• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'개인정보 보호'통합검색 결과 입니다. (84건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

李대통령, 쿠팡 겨냥..."나만 표적? 개인정보유출, 법과 방침 따라"

이재명 대통령이 16일 청와대 영빈관에서 열린 개인정보보호위원회 업무보고에서 “나만 표적으로 하는 것 아니냐고 주장하는 기업이 있는 것 같다”면서 “어떤 기업을 고려하지 않고 법과 방침에 따라 한 것이라고 충분히 설명하면 좋겠다”고 밝혔다. 최근 개인정보 유출로 6247억원의 과징금 처분을 받은 쿠팡을 고려한 발언으로 풀이된다. 쿠팡에 대한 제재에 그치지 않고 미국 의회와 정부가 나스닥에 상장된 쿠팡이 피해를 입었다고 주장하면서 국가 간 마찰 문제로 비화되고 있기 때문이다. 송경희 개인정보위원장은 이에 대해 “위원회는 국가나 기업, 기관에 관계 없이 법 위반 행위에 집중해 엄정하고 공정하게 처분을 내리고 있다”고 강조했다. 이 대통령은 “개인정보 유출에 대해서는 제재금을 대규모로 올려야 기업들이 개인정보 보호 활동을 할 것”이라며 이를 두고 나만 표적으로 해서 이러는 것 아니냐는 주장을 하는 기업도 있는 것 같더라”고 말했다.

2026.07.16 12:28박수형 기자

이력서·연봉 정보 쌓인 HR 플랫폼, 개인정보 관리 시험대 올랐다

이력서와 연봉 등 방대한 개인정보를 보유한 HR 플랫폼들이 정부의 개인정보 처리방침 평가 대상에 오르며 관리 체계 점검을 받게 됐다. 최근 수년간 일부 채용 플랫폼에서 개인정보 유출 사고가 반복된 데다, 기업 인수합병(M&A)에 따른 개인정보 해외 이전 우려까지 제기되면서 관리 체계 전반에 대한 점검 필요성이 커지고 있기 때문이다. 국내 HR 플랫폼들은 보안 투자 확대와 관리 체계 강화에 나서고 있다. 다만 개인정보보호위원회 평가 결과에 따른 조치가 개선 권고에 그친다는 점에서 실효성에는 한계가 있다는 지적도 나온다. 7일 IT업계에 따르면 개보위는 지난 6일 '제 3기 개인정보 처리방침 평가위원회'를 출범하고 국민생활과 밀접한 7개 분야, 52개 서비스를 대상으로 개인정보 처리 방침을 살펴보겠다는 계획을 발표했다. 이 위원회는 외부 전문가 30명으로 구성됐으며, 기업과 기관이 공개한 개인정보 처리방침의 법령 준수 여부, 실제 처리 현황 일치성, 권리 보장 수준 등을 종합적으로 살펴본다. 학력·연봉 등 개인정보 다수…유출 이력·해외 이전 우려도 개보위가 살펴보는 7개 분야에는 HR 플랫폼도 포함된다. HR 플랫폼의 경우 이용자가 올려둔 자기소개서와 이력서에 이름, 이메일, 학력, 근무회사와 이력 등 다량의 개인정보가 포함돼 있다. 일부 이력서에는 지원자 사진과 연봉도 기재돼 있다. 여기에 일부 플랫폼은 지난 몇 년 사이 개인정보가 유출된 전력이 있다. 웍스피어가 운영하는 알바몬은 지난해 5월 임시저장 이력서 2만2473건이 유출됐다. 유출 정보에는 임시저장된 이력서 정보 내 이름과 휴대폰 번호, 이메일 주소 등이 포함된다. 인크루트는 2024년 7월 3만5000건, 지난해 1월 해커의 공격으로 728만 명의 개인정보를 빼앗겼다. 해당 사안을 두고 개보위는 4억6300만원의 과징금을 부과했다. 리멤버 역시 2023년 단체 이메일을 발송하는 과정에서 다른 사람의 이메일 주소가 노출되는 '동보 메일' 실수로 365명이 피해를 입었다. 지난해 리멤버가 글로벌 사모펀드 EQT 파트너스에 인수되면서 개인정보 해외 이전 우려도 커지고 있다. 이에 강민국 국민의힘 의원은 대규모 개인정보를 보유한 기업의 인수합병이 진행되면 개보위의 사전 심사를 거치도록 하는 내용이 골자인 법안을 준비 중이다. 실제로 빗썸은 가상자산 거래 정보 국외 이전 과정에서 규정 위반으로 문제가 됐다. 빗썸이 해외 가상자산거래소와 오더북(호가창)을 공유하고 가상자산을 이전할 때 이용자 동의를 받은 거래소가 아닌 다른 거래소로 회원번호와 주문정보를 국외 이전했기 때문이다. 보안 대책 강화하는 HR 플랫폼…예산·인력도 확대 지난 몇 년 사이 개인정보 유출 과정과 처리 방침에 대한 문제가 불거졌던 만큼 국내 HR 플랫폼들은 관련 조치를 강화하고 예산을 늘렸다. 웍스피어는 지난해 해킹 시도 인지 즉시 해당 계정과 IP를 차단하고 보안 취약점에 대한 긴급 조치를 완료했다. 또 외부 해킹 및 계정 탈취 시도에 대한 상시 탐지 체계를 강화하고, 전문기관과 협력을 통해 점검 결과 등을 공유하고 있다. 개인정보 파일 다운로드 시 휴대전화 인증·사유 입력, 파일 암호화 강제 적용 등 기술적·관리적 보호조치를 운영 중이다. 사람인은 정기적인 내외부 감사를 통해 외부 위협에 대한 방어력을 강화하고 있다. 전사 정보보호 교육, 모의 훈련, 정보자산보호 등이 대표적인 예시다. AI 활용에서도 개인정보 최소수집 원칙을 적용하며 알고리즘이 구직자의 민감 정보를 학습하거나 저장하지 않도록 설계했다. 2024년 36.13%, 지난해 45.21%, 올해 43.9%로 지난 3년간 IT 예산 대비 정보보호 예산 비율도 늘렸다. 인크루트는 서비스, 서버·네트워크, 임직원 PC 등 전 영역에 걸쳐 관리 기준을 상향하고 임직원 보안 인식 제고 활동을 강화하고 있다. VPN, 서버, 업무시스템 등 모든 시스템에 다중 인증(MFA) 절차를 적용하고 있다. IT 예산 중 정보보호 관련 예산 30%이며, IT 인력 가운데 정보보호 인력 비중은 9% 내외다. 리멤버는 사고 이후 2024년 10월 개인정보보호지침 및 별도 가명정보 절차 수립·시행, 고유식별정보 등의 암호화, 전산실 등의 접근 통제 조치를 담은 개인정보 처리방침을 개정했다. 메일 발송 전 통제 절차 강화와 및 처벌 규정도 신설했다. 원티드랩은 '제로다크웹' 기술을 도입해 개인정보의 다크웹 유출을 방지하고 있으며, 정보보호투자액은 2024년 약 2억8000만원에서 지난해 약 4억1500만원까지 확대했다. 개선 권고가 최대…“강제성은 없어, 마무리는 10월 말” 다만 이번 위원회가 내릴 수 있는 조치는 과징금 등 강제 수단 없고 개선 권고에 그쳐 실효성는 의문이 제기된다. 개보위 관계자는 “개인정보 처리 방침에 작성된 내용으로 인해 곧바로 침해가 발생한 것은 아니다”라며 “구체적인 조사 등이 병행돼야 해 개선권고의 대상은 될 수 있어도 내용만으로 처분 대상이 된다고 보기는 어렵다”고 말했다. 개보위가 꾸린 평가위원회는 서면으로 전체적인 내용을 먼저 살펴보는 기초 평가, 기초 평가 과정에서 확인이 어려운 내용을 살펴보는 심층 평가(현장 평가), 기업의 이의신청 후 진행되는 종합 평가 순으로 진행된다. 기초 평가는 이달 중으로 마무리될 예정이며, 심층 평가는 8월 중순부터 9월 초까지 이어진 후 20일간의 이의신청 기간을 거쳐 10월 말에 종합평가를 마친다. 위원회는 이 때 최고제품책임자(CPO)와의 면담을 통해 정보 처리에 대한 관심도를 살펴본다. 만약 기관 및 기업의 개인정보 처리방침이 법령을 준수하지 않았다면 개선 권고를 내리고, 미흡한 사항을 안내 후 충분한 개선 시간을 가진 뒤 이행 점검을 진행하게 된다. 개보위 관계자는 “이행 점검 이후에도 권고 사항이 반영되지 않은 경우에 대한 추가적인 고민이 필요하다”고 덧붙였다. 김명주 서울여대 정보보호학부 교수는 "몇 천만원에 해당하는 비싼 과태료라도 매기는 것이 의미가 있다"며 "(위원회 입장에서는) 지금까지 과태료를 책정하지 않다가, 갑자기 매기는 것에 대한 부담감이 있었을 것"이라고 짚었다.

2026.07.07 17:57박서린 기자

우리은행, 개인정보유출 어떻게…2차 피해는?

지난 3일 우리은행이 고객 개인정보 1만7551건이 유출됐다고 밝히면서, 은행에서 개인정보가 빠져나간 지에 대한 금융소비자들 우려와 관심이 커지고 있다. 6일 우리은행에 따르면 유출된 개인정보는 대체 불가 토큰(NFT) 월렛을 이용하는 금융소비자의 닉네임과 연계정보(CI, 주민등록번호를 해시화한 것)이다. 티빙 개인정보유출 사태과 마찬가지로 CI가 포함됐지만, 이름과 성별·전화번호 등 개인을 식별할 수 있는 정보가 없기 때문에 2차 피해는 없을 것으로 우리은행 측은 단정하고 있다. 유출된 닉네임 역시도 암호화된 상태이라고도 덧붙였다. 다만, 개인정보유출 사건의 경위는 밝혀내야 할 지점들이 많다. 개인정보유출 시점은 알 수가 없다. 우리은행은 2025년 2월 NFT 지갑 서비스를 오픈했다. 그리고 해당 개인정보가 유출됐다는 것을 우리은행이 인지한 것은 지난 6월 30일이다. 우리은행 관계자는 "2025년 9월 깃허브에 CI와 같은 개인정보가 올라와있다고 익명의 누군가 한국인터넷진흥원(KISA)에 신고를 했다"며 "이후 우리은행이 인지하게 된 케이스"라고 설명했다. 심지어 프로젝트를 마친 이후 외부업체와 우리은행은 개인정보 파기 등의 절차를 모두 마무리했다고 우리은행 측은 부연했다. 우리은행은 외부업체와 프로젝트 시작 시 '보안서약서'를 쓰고 사업 수행 중에도 은행 정보보호부에서 외부 수탁업체 프로젝트 참여 직원을 대상으로 매월 1회 보안교육을 실시한다. 프로젝트 종료 후 철수하는 수탁업체 직원들 대상으로 '철수확인서' 를 받으며, 수탁업체 전산장비 포맷 여부 등을 확인하는 절차를 거친다. 개인정보가 깃허브에 올라온 시점은 프로젝트 종료 후로 추정돼, 프로젝트 추진 중 유출이 있었을 것으로 추정된다. 현재는 개인정보보호위원회에서 해당 사안을 조사 중이다. 한편, 정진완 우리은행장은 3일 고객에게 문자메시지를 통해 "개인정보 관리 현황을 전수 조사해 미습한 점을 즉시 시정하겠다"며 "이번 유출로 피해 발생 시 최대한 신속하게 확인하고 보상하겠다"고 말했다.

2026.07.06 10:45손희연 기자

카카오페이 "알리페이 제공은 업무 위탁"…과징금 59억 판결에 항소

카카오페이가 개인정보보호위원회(개보위)가 부과한 과징금 59억 6800만원이 정당하다는 법원 결정에 대해 불복하며 항소를 진행한다. 25일 카카오페이에 따르면 카카오페이는 서울행정법원 행정 12부에 24일 항소장을 제출했다. 앞서 지난 11일 서울행정법원은 카카오페이가 개보위를 상대로 시정명령 등 처분 취소 청구 소송에서 원고 패소 판결을 내렸다. 개보위는 2025년 1월 카카오페이가 이용자에게 동의받지 않고, 개인정보를 알리페이에 유출했다며 59억 6800만원의 과징금과 시정·공표 명령을 부과했다. 재판부는 카카오페이가 고객 개인정보를 알리페이에 제공하는 과정서 간편결제 이용자의 동의를 받지 않았다고 판결했다. 또 카카오페이가 애플 앱스토어 부정 결제 방지를 위한 'NSF 점수' 산출 과정서 이용자의 동의를 받지 않았다고도 법원은 보고 있다. 재판부는 "카카오페이가 이용자 전체에 받은 동의는 고객 식별, 본인 확인 및 인증, 요금 정산 등을 위한 것"이라며 "그 동의만으로는 개인 정보 주체가 정보 이전을 인지하거나 NSF점수 산출에 대해 구체적이고 명확하게 동의했다고 볼 수 없다"고 설명했다. 그러나 카카오페이는 이용자 개인정보를 알리페이에 제공한 것이 합법적인 업무 위탁이라고 맞서고 있다. 업무 수행을 위해 꼭 필요한 절차였다는 입장이다. 카카오페이가 이용자의 개인 정보를 소유하고 있으며 알리페이는 수탁자로 업무 위탁에 해당한다는 부연이다. 카카오페이는 "이번 사안이 글로벌 디지털 서비스 환경에서 업무 위탁과 제3자 제공의 범위를 어떻게 해석할 것인지에 관한 법률적 쟁점이라고 판단하고 있다"며 "보다 명확한 법적 기준을 확인하기 위해 항소를 제기하기로 결정했다"고 설명했다.

2026.06.25 10:58손희연 기자

개인정보위, 빗썸 과징금 2억 1000만원 부과

개인정보 국외이전 규정을 어긴 빗썸이 개인정보보호위원회(개인정보위)로부터 2억1000만원의 과징금 철퇴를 맞았다. 개인정보보호위원회(개인정보위)는 지난 24일 '제12회 전체회의'를 열고 개인정보보호법상 개인정보 국외이전 규정을 위반한 빗썸에 과징금 2억1000만원과 적법한 국외이전 요건을 갖추도록 하는 시정명령을 의결했다고 25일 밝혔다. 앞서 개인정보위는 지난해 국정감사에서 빗썸의 오더북 공유와 관련한 개인정보 국외이전 적법 여부를 지적함에 따라 조사에 착수했다. 조사 결과 빗썸은 해외 가상자산거래소와 오더북 공유 및 가상자산 이전 과정에서 정보주체의 별도 동의 없이 개인정보를 국외이전한 사실이 확인됐다. 빗썸은 2025년 9월~11월간 테더(USDT) 마켓에서 해외 거래소와 오더북을 공유한 바 있다. 이 과정에서 정보주체에게 스텔라거래소로 개인정보를 국외이전한다는 내용으로 동의를 받았다. 그러나 실제로는 다른 거래소가 운영하는 시스템으로 회원번호 및 주문정보를 국외이전한 것으로 확인됐다. 아울러 빗썸은 이용자의 가상자산을 13개 해외 거래소로 이전 시 자금세탁 방지 목적으로 송금인과 수취인의 이름, 지갑주소 등 개인정보를 해외 거래소에 제공하기도 했다. 그러나 정보주체의 별도 동의를 받지 않았으며, 개인정보보호법에서 정한 국외이전 요건도 일부 충족하지 않은 것으로 파악됐다. 개인정보위는 가상자산을 다른 거래소로 이전하는 경우 자금세탁방지를 위한 개인정보 제공의 필요성은 있다고 판단했다. 하지만 개인정보 국외이전은 정보주체의 자기결정권과 밀접하게 관련돼 있기 때문에 개인정보보호법에서 정한 요건과 절차를 면밀하게 준수할 필요가 있다고 봤다. 개인정보위는 이번 과징금 부과와 더불어 조사 과정에서 분석한 블록체인 기술의 특성을 고려해 '블록체인 서비스 개인정보보호 가이드라인'을 수립했다. 블록체인은 참여자 등이 거래내역을 볼 수 있는 투명성, 참여자 간 분산·협업으로 운영되는 분산성, 한 번 기록되면 수정하거나 삭제가 어려운 불변성 등의 기술적 특징을 가지고 있다. 이에 따라 블록체인 기술을 활용한 서비스의 경우 기획 단계부터 개인정보 보호원칙을 철저히 고려해야 한다는 것이 개인정보위의 판단이다. 개인정보위는 "향후에도 국민의 개인정보 자기결정권이 침해되지 않도록 개인정보 국외이전 등 보호법 위반 행위에 대해서는 엄정히 대응하겠다"면서 "신기술 환경에서 개인정보의 보호와 안전한 활용이 조화를 이룰 수 있도록 필요한 기준을 지속적으로 마련해 나갈 계획이다"라고 밝혔다.

2026.06.25 10:39김기찬 기자

개보위, 쿠팡 사태 '총제적 관리 실패' 결론…근거는

지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡 사건에 대해 개인정보보호위원회가 회사의 총체적인 보안 관리 실패로 결론지었다. 인증수단의 미흡한 관리 체계와 소홀한 접근 통제, 조사 방해, 탈퇴 회원의 자료 미파기 등을 근거로 들었다. 이와 함께 개보위는 쿠팡에 대한 고발도 병행한다. 지난해 11월 사고 관련 증거 자료 보전을 명령했지만 5개월 분량의 웹 접속 기록을 수동으로 삭제하고, 자동 삭제 시스템 역시 중단시키지 않은 사실이 확인됐기 때문이다. 개보위는 11일 서울 종로구 정부서울청사에서 쿠팡 제재안 관련 브리핑을 열고 안전조치 및 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원, 과태료 1680만원을 부과했다. 회사의 물류를 담당하는 쿠팡풀필먼트서비스(CFS)에도 과징금 2억4800만원을 내렸다. 개인정보 수집·이용 및 민간정보 처리 제한 위반 사실을 확인하면서다. 인증수단 관리 미흡·조사 방해·회원 자료 미파기가 이유 개보위는 인증수단을 안전하게 관리하지 않고, 불법적인 접근·침해사고 방지를 위한 접근 통제를 소홀히 했다는 점을 총체적 보안 관리 실패로 본 이유로 꼽았다. 쿠팡이 운영하는 토큰 기반 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근을 허용할 수 있다는 점에서 엄격한 운영·관리가 필요하지만 이를 소홀히 했다는 것이다. 해커가 퇴사를 했음에도 서명키를 즉시 갱신하거나 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것도 영향을 미쳤다. 해커가 공격하는 과정에서 과도한 트래픽 이상과 비정상 접속이 다수 있었음에도 회사는 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다. 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하고, 이상행위에 대한 별도 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회도 놓친 것으로 확인됐다. 여기에 올해 1월 30일 회원 약 16만명의 개인정보가 추가 유출됐고 이를 인지했음에도 법령이 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이를 통지할 것을 촉구했음에도 이를 이행하지 않은 것도 하나의 요인이다. 해킹에 대한 자체적인 조사 당시 결과를 홈페이지에 공개할 때 개인정보보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않아 직무수행 권한을 무력화한 것도 원인으로 작용했다. 자료 폐기 등을 통해 개보위의 조사도 방해를 받았다. 회원정보는 탈퇴 후 90일이 경과하면, 주소·계좌번호는 즉시 파기하도록 하는 내부 규정이 있었음에도 246만5592건은 파기 하지 않아 실제 유출로 이어졌다. 탈퇴회원의 계좌번호 31만8499건을 즉시 파기하지 않고, 탈퇴 후 90일이 경과한 71만7865명의 개인정보도 별도의 발송용 DB에서 파기하지 않은 점도 드러났다. 개보위 "쿠팡 고발 진행…자료보전명령 미이행" 개보위는 이번 사안에 대해 쿠팡에 대한 고발을 진행하기로 했다. 송경희 개보위원장은 "조사를 개시하고 자료보전명령을 내렸는데도 이후 (자료가) 삭제된 적이 있었다"며 "자동 삭제 시스템도 중단시키지 않아 다시 한 번 삭제되는 일이 있어 조사를 어렵게 했다"고 설명했다. 아울러, 개보위는 이번 결정에서 쿠팡 측 의견도 일부 반영됐으며, 국내와 국외 사업자의 차별은 없었다고 강조했다. 송 위원장은 "제안된 의견에 대해서는 사실 여부를 면밀하게 확인하고 조사 결과와도 대비해 여러번 확인하는 과정을 거쳤다"며 "물론 사실과 부합하는 부분은 감안된 것이 있다"고 말했다. 쿠팡이 피해 회복과 관련된 일부 프로그램을 진행했다는 점도 가중·감경에 반영됐다. 개보위 관계자는 "심의에 고려하기 위해서는 쿠팡에서 시행하는 프로그램이 어느 정도로 이용됐는지가 정확하게 확인되는 게 중요하다"며 "쿠팡이 답변을 하지 않아 정확히 얼마가 집행됐는지는 확인이 안되고 있는 상황이지만 종합적으로는 판단에 일부 고려가 됐다"고 덧붙였다. 앞서 쿠팡은 개인정보가 유출된 이용자를 대상으로 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 바 있다. 안전 강화·정보 유출 통지 등 명령…"불복 시 적극 대응" 시사 개보위는 과징금·과태료와 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPO 실질적 역할 보장 등을 시정 명령했다. 또한 탈퇴회원 개인정보 처리 체계와 관련해 개선을 권고하며 3개월 이내 시행·조치 결과를 확인할 예정이다. 쿠팡이 부과받은 과징금과 과태료가 역대 최대치로 나오면서 회사는 사과와 함께 "지난해 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못했다"며 유감스럽다는 의사를 표현했다. 또 "쿠팡 파트너스는 다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다"며 "개보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다"고 강조했다. 이같은 쿠팡의 후속 조치에 개보위는 불복할 경우 적극 대응하겠다는 입장이다. 송 위원장은 "만약 소송이 제기된다면 적극적으로 대응하겠다"며 "처분은 법과 원칙에 근거해 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분"이라고 밝혔다. 쿠팡은 파트너스 프로그램을 통한 타사 온라인 활동 기록 무단 수집을 두고 "비의도적이다. 자연적으로 적재가 됐다"고 항변했으나 인터넷 통신 규약상 자연적으로 적재할 수 있는 형태가 아니라고 봤다. 특히, 기기 식별자를 회원들 브라우저에 설치해 이를 바탕으로 타사의 웹·앱의 온라인 기록들을 쿠팡 서버에 들어왔을 때 회원 식별번호와 결합해 의도적으로 데이터베이스(DB)에 쌓아놨다는 점이 충분히 의도성이 있다는 설명이다. 개보위 관계자는 "이 DB를 나중에 쿠팡이 일정하게 조회한 사실도 확인했기에 이를 위법하다고 본 것"이라고 부연했다.

2026.06.11 13:32박서린 기자

[속보] 개보위 "쿠팡 고발할 것...조사 어렵게 한 사실 확인"

개인정보보호위원회가 지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡에 대해 조사를 어렵게 한 사실이 확인돼 고발한다고 11일 밝혔다. 쿠팡이 이번 개보위의 결정에 불복해 소송을 제기할 경우 적극적으로 대응한다는 입장이다.

2026.06.11 11:26박서린 기자

[법과 상식 사이] 스마트 글래스와 동의 없는 개인정보

'타인 안경 속에 들어간 나' 옆 테이블에 앉은 안경 쓴 사람이 내 쪽을 보는 것 같다. 나를 보는 것이 아니라 주변을 살펴보는 중일 수도 있고, 일행과 대화 중일 수도 있다. 그래서 대개는 무심히 넘긴다. 그러나 그 안경에 카메라와 마이크, 위치 센서, AI 분석 기능이 들어 있다면 이야기는 달라진다. 나는 동의한 적이 없다. 앱을 설치한 적도 없고, 약관을 읽은 적도 없고, 카메라 접근 권한을 허용한 적도 없다. 나는 그 기기를 이용하지도 않지만, 그 사람의 시야 속에서 내 얼굴과 목소리, 위치와 행동이 누군가의 AI 기기 속 데이터가 될 수 있다. 스마트 글래스가 일상화되는 시대의 개인정보 문제는 여기서 시작된다. 과거 구글 글래스가 등장했을 때 사람들이 불편함을 느꼈던 이유도 비슷했다. 내가 지금 촬영되고 있는지, 혹시 내 얼굴도 저장되는지, 내가 분석되는 건 아닌지에 대한 불안이 있었다. 최근 다시 부각하고 있는 AI 스마트 글래스는 단순한 웨어러블 기기에 머물지 않는다. 카메라와 마이크, AI 기능이 결합되면서 사용자가 보고 듣는 주변 환경을 촬영하고 해석하는 장치로 발전하고 있다. 지금은 기능과 활용 범위에 제한이 있지만 기술의 방향은 분명하다. 사람의 시야와 일상 공간이 데이터 처리의 출발점이 되고 있다. 주변인에게는 선택의 여지가 없다 스마트 글래스의 개인정보 문제는 기기를 착용한 이용자 본인보다 그 기기를 사용하지 않는 주변 사람들에게서 더 뚜렷하게 드러난다. 착용자는 기기를 구매하고 약관에 동의하며 앱 권한을 설정할 수 있지만, 그 옆을 지나가는 사람에게는 그런 선택의 기회가 없다. 그동안 스마트폰에서는 개인정보 보호가 주로 내 기기와 내 앱을 관리하는 문제였다. 그러나 스마트 글래스는 타인의 기기에 의해 내가 데이터 처리의 일부가 될 수 있다는 더 어려운 문제를 드러낸다. 스마트 글래스는 단순한 촬영 장치가 아니다. 여기서는 기록이 바로 분석이 되고, 분석은 곧바로 이용자에게 제공되는 정보가 된다. 주변 사람의 얼굴, 목소리, 위치, 행동이 AI와 결합되는 순간 그것들은 단순한 배경이 아니라 특정인을 식별하고 추론하는 단서가 될 수 있다. 이 분석이 반드시 글래스 안에서만 이뤄지는 것도 아니다. 실시간 인식과 정보 제공을 위해 데이터는 스마트폰, 통신망, 엣지 서버, 클라우드 AI 시스템 사이를 오가며 처리될 수 있다. 결국 스마트 글래스의 개인정보 문제는 기기 하나에 그치지 않고 기기와 통신 인프라가 결합된 환경에서 데이터가 어떻게 생성되고 처리되는가의 문제까지 포함하게 된다. 내 위치는 많은 것을 드러낸다 스마트 글래스가 일상 공간을 인식하고 분석하게 되면 위치정보의 의미도 달라진다. 위치정보는 단순한 GPS 좌표가 아니다. 반복되는 이동 경로와 체류 장소는 생활 반경, 관심사, 인간관계까지 드러날 수 있다. 여기에 스마트 글래스의 시선 방향과 주변 공간 정보가 결합되면 문제는 더 복잡해진다. 이제 위치정보는 어디에 있었는가를 넘어 무엇을 보았는가, 누구와 함께 있었는가, 무엇을 할 가능성이 있는가를 추론하는 단서가 된다. 개인정보보호법의 관점에서도 쟁점은 복합적이다. 얼굴과 음성은 개인을 식별할 수 있는 정보가 될 수 있고, 시선 방향과 체류 시간은 관심사와 성향을 추론하는 단서가 될 수 있다. 반복 방문 장소와 이동 경로는 위치정보와 결합해 생활패턴과 사회적 관계를 드러낼 수 있으며, AI가 결합되면 이 정보들은 더 민감한 의미를 갖게 된다. 나아가 해외 클라우드나 외부 AI 연산 시스템이 개입하면 데이터가 어느 국가에서 처리되고 누구에게 위탁되는지의 쟁점도 함께 발생한다. 결국 스마트 글래스가 보여주는 개인정보 쟁점은 하나의 정보 항목에 머물지 않는다. 얼굴, 목소리, 위치, 시선, 체류 시간이 결합되면 한 사람의 생활을 읽어내는 단서가 된다. 침해 역시 명단 유출이나 앱 권한 남용처럼 눈에 보이는 사건으로만 나타나지 않는다. 누군가의 안경 속에 반복적으로 포착되고 그 정보가 분석되어 나의 이동, 관심사, 관계가 조용히 추론되는 방식으로도 나타날 수 있다. 이제는 가져간 정보보다 그 정보로 무엇을 알아낼 수 있는지가 중요해 졌다. 스마트 글래스의 개인정보 문제는 단순히 무엇을 촬영했는가에 그치지 않는다. 무엇을 인식하고, 무엇을 결합하며, 무엇을 추론할 수 있는가의 문제가 되어가고 있다. 착용자의 편의와 혁신만으로 타인의 일상이 데이터화되는 것을 당연시할 수는 없다. 이제는 기기의 설계와 데이터 처리 과정에서부터 상품화 전 개인정보 영향평가를 통한 안전성 확보, 수집 즉시 얼굴, 음성 등의 익명화 처리 등 주변인의 권리가 어떻게 보호될 수 있는지, 이를 사업자의 자율에 맡겨둘 것인지 법과 규제가 직접 다뤄야 할 것인지 명확히 해야 할 시점이다.

2026.06.10 17:03안정민 컬럼니스트

금보원, 금융권 개인정보 보호 내부통제 전문가 양성한다

금융보안원이 금융권 개인(신용)정보보호 내부통제 역량 강화를 위한 전문 교육을 추진한다. 금융보안원은 9일 예비 개인정보보호책임자(CPO) 및 신용정보관리·보호인(CIAP) 육성을 위한 '개인(신용)정보보호 내부통제 전문가 양성 과정'을 신설했다고 밝혔다. 최근 개인정보 유출 사고가 잇따르면서 금융 소비자의 신뢰 확보와 안정적인 금융 서비스 제공을 위해 금융권 내 개인(신용)정보보호 내부 통제 강화는 필수 과제로 꼽혀 왔다. 특히 인공지능(AI) 활용이 확대되면서 개인정보 처리 환경은 더욱 복잡해졌고, 금융권 업무 특성을 이해한 전문인력도 필요성이 고조돼왔기 때문에 이번 교육 과정이 신설된 것으로 보인다. 금융보안원에 따르면 이번 교육과정은 법률 및 제도부터 AI 분야 개인정보 활용, 개인정보 유출사고 대응까지 종합적으로 학습할 수 있도록 구성했다. 개인(신용)정보보호 법률 전문가 및 관련 제도 수립에 직접 참여한 실무 전문가도 초청해 현장 중심의 교육도 제공할 방침이다. 아울러 교육 내용이 금융권 실무에 즉시 활용될 수 있도록 사례 분석과 더불어 실습을 연계할 계획이다. 박상원 금융보안원장은 "금융권 전반에서 AI 활용이 본격화되면서 개인(신용)정보보호는 금융회사의 신뢰와 안정성을 좌우하는 핵심 리스크 관리 과제가 되고 있다"며 "금융권 개인(신용)정보보호 리더를 체계적으로 육성해 AI 시대에 금융회사가 개인(신용)정보보호 내부통제 역량을 주도적으로 강화해 나갈 수 있도록 적극 지원해 나가겠다"고 말했다.

2026.06.09 21:28김기찬 기자

개보위, 10일 쿠팡 제재안 심의…역대 최대 과징금 나올까

지난해 11월 대규모 개인정보 유출 사건이 발생한 쿠팡에 대한 과징금 수위가 오는 10일 결정된다. 역대 최대 수준 과징금이 현실화될지 관심이 쏠린다. 개인정보보호위원회는 오는 10일 전체 회의를 열고 쿠팡의 제재안을 심의할 예정이다. 앞서 과학기술정보통신부 민관합동조사단은 지난 2월 쿠팡 유출 사고 조사 결과를 발표한 바 있다. 이때 유출된 이용자 성명, 이메일 주소를 포함한 개인정보는 3367만3817건 수준이다. 개보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 이후 쿠팡은 의견 제출 기한 연장을 요청한 후 의견서를 제출했고 개보위는 이를 검토해온 것으로 알려졌다. 이번 전체회의에서 개보위는 쿠팡의 개인정보보호법 위반 여부와 과징금 부과 등 제재 수위를 논의한다. 구체적인 과징금 액수와 처분 내용을 위원들의 심의를 거쳐 최종 확정될 예정이다. 업계에서는 유출 규모와 대응 과정 등을 고려하면 '역대급' 과징금이 부과될 수 있다고 보고 있다. 현행법에서는 개인정보 유출 사고 발생 시 매출액의 최대 3% 범위 내에서 과징금을 부과할 수 있도록 규정하고 있는데, 지난해 쿠팡의 매출액은 345억 달러(약 52조 1813억원)으로 부과 가능한 최대 과징금은 1조5000억원대다. 지금까지는 지난해 발생한 SK텔레콤의 유심 정보 유출 사고에 역대 최대 과징금이 부과됐다. 당시 SK텔레콤을 상대로 부과된 과징금 규모는 1348억원 가량이다. 다만, 쿠팡이 행정소송을 통해 불복할 가능성도 배제할 수 없다. SK텔레콤은 올해 1월 과징금 관련 행정 소송을 제기한 바 있다.

2026.06.09 15:06박서린 기자

"한국 고연령층, 개인정보 관리 소홀…소득 낮을수록 보안 수준 낮아"

고연령층을 중심으로 한국의 디지털 신뢰가 무너졌다는 분석이 나왔다. 개인정보 보호 행동은 일상화될 정도로 수준이 높아졌지만, 고연령층의 경우 개인정보 관리 참여도가 현저히 낮게 나타난 것이다. 글로벌 사이버 보안 기업 노드VPN(한국지사장 황성호)는 이같은 내용을 골자로 한 분석 결과를 20일 발표했다. 이번 조사는 한국의 18~64세 인터넷 사용자 804명을 대상으로 진행됐다. 혼라인 환경에서의 개인정보 인식과 행동, 신뢰 수준을 종합적으로 분석한 결과다. 노드VPN은 한국인의 개인정보 보호 인식과 행동 패턴을 분석한 결과, 디지털 환경에서 높은 경각심에도 불구하고 실제 개인정보에 대한 통제감과 신뢰 수준은 여전히 제한적이라고 밝혔다. 먼저 응답자의 84%는 데이터 유출 발생 시 즉각적인 알림을 원하는 것으로 조사됐으며, 66%는 웹사이트와 애플리케이션의 개인정보 설정을 정기적으로 점검하거나 조정하는 등 적극적인 개인정보 관리에 나서는 것으로 나타났다. 70%의 응답자들은 온라인 서비스와 소셜미디어에서 자신의 데이터가 어떻게 수집되고 활용되는지 이해하고 있다고 밝혔다. 이처럼 개인정보 관련 적극적인 인식과 행동에도 불구하고 실제 통제감은 제한적인 수준에 머물렀다는 것이 노드VPN의 분석이다. 자신의 개인정보 처리 방식을 통제하고 있다고 느끼는 비율은 52%에 그쳤으며, 온라인 쇼핑 시 결제 정보를 입력하는 것에 대한 신뢰도는 68% 수준으로 나타났다. 이런 경향은 연령과 소득에 따라 더욱 두드러졌다. 18~34세(Z세대와 밀레니얼 세대)는 높은 이해도와 통제감을 보이며 디지털 환경 적응도가 상대적으로 높았던 반면, 55~64세 이상 연령층은 전반적으로 낮은 수준을 보였다. 소득 측면에서도 고소득층은 신뢰도와 보안 행동이 비교적 높게 나타난 반면, 저소득층은 전반적으로 낮은 경향을 보였다. 개인정보 보호 행동에서도 차이가 확인됐다. 35~44세 밀레니얼 세대와 프리랜서 그룹은 개인정보 설정을 정기적으로 점검하는 등 적극적인 관리 행동을 보였지만, 고연령층과 저소득층에서는 참여도가 낮았다. 노드VPN은 이러한 환경에서 사용자 스스로의 보안 관리 필요성이 더욱 중요해지고 있다고 강조하며 개인정보 노출 위험을 줄이기 위한 실천 방법으로 ▲앱 권한 최소화 ▲강력한 고유 비밀번호 사용 ▲다중 인증 활성화 ▲개인정보 설정 정기 점검 ▲앱 권한 점검 및 불필요 권한 제거 ▲계정 생성 시 최소한의 정보만 입력 ▲SNS·쇼핑 사이트·앱 개인정보 설정 수시 확인 ▲온라인 결제 시 사이트 주소 확인 및 카드 정보 저장 제한 ▲보안 도구 활용 ▲데이터 유출 알림 수신 시 즉시 비밀번호 변경 및 2단계 인증 활성화 등을 제시했다. 마리우스 브리에디스(Marijus Briedis) 노드VPN 최고기술책임자(CTO)는 “한국의 데이터는 단순히 개인정보 보호 인식의 문제가 아니라, 연령과 소득에 따라 디지털 신뢰 격차가 구조적으로 나타나는 시장임을 보여준다”며 “사용자는 자신의 데이터가 이미 다양한 경로로 노출될 수 있다는 점을 인지하고, 계정과 개인정보 보호 수준을 보다 적극적으로 강화할 필요가 있다”고 말했다.

2026.05.20 14:59김기찬 기자

쿠팡 개인정보 유출 조사 마무리…개인정보위 "곧 결정"

3367만명의 개인정보를 유출한 쿠팡에 대한 제재 수위가 이르면 내달 결정될 것으로 보인다. 송경희 개인정보보호위원회 위원장은 지난 12일 정부서울청사에서 열린 정책브리핑에서 “쿠팡에 대한 조사를 다 마무리했다”면서 “조사 결과에 대한 사전 통지를 보냈고, 사업자 의견 제출을 받고 있다”고 말했다. 그러면서 “지금 사업자가 제출한 의견을 받아서 검토 중이고, 검토가 완료되면 개인정보위 전체 회의에서 의결하도록 하겠다”며 “단계가 빠르게 진행되고 있다”고 덧붙였다. 개인정보위 규정에 따르면 조사관은 조사 결과보고서를 바탕으로 처분 내용을 당사자에게 사전통지해야 하며, 당사자는 14일 이상의 기간 내 의견을 제출할 수 있다. 이와 관련해 쿠팡은 개인정보위에 보낸 의견서에서 전반적인 처분 방향에 동의하기 어렵다는 취지의 의견을 견지한 것으로 알려졌다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출의 최대 3%까지 부과할 수 있다. 한국 쿠팡 모회사 쿠팡Inc의 지난해 매출은 약 49조원으로 3%를 단순 계산하면 법정 최대 과징금 규모는 대략 1조5000억원 수준이 될 전망이다. 쿠팡Inc의 경우 매출 대부분이 한국에서 발생하고 있다. 개인정보위 전체 회의는 이달 13일과 27일 예정돼 있지만 13일 회의에는 해당 안건이 상정되지 않으면서 내달 중 결과가 나온다는데 힘이 실린다.

2026.05.13 09:52박서린 기자

KT, '정보보안실' 중심 전사 보안체계 재편

KT는 기존의 분산된 보안 기능을 통합한 정보보안실을 중심으로 전사 정보보안 체계를 전면 정비하는 보안 혁신을 본격 추진한다고 7일 밝혔다. 제로트러스트 원칙 기반 보안 아키텍처를 단계적으로 고도화해 기존의 사후 대응 중심에서 벗어나 상시 예방과 선제 대응 중심의 체계로 전환한다. 내외부 구분 없이 모든 접근을 지속 검증하는 구조를 전사 시스템 전반에 적용하고, AI 기술 발전에 대응해 AI 에이전트를 활용한 모의 해킹 등 AI를 활용한 보안 관리 체계를 확대해 나갈 방침이다. 통합 보안 관제 체계를 고도화해 위협을 사전에 탐지하고 차단하는 실시간 관제 역량을 강화한다. 댁내 단말, 옥외 기지국, 소프트웨어 등을 포함한 유무형 자산에 대한 보안 통제력을 높이고, 각종 장비의 공급 단계부터 보안 취약점 여부를 검증하는 절차도 고도화한다. 정보보안실은 가입자 개인정보 보호와 관련된 우려 사항을 앞서 출범한 '고객보호365TF'와 연계해 신속 점검 대응하고, 기술 조직 프로세스 전반에서 가입자 보호 수준을 실질적으로 높일 계획이다. 또한 정보보호최고책임자(CISO)와 개인정보최고책임자(CPO) 체계로 조직 구조 개편을 실행했고, 정보보안실 중심의 통합 거버넌스를 구축해 실질적인 보안 수준 향상을 추진한다. 외부 자문위원회 구성, 보안 산업계, 학계와 연계된 보안 생태계 구축 등을 통해 외부 전문성과 객관성을 강화하고, 기존 내부 중심 시각에서 벗어나 보다 근본적인 관점에서 보안 체계를 재정립해 나간다. KT는 혁신을 통해 기술 중심 대응을 넘어 조직 인력 문화 전반이 결합된 실행형 보안 체계를 정착시키고, 가입자가 체감할 수 있는 수준의 보안 변화와 신뢰 회복을 만들어 나간다는 방침이다. 이상운 KT 정보보안실장은 “보안의 기본부터 다시 세우고, 제로트러스트 기반 상시 예방, 선제 대응 체계를 통해 근본적인 체질 개선을 추진하겠다”며 “정보보안실을 중심으로 가입자 일상과 데이터를 지키는 신뢰 기반을 확립하고, AX 플랫폼 기업으로의 도약을 뒷받침할 수 있는 보안 체계를 구축해 나가겠다”고 밝혔다.

2026.05.07 09:37홍지후 기자

[법과 상식 사이] 단체 채팅방 초대, 괜찮을까

모임이나 조직 활동을 하다 보면 단체 채팅방을 만드는 일은 이제 일상이 됐다. 동호회 공지나 업무 연락을 위해 연락처를 이용해 채팅방에 초대하는 일도 흔하다. 그런데 이처럼 아무렇지 않게 이뤄지는 단체 채팅방 초대가 개인정보보호법 위반이 될 수 있다면 어떨까. 휴대전화 화면에 뜬 '단체 채팅방에 초대되었습니다'라는 알림 하나가 법적 문제로 이어질 수도 있다는 사실은 의외로 낯설다. 결론부터 말하면 단체 채팅방 초대가 항상 위법이 되는 것은 아니다. 다만 해당 초대가 순수한 사적 친목을 넘어 '업무'나 '조직 운영' 등 특정 목적을 가진 개인정보처리자에 의해 이뤄질 경우 법적 잣대는 엄격해진다. 그 연락처가 어떤 경로로 취득됐는지, 그리고 어떤 목적으로 이용되고 있는지에 따라 법적 평가는 달라질 수 있다. 개인정보보호법은 개인정보를 수집한 목적 범위를 벗어나 이용하거나 다른 사람에게 제공하는 경우 원칙적으로 정보 주체의 동의를 요구하고 있기 때문이다. 상황에 따라 달라지는 법적 책임 먼저 조직 운영이나 업무 과정에서 취득한 연락처를 이용하는 경우를 살펴보자. 회사, 협회, 학교 등에서 공지나 업무 연락을 위해 단체 채팅방을 운영하는 것은 비교적 적법성이 인정될 가능성이 높다. 다만 이 경우에도 해당 연락처가 처음 수집될 당시 공지나 구성원 소통 목적으로 활용될 수 있다는 점이 안내되어 있어야 하며, 구성원 역시 단체 채팅방 운영을 어느 정도 예상할 수 있어야 한다. 또한 채팅방 참여 범위를 조직 구성원으로 제한하고 연락처 명단이나 개인정보 파일을 게시하지 않는 등 개인정보 노출을 최소화하는 방식으로 운영할 필요가 있다. 반면 업무나 조직 활동 과정에서 취득한 연락처를 친목 모임이나 개인 홍보와 같은 사적 목적으로 사용하는 경우에는 위법성이 문제 될 수 있다. 개인정보보호법은 개인정보를 수집한 목적과 다른 용도로 이용하는 행위를 원칙적으로 제한하고 있기 때문이다. 업무상 알게 된 연락처를 이용해 개인적인 관심 표현 메시지를 보낸 사례에서 법원이 이를 목적 외 이용에 해당한다고 판단한 경우도 있다. 채팅방 구조가 만드는 뜻밖의 위험 단체 채팅방의 구조 자체도 중요한 판단 요소다. 많은 메신저 서비스에서는 채팅방에 참여하는 것만으로도 전화번호나 프로필 정보가 다른 참여자에게 노출된다. 법적으로 이러한 상황은 개인정보의 '제3자 제공'에 해당할 가능성이 있다. 개인정보보호법에서 제3자 제공이란 개인정보를 정보 주체가 아닌 다른 사람에게 전달하거나 열람할 수 있도록 하는 행위를 의미한다. 단체 채팅방 참여로 인해 연락처나 개인정보가 여러 참여자에게 공유된다면 단순한 소통을 넘어 동의 없는 개인정보 제공으로 간주될 수 있다. 이와 함께 혼동하기 쉬운 개념이 '목적 외 이용'이다. 목적 외 이용이란 개인정보를 처음 수집한 목적과 다른 용도로 사용하는 경우를 말한다. 예를 들어 업무나 조직 활동 과정에서 취득한 연락처를 친목 모임이나 개인 홍보, 호감 표현을 위해 사용하는 경우가 여기에 해당할 수 있다. 단체 채팅방 초대에서는 이 두 문제가 동시에 발생할 수 있다. 연락처를 새로운 목적으로 이용했다면 목적 외 이용 문제가 생길 수 있고, 채팅방 참여로 인해 다른 구성원에게 개인정보가 공유된다면 제3자 제공 문제도 함께 제기될 수 있다. 특히 전화번호 명단을 채팅방에 게시하거나 정보 주체의 의사와 무관하게 불특정 다수가 참여하는 방에 초대해 개인정보를 노출한 경우에는 민사상 손해배상 책임까지 지게 될 수 있다. 안전하게 운영하는 방법 이러한 분쟁을 예방하는 가장 안전한 방법은 단체 채팅방 참여 여부를 사전에 확인하는 것이다. 1대1 메시지를 통해 참여 의사를 묻거나, 초대 링크를 제공해 본인이 직접 참여하도록 하는 방식은 개인정보 이용에 대한 사전 동의 여부를 둘러싼 분쟁을 줄이는 데 효과적이다. 또 단체 채팅방 운영 목적, 참여 범위, 노출될 수 있는 개인정보 항목 등을 사전에 안내하거나 이에 대한 동의를 받는 방식 역시 법적 위험을 낮추는 데 도움이 된다. 결국 단체 채팅방 초대의 적법성은 초대 행위 자체보다 개인정보가 어떤 맥락에서 취득됐는지, 그리고 초대 과정에서 어떤 범위까지 공유되는지에 따라 판단된다. 일상적인 소통까지 법이 제한하려는 것은 아니지만 업무나 조직 활동 과정에서 취득한 연락처를 사용할 때는 정보 주체의 기대와 통제권을 존중하는 것이 기본이다.

2026.02.26 10:20안정민 컬럼니스트

프랜차이즈, 자사앱 활성화 안간힘…이용자 보호는?

프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다. 20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다. 앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 "외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다"며 "점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제"라고 설명했다. 자사앱 확대 속도에 못 미치는 개인정보 관리 수준 문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다. 실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다. 여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다. 올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다. 이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 '관리 부실'로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다. 개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다. 프랜차이즈 "개인정보 보호 조치 강화" 한 목소리...전문가 "보안 투자 필수" 프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다. 최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다. 교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다. bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다. 염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다. 특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다. 염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.

2026.02.20 17:42류승현 기자

[법과 상식 사이] 이름도 개인정보가 아닐 수 있다?

“사람 이름을 아는 것만으로 개인정보 문제가 생길까?” 일상에서 우리는 수많은 사람의 이름을 알고 살아간다. 학교 친구의 이름을 기억하기도 하고 거래처 담당자의 이름을 휴대전화에 저장해 두기도 한다. 이름을 알고 있다는 사실 자체만으로는 대체로 법적 문제가 되지 않는다. 그럼에도 개인정보보호법을 이야기할 때 많은 사람들은 이름이나 연락처처럼 개인과 관련된 정보는 모두 법의 엄격한 보호 대상이라고 생각하는 경우가 적지 않다. 하지만 개인정보보호법에서 보호하려는 개인정보는 단순히 '개인과 관련된 정보'라는 의미보다 한층 더 구체적인 개념이다. 법은 특정 개인을 알아볼 수 있는 정보를 개인정보로 정의한다. 다시 말해, 정보의 종류보다 그 정보로 실제 개인을 식별할 수 있는지 여부가 중요하다. 이러한 기준 때문에 개인정보는 절대적으로 고정된 개념이 아니라 이용되는 환경과 결합 가능성에 따라 달라질 수 있는 상대적인 개념이 된다. 그래서 같은 이름이나 번호라도 어떤 상황에서는 개인정보가 되고, 어떤 경우에는 그렇지 않을 수 있다. 예를 들어 '김철수'라는 이름만으로는 동일한 이름을 가진 사람이 많아 일반적으로 특정 개인을 식별할 수 있다고 보기는 어렵다. 그러나 '○○고등학교 3학년 김철수'처럼 추가적인 속성 정보가 결합되면 누구인지 특정할 수 있는 가능성은 높아진다. 여기에 거주 지역이나 동아리 활동 정보까지 더해지면 식별 가능성은 현저히 증가한다. 직장 정보도 마찬가지다. '대기업 인사팀장'이라는 표현만으로는 특정 개인을 떠올리기 어렵지만 직원 수가 적은 회사에서 해당 직위를 가진 사람이 한 명뿐이라면 개인을 식별할 가능성이 생길 수 있다. 휴대전화 번호 전체는 개인을 식별할 수 있는 정보이지만 일부 숫자만으로는 특정 개인을 알아보기 어려운 경우가 많다. 다만 여기에 이름이나 직장 정보가 결합되면 다시 개인정보에 해당할 가능성이 높아진다. 결국 개인정보에 해당하는지는 정보의 내용만으로 기계적으로 판단되는 것이 아니라 조직 규모나 이용 환경 같은 맥락까지 함께 고려해 판단해야 한다. 개인정보 개념의 상대성 개인정보를 상대적인 개념으로 이해해야 한다는 점은 법 적용 과정에서 불확실성을 동반한다. 기술 수준이나 정보 결합 가능성에 따라 개인정보 해당 여부가 달라질 수 있어 규제 예측 가능성이 낮아진다는 비판도 존재한다. 그럼에도 법이 이러한 구조를 채택한 이유는 보호 대상을 미리 정해진 정보의 목록으로 한정할 경우 기술 발전과 함께 나타나는 새로운 식별 위험을 효과적으로 포착하기 어렵기 때문이다. 실제로 오늘날에는 위치정보, 온라인 활동 기록, 소비 패턴처럼 단독으로는 개인을 특정하기 어려운 정보라도 다른 데이터와 결합될 경우 특정 개인을 정밀하게 식별할 수 있다. 개인정보 보호가 요구되는 이유 역시 정보 자체를 보호하기 위해서라기보다 해당 정보를 통해 개인이 원하지 않는 방식으로 특정되거나 분석될 위험을 방지하기 위해서다. 이러한 맥락에서 개인정보보호법은 보호 대상을 개별 정보의 종류가 아니라 '개인을 식별할 수 있는 가능성'에 두고 있다. 가명정보는 여전히 보호대상 최근에는 통계 작성이나 연구를 목적으로 개인을 직접 식별할 수 있는 요소를 제거한 데이터 활용이 확대되고 있다. 그러나 이러한 정보가 곧바로 개인정보에서 제외되는 것은 아니다. 이름이나 주민등록번호와 같은 직접 식별 정보를 삭제하거나 대체하더라도, 다른 정보와 결합하거나 추가 분석을 통해 특정 개인을 다시 알아볼 수 있다면 해당 정보는 여전히 개인정보에 해당한다. 개인정보보호법은 이러한 중간 형태의 데이터를 '가명정보'로 구분한다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보이지만 재식별 가능성이 완전히 제거된 것은 아니다. 이 때문에 가명정보는 일정 범위에서 활용이 허용되면서도 여전히 개인정보로서 법적 보호의 대상이 된다. 개인정보에 해당하는지는 단순히 식별 정보가 삭제되었는지 여부만으로 결정되지 않는다. 정보의 결합 가능성, 재식별에 필요한 비용과 기술 수준, 그리고 정보가 이용되는 환경까지 종합적으로 고려된다. 데이터 분석 기술이 발전할수록 과거에는 안전하다고 평가되었던 정보라도 다시 개인을 식별할 위험을 가질 수 있기 때문이다. 이러한 이유로 개인정보 판단 기준은 고정된 정보 목록이 아니라 기술 변화와 이용 맥락에 따라 유동적으로 해석될 수 밖에 없다. 이처럼 개인정보에 해당하는지는 정보의 형태만 보고 단순하게 판단할 수 없다. 핵심 기준은 결국 “이 정보로 특정 개인을 식별할 수 있는가”라는 질문에 있다. 같은 정보라도 이용되는 환경과 다른 정보와의 결합 가능성에 따라 개인정보가 될 수도 있고 그렇지 않을 수도 있다. 따라서 개인정보보호법을 이해할 때는 특정 정보의 명칭이나 유형에만 주목하기보다 해당 정보가 개인을 식별하거나 분석하는데 어떤 역할을 할 수 있는지를 중심으로 판단할 필요가 있다. 이러한 관점은 기술 변화 속에서도 개인정보 보호의 목적과 적용 범위를 일관되게 이해하는 출발점이 된다.

2026.02.12 17:06안정민 컬럼니스트

그렙, 정보보호 관리체계 인증 획득

온라인 테스팅 플랫폼 기업 그렙(대표 임성수)이 정보보호 관리체계(ISMS) 인증을 획득했다고 11일 밝혔다. 과학기술정보통신부가 고시하고, 한국인터넷진흥원(KISA)이 운영하는 ISMS는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 국가 기준에 적합한지를 심사하는 제도다. 정보보호 관리체계 수립·운영(16개), 보호대책 요구사항(64개) 등 총 80개의 심사 항목을 모두 충족해야 받을 수 있는 국내 최고 수준의 정보보호 인증으로 평가받는다. 그렙은 이번 인증을 통해 온라인 테스팅 플랫폼으로서 데이터 관리 역량과 개인정보 보호 체계의 우수성을 객관적으로 증명했다. 특히, 온라인 시험 감독 솔루션 '모니토'와 같이 높은 보안 수준이 요구되는 환경에서 더욱 안전하고 공정한 테스팅 환경을 제공할 수 있게 됐다. 이와 함께 그렙은 개발자 성장 플랫폼 '프로그래머스'를 통해 축적한 교육 및 평가 데이터를 바탕으로 기업별 맞춤형 인재 육성 솔루션을 제공 중이다. 국내 다수 기업의 기술 채용 평가와 디지털 전환(DX) 교육을 전담해 왔다. 코딩 역량 인증 자격인 PCCP와 PCCE는 현대자동차, LG CNS, CJ올리브네트웍스 등 주요 대기업을 비롯해 한국은행 등 금융권과 공공기관에서 임직원 역량 평가 및 채용 지표로 채택되며 전문성을 인정받고 있다. 임성수 그렙 대표는 “이번 ISMS-P 인증은 그렙의 정보보호 관리 체계와 개인정보 보호 역량을 국가 기관으로부터 객관적으로 검증받은 결과”라며 “그렙은 앞으로도 철저한 보안과 개인정보 보호를 바탕으로 신뢰할 수 있는 AI 서비스를 제공하며 플랫폼 경쟁력을 높여나가겠다”고 밝혔다. 이어 “강화된 보안 신뢰성은 해외 파트너사 및 고객들과의 협업 과정에서 그렙의 글로벌 경쟁력을 뒷받침하는 토대가 될 것”이라며, “글로벌 컴플라이언스 기준을 준수하며 국내외 시장 점유율 확대를 위한 노력을 지속하겠다”고 말했다.

2026.02.11 08:48백봉삼 기자

[쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는

쿠팡 침해사고 조사 결과에서 3367만여 건 '유출', 1억4천만여 회 '조회'라는 두 가지 수치가 함께 제시되면서 그 차이를 놓고 혼란이 일었다. 조사단은 “조회 역시 유출로 본다”는 입장을 분명히 하면서, 추후 개인정보보호위원회가 개별 정보를 모두 분리해서 유출 규모를 발표할 예정이라고 했다. 10일 과학기술정보통신부는 정부서울청사에서 민관합동조사단 조사 결과를 발표하며 "조회하는 순간 개인정보는 이미 통제권 밖으로 나가기 때문에 조회는 곧 유출"이라고 명확히 했다. 그럼에도 불구하고 조사 결과에는 '유출'과 '조회'가 나뉘어 제시됐다. 조사단에 따르면 3367만여 건 유출로 명시된 수치는 '내정보 수정' 페이지에서 확인된 성명과 이메일을 기준으로 산정됐다. 해당 페이지는 한 번 접속할 때마다 한 명의 성명과 이메일이 명확하게 노출되며, 접속기록(로그) 상에서도 개별 계정을 식별할 수 있어 정확한 건수 산정이 가능했다는 설명이다. 반면 배송지 목록 페이지의 경우 상황이 다르다. 이 페이지에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 성명, 전화번호, 주소, 마스킹된 공동현관 비밀번호 정보가 함께 포함돼 있다. 한 계정당 최대 20개까지 배송지를 등록할 수 있다. 조사단은 이 페이지가 1억4800만 회 이상 조회된 사실을 확인했지만, 페이지 안에 포함된 개인정보의 정확한 개별 건수를 현 단계에서 산정하기는 어렵다고 말했다. 이에 따라 조사단은 해당 페이지에 몇 번 접근했는지를 기준으로 조회 횟수를 발표했고, 이 조회 역시 개인정보 유출로 본다고 설명했다. 조사단 측은 “배송지 목록 페이지는 한 번 조회될 때마다 유출되는 개인정보의 개수가 사람마다 다르다”며 “이 안에 들어 있는 개별 정보를 모두 분리해 산정하는 작업은 개인정보보호위원회에서 최종적으로 판단할 사안”이라고 말했다. 조사단은 “조회라고 해서 책임이 가벼워지거나, 유출만 처벌 대상이 되는 것은 아니다”라며 “정보통신망법상으로는 조회와 유출을 모두 유출로 보고 있다”고 강조했다. 다만 개인정보보호법에 따른 유출 규모 확정과 과징금 산정은 개인정보보호위원회 소관이라고 덧붙였다. 조사단은 “조회·유출이라는 표현은 기술적 사실을 설명하기 위한 구분일 뿐, 법적 책임을 나누기 위한 구분은 아니다”라며 “최종적인 개인정보 유출 규모는 개인정보보호위원회의 판단을 기다려야 한다”고 밝혔다.

2026.02.10 16:50안희정 기자

[법과 상식 사이] 왜 미국에는 단일 프라이버시법이 없을까

최근 대규모 개인정보 유출 사건이 잇따르면서 각국의 프라이버시 법제에 대한 관심이 다시 높아지고 있다. 이러한 논의를 이해하기 위해서는 먼저 EU와 미국이 채택하고 있는 프라이버시 규제의 제도적 차이를 살펴볼 필요가 있다. EU는 일반 정보보호 규정(GDPR)이란 단일 규범을 통해 높은 수준의 개인정보 보호를 요구하는 대신, EU 전역에 공통적으로 적용되는 기준을 제시함으로써 기업들에게 명확한 규제 대응의 틀을 제공한다. 반면 미국은 연방 차원의 포괄적 프라이버시법 없이 주(州) 중심의 분산적 규제 구조를 유지하고 있어 기업들은 주마다 서로 다른 동의 방식과 고지 의무를 충족시켜야 한다. 이러한 규제의 파편화는 막대한 준수 비용과 법적 불확실성을 야기해 왔으며, 그 결과 연방 차원의 통합 프라이버시법 제정에 대한 기대도 오랫동안 제기되어 왔다. 그럼에도 미국은 왜 유럽의 GDPR과 같은 단일한 체계로 나아가지 못한 채 주와 연방의 권한 다툼 속에 머물러 있는 것일까. 문제의 본질은 헌법이 예정한 연방과 주 간의 권한 배분 구조에 있다 연방 정부가 프라이버시 영역에서 입법 권한을 주장할 수 있는 핵심 근거는 미국 헌법 제1조 제8절 제3항 통상조항(Commerce Clause)이다. 통상조항은 연방 의회에 외국과의 통상, 주 간 통상, 그리고 인디언 부족과의 통상을 규제할 권한을 부여한다. 초기에는 이 조항이 주로 물리적 상품의 이동과 거래를 규율하는 근거로 이해됐으나, 현재는 연방대법원의 판례를 통해 그 범위가 크게 확장되어 교통·통신·금융·노동 등 주 간 경제에 실질적인 영향을 미치는 모든 활동을 포괄하는 개념으로 해석된다. 전화와 인터넷, 디지털플랫폼처럼 본질적으로 주 경계를 넘나드는 활동은 오늘날 통상조항 적용의 전형적인 대상이며 이를 통해 미국 연방 정부는 경제와 사회 전반에 걸친 광범위한 규제를 정당화해 왔다. 이러한 법리적 확장은 개인정보 보호 영역에도 그대로 적용된다. 연방 프라이버시법 초안들(APRA, ADPPA 등)은 개인정보의 수집·이용·이전을 주 간 상거래에 직접적이고 지속적인 영향을 미치는 경제 활동으로 규정한다. 이에 따라, 주별로 상이한 의무가 기업의 데이터 흐름과 비즈니스모델에 중첩 적용되면서 연방 차원의 개입이 정당화된다는 논리가 형성된다. 그러나 프라이버시 규제는 통상 규제에 그치지 않고 소비자 보호와 기본권 보장이라는 전통적인 주 정부의 입법권 및 경찰권과 충돌하게 되며, 이러한 헌법적 긴장이 오늘날 미국에서 연방 프라이버시법이 반복적으로 좌초되는 구조적 배경을 형성하고 있다. 연방의 선점원칙과 주 정부 입법권의 충돌 미국 헌법은 연방법과 주법이 충돌할 경우 연방법이 우선 적용된다는 선점원칙(preemption)을 통해 연방 권한의 효력을 확보하는 한편, 헌법에 명시되지 않은 권한은 헌법 수정조항 제10조에 따라 주에 유보함으로써 연방과 주의 권한 경계를 설정하고 있다. 다시 말해, 연방법은 주법에 우선하지만 연방에 위임되지 않은 영역에서는 주가 독자적으로 규범을 설계할 수 있다. 문제는 개인정보 보호가 오랫동안 소비자 보호, 불법행위 책임, 사생활 보호와 같은 주법 영역에서 발전해 왔다는 점이다. 이로 인해, 연방 프라이버시법은 주법에 앞사 적용돼야 실효성을 갖지만 연방이 이를 일괄적으로 규율하려 할 경우 주 정부의 입법권을 침해한다는 강한 반발에 직면하게 된다. 실제로 APRA와 ADPPA를 포함한 주요 연방 프라이버시법 초안들은 모두 주 프라이버시법을 일정 범위에서 배제하는 선점 조항을 담고 있었고 바로 이 지점에서 갈등이 본격화됐다. 캘리포니아, 콜로라도, 버지니아 등 이미 포괄적 프라이버시법을 시행 중인 주들은 연방 법이 최소 기준을 제시하는데 그치지 않고, 주가 더 강한 보호 규제를 도입하는 것까지 제한하는 기준으로 작동할 가능성을 우려한다. 이들 주의 입장에서 선점 조항은 규제 일관성을 확보하기 위한 장치라기보다 그동안 축적해 온 보호 체계를 연방 입법으로 약화시킬 수 있는 수단으로 받아들여진다. 이로 인해, 연방 프라이버시 입법은 단순한 정책 조정의 문제가 아니라, 연방과 주 가운데 누가 프라이버시 규범을 설계할 권한을 가지는가라는 연방주의(federalism) 차원의 충돌로 전환된다. 결국 현재의 교착상태는 통상권에 기초한 연방의 선점 논리와 수정조항 제10조에 기초한 주의 입법권이 정면으로 맞부딪히는 헌법 구조의 산물이다. 이러한 구조적 충돌이 해소되지 않는 한 연방 차원의 포괄적 프라이버시법은 반복적으로 같은 지점에서 멈출 수밖에 없다. 기업의 현실적 대안: 연방 입법이 아닌 주 기준을 사실상 표준으로 삼아라 이러한 헌법 구조를 고려할 때 연방 차원의 통합 프라이버시법 제정을 기다리는 전략은 현실적이지 않다. 주별로 파편화된 규제 환경이 상당 기간 지속될 가능성이 큰 만큼 현재 미국 내에서 사실상의 기준으로 기능하고 있는 개정된 캘리포니아 소비자 프라이버시법(CCPA/CPRA)의 보호 수준을 내부 공통 기준으로 설정하고 개인정보의 수집과 활용을 최소화하는 방향으로 대응하는 것이 합리적이다. 다수의 주가 캘리포니아 모델을 벤치마킹하고 있다는 점에서 CPRA에 기반한 컴플라이언스 체계는 향후 타 주 법률에도 비교적 유연하게 대응할 수 있는 실질적인 기반이 된다. 불확실한 연방 입법의 향방에 기대기보다 생체정보·위치정보·아동 데이터 등 특정 영역을 중심으로 강화되고 있는 주 단위 규제와 집행에 선제적으로 대비하는 것이 현 시점에서 기업이 선택할 수 있는 가장 현실적인 대응 전략이다.

2026.01.23 14:24안정민 컬럼니스트

SAP 데이터 비식별화 수요 급증…에피유즈랩스 '데이터 프라이버시 스위트' 주목

기업 데이터 활용이 인공지능(AI)·분석·자동화 영역으로 빠르게 확장되면서 SAP 시스템에 저장된 민감 데이터를 안전하게 보호하면서도 실무에 활용할 수 있는 데이터 비식별화 기술 수요가 커지고 있다. 에피유즈랩스는 SAP 환경에 최적화한 프라이버시 및 데이터 비식별화 솔루션인 'Data Privacy Suite'를 통해 운영·비운영 시스템 전반에서 글로벌 개인정보보호 규제 준수와 데이터 활용을 지원한다고 16일 밝혔다. SAP 시스템은 재무·인사·급여·고객·자재·거래 정보 등 기업 핵심 데이터가 집약된 플랫폼으로, 민감 정보가 대규모로 축적돼있다. 동시에 AI 학습, 데이터 분석, 테스트·개발 환경, 외부 협력사와의 공동 프로젝트 등 SAP 데이터를 활용해야 하는 요구도 지속 확대되는 추세다. 다만 SAP 데이터는 구조적 복잡성이 높아 단순 마스킹이나 필드 치환 방식만으로는 데이터 정합성이 훼손돼 테스트나 분석 환경에서 활용이 어려워질 수 있다. 이에 SAP 데이터 구조와 비즈니스 로직을 이해한 전문적인 비식별화 접근이 필요하다는 인식이 확산되고 있다. 에피유즈랩스가 제공하는 Data Privacy Suite는 SAP 환경에 특화된 프라이버시 및 데이터 비식별화 솔루션으로, 유럽연합(EU) 개인정보보호법 GDPR과 국내 개인정보보호법 등 글로벌 규제 대응을 지원하도록 설계됐다. 비운영 시스템에서는 SAP 테이블 구조와 비즈니스 로직을 고려한 정교한 비식별화·익명화 처리를 통해 데이터 프라이버시 위험 없이 정확한 테스트 수행을 지원한다. 인사·급여·재무 등 민감 영역에 대한 필드 단위 마스킹과 규칙 기반 처리, 운영 시스템에서 비운영 시스템으로 데이터 복제 시 전송 과정에서 개인정보를 스크램블링하는 보호 기능도 제공한다. 또 AI 및 분석 활용을 위해 식별 정보는 제거하면서 데이터 활용성은 유지할 수 있도록 한다. 운영 시스템에서는 SAP 환경 전반을 즉시 검색해 특정 주체의 데이터 흔적을 식별·조회·제공할 수 있도록 지원하며 참조 무결성을 유지하면서 필드 데이터를 신속하고 안전하게 삭제하는 기능도 제공한다. 삭제 대상 데이터 주체를 유연한 규칙 기반으로 사전에 식별하는 기능도 포함된다. 에피유즈랩스는 글로벌 시장에서 SAP 데이터 비식별화 전략이 규제 대응을 넘어 데이터 활용 기반으로 확장되고 있다고 강조했다. 실제 영국 통신사 BT는 대규모 SAP 테스트 데이터 관리 과제에 대응하기 위해 에피유즈랩스의 Data Sync Manager Suite를 도입, 운영 데이터 중 필요한 데이터만 선별 복제하고 민감 정보에 데이터 스크램블링을 적용해 GDPR 준수와 함께 테스트 데이터 정확성을 높였다. 기존 한 달이 걸리던 SAP 데이터 리프레시 작업을 최대 72시간 내로 단축하며 효율성과 통제 수준을 개선했다. 네덜란드 금융기관 라보뱅크는 은행 당국(DNB) 규제에 따라 운영 환경 외 모든 SAP 데이터를 스크램블링해야 하는 요구에 직면해 Data Sync Manager를 도입했다. 이를 통해 클라이언트 리프레시 자동화와 비운영 환경 SAP 데이터 스크램블링을 구현했으며 운영 문서를 94페이지에서 4페이지로 축소하고 디스크 공간 5TB 절감, 데이터 리프레시 시간 10시간 단축 성과를 거뒀다. 이 밖에도 네슬레는 GDPR 시행 이후 유럽 내 SAP 시스템에 저장된 인사·고객 데이터를 안전하게 활용하기 위해 Data Privacy Suite를 도입해 개인정보 비식별화·가명 처리를 적용하고 규제 요건을 충족하면서도 테스트·분석 환경에서 SAP 데이터를 지속 활용할 수 있는 체계를 마련했다. 쉘은 비운영 시스템 데이터를 스크램블링하는 방식으로 공급업체·비즈니스 파트너·직원 데이터를 비식별화해 민감 정보 노출 없이 SAP 테스트 및 시스템 최적화를 수행했다. 기존 6주 소요되던 데이터 스크램블링 작업을 전체 리프레시와 결합해 5일 만에 완료했다. 프랑스 에너지 기업 엔지는 80TB 규모 SAP 시스템 내 개인정보를 식별·분석한 뒤 운영 데이터는 제거하고 비운영 데이터는 비식별화하는 전략을 수립해 Data Privacy Suite를 도입했다. 이를 통해 개인정보 감독기구(CNIL) 재감사를 안정적으로 통과했다. 이같은 사례는 SAP 데이터 비식별화가 단순 보안 조치를 넘어 기업·공공기관의 데이터 활용 전략을 뒷받침하는 핵심 기반으로 진화하고 있음을 보여준다. 에피유즈랩스는 SAP S/4HANA 전환, 클라우드 이전, AI 기반 데이터 분석·자동화, 외부 파트너와의 공동 프로젝트 등에서 보호되지 않은 SAP 데이터는 자산이 아닌 사업 리스크가 될 수 있다는 점도 지적했다. 이런 과제를 데이터 프라이버시 스위트를 앞세워 해결해 나간다는 목표다. 에피유즈랩스 제임스 왓슨 데이터 프라이버시·보안 글로벌 총괄은 "SAP 데이터는 기업과 공공기관의 가장 중요한 자산이지만, 동시에 가장 엄격한 규제를 받는 정보이기도 하다"며 "Data Privacy Suite는 글로벌 기업과 공공기관의 실제 적용 사례를 통해 검증된 솔루션으로, 데이터를 단순히 숨기는 것이 아니라 안전하고 책임감 있게 활용할 수 있도록 지원할 것"이라고 밝혔다.

2026.01.16 16:59한정호 기자

  Prev 1 2 3 4 5 Next  

지금 뜨는 기사

이시각 헤드라인

TSMC, '1.4나노' 성능·수율 모두 잡았다…차세대 공정 선점 시동

"中원플러스, 미·유럽 시장서 짐 싼다"

넷플릭스, 2분기 실적 선방에도 주가 급락

[AI는 지금] "비싼 미국 AI 왜 써?"…비용 폭탄에 美·유럽 기업, 中 AI로 갈아탔다

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.