 새로운 프라이버시 이슈에 선제적으로 대응해 디지털 혁신을 지속적으로 추진한다. AI 등 신기술·신산업을 지원하기 위한 AI 프라이버시 6대 가이드라인을 마련, 개인정보 안심구역 운영 등 올해의 주요 개인정보 정책을 소개했다. 기업의 관심도가 높은 사전적정성 검토제와 마이데이터 정책에 대해 설명하는시간도 가졌다. 개인정보위는 3월부터 기업이 AI 모델이나 서비스를 개발하는 과정에서 개인정보 법령 준수방안을 정부와 함께 마련하면 행정처분을 면제 받는 '사전적정성 검토제'를 운영한다. 이날 참석한 기업들은 기업의 규제 불확실성 해소를 위해 보다 세밀한 가이드라인이 필요하다는 의견 등을 제시했다. 마이 데이터 도입과정에서 사업자 의견을 충분히 반영해 줄 것을 요청했다. 기업이 적법하게 비즈니스를 할 수 있도록 법령 준수를 돕는 컨설팅 등 지원도 확대되어야 한다고 제언했다. 개인정보위는 산업계의 정책 제안사항에 대해 '개혁TF'를 중심으로 내부검토와 관계부처 협의 등을 거쳐 향후 정책과제에 반영할 예정이다. 고학수 개인정보위 위원장은 "데이터·AI 기업들이 더욱 견실하게 성장하고, 국민들은 혁신적인 디지털 서비스를 누릴 수 있도록 데이터 경제 활성화를 적극적으로 지원할 계획"이라며, "기업 현장에서 발생하는 애로를 적시에 해소하기 위해 개인정보 정책 설계부터 집행까지 전 과정에서 산업계와 지속적으로 소통하겠다"고 밝혔다.

2024.02.20 17:02김인순

개인정보 안심 'CCTV·스마트 가전' 나온다

올해 처음으로 '개인정보 보호 중심 설계(Privacy by Design, 이하 'PbD)' 인증을 받은 가정용 CCTV와 스마트 가전이 나온다. 개인정보보호위원회(위원장 고학수, 이하 '개인정보위') 최장혁 부위원장은 20일, 송파구에 위치한 한국아이티평가원을 찾아, 개인정보 보호 우수제품 평가현장을 직접 점검하고 산업 현장 의견을 청취했다. 최 부위원장은 한국아이티평가원, SK쉴더스, 고퀼, 미루시스템즈 등 4개 기업 만나 디지털 기기의 개인정보 보호 강화를 위한 정책 방향과 산업계 건의사항을 논의했다. 개인정보위는 기업이 제품의 설계·제조 단계부터 개인정보 보호에 대한 안전성을 강화할 수 있도록 PbD 인증제를 시범 추진했다. 개인정보위는 2023년 기업 신청을 받아, 가정용 CCTV 등 4개 제품에 대한 인증기준(총 69개) 충족 여부 확인 및 취약점 개선조치 등을 거쳤다. 올해 3~4월 중 검증을 통과한 제품에 대해 인증서를 발급할 예정이다. 최장혁 개인정보위 부위원장은 “가정용 CCTV, 스마트 가전 등과 같이 개인정보 수집 기능이 있는 제품은 설계·제조 단계에서부터 개인정보 보호 요소를 충분히 고려해야 한다”면서, “올해는 카메라가 탑재된 로봇 청소기 등 일상생활에서 밀접하게 활용되는 기기를 중심으로 개인정보가 안전하게 보호되는지 여부를 검증할 수 있도록 인증제를 운영한다"고 말했다.

2024.02.20 16:20김인순

AI로 개인정보 처리한 기업·기관 개보위 '평가' 받는다

앞으로 인공지능(AI) 기술 등이 적용된 시스템으로 개인정보를 처리하는 기업·공공기관이 개인정보처리방침을 제대로 만들어 운영하고 있는지를 두고 개인정보보호위원회가 평가한다. 개인정보보호위는 '개인정보처리방침 평가제' 시행에 앞서 이런 내용을 담은 '개인정보처리방침 평가에 관한 고시'를 마련했다고 19일 밝혔다. 평가제란 공공기관과 민간기업 등의 개인정보처리방침이 적정한지를 평가하고, 미흡하면 개선을 권고해 국민 권익을 보호하는 제도다. 개인정보위는 지난해부터 처리방침 평가 대상 선정 기준과 평가 절차 등을 구체화한 처리방침 평가 고시 제정안을 마련해 행정예고 등 의견 수렴을 거쳤다. 또 지난 14일 제3회 위원회 전체회의를 통해 의결했다. 먼저 처리방침 평가 대상 선정 시 고려 기준을 구체화했다. 평가 대상 선정 기준을 구체화한 세부 기준을 정하고, 평가대상은 개인정보위 심의·의결을 거쳐 선정하도록 했다. 개인정보 처리방침 평가 절차도 규정했다. 개인정보위는 평가 시작 14일 전까지 평가 대상, 기준, 일정 등을 정한 평가 계획을 수립해 개인정보위 홈페이지에 공개하도록 했다. 평가는 평가 계획 수립 및 통지, 평가위원회 구성, 평가 수행, 평가 결과 통지의 절차에 따라 실시하도록 했다. 평가 결과에 이의가 있는 개인정보처리자는 결과를 통보받은 날로부터 20일 이내에 이의신청할 수 있도록 했다. 개인정보 처리방침 평가위원회 구성·운영 근거도 마련했다. 개인정보위는 개인정보 처리방침 평가를 위해 20명 이상 50명 이내의 외부 전문가로 평가위원회를 구성할 수 있다. 평가위원은 평가 대상과 직접적인 이해관계가 있는 경우 관여할 수 없도록 했다. 평가 결과에 대한 환류체계 근거도 마련했다. 개보위는 개인정보 처리방침 평가 결과 우수한 개인정보처리자에 대해 포상할 수 있으며, 개선이 필요한 경우 개선권고, 결과 공표 및 공표 명령을 할 수 있도록 했다. 이번 고시에 따르면 ▲인공지능(AI) 등 새로운 기술이 적용된 완전 자동화 시스템으로 개인정보를 처리하는 경우 ▲19살 미만 아동이나 청소년을 주 이용자로 한 정보통신 서비스 운영하는 경우 ▲전년도 매출액이 1천500억원 이상이면서 하루 평균 100만 명 이상의 개인정보를 저장·관리하는 경우 ▲최근 3년 동안 개인정보 유출 등이 2회 이상이거나 개인정보보호위로부터 과징금·과태료 처분을 받은 경우 등이 개인정보처리방침 평가 대상에 든다. 개보위는 3월 중 '개인정보 처리방침 작성지침' 개정본을 발간하고, 올해 상반기 중 처리방침 평가 대상을 선정해 평가 계획을 수립할 예정이다. 양청삼 개보위 개인정보정책국장은 "올해 처음 시행되는 개인정보 처리방침 평가를 통해서 기업이 스스로 개인정보 처리에 대한 책임성과 투명성을 높이고, 정보주체의 권리 향상에 기여할 수 있도록 잘 준비해 나가겠다"고 밝혔다.

2024.02.19 14:04이한얼

개인정보위, AI·자율차 등 신산업 3대 분야에 조사업무 집중

개인정보보호위원회가 인공지능(AI) 분야, 전기·자율차, 스마트카 등 신산업 3대 분야에 초점을 맞추고 선제적 예방점검을 실시한다. 개인정보보호위원회는 이 같은 내용을 담은 '2024년 조사업무 추진방향'을 18일 공개헀다. 먼저 개인정보위는 일상생활 밀접 3대 분야와 신산업 3대 분야에 대한 선제적 예방점검을 통해 개인정보보호에 대한 국민체감을 제고할 계획이다. 일상생활 밀접 3대 분야는 온라인 강의를 중심으로 바이오인증(얼굴·지문 등)을 활용하는 '교육학습' 분야, 대다수 국민이 이용하는 '식음료' 가맹점 분야, 대규모 개인정보를 보유한 통신사·플랫폼 등이 포함된 '정보방송통신' 등이다. 신산업 3대 분야는 새로운 개인정보 처리유형이 다수 등장하고 있는 'AI' 분야, 전기·자율차 확대와 맞물려 개인정보 수집·활용이 동반 증가 중인 '스마트카' 분야, 이탈방지(Lock-in) 등을 위해 여러 서비스를 한 번에 제공하는 '슈퍼애플리케이션' 등이다. 분야별 점검은 필요 시 관계부처와 협업으로 진행하고, 향후 다른 분야로 확산해 3~5년을 주기로 사회 전 분야를 대상으로 추진할 예정이다. 개인정보위는 또 다수 참여자 간 합의(거버넌스)를 유도해 자발적으로 개인정보 보호수준을 높여가는 민관협력 자율규제를 고도화한다. 구체적으로 플랫폼-이용사업자 간 역할과 책임을 분담하는 표준양식 등을 마련하고, 클라우드 이용실태 분석을 병행해 안전한 개인정보 생태계 조성 방안을 도출한다. 또 신기술·서비스 기획·개발 단계부터 프라이버시 친화적 설계를 컨설팅하는 사전적정성 검토제도 본격 운영한다. 아울러 개인정보보호법 개정으로 새롭게 법 적용 대상이 된 부문에 대해 적극적 안내·계도와 함께 점검을 병행하는 등 개정법 조기 안착을 지원한다. 분쟁조정제도 활성화와 책임보험 확산 등을 통해 권리 침해에 대한 피해구제도 강화한다. 개인정보위 관계자는 “AI·데이터 시대를 맞아 개인정보 유출·침해 등이 날로 복잡·다양해지고 새로운 위험요인이 다수 등장하고 있다”면서 “사업자의 안전한 개인정보 관리를 유도함해 '국민 삶이 풍요롭고 개인정보가 안전한 AI시대' 실현에 최선을 다하겠다”고 밝혔다.

2024.02.18 18:30이한얼

개보위, 생성형AI '개인정보 자기결정권' 침해 실태점검

개인정보보호위원회가 생성형 인공지능(AI)을 보유한 기업들을 대상으로 '개인정보 자기결정권' 침해여부 실태점검에 나섰다. 5일 관련 업계에 따르면 개인정보위는 생성형 AI를 보유한 네이버와 구글 등 국내외 IT 기업들을 대상으로 지난해 말부터 이같은 실태점검에 착수한 것으로 전해졌다. 이번 점검은 플랫폼 기업들이 원작자의 데이터를 생성형 AI 학습에 활용했는지를 점검하기 위한 차원이다. 점검 대상은 국내외 약 10여개 기업이다. 개인정보위가 생성형 AI 개발사를 대상으로 개인정보 자기결정권 점검에 나선 것은 이번이 처음이다. 개인정보위 관계자는 "점검 이후 생성형 AI 개발사에 특별한 문제가 발견된다면 시정 권고에 들어갈 것"이라고 밝혔다.

2024.02.05 16:26이한얼

개인정보위 "연초 스미싱 기승…개인정보 유출 조심해야"

개인정보보호위원회가 모임과 연락이 잦은 연초에 개인정보 유‧노출이 일어나지 않도록 조심해 줄 것을 1일 당부했다. 신년 인사를 겸해 문자 쿠폰이나 SNS 선물하기 등의 이용이 늘면서 배송 및 각종 링크 스미싱도 크게 기승을 부리고 있다고 개인정보위는 설명했다. 모르는 번호로 오는 문자 링크를 접속하거나 앱 설치를 하지말 것을 각별히 당부했다. 또한, 새해 모임을 위해 식당을 오프라인으로 예약할 경우, 식당에서 제공하는 공개된 공간에 비치된 대기 손님 목록에 개인정보(이름, 전화번호 등)를 기재할 때도 주의가 필요하다. 요즘은 SNS를 이용해 대기 알림 서비스를 이용하는 경우가 많지만, 아직 많은 식당에서 수기로 예약자 명단을 받고 있다. 이때 개인정보 수집‧이용 목적, 파기 기한 등이 있는지 반드시 확인해야 한다는 설명이다. 개인정보위 관계자는 "사업주는 입장한 고객의 개인정보를 지체없이 파기해, 입장 고객의 개인정보가 다음 고객에게 노출되는 일이 없도록 관리해야 한다"면서 "사업주는 고객에게 불필요한 상세 주소 기입과 같은 과도한 개인정보를 요구해서는 안 되고 고객 역시, 필수 개인정보만을 제공한다는 인식을 가질 필요가 있다"고 당부했다.

2024.02.01 13:15이한얼

개인정보위, '제2기 기술포럼' 구성...염흥열 교수 의장 재선임

개인정보보호위원회와 한국인터넷진흥원이 '제2기 개인정보 기술포럼'(기술포럼)을 구성하고 의장으로 염흥열 순천향대학교 교수를 재선임했다. 개인정보위는 서울 서초구 엘타워에서 제2기 개인정보 기술포럼' 총회를 개최하고 이같은 안건을 의결했다고 1일 밝혔다. 기술포럼은 데이터 경제 시대에 개인정보의 보호와 안전한 활용을 뒷받침할 인적‧기술적 핵심 기반을 마련하고, 개인정보 보호·활용을 위한 기술개발 활성화와 산업 생태계 발전방안 모색을 위해 지난 2022년 9월에 창립됐다. 2022년 9월부터 지난해 12월까지 활동한 제1기 기술포럼은 ▲개인정보 처리단계별 솔루션 및 기술 보유 기업에 대한 정보를 담은 '개인정보 기술 솔루션 맵' 마련 ▲개인정보 기술 분야 국내‧외 표준화 활동 지원을 위한 가이드 개발 ▲초거대 AI 및 개인정보보호 강화기술(PET)에 대한 전문가 세미나 개최 등의 활동 성과를 거둔 바 있다. 이날 총회를 시작으로 1년간 활동하게 될 제2기 기술포럼은 각계각층의 개인정보 분야 산‧학‧연 전문가 56명으로 구성됐다. 의장은 제1기 의장을 역임하였던 염흥열 순천향대 교수가 재선임됐다. 제2기 기술포럼에서는 의장과 감사(유진호 상명대 교수)를 제외한 54명의 위촉위원이 정책·기술·표준화 등 총 3개 분과로 나누어 활동하게 된다. 이날 총회에서는 의장 및 분과장 등 기술포럼 임원을 중심으로 개인정보 보호‧활용 관련 법‧제도‧기술 현황 발표, 기술포럼 분과별 연구주제 제안, 개인정보 기술 생태계 조성 및 발전방안 관련 논의 등 다양한 발표와 심도 있는 토론이 이어졌다. 고학수 개인정보위 위원장은 "앞으로도 개인정보위는 개인정보 기술포럼과 함께 개인정보 보호‧활용 문화 조성 및 기술 생태계 조성에 최선을 다하겠다"고 밝혔다.

2024.02.01 12:00이한얼

국외이전전문위 출범..."개인정보 해외 이전 시 내용 평가"

개인정보의 국외 이전 시 국가 또는 국제기구에 대한 개인정보 보호 수준을 평가하는 조직이 신설된다. 개인정보보호위원회는 30일 정부 서울청사에서 국외이전전문위원회 출범식을 개최했다. 전문위원회는 개인정보 국외 이전 수요가 증가함에 따라 국외 이전 관련 국민의 개인정보를 보호하기 위해 신설된 기구다. 지난해 9월 개정된 '개인정보 보호법 시행령'에 근거를 두고 있다. 개인정보위 위원 1인을 포함해 학계, 법조계, 산업계, 시민사회 등을 대표하는 개인정보 전문가 12인의 위원으로 구성됐다. 임기는 3년이다. 전문위원회는 개인정보위가 개인정보 보호 인증이나, 국가·국제기구의 개인정보 보호 수준이 국내 보호 수준과 동등한지 결정하기 전에 관련 내용을 평가하는 역할 등을 수행할 계획이다. 이날 전문위원 위촉장 수여식에 이어 개최된 제1차 회의에서는, 국외이전전문위원회 운영 방향 및 운영세칙 등을 의결했다. 고학수 개인정보위 위원장은 "전문위원회가 국외 이전 요건 평가 등 개인정보 보호 수준 확보에 미치는 영향이 큰 업무를 담당하게 되는 만큼, 앞으로 다양한 관점에서 합리적으로 검토하는 역할을 해줄 것"을 당부했다.

2024.01.30 18:36이한얼

개인정보위, '2030 자문단' 발족…"청년 가치관 반영"

개인정보보호위원회가 청년의 가치관을 국정철학에 반영하기 위한 '2030 자문단'을 25일 발족했다. '2030 자문단'은 부처별 주요 정책에 대해 청년세대의 인식을 전하는 핵심 창구역할을 수행하는 20대와 30대로 구성된 정책 모니터링단이다. 개인정보위는 지난해 12월 공개모집을 거쳐 이달 '2030 자문단' 최종 20명을 선발했다. 모집 당시 선발인원의 약 9.5배가 넘는 191여 명의 청년이 지원했다. 개인정보위 '2030 자문단' 단장은 지난해 12월 청년보좌역으로 임용된 '신세연' 씨가 맡았다. 선발된 자문단원들은 대학생, 직장인, 스타트업 창업자 등 다양한 경력을 가진 인사로 구성됐다. 앞으로 개인정보위 주요 업무 분야인 ▲개인정보 보호·활용 ▲개인정보 침해 방지 및 권리 강화 ▲개인정보 소통·협력 등 3개 분과별로 활동하게 된다. 고학수 개인정보위원장은 “개인정보위에서 처음으로 출범하는 청년자문단인 만큼 2030 자문단의 활동에 큰 기대를 갖고 있다”며 “개인정보위에서는 청년보좌역과 2030 자문단이 전하는 신선한 청년의 목소리를 정책에 적극 반영해 나가겠다”고 언급했다.

2024.01.25 16:37이한얼

기관 보유 데이터 자체결합 가능해진다

과거 법령상 자기 활용 목적 데이터 자체결합이 불가했던 규제가 앞으로는 풀릴 전망이다. 정부는 국립암센터와 같은 기관이 보유한 데이터를 직접 결합해 과학적 연구 등에 활용하는 것을 허용키로 했다. 개인정보보호위원회는 지난 24일 제2회 위원회 전체회의를 개최하고 이같은 내용을 담은 '가명정보 결합 및 반출 등에 관한 고시' 일부 개정안을 의결했다고 25일 밝혔다. 결합고시의 주요 개정내용에 따르면 가명정보 결합전문기관의 자기활용 목적을 위한 데이터 자체결합을 허용했다. 그간 결합전문기관은 기관이 보유한 데이터를 직접 결합해서 자신의 과학적 연구 등에 활용하는 것이 불가능했다. 이번 개정으로 가능하게 됐다. 앞으로 국립암센터, 국민건강보험공단, 통계청 등 다양한 데이터를 보유한 결합전문기관의 가명정보 결합·활용 절차가 진행될 수 있게 될 전망이다. 다만 개인정보위는 규제 개선에 따른 제도 오·남용 방지 장치도 동시에 마련했다. 기관이 결합한 정보를 활용할 시 '반출심사위원회'의 위원 전원을 유사분야의 다른 결합전문기관의 임직원 또는 해당 기관에서 추천한 자로 구성토록 해 개인 식별위험을 심사토록 했다. 더불어 결합전문기관 지정요건을 개선했다. 결합전문기관이 갖춰야 할 인적요건 중 전문인력의 경력인정 분야를 확대했다. 경력요건을 다양화하고 인정범위를 넓혀 결합전문기관의 부담을 완화했다. 이 밖에 결합전문기관 지정기준의 변경사항이 발생해 지정부처에 통보하면, 지정부처는 일정기간 이내에 변경심사를 수행하도록 의무화해 가명정보 결합이 불필요하게 지연되는 것을 막기로 했다. 개정된 결합고시는 관계기관 협의를 거쳐 이달 말 관보에 게재될 예정이며, 관보에 게재되는 즉시 시행된다.

2024.01.25 15:41이한얼

개인정보위, 영상정보처리기기 사전적정성 검토 2건 의결

개인정보보호위원회는 지난 24일 제2회 전체회의를 열고, 사전적정성 검토를 신청한 2건에 대해 사업자와 마련한 개인정보 보호법 준수방안을 의결했다고 25일 밝혔다. 앞서 인공지능(AI) 영상정보처리기기(CCTV) 선별관제 솔루션 개발업체인 벡터시스는 자사 솔루션 상용화를 위해 법적 불확실성을 해소하고자 사전적정성 검토를 신청한 바 있다. 개인정보위는 현장 확인을 통해 솔루션이 사람의 쓰러짐, 추락 등 산업재해·안전과 관련된 상황이나 통제구역 침입, 배회 등 보안·방범과 관련된 상황만 발췌해 관제·녹화할 수 있는 선별관제 기능을 확인했다. ▲해당 기능을 활용해 사건·사고 장면만 원본영상을 표시·녹화하고, 나머지 일상적 장면에 관한 원본영상 정보를 별도 저장하지 않으며 ▲영상정보처리기기 관제 화면에 노출되는 사람의 영상은 아이콘 등으로 표시하고 촬영구역 내 정보주체들에게 운영 정책을 투명하게 공개하는 것을 전제로 근로자 감시 우려는 적고 사건·사고 예방·분석으로써 얻어지는 법익은 크다고 봤다. 영상정보처리기기 설치구역 내 정보주체의 동의 없이도 이를 운영할 수 있다고 판단했다. 또 동형암호(암호문 상태에서 합계·평균·회귀분석 등 연산을 할 수 있는 암호기술) 기반 데이터분석 솔루션을 제공하는 디사일로와 금융 마이데이터 사업자인 뱅크샐러드가 '동형암호 연산으로 산출된 통계값을 활용하는 경우 가명처리에 해당하는지'에 관한 사전적정성 검토를 신청한 바 있다. 개인정보위는 뱅크샐러드가 동형암호화한 데이터를디사일로의 분석 시스템(데이터 클린룸)으로 이전하고 디사일로는 분석 시스템에 접속한 외부 연구자에게 통계분석을 할 수 있는 환경을 제공했다는 것을 확인했다. 또 동형암호 연산 결과 산출된 통계값만을 반출한다는 것과, 암·복호화 키(key)를 뱅크샐러드만 보유하고 있어 디사일로 및 외부 연구자들은 데이터 원문을 볼 수 없다는 사실도 확인했다. ▲안전한 암·복호화 키(key) 관리 방안을 마련하고 ▲해당 동형암호문은 통계 목적으로만 활용하며 ▲통계값으로부터 원문을 추론하지 못하도록 통계모수를 '20명 이상'으로 제한하는 등의 요건을 충족하는 경우, 적법한 가명처리에 해당할 수 있다고 판단했다.

2024.01.25 10:19이한얼

개인정보 유출 한국고용정보원·한국장학재단에 과태료 제재

개인정보위원회가 한국고용정보원과 한국장학재단에 각각 840만원의 과태료 부과 결정을 내렸다. 이른바 '크리덴셜 스터핑' 방식의 해킹 공격에 의해 양기관이 다수의 개인정보를 유출했다는 이유다. 개인정보위는 지난 24일 전체 회의를 열고 이같은 조치를 취했다고 25일 밝혔다. 아울러 시스템 보안 대책도 정비하도록 개선권고하기로 결정했다. 개인정보위는 지난해 6월에서 7월 한국고용정보원의 구인·구직 사이트 '워크넷'에 신원 미상의 자가 '크리덴셜 스터핑' 방식으로 침입해 23만 6천여 명의 개인정보가 유출된 사실을 확인했다. 한국장학재단 홈페이지의 경우에도 동일한 방식에 의해 3만2천여 명의 개인정보가 유출된 사실이 확인됐다. '크리덴셜 스터핑'은 공격자가 다른 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다. 두 기관 모두 24시간 감시·모니터링 체계는 갖추고 있었으나, 로그인 시도 및 실패율이 증가하는 형태의 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책은 미흡했던 것으로 밝혀졌다. 개인정보위 조사결과에 따르면, 워크넷에는 국내외 26개 아이피(IP)를 통해 1초당 최대 166회, 총 4천500만 번 이상 로그인 시도가 있었고 이중 56만 번 로그인에 성공(성공률 1.25%)한 기록이 확인됐다. 한국장학재단 홈페이지에는 국내외 44만여 개 아이피를 통해 1초당 최대 240회, 총 2천100만 번 이상 로그인 시도가 있었고 이중 3만 6천 번 로그인에 성공(성공률 0.17%)한 기록이 확인됐다. 사건 이후 두 기관은 보안 대책 설정을 재정비하는 등 위반 사항을 시정하는 한편, 유사 피해가 재발하지 않도록 기존의 로그인 방식을 변경했다. 개인정보위 관계자는, "대량의 개인정보를 취급하는 공공기관은 해킹 공격에 노출될 위험이 크기 때문에 시스템의 특성을 감안해 로그인 시도가 증가하는 시기 및 횟수 등에 대한 분석을 통해 시스템 보안 대책의 임계치를 조정하거나 대책을 변경하는 등 유연한 대응 체계를 갖출 필요가 있다"고 밝혔다.

2024.01.25 10:17이한얼

[인사] 개인정보보호위원회

◇ 국장급 전보 ▲ 기획조정관 고은영

2024.01.23 16:15이한얼

개인정보위 "털린 내 정보 찾기로 정보유출 확인하세요"

개인정보보호위원회는 '털린 내 정보 찾기' 서비스를 통해 직접 자신의 계정정보 유출 여부를 확인하고, 본인의 계정정보를 변경하는 등의 자발적인 조치가 필요하다고 19일 밝혔다. 최근 국내기업·기관들을 대상으로 한 크리덴셜 스터핑 공격, 생성형 인공지능(AI)을 활용한 공격 등이 고도화하고 있다. 실제 웹사이트 한 곳에서 확보한 아이디와 비밀번호를 여러 다른 인터넷 서비스에서 무작위로 대입해 계정정보를 해킹하는 '크리덴셜 스터핑' 공격 신고는 2022년 1건에서 지난해 18건으로 늘었다. '털린 내 정보 찾기' 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 암호)를 입력하면, 해당 정보가 다크웹 등 음성화 사이트에서 불법유통 됐는지 확인할 수 있는 서비스다. 서비스 개시 후, 현재까지 총 140만여 명이 이용, 이 중 7.2%인 10만여 명이 본인의 계정정보 유출 사실 확인했다. 한번 유출된 계정정보는 다크웹 등 음성화 사이트에서 불법유통 되면서 명의도용, 보이스피싱 등 각종 범죄에 활용되어 2차 피해를 유발한다. 특히 이용자들은 편의를 위해 여러 사이트에서 동일한 계정정보를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인 피해 가능성이 크다. 계정정보 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해 추가적인 피해 확산을 방지할 수 있다. 아이디‧암호를 알지 못하는 경우, 개인정보포털의 '정보주체 권리행사(웹사이트 회원 탈퇴)' 서비스를 이용해 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다.

2024.01.19 12:15이한얼

개인정보위, '공공기관 개인정보 보호수준 평가제' 3월 시행

개인정보보호위원회가 개인정보 보호수준 평가대상을 확대하고 평가체계를 강화한 '공공기관 개인정보 보호수준 평가제'를 올해 3월 15일부터 시행한다고 18일 밝혔다. 우선, 평가대상 공공기관이 1천600여개로 대폭 늘어난다. 이는 관리수준 진단과 비교해 두 배가량 늘어난 것으로, 기존 관리수준 진단 대상에 중앙행정기관의 소속기관과 시도 교육청·교육지원청 등이 추가된다. 개인정보위는 이후에도 민감정보 및 대규모 개인정보를 처리하거나 유출 사고가 발생한 공공기관 등 보호수준 평가가 필요하다고 판단하는 기관을 지속적으로 평가대상 범위에 포함할 계획이다. 또한, 평가 및 환류 체계가 대폭 강화된다. 법 개정사항 및 기관 특성 등을 반영한 평가지표를 개발해 반영하고, 개인정보 보호 업무에 대한 기관 차원의 관심도와 노력도에 대한 평가를 확대한다. 아울러 평가에 대한 신뢰도를 높이기 위해 주요 사항에 대한 전문가 현장검증도 실시한다. 이외에도, 평가자료 제출에 대한 제재 조치가 도입돼 정당한 사유 없이 자료를 제출하지 않거나 거짓으로 제출한 경우 과태료를 부과할 수 있다. 2024년 보호수준 평가는 오는 4월 평가계획을 수립해 각 기관에 알리는 것을 시작으로 내년 3월까지 이어질 계획이다. 한편, 2023년 관리수준 진단 결과는 오는 3월에 발표될 예정이다. 양청삼 개인정보위 개인정보정책국장은 “보호수준 평가제가 단순히 공공기관의 개인정보 관리실태를 점검하거나 관리수준을 비교 평가하는 데 그치지 않고, 공공기관 스스로 국민이 신뢰할 수 있는 개인정보 보호 관리체계를 갖춰나가는 계기가 될 수 있도록 운영할 것”이라고 말했다.

2024.01.18 12:05이한얼

ZDNet 검색 페이지

'개인정보위'통합검색 결과 입니다. (182건)