검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개인'통합검색 결과 입니다. (500건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

오픈서베이, ISMS-P 사후 심사 통과..."보안 이상 무”

소비자 데이터 플랫폼 운영 기업 오픈서베이(대표 황희영)가 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 사후 심사를 통과해 2년째 인증을 유지하게 됐다고 26일 밝혔다. ISMS-P(Personal Information & Information Security Management system)는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 운영 및 관리하는 보안 관리 체계다. ▲관리체계 수립 및 운영(16개) ▲보호대책 요구사항(64개) ▲개인정보 처리단계별 요구사항(21개) 등 총 3개 영역에서 101개 인증 기준을 통과해야 획득할 수 있다. 사후 심사는 인증 유효기간 내 매년 1회 이상 실시한다. 오픈서베이는 지난 2023년 7월 '리서치 플랫폼 서비스'에 대한 ISMS-P 인증을 처음으로 취득했으며 올해 첫 사후 심사를 통과했다. 이번 심사를 통해 오픈서베이에서 운영 중인 관리체계가 인증 기준에 적합한 수준으로 유지되고 있음을 인증받았으며, 다음 심사까지 기존 ISMS-P 인증을 유지하게 됐다. 오픈서베이는 ISMS-P 인증과 함께 데이터 플랫폼 보안 강화에 집중해 왔다. 개인정보 수집 동의 문항 설정을 통해 설문으로 수집한 개인정보를 일반 데이터와 분리해 관리했다. 또 사용자별 데이터 권한 설정 기능으로 철저한 보안 시스템 내에서도 유연하게 협업하는 환경을 만들었다. 이를 통해 플랫폼을 이용하는 기업이 데이터 자산을 안전하게 활용하도록 기능 개발을 이어가고 있다. 오픈서베이 황희영 대표는 "기업용 서비스형 소프트웨어 플랫폼 데이터스페이스를 통해 기업 고객의 수많은 고객의 데이터까지 오픈서베이에 연동되는 만큼 더 큰 책임감을 느끼고 안전한 관리를 위해 노력하고 있다"며 "글로벌 진출을 앞둔 만큼 국내외 보안 기준을 모두 고려하고 보안을 강화하도록 투자할 예정"이라고 밝혔다.

2024.06.26 16:14백봉삼

개인정보위 "기업, 소비자가 원하는 데이터로 맞춤형 서비스 제공"

"정부는 국민이 자기 데이터 결정권을 키울 수 있게 돕겠습니다. 앞으로 본인이 원하는 곳에만 자신의 정보가 활용될 것입니다. 수동적인 정보 주체가 적극적인 정보 관리자로 성장할 것입니다. 기업과 기관은 이를 활용해 개인 맞춤형 서비스를 제공할 방침입니다." 개인정보보호위원회 김은경 서비스혁신팀 총괄은 25일 서울 양재 엘타워 그레이스홀에서 열린 '전 분야 마이데이터 제도 설명회'에서 개인정보 선도서비스 지원사업 계획을 발표했다. 해당 사업은 개인정보위가 보건복지부, 금융위원회 등 정부 부처와 협업해 만든 프로젝트다. 개인정보 선도서비스 지원사업은 국민에게 본인 데이터에 대한 자기결정권을 주기 위한 목표로 추진된다. 기업이나 기관은 이 데이터를 받아 의료, 유통, 통신 서비스를 개발할 수 있다. 우선 내달 공고를 내고 8월 말에 업체를 선정한다. 선정 기업·기관은 의료, 통신, 유통 중 한 개 이상 분야의 전송 요구 정보와 그 외 기타 정보를 활용해 서비스를 만들 수 있다. 개발 기간은 올해 9월부터 내년 3월까지다. 사업 예산은 총 25억원이다. 김은경 총괄은 의료와 통신, 유통 분야에 이 사업에 제공하는 데이터 종류도 설명했다. 선정된 기업이나 기관은 국내 상급종합병원 47개소가 제공하는 데이터로 서비스를 개발할 수 있다. 김 총괄은 "특히 의료 데이터는 보건복지부의 건강정보 고속도로 플랫폼에 연동될 것"이라며 "건강 증진을 목표로 한 데이터 위주일 것"이라고 설명했다. 유통 분야 데이터는 3년 평균 매출액이 1천500억원 이상인 업체 데이터다. 김 총괄은 "개인정보 규모는 300만 명 넘는 소비자 정보를 저장·관리하는 업체여야 한다"고 덧붙였다. 통신은 SK텔레콤과 KT, LG유플러스 데이터다. 모두 소비자가 공개 허용한 데이터여야 한다. 김 총괄은 해당 사업이 산업계뿐 아니라 일반 시민들에게도 긍정적인 역할을 할 수 있을 것으로 봤다. 김 총괄은 "개인정보 활용 정책이 보다 명확해지고 기업 간 분산됐던 데이터가 통합될 것"이라며 "다양한 서비스 개발이 가능해질 것"이라고 강조했다. 예를 들어, 의료 서비스 개발사는 진료 정보나 처방 내역 데이터로 맞춤형 건강관리 서비스를 개발할 수 있다. 유통 데이터 활용 업체는 구매 이력이나 최저가 알림 서비스를 사용자에 제공할 수 있다. 통신 데이터는 최적 요금제를 추천하는 서비스 개발에 활용될 수 있다. 김 총괄은 "그동안 개인은 의사에 맞지 않는 정보 전송을 인식하지 못하고 있었다"며 "본인이 전송 허용을 해놓고 잊는 경우도 허다했다"고 말했다. 그는 "기업도 효율적인 데이터 수집을 통한 맞춤형 서비스 제공이 어려웠다"며 "이번 사업으로 개인과 기업 모두에게 긍정적 영향을 미치길 바란다"고 강조했다.

2024.06.26 12:05김미정

개인정보위 "의료·통신·유통 마이데이터 우선 시행"

개인정보보호위원회(이하 개인정보위)가 마이데이터 확산을 위해 시행 관련된 세부 내용을 소개했다. 개인정보위는 내년 3월 전분야 마이데이터(개인정보 전송요구권) 시행에 앞서 산업계를 대상으로 설명회를 개최했다고 26일 밝혔다. 이날 설명회에서는 ▲ 정보주체의 요구에 따라 정보를 전송해야 하는 정보전송자 기준 ▲ 전송대상 정보 항목 ▲ 구체적 전송방법 ▲ 정보를 수신 받아 활용할 수 있는 개인정보관리 전문기관의 지정요건 등 마이데이터 시행과 관련된 세부 내용이 소개됐다. 개인정보위는 마이데이터의 점진적·단계적 안착을 위해 서비스 수요와 인프라 상황 등을 고려하여 의료·통신·유통 부문을 우선적으로 추진할 예정이다. 마이데이터 추진과 관련한 일부 우려에 대해서는 사실과 다르다고 해명했다. 또한, 업계의 의견을 충분히 반영해 구체적인 내용을 확정해 나가겠다고도 밝혔다. 더불어 우선 정보 전송이 중소기업·스타트업 등에 부담이 된다는 우려에 대해, 중소기업이나 스타트업은 전송 의무대상이 아니므로 정보 전송에 대한 부담이 발생하지 않으며, 오히려 데이터를 전송 받아 혁신적 서비스 등 새로운 비즈니스를 창출할 수 있는 기회가 될 것임을 강조했다. 유통부문의 경우, 매출액이 1천500억 원 이상이면서 정보주체 수가 300만 명 이상인 자 중 거래 품목 종수(유형의 재화에 한정) 등을 고려해 대형 온라인 종합쇼핑몰이나 오픈마켓 등으로 정보전송자를 한정할 계획이라고 밝혔다. 개인정보위는 정보 전송에 따른 기업 부담을 완화하기 위해 전송업무를 지원하는 중계 전문기관을 운영하고, 전송비용을 보전할 수 있도록 이해관계자 의견수렴을 통해 합리적인 비용분담체계도 마련할 것이라고 설명했다. 중계 전문기관은 개인정보 전송시스템 구축 및 표준화 등 전송 중계에 필요한 시스템 운영 및 기능을 제공, 정보전송자의 전송을 지원하는 업무를 수행하는 기관이다. 한편, 전송된 정보가 외부에 판매될 경우, 기업의 영업비밀이 유출될 수 있다는 우려에 대해서는, 전송요구로 인해 영업비밀이 유출되는지 여부에 대해 명확히 확인할 필요가 있으며, 확인 결과에 따라 필요시 전송정보(분석결과물 포함)에 대한 판매를 제한하는 조건으로 개인정보관리 전문기관(수신자)을 지정하는 방안 등을 검토할 수 있다고 밝혔다. 또한, 안전하지 않은 해외사업자가 전송의무를 부담하지 않으면서 정보를 수신 받을 수 있다는 우려에 대해서는, 전송의무를 이행하지 않는 기업은 전문기관 지정에서 배제하고, 현장실사 등을 통해 안전한 개인정보 보호체계를 갖췄는지 등을 엄격히 심사할 계획이라고 밝혔다. 마지막으로 정보주체가 제대로 알지 못하는 상태에서 개인정보가 전송되는 것이 아니냐는 우려에 대해서는, 부당한 전송을 유도·유인하는 행위를 방지하는 가이드라인 및 알기쉬운 표준동의 절차 안내 등을 통해 정보주체의 진정한 의사에 따라 전송이 이루어질 수 있도록 할 계획이라고 하였다. 이날 설명회에서는 기업들이 마이데이터를 활용하여 국민이 체감할 수 있는 선도서비스를 발굴하고 이를 구현하도록 지원하는 마이데이터 선도서비스 사업 계획도 안내하였다. 개인정보위는 오는 7월 중 마이데이터 선도서비스 사업자 선정 공모를 통해 5개 과제를 선정해 과제당 5억원씩 총 25억 원을 지원할 계획이다. 개인정보위는 앞으로도 이해관계자와의 충분한 소통을 통해 건전한 데이터 생태계를 저해하거나 프라이버시를 침해하지 않도록 면밀하고 신중하게 제도를 마련하고 사후 관리‧감독도 강화하는 등 안전한 마이데이터 활용체계를 마련해 나간다는 방침이다. 범정부 마이데이터추진단 이상민 단장은 “전분야 마이데이터에 대한 많은 기대와 관심에 부응하기 위해 다양한 이해관계자 및 관계부처와의 긴밀한 협력을 통해 '25년 마이데이터 제도 시행을 차질 없이 준비할 것”이라며, “국민이 안전하고 편리하게 마이데이터 서비스의 혜택을 누릴 수 있도록 최선을 다하겠다”라고 말했다.

2024.06.26 12:01남혁우

정부, 아태지역에 韓 정보보호 정책 소개

정부가 해외 관계자들과 아시아·태평양 지역의 개인정보 현안과 정책을 논의했다. 개인정보보호위원회는 이달 20일부터 21일까지 캐나다 브리티시 컬럼비아주 개인정보 감독기구가 화상으로 주최한 '제61차 아시아태평양 개인정보보호감독기구 협의회(APPA) 포럼'에 참석했다. 포럼은 글로벌 개인정보 이슈에 대한 공동 대응 방안 논의, 개인정보 감독기구 간 국제협력 증진, 감독기구의 역량 제고 등 실효적인 국제 논의의 장을 형성하기 위해 매년 상·하반기 연 2회 개최된다. 1일차 '국가별 동향 보고' 세션에서는 각국 개인정보 감독기구들이 아동에 대한 개인정보 보호, 인공지능(AI) 관련 개인정보 정책과 소셜네트워크(SNS) 등 여러 조사·처분 사례를 공유했다. 개인정보위 최장혁 부위원장이 지난 2월 마련한 '비정형 데이터 가명처리 가이드라인'을 이 자리에서 소개했다. 최장혁 부위원장은 "오픈AI의 '소라' 등과 같이 영상이나 이미지를 생성하는 AI 서비스 개발 및 확산에 따라 비정형 데이터 활용 수요가 커졌다"며 "이에 기업 현장에서의 불확실성을 해소하고, 보다 안전한 데이터 활용 기반을 마련하기 위해 이번 가이드라인을 만들었다"고 밝혔다. 2일차 포럼에서는 합성데이터, 연령 확인 정책 등에 관한 패널 토론 세션이 진행됐다. '합성데이터 패널 토론'은 동 분야에서 세계적으로 저명한 칼리드 엘 에맘 교수가 진행을 맡았다. 대한민국과 싱가포르 개인정보위, 캐나다 국가 디지털 및 데이터 전환 위원회에서 패널로 참여했다. 고학수 개인정보위 위원장은 패널로 참석해 최근 발표한 '한국의 합성데이터 참조 모델'을 공유했다. 고학수 위원장은 "아태지역 국가들과 개인정보 정책 및 동향을 공유·논의할 수 있었던 뜻깊은 자리였다"며 "특히 지난 2월 우리 위원회를 방문해 국내 법 개정 경험을 공유했던 말레이시아 감독기구가 협의체 회원이 된 것을 환영한다"는 뜻을 밝혔다. 이어 "아태 지역 간 협력을 강화하면서 아시아 지역 개인정보 감독기구의 역량 제고를 지원하는 데 더 많은 관심을 기울여 나가겠다"고 소감을 전했다.

2024.06.23 12:00김미정

'이메일 용량 관리 필요' 메시지=피싱

안랩이 이메일 용량 관리나 바이어 문의 공지 내용으로 위장한 범죄 사례가 늘고 있다며 사용자들에 주의를 당부했다. 안랩은 이메일에 가짜 로그인 링크를 심어 계정 탈취를 시도하는 피싱 수법이 다수 발견됐다고 21일 밝혔다. 가장 큰 문제는 해킹 메일 범행 방식이 고도화 되고 있단 점이다. 이메일 저장용량 관리의 경우 '받은 편지함이 가득 차 저장 공간이 부족하다'며 '중요한 메일을 계속 수신하려면 여유 공간을 확보하라'는 내용으로 사용자에게 버튼 클릭을 유도한다. 이 사이트로 들어가면 보안 코드 인증 화면을 위장한 피싱 페이지가 나오는데 여기서 사용자가 계정 정보를 입력하면 그 내용이 공격자의 서버로 전송되는 구조다. 바이어 문의 공지 허위 위장의 경우 실제로 있는 특정 협회의 마케팅 팀을 사칭해 가짜 메일을 전송한다. 특히 사용자가 의심하지 못하도록 협회 소속 직원 명함을 위장한 이미지까지 첨부한다고 안랩은 말했다. 안랩 측은 "메일은 주로 접수 했던 신규 사업 문의에 대해 지원 받을 수 있는 서비스를 파악하라는 내용으로 온다"며 "이메일 저장용량 수법처럼 해당 사이트에서 로그인을 시도하면 계정 정보가 공격자 서버로 전송된다"고 말했다. 안랩은 "사용자의 의심을 피하기 위해 가짜 보안 코드 인증을 하거나 실존 협회 사칭 등 공격 방식이 고도화 돼 메일 진의 여부를 꼭 확인해야 한다"고 당부했다. 한편 안랩은 해킹 메일로 인한 피해를 예방하기 위해 ▲출처가 불분명한 메일의 발신자 확인 및 첨부파일 실행 금지 ▲백신 최신버전 유지 및 피싱 사이트 차단 기능 활성화 ▲OS 및 인터넷 브라우저, 오피스 SW 등 프로그램 최신 보안패치 적용 ▲계정 별 다른 비밀번호 설정 및 관리 등 기본 보안수칙을 준수하라고 권장했다. 안랩 보안 분석팀 관계자는 "공격자는 사용자의 관심을 유도할만한 내용이라면 어떤 수단이라도 사용하기 때문에 기본 보안수칙 실천이 매우 중요하다"고 강조했다.

2024.06.23 09:18양정민

표창원 교수가 제시한 '개인정보 스미싱' 대처법은?

정부가 범죄분석 전문가인 표창원 교수와 개인정보 스미싱 대처법을 논의했다. 개인정보보호위원회는 최근 기승을 부리고 있는 택배·금융기관·지인 등을 사칭한 각종 스미싱 문자에 대응하는 영상을 제작해 개인정보위 유튜브 채널 '개인정보위티비'에 공개했다고 20일 밝혔다. 이번 영상에는 범죄분석가 표창원 교수가 출연했다. 지난 6월 초 게시된 1편 '불법 프로그램을 통한 개인정보 유출'편에 이어 이번 편에서는 최근 그 피해가 점점 늘어나고 있는 스미싱 피해 사례를 소개했다. 이번 영상에서 표창원 교수는 지난해 8월 부산에서 발생했던 택배사를 사칭한 문자메시지에 속아 3억8천300만원 피해를 입은 사례를 소개했다. 이를 통해 택배·금융기관·지인을 사칭한 각종 스미싱에 대응하는 방법을 설명했다. 표 교수는 "스미싱을 통한 피해와 개인정보 유출을 예방하려면 문자메시지를 통해 받은 링크는 절대 클릭하면 안 된다"며 "알 수 없는 출처의 앱도 설치하지 말아야 한다"고 재차 강조했다. 개인정보위 서정아 대변인은 "공공기관이나 금융기관에서는 전화나 문자로 '개인정보'와 '금융거래정보'를 알려달라 하거나, 특정 인터넷 사이트에 입력을 요구하지 않는다"며 "이러한 전화나 문자를 받은 경우에는 일절 응대하지 말 것"을 당부했다.

2024.06.20 12:00김미정

정부, 개인정보 전송요구권 세부 기준 알린다

정부가 개인정보 전송요구권 세부 기준을 설명하는 자리를 마련한다. 개인정보보호위원회는 오는 25일 오전 10시 서울 양재 엘타워 그레이스홀에서 '개인정보보호법 시행령' 개정안에 대해 산업계 등 이해관계자 대상으로 현장 설명회를 개최한다고 20일 밝혔다. 그동안 개인정보위는 개인정보보호법 개정으로 마련된 개인정보 전송요구권 제도의 실효성 확보를 위해 시행령으로 위임된 세부기준들을 구체화해 왔다. 이번 설명회는 ▲본인이나 제3자에게 전송의무가 있는 정보전송자 기준 ▲마이데이터 서비스를 제공하는 일반·특수 전문기관·정보전송자의 전송을 지원하는 중계 전문기관의 기준 ▲전송요구 대상이 되는 정보의 상세 범위 ▲전송요구, 전송, 거절·중단 방법 ▲개인정보관리 전문기관의 지정요건·금지행위 규정 등을 다룰 예정이다. 이날 전분야 마이데이터 시행에 앞서 국민 생활과 밀접하고 체감도가 높은 통신, 의료, 유통 분야 중심의 마이데이터 선도 서비스 발굴·지원(과제당 5억원, 총 5개 과제 선정 예정) 계획에 대해서도 안내한다. 개인정보위 이상민 범정부 마이데이터 추진단장은 "개인정보 전송요구권 세부기준에 대한 시행령이 마련된 만큼 이번 설명회를 통해 전분야 마이데이터 정책을 공유하고 제도 시행에 따른 궁금증이 해소될 수 있도록 많은 기업이 참석하길 바란다"고 말했다.

2024.06.20 10:47김미정

공공기관 개인정보 유출 51건...반년 만에 역대 최다

행정안전부와 법원 등 올해에만 50여 곳의 공공기관에서 개인 정보 유출 사고가 발생했던 것으로 나타났다. 지난해를 넘어 역대 최대 수치다. 18일 국회 행정안전위원회 소속 양부남 더불어민주당(광주 서구을) 의원은 개인정보보호위원회(이하 개인정보위)로부터 제출 받은 자료를 공개했다. 공개한 자료에 따르면 지난 1월에서 5월까지 개인 정보를 유출했다고 신고한 공공기관은 50곳에 달했다. 41건으로 역대 최고를 기록한 지난해 보다 24% 이상 늘어난 수치다. 해당기간 동안 공공기관에서 유출된 개인정보는 총 18만3천 건에 달하는 것으로 나타났다. 공공 기관의 개인 정보 유출 사고와 유출 기관은 해마다 늘어나고 있는 추세다. 2019년 8개에 불과했던 개인 정보 유출 기관이 2020년 11곳, 2021년 22곳, 2022년 23곳으로 4년 사이에 178% 증가했다. 공공기관의 개인 정보 유출 사고가 증가와 함께 이에 대한 당국의 제재는 민간에 비해 처벌이 약하다는 지적이 나오고 있다. 개인정보위가 출범한 2020년 8월부터 올해 5월까지 공공기관당 평균 과징금은 2천342만 원 수준으로 나타났다. 이는 17억6천321만 원에 달하는 민간 기업의 1.3%에 불과한 수주인다. 이는 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금을 20억 원으로 제한했기 때문이다. 반면, 기업 등 민간의 경우 지난 9월 과징금 상한액을 위법 행위와 관련된 매출액의 3%에서 전체 매출액의 3%로 개정한 바 있다. 다만, 위반 행위와 관련 없는 매출액은 제외한다. 양부남 의원은 사회 취약층의 민감 정보 등을 대량으로 처리하는 공공기관의 정보 보호 역할이 어느 때보다 중요해진 만큼, 이들의 책임을 강화하기 위한 대책이 조속히 마련되야 한다고 지적했다.

2024.06.19 17:48남혁우

개인정보위가 제시한 AI 프라이버시 미래는?

정부가 인공지능(AI) 시대에 필요한 개인정보 투명성 확보 논의를 위한 자리를 마련했다. 개인정보보호위원회는 제3차 '2024 개인정보 미래포럼'을 개최했다고 19일 밝혔다. 이 행사는 개인정보 분야 미래 의제를 선제적으로 논의하고, 산업계과 시민사회 등 현장 의견을 수렴하는 정책 토론의 장이다. 학계를 비롯한 법조계, 사업계, 시민사회 등 관계자 42명이 참석했다. 이번 회의는 AI와 개인정보를 의제로 진행되는 세 번째 포럼이다. 서울대 박상철 법학전문대학원 교수와 한양대 박혜진 법학전문대학원 교수는 각각 'AI 프라이버시 위험도 평가 방안'과 '투명성 확보 방안'을 주제로 발제했다. 개인정보위는 미래포럼에서 제안된 의견을 반영해 ▲공개된 개인정보 처리 안내서 ▲AI 프라이버시 위험도 평가 모델 ▲개인정보 처리 투명성 확보 안내서 등을 마련한다. 개인정보위 관계자는 "이번 포럼을 통한 새로운 정책 마련으로 AI 등 신기술·신산업 성장을 지속적으로 지원할 계획"이라고 말했다.

2024.06.19 16:00김미정

정부 "올해부터 개인정보 처리 투명성 더 자세히 점검"

정부가 개인정보 처리 투명성과 책임성을 강화하기 위한 정책을 실시한다. 개인정보보호위원회는 제10회 전체회의를 열고 '2024년도 개인정보 처리방침(처리방침)' 평가계획을 확정했다고 13일 밝혔다. 올해 평가 분야는 국민생활과 밀접한 ▲빅테크 ▲온라인 쇼핑 ▲온라인 플랫폼(주문·배달, 숙박·여행) ▲병·의료원 ▲온라인 동영상 서비스(OTT) ▲엔터테인먼트(게임, 웹툰) ▲인공지능(AI) 채용이다. 대상기업·기관은 개인정보 보호법 시행령(제31조의2) 및 '개인정보 처리방침 평가에 관한 고시'의 평가 대상 선정 기준을 고려해 고정된 주요 개인정보처리자 49개 기업·기관이다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 ▲처리방침에 포함 사항을 적정하게 정하고 있는지(적정성) ▲처리방침을 알기 쉽게 작성하였는지(가독성) ▲처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등으로 이뤄졌다. 총 26개 항목 42개 지표를 활용해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가한다. 평가는 외부 전문가로 구성된 평가위원회에서 공개된 자료를 기반으로 한 기초 평가와 평가 대상기관이 제출한 의견 토대로 이뤄지는 심층 평가 방식이다. 해당 서비스 실제 이용자 관점에서 가독성, 접근성 등을 평가하는 이용자 평가도 진행된다. 평가 결과 처리방침이 우수한 개인정보처리자에 대해서는 개인정보 보호법에 따른 과징금·과태료 부과 시 감경 등 인센티브를 제공한다. 개인정보처리자의 자율적인 개선을 유도하고, 개선이 필요한 사항에 대해서는 개선권고 등의 조치를 할 계획이다. 개인정보 처리방침 평가계획은 개인정보 수집·이용, 제공, 위탁 등 개인정보 처리와 관련된 기준과 안전조치에 관한 사항에 대해 개인정보처리자가 스스로 정한 문서다. 개인정보처리자가 어떤 개인정보를 어떠한 목적으로 어떻게 처리하는지 확인할 수 있게 하는 시스템이다. 정보주체의 권리를 보장하는 가장 기본적인 수단이라고 볼 수 있다. 지난해 법 개정을 통해 개인정보 처리의 투명성, 책임성을 강화하고 정보주체의 알권리 등 실질적인 통제권을 보장할 수 있도록 개인정보 처리방침 평가제도를 도입했다. 올해 본격적으로 첫 평가를 실시한다. 양청삼 개인정보정책국장은 "개인정보 처리방침 평가제가 올해 처음으로 시행되는 제도인 만큼, 개인정보처리자에게 부담을 주는 방향으로 운영하기 보다는 우수한 사례를 발굴, 공유하는 데 중점을 둘 것"이라며 "법 위반 우려 등이 있는 경우에는 개선을 유도하는 방향으로 추진할 계획"이라고 말했다.

2024.06.13 17:19김미정

개인정보위 "재정 상황 어려운 사업자, 과징금 면제"

사업자가 개인정보보호법을 위반했지만, 재정 상황이 어려울 경우 과징금 면제를 받을 수 있게 됐다. 개인정보보호위원회는 제10회 전체회의에서 개인정보보호 법규를 위반한 조이젠에 대해 과징금 부과는 면죄하되, 360만원 과태료 부과와 시정명령, 저분 결과를 공표하기로 의결했다고 13일 밝혔다. 개인정보위 조사 결과, 조립PC 판매 사이트를 운영하는 조이젠은 '개인정보 보호법' 제29조인 안전조치 의무를 소홀히했다. 해킹으로 개인정보가 탈취된 사실이 드러났다. 정부는 위반행위자의 재정 상황(완전자본잠식 상태) 및 시장 여건 등을 종합적으로 고려해 과징금부과기준 제9조제2항제1호의 '위반행위자가 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우'에 해당한다고 판단했다. 과징금은 면제하지만, 360만원 과태료를 부과하고, 위반행위자의 지속적인 개인정보 보호조치 이행력 확보를 위해 주기적인 취약점 점검·조치를 수행하도록 시정조치를 명령했다. 특히 개인정보위는 이런 시정조치 명령에 대한 후속 이행점검을 통해 해당 사업자의 개인정보보호 의무 준수를 계속 확보해 나갈 방침이다. 개인정보위 관계자는 "상대적으로 취약한 중소 사업자가 제재를 받는 경우 한국인터넷진흥원(KISA) 등 전문기관과 함께 개인정보보호 컨설팅 및 기술지원을 병행함으로써 사회 전반의 개인정보 보호 수준 강화에 지속 노력할 계획이다"고 말했다.

2024.06.13 17:19김미정

AI 사업자, 개인정보 처리 잘 할까?…정부가 확인해 보니

정부가 국내외 인공지능(AI) 서비스 사업자들의 개인정보 처리 과정을 점검한 결과와 권고사항을 발표했다. 개인정보보호위원회는 지난 12일 전체회의를 열고 SK텔레콤을 비롯한 스노우, 딥엘, 뷰노의 AI 플랫폼 사전 실태점검 결과를 의결했다고 13일 밝혔다. 이날 전체회의에선 SK텔레콤의 통화녹음·요약·통역 서비스 '에이닷' 개인정보 처리 과정 점검 결과부터 공개됐다. 점검 결과 통화 녹음‧요약 서비스는 경우 이용자 기기에서 통화 녹음이 이뤄지면 음성파일이 SK텔레콤 서버에서 텍스트로 변환되고, 이를 클라우드에서 요약되는 것으로 전해졌다. 이 과정에서 텍스트 파일을 보관하는 시스템에 접속기록이 보관되지 않았다. 이에 개인정보위는 시스템상 접속기록의 보관‧점검 등 안전조치 의무를 준수하도록 권고했다. 텍스트 파일의 보관 기간 최소화, 비식별 처리 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련‧시행할 것도 요청했다. '스노우' 정보 처리 점검 결과도 나왔다. 스노우는 생성형 AI 기반으로 AI 프로필 등 얼굴 사진을 변형한 이미지를 생성할 수 있다. 해당 서비스는 인터넷에 공개된 AI 모델을 이용하고 있었다. 별도로 학습데이터는 수집하지 않으며, 서비스 이용 과정에서 생성된 이미지도 이용자 편의를 위해 일정기간 서버에 보관할 뿐, 다른 목적으로 이용하지 않고 있었다. 다만 이미지 처리방침 내용이 알기 어려운 형태로 공개됐고, 이미지 필터링 등을 위한 외부 개발도구 안전성을 충실히 검토하지 않은 것으로 드러났다. 정부는 개인정보를 서버로 전송해 처리할 경우, 이용자가 이를 쉽게 인지할 수 있도록 하라고 권고했다. 외부 개발도구로 개인정보를 처리하는 경우 의도하지 않은 개인정보 처리‧전송 가능성을 점검할 것도 요구했다. AI 번역 서비스 '딥엘'은 공개 데이터 및 이용자가 무료 서비스에 입력한 텍스트를 AI 학습데이터로 활용했던 것으로 나타났다. 개인정보위는 딥엘이 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습 및 인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인했다. 다만 회사는 개인정보위가 지난 3월 발표한 내용 바탕으로 개인정보를 입력하지 않도록 입력 화면에 안내하고, 인적 검토 사실을 처리방침에 반영해 개선권고를 받지 않았다. 뷰노는 AI 기반 의료영상이나 생체신호를 판독·진단을 돕고 질환을 예측하는 솔루션을 운영하는 기업이다. 해당 기업은 AI 학습에 병원의 기관생명윤리위원회 및 기관데이터심의위원회를 통과한 데이터만 사용하고, 의료기관에서 프로그램에 입력한 의료영상 등의 데이터는 사용하지 않는 것으로 확인됐다. AI 학습데이터 수집·처리 관련 보호법 위반 사항은 발견되지 않았다. 개인정보위 관게자는 "정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링을 실시할 것"이라며 "AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련하겠다"고 밝혔다.

2024.06.13 14:32김미정

개보위 고낙준 과장 "맞춤형 광고, 법망 벗어난 규제 안 만들 것"

개인정보보호위원회 관계자가 맞춤형 광고의 효용성을 논하는 토론회에서 "기존 법률에 명시되지 않은 규제를 가이드라인에 포함하지 않겠다"고 공언했다. 한국인터넷기업협회는 11일 서울 강남의 스타트업얼라이언스에서 '맞춤형 광고의 순기능과 효용성, 올바른 산업 발전 방향'을 주제로 토론회를 개최했다. 이날 주요 쟁점은 맞춤형 광고에 대한 정부의 규제 기조에 맞서, 업계와 소비자 관점에서 맞춤형 광고의 효용성을 부각하는 것이었다. 토론회에 참가한 발제자와 토론자들은 "맞춤형 광고가 기업과 소비자들에게 이익과 편의를 제공하고 있음을 간과해서는 안 된다"고 입을 모았다. 아울러 맞춤형 광고의 규제로, 자칫 관련 산업의 위축과 비용 낭비가 커져 소비자들의 불이익을 야기할 수도 있다는 우려가 제기됐다. 발제자로 나선 박정은 이화여자대학교경영전문대학원 교수는 "마케팅은 소비자가 필요한 물건을 구매하게 도울 수도 있지만, '충동구매'를 야기하는 등의 현상이 극대화되는 측면이 있다"며 마케팅에 양면성이 있다는 점을 환기했다. 박 교수는 "맞춤형 광고의 개인정보 침해 가능성에 대해 개보위가 우려하고 있지만, 무작정 시장을 규제하기보다는 맞춤형 광고의 순기능을 고려해야 한다"며 "역기능에 대해서는 업계 스스로가 개인정보 침해 가능성을 인지하고 개인정보 수집의 투명성과 이용자 통제권을 보장해야 한다"고 업계의 자율규제를 강조했다. 법무법인 태평양 박지연 변호사는 맞춤형 광고의 법적 쟁점에 대해 정리했다. 우선 그는 맞춤형 광고를 통해 ▲소비자 편익 증대 ▲인터넷 서비스 무료화 ▲광고비 절감을 통한 중소기업 경쟁력 제고라는 긍정적 경제효과가 발생한다는 점을 언급했다. 반면 소비자가 웹과 앱을 이용하면서 쌓이는 '행태정보'의 축적으로 사생활의 침해가 이뤄질 수 있으며 정보 수집의 주체가 서비스를 제공하는 인터넷 서비스 사업자인지, 광고를 집행하는 광고주인지 명확하지 않은 점이 소비자들 사이에서 불안을 조성할 수 있다고 지적했다. 이어진 종합토론에서는 맞춤형 광고 시장에서 소비자의 역할을 부각하는 목소리가 힘을 얻었다. 맞춤형 광고에 대한 소비자 권한이 더 많이 부여돼야 한다는 주장도 눈길을 끌었다. 문장호 숙명여자대학교 홍보광고학과 교수는 소비자들은 광고의 수동적인 수용자가 아니라 주체적으로 광고를 선택하고 효용을 누리는 시장 참가자라고 역설했다. 문 교수는 "소비자들이 자신의 개인 데이터가 어떻게 쓰이는지 이해할 수 있도록 광고주와 플랫폼이 적극적으로 나서야 한다"며 "소비자의 광고 선택권을 보장하기 위해 미국의 '사후거부(Opt out)' 방식을 디지털 광고업계가 적극 도입해야 한다"고 말했다. 사후거부란, 광고를 본 소비자가 이 광고를 보지 않겠다고 선택할 수 있는 방식의 광고다. 문 교수는 이를 디지털 시장을 통한 '광고의 민주화'라고 표현했다. 그는 "광고가 어떻게, 왜 이뤄지게 됐으며 광고주나 개인정보수집의 주체가 누구인지 정보가 소비자에게 전달될 수 있게 해야 한다. 또한 이 과정에서 광고 노출을 거부하고, 거부하는 이유에 대해서도 자유로운 의견 표출이 가능해야 한다"고 했다. 곽대섭 한국디지털광고협회 정책기획팀장은 맞춤형 광고에 쓰이는 행태정보가 개인정보로 분류되는 일을 우려했다. 곽 팀장은 "행태정보가 개인정보로 분류되는 순간, 중소 광고사업자들은 더이상 사업을 하기 어렵다"며 "그렇게 되면 개인정보를 보호하려는 정부의 정책이 오히려 핀테크나 대기업들의 정보 독점을 야기할 수도 있다"고 걱정했다. 이날 토론회에는 정책당국인 개보위 관계자도 참석해 업계 의견을 정책에 반영할 뜻을 나타냈다. 현재 개보위는 맞춤형 광고와 개인정보 보호에 대한 가이드라인을 작성하고 있다. 고낙준 개보위 신기술개인정보과장은 "개보위에서는 광고산업에 대해 이해하기 위해 업계와의 소통이 중요하다는 것을 잘 알고 있다"며 "특히 소비자들이 주체적으로 자기 정보를 통제할 수 있도록 바뀌어야 한다는 의견에 공감한다. 맞춤형 광고가 가진 순기능을 참고해 규제가 시장에 미칠 영향에 대해 충분히 고민하고 있다"고 말했다. 고 과장은 개보위가 가이드라인 제정 작업에서 한국방송광고진흥공사와 협력하고 있다는 소식도 전했다. 그는 "앞으로 나올 가이드라인에도 업계의 목소리를 최대한 반영하려 노력 중이다. 기존 정책방향과 법령 내에서 규제안을 고민할 것이며, 기존 법률의 범위를 넘어서는 새로운 규제를 창설하지 않겠다"고 약속했다. 아울러 개보위는 광고사업자들이 개인정보 침해 논란에 휘말리지 않도록 비즈니스 모델을 확실히 할 것을 주문했다. 고 과장은 "광고사업자들이 개인정보 수집 의도가 없다는 걸 입증하면 된다"며 "개인정보가 아닌 고객 구분에만 정보를 쓰도록 비즈니스 모델을 설계했다면, 사후에 문제가 발생해도 법적인 면책조항 인센티브를 최대한 활용토록 하겠다"고 조언했다.

2024.06.11 17:10정석규

정부, 한국 개인정보 정책 글로벌 정상에 알린다

정부가 국내 개인정보 정책을 글로벌 정부 관계자들에게 소개해 국제 정보보호시스템 강화에 기여한다. 개인정보보호위원회는 이달 10일부터 14일까지 5일간 이탈리아에서 열리는 '2024 프라이버시 심포지엄 컨퍼런스'에 참석한다. 프라이버시 심포지엄은 이탈리아 개인정보 감독기구(GDPD)가 2022년부터 매년 주최하는 행사다. 개인정보 분야 최신 연구, 규제 동향 등을 공유한다. 이해관계자와 규제‧정책당국 등 다자간 대화와 협력을 도모하기 위한 국제 컨퍼런스다. 개인정보위 측은 그동안 국제사회에서 국내 데이터·개인정보 정책에 많은 관심을 보인다는 입장이다. 이에 관련 내용에 대한 공유를 희망해왔다. 이런 요구에 맞춰 개인정보위는 국내 개인정보 정책과 규제 동향을 국제사회와 공유할 방침이다. 데이터·개인정보 보호 체계의 국제적 상호운용성 제고에 기여하고자 이번 컨퍼런스에 자리한다. 개인정보위 최장혁 부위원장이 11일 '데이터 및 개인정보 보호의 지역적 변화' 세션 발표와 패널 토론에 참석한다. 국내 개인정보 보호법과 정책의 발전과정을 소개하며, 인공지능(AI) 시대의 개인정보 정책과 규제 필요성, 계획을 공유할 예정이다. 최장혁 부위원장은 파편화된 대륙별·국가별 규제와 정책은 국경 간 자유로운 데이터 흐름을 저해할 뿐 아니라 규제의 효과성도 떨어트릴 수 있다는 점에서 국제적인 대화와 논의를 통해 상호운용성을 높여가는 노력이 필요하다는 점을 강조할 계획이다. 한국 개인정보위도 활발한 국제 논의의 장을 마련해 나가겠다는 의지로 내년 서울에서 열리는 글로벌 개인정보 감독기구 협의체(GPA) 총회 준비 상황도 알리면서 참여와 관심을 당부할 예정이다. 최 부위원장은 프랑스 등 주요국 개인정보 감독기구와 면담도 가진다. 개인정보위는 "특히 프랑스 감독기구(CNIL)와 최근 공동작업한 '아동․청소년 개인정보 인식 제고 공동 포스터' 홍보 성과 확산 방안과 AI 정책 협력과제 등에 대해서 논의할 것"이라고 말했다.

2024.06.10 13:28김미정

전문가 판단도 제각각...카톡 오픈채팅 개인정보 유출 논란 핵심은?

개인정보보호법 위반을 둘러싼 카카오와 개인정보보호위원회(이하 개보위)의 갈등이 깊어지는 가운데, 개인정보 관련 법령의 모호성이 도마에 올랐다. 카카오톡 회원일련번호가 개인정보냐 아니냐를 두고 개보위와 카카오의 입장뿐 아니라, 전문가들의 판단도 서로 엇갈리고 있다. 다만, 개인정보 판별 기준이 법으로 명확하지 않고, 정확한 가이드라인도 없어 발생된 문제라는 것이 업계와 전문가들의 공통된 시각이다. 개보위는 지난달 23일 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 했다는 이유로 카카오에 과징금 151억4천196만원과 과태료 780만원을 부과했다. 카카오가 관리감독을 소홀히 해 카카오톡 오픈채팅 이용자 정보 6만5천여 건이 유출됐다는 판단에서다. 개보위의 조사에 따르면 해커들은 카카오톡 오픈채팅방의 참여자 정보를 알아 내 '회원일련번호'를 매개로 여러 정보를 결합한 뒤 개인정보 파일을 생성해 판매했다. 이를 통해 최소 696명의 정보가 유출됐다는 설명이다. 개보위는 "(카카오톡의) 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다"며 "이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다"고 발표했다. 개보위 "개인정보와 '쉽게' 결합되는 정보는 개인정보" 카카오는 임시 ID나 회원일련번호를 개인정보로 인정할 수 없다는 입장이다. 카카오는 개보위 결정에 대한 입장문을 내고 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 주장했다. 또 카카오 측은 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라면서 "현실적으로 메신저 등 온라인, 모바일 서비스에서 임시ID를 쓰지 않기도 어렵다"고 토로했다. 개보위는 회원일련번호와 임시ID가 회원 개인정보와 '쉽게 결합된다'는 점을 들어 카카오 주장을 반박했다. 최장혁 개보위 부위원장은 지난 5일 정부서울청사 정례 브리핑에서 "외부 정보와 결합해 충분히 개인을 식별할 수 있으면 개인정보에 포함된다"고 단언했다. 그 자체로는 개인정보가 아니더라도 '쉽게' 개인정보와 결합될 수 있는 정보라면 이를 개인정보로 취급한다는 주장이다. 최 부위원장은 "회원일련번호는 개인정보가 아니라는 카카오의 주장은 개인정보에 대한 개념이 많이 바뀐 상태에선 수긍할 수 없다"며 "과거 자동차 차대번호만으로는 개인정보를 식별할 수 없음에도 법원은 2019년 차대번호 유출을 개인정보 유출로 봤다"는 예시를 들었다. 개인정보법 모호한데 가이드라인 없어…전문가 의견도 분분 개인정보보호법 상에선 '시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보'라면 개인정보가 아니라고 본다. 여기서 '합리적 고려'가 어느 정도인지 모호하기기 때문에 규제의 명확성을 위해선 하위법령으로 개인정보의 범위를 규정해야 하지만, 이에 대한 개보위의 가이드라인은 아직 확립되지 않았다. 개인정보보호법 상의 기관인 개보위가 사안별로 개인정보 여부를 판별할 여지가 생긴 것이다. 업계에서는 현행법의 모호함을 지적하는 의견이 나왔다. 법조계 관계자는 "시간·비용·기술 등을 고려했을 때 일반인이 알 수 없는 정보는 개인정보가 아니라고 규정하는데, 시간이 지나고 기술이 발전할수록 정보 접근성은 변할 수밖에 없다"면서 "시시각각 새로운 사례가 나오는 지금 시기에 1차적으로 개인정보 유권해석을 해줄 수 있는 곳은 개보위밖에 없다"고 말했다. IT 업계 관계자는 "데이터 관련 사업자들 중 대다수가 개인정보와 관련된 데이터를 다루는데, 지금처럼 개인정보의 기준이 모호하면 사업자 입장에서 불안하지 않을 수 없다"며 "적어도 개보위에서 이런 사안이 발생할 때마다 개인정보 판단 기준을 시장에 알려주기 바란다"고 밝혔다. 명확한 가이드라인이 없는 가운데 전문가들의 의견도 분분하다. 김승주 고려대 정보보호대학원 교수는 "개인정보와 '쉽게' 결합될 수 있는 정보라는 말 자체는 상당히 주관적이다. 개인정보 판별 기준은 개보위에서 제시해야 한다"면서 "가장 나쁜 제도는 불확실성을 해소하지 못하는 제도"라고 비판했다. 김 교수는 카카오톡 회원일련번호를 차대번호에 비유한 개보위 설명도 반박했다. 그는 "당시 차대번호는 누구나 검색하면 알 수 있었기에 카카오톡 회원일련번호와는 의미가 다르다"며 "해커의 개인 정보 수집 노력을 차대번호 조회랑 비교한다는 건 말도 안 된다"고 지적했다. 반대로 최경진 가천대 교수(한국인공지능법학회장)는 카톡 회원일련번호를 개인정보로 볼 수 있다는 의견을 냈다. 그는 "개인정보 여부가 식별의 용이성으로 결정되는데, 이번 사안은 전문가가 아니라도 시간이나 비용이 많이 들지는 않는 것으로 보인다"면서 "하나의 정보를 통해 다른 정보를 알 수 있다면, 두 정보는 매우 가깝게 결합된 것으로 볼 수 있다"고 했다. 이어 최 교수는 "작년에 개인정보위가 국민의 개인정보 자기 결정권을 보호하면서도 기업이 행태정보와 연계정보를 안전하게 처리할 가이드라인을 만들려 했으나, 기업들의 반발로 가이드라인이 확립되지 못했다"며 "안타깝지만 당분간은 가이드라인 확립이 어려울 듯하다"고 덧붙였다.

2024.06.07 19:43정석규

[기고] 신뢰할 수 있는 인공지능과 설명요구권

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 2주 마다 다뤄보고자 한다. 사람의 개입없이 기계에 의해 무언가 결과를 얻어내는 것은 우리의 일상 생활에서 오랫동안 있어온 일이다. 작게는 사거리의 신호등이 점멸할 때 중요하신 분이 지나가는 아주 특별한 경우를 제외하고는 사람이 신호등 안에 숨어서 기기를 작동시키지 않음을 우리는 다 알고 있다. 백화점 멤버십의 등급이 결정될 때도 백화점에서 사용한 카드 사용 금액과 달리 백화점이 고려하는 요소들에 따라서 나의 등급이 정해진다. 해외에서 휴가를 보내기 위해 공항에서 출국 심사를 받을 때도 미리 신원을 등록해 뒀다면 출입국 사무소 직원이 여권을 보는 것이 아니라 컴퓨터가 나의 정맥과 여권만으로 출국 가능 여부를 심사한다. 빅데이터에 대한 분석 기술이 고도화되고 머신러닝 기법과 같은 인공지능(AI) 기술도 이와 함께 발전하면서 인공지능 기술을 도입한 결과물의 이용에 대해선 좀 더 복잡한 문제가 발생하고 있다. 인공지능 기술에서 발생하는 문제점으로 환각(hallucination), 공정성(fairness)이나 편향성(bias) 등이 지적되고 이를 해결하기 위한 많은 연구가 이루어지고 있다. 또 다른 인공지능 기술의 특징 중의 하나는 그 알고리즘을 설명하거나 이해하는 것이 점점 더 어렵게 됐다는 점이다. 인공지능의 알고리즘을 블랙박스(black box)에 비유하는 이유도 인공지능이 내놓은 결론이 왜 그렇게 나왔는지를 설명하기 어려운 경우가 많기 때문이다. 전통적인 인공지능 학습모델로 불리워지는 선형회귀(linear regression)나 의사결정 나무(decision tree)의 경우에도 간단한 모델의 경우에는 결과와 이유의 인과관계를 설명할 수 있다. 하지만 모델이 커지고 복잡해지면서 어떤 요소들이 어떻게 내놓은 답에 영향을 미치게 되는지를 정확하게 설명하기는 어려운 경우가 많다. 무언가 판단이 있었을 때 그 이유를 설명할 수 있어야 한다는 논리는 인공지능 시대에 새롭게 대두된 것은 아니다. 예컨대 우리나라 약관 규제법에서도 사업자가 미리 정해둔 약관을 계약에 포함시키기 위해서는 이 중 중요한 내용에 대해 설명할 것을 요구하고 있다. 또 설명을 충분히 하지 않았으면 그 내용을 계약으로 주장할 수 없다고 정하고 있다. 인공지능과 유사한 복잡한 알고리즘이 오래 전부터 작동해 온 신용평가모델의 경우 미국에선 이미 1970년대부터 대출신청자의 요구에 따라 평가모델에 대해서 설명하도록 규제해 오기도 했다. 개인정보보호법은 인공지능이 개인정보를 처리해 개인에 영향을 미치는 의사결정을 할 경우의 위험성을 인지하고 2023년 법 개정을 통해 자동화된 의사결정에 대한 거부 내지 설명을 요구할 수 있는 권리를 도입했다. 이 규정은 이미 올해 3월 15일부터 시행되고 있다. 이는 개인정보의 처리를 포함해 인공지능에 따라 개인정보를 처리를 포함한 결정이 이루어지고, 이러한 결정으로 인해 나의 권리와 의무에 중대한 영향을 받을 경우에 그 결정을 거부하거나 또는 이와 같은 결정이 내려진 것과 관련한 설명을 요구할 수 있도록 한 것이다. 예컨대 자동화된 시스템에 의해 육아수당의 지급이 취소된 경우 그 지급 취소 결정에 대해 거절하고 인적개입을 요구하거나 또는 왜 취소됐는지 설명을 요구할 수 있다. 공공기관이 국민에게 뭔가 불이익한 처리를 하는 경우에 대해선 자동화된 의사결정이 아니라고 하더라도 일반적으로도 설명을 요구할 수 있었다. 그러나 민간의 경우에는 그러한 설명을 할 의무가 없었기에 이 설명요구권은 새롭게 도입된 제도라 할 수 있다. 공공 부문에서도 이 법의 도입을 통해 개인정보 처리의 관점에서 설명을 해야 하는 사항들이 구체화되었다는 점에서 큰 의미가 있다. 이제는 뭔가 신청자 또는 이용자에게 불이익한 결론이 내려졌다고 하더라도 단지 시스템에 의해서 자동으로 결정됐다거나, 사람의 편향된 판단없이 기계가 공정하게 결정했다는 설명만으로는 부족하게 됐다. 좀 더 구체적으로 법에서 정하고 있는 사항을 설명해야 하는 의무가 사업자에게 발생하게 된 것이다. 우리나라 국민이라면 모두 다 공감하고 있고 공통의 가치를 삼고 있는 민주주의, 국민의 자유와 기본권의 보호, 약자에 대한 배려와 실질적 평등과 같은 핵심의 가치를 인공지능의 설계에서부터 반영해야 한다. 이는 전 세계적으로 강조돼 온 '신뢰할 수 있는 인공지능(trustworthy AI)'의 근간이 된다. 자동화된 의사결정에 대한 설명요구권 역시 인공지능 기술과 산업의 발전을 도모하면서도 동시에 정보주체의 권리에 대해 충분한 보호를 하기 위한 사회적 안전장치다. 새롭게 도입된 제도인 만큼 섬세하면서도 유연한 법 적용을 기대해 본다.

2024.06.07 17:28법무법인 태평양 강태욱

구글, 사용자 시간대별 위치 데이터 클라우드 저장 안 한다

구글이 12월부터 사용자의 시간대별 위치 데이터(Timeline)를 자사 클라우드에 백업하는 대신 사용자 기기에 저장한다고 밝혔다. 개인정보 보호를 위한 조치다. 지난 6일 지난 6일(현지시간) 해외언론 더 버지에 따르면, 구글은 구글 지도가 위치 데이터를 처리하는 방식을 변경했다. 구글은 위치 데이터를 클라우드에 백업하는 기존 방식 대신 사용자의 기기에 각각 저장하는 방식을 도입한다. 구글은 사용자에게 보낸 이메일에서 "클라우드 내 사용자 위치 데이터를 삭제할 예정이므로 사용자들은 12월 1일까지 자신의 위치데이터를 모바일 장치에 저장해야 한다"고 공지했다. 구글 사용자들의 시간별 위치를 기록한 데이터는 휴대전화의 위치를 기반으로 경로와 여행을 추적하는 기능이다. 과거에 방문한 모든 장소를 다시 방문할 수 있다. 구글은 이전부터 ▲낙태 클리닉 ▲가정 폭력 보호소 ▲체중 감량 센터 등과 같은 위치를 위치 기록에서 삭제하기 시작했으며, 정책당국이 위치 기록에 접근하지 못하도록 지도를 업데이트했다.

2024.06.07 10:38정석규

[현장] "中에 개인정보 다 넘어갔다고?"…알리·테무 조사한 개보위, 이달 중 결과 공개

최근 중국 e커머스 업체를 둘러싼 국내 소비자 개인정보 침해·유출 우려가 제기된 가운데 개인정보보호위원회가 이달 말까지 실태 조사를 마무리하고 처분 결과를 내놓을 방침이다. 최장혁 개인정보보호위원회 부위원장은 지난 5일 오후 정부서울청사에서 정례브리핑을 갖고 "(알리, 테무 등에 대한) 조사 결과를 이달 말쯤 내려고 한다"며 "알리, 테무가 외국 법인인데다 특히 테무는 국내에서 영업한 지 얼마 되지 않아 (자료를 받기 위해선) 상대 측의 협조가 필요한 상황"이라고 밝혔다. 또 이번 조사가 단순 실태 조사인지, 처분을 위한 것인지에 대한 질문에 "(처분을 위한) 조사를 하고 있다"고 답변했다. 앞서 알리, 테무 등 중국 이커머스 업체들은 '광고'라고 표기하지 않고 광고성 휴대전화 문자메시지나 앱 푸시, 이메일 등을 보내 논란이 됐다. 명백한 광고성 글이지만 광고라고 안내하는 표시도 없었다. 이에 더해 테무는 앱을 설치·실행할 때 스마트폰 앱 접근 권한 고지도 하지 않아 비판을 받기도 했다. 현재 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(제50조)'과 그 시행령(제61조)에선 전자적 전송매체를 이용해 영리 목적의 광고성 정보를 전송하려면 정보가 시작되는 부분에 '(광고)'라고 표시해야 한다. 이를 어기면 3천만원 이하의 과태료를 부과하도록 규정하고 있다. 실제 국내 일부 이커머스 업체는 광고 표시 없이 광고성 앱 푸시를 보냈다가 과태료 처분을 받기도 했다. 유통업계에선 그간 알리나 테무 같은 중국계 e커머스를 이용할 때 개인정보가 중국 현지 판매자에게 넘어가 보이스피싱 등의 범죄에 악용될 수 있다고 우려한 바 있다. 지난해 개인정보위 국정감사에서는 알리 등 중국의 대형쇼핑 사이트를 접속할 경우 국내 이용자의 개인정보가 중국에 넘어갈 가능성이 크다는 문제가 제기되기도 했다. 이후 개인정보위는 지난 2월 이들 직구업체들이 개인정보를 안전하게 관리하는지 알아보기 위한 조사에 착수했다. 현재 개인정보보호법상 개인정보 처리방침, 국외이전, 안전조치의무 등의 적정성에 대해 점검하고 있는 것으로 알려졌다. 개보위 조사 결과 개인정보보호법 위반 여부가 밝혀지면 과징금 부과 등의 조치가 이뤄질 수 있다. 개인정보위는 SK텔레콤의 AI 애플리케이션 '에이닷'을 포함해 주요 AI 서비스에 대한 실태 점검도 이달 중 마무리하고 조사 결과를 공개할 예정이다. '에이닷'은 SK텔레콤이 지난해 10월 내놓은 아이폰 앱에 'A. 전화' 기능을 추가해 통화 내용을 녹음하고 요약할 수 있는 서비스다. 통화 종료 후 자동으로 녹음 파일이 생성되고 텍스트로 제공되며, AI 분석으로 통화 중 언급된 일정이나 전화번호 등 정보도 저장된다. 이 탓에 개인정보 침해 논란에 휩싸여 개인정보위는 실태 조사에 나섰다. '에이닷'의 위법성이 판단되면 시정명령과 과징금 등이 부과될 수 있다. 다만 SK텔레콤은 이용자 약관 동의를 거친 만큼 문제없다는 입장이다. 최 부위원장은 최근 정부의 마이데이터 확대 정책 움직임에 대한 스타트업들이 반발하는 것에 대해 크게 걱정할 필요가 없다는 의견도 내비쳤다. 일단 개인정보위는 마이데이터를 내년 보건의료, 통신, 유통 분야에 적용하는 등 단계적으로 전 분야에 확대하기 위해 지난 5월 1일 개인정보보호법 시행령 개정안을 입법예고한 뒤 의견을 받고 있다. 이에 스타트업들은 마이데이터가 확대가 성장에 걸림돌로 작용할 수 있다고 주장하며 반발하고 있다. 마이데이터 제도에 참여하게 될 사업자들이 정보를 주고 받으려면 별도의 서버 등 운영비를 부담해야 하는데 지불능력이 적은 스타트업들이 감당하기 어렵다는 이유에서다. 시행령 개정안에 따르면 연간 매출액이 1천500억원 이상이거나 정보주체 수가 100만 명 이상인 통신판매업체, 통신판매중개업체에 마이데이터가 적용된다. 최 부위원장은 "스타트업들이 (이 부분에 대해) 반발할 필요가 없다고 본다"며 "주로 개인정보가 큰 플랫폼에서 수집되는데, 이들은 데이터를 영업 비밀로 생각해 잘 내놓지 않는다"고 말했다. 이어 "스타트업은 (큰 기업들의) 데이터가 나와야 쓸 수 있는데 (아직 쉽지 않을 것)"이라며 "마이 데이터로 부가가치가 창출되면 분배의 대상이 될 것이라고 보고 있어 기업들이 굳이 부정적으로 볼 필요는 없을 듯 하다"고 덧붙였다. 최 부위원장은 가명정보 제도가 활성화 되지 못하고 있는 부분에 대해선 아쉬움을 드러냈다. 가명정보는 개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 방법으로 추가 정보 없이는 특정 개인을 알 수 없도록 처리한 정보다. 개인정보의 보안성을 높이면서 활용 가치를 극대화할 수 있지만 그동안 가명정보 제도와 정부 지원사업에 관한 인식 부족으로 산업 현장에서 활용도가 떨어졌다. 최 부위원장은 "상황에 따라 가명 처리 수준이 다르고, 데이터 종류가 많아 일정하게 수준을 유지하기 어렵다"며 "가명정보는 개인정보가 아니기 때문에 상업적 거래도 가능한데, (가명정보 활용 활성화를 위해) 추후 재식별되더라도 제공한 측에서 책임을 지지 않도록 최근 가이드라인을 개정했다"고 말했다. 최근 일본 정부가 네이버-라인야후 사태와 관련해 네이버클라우드 개인정보 유출 조사 협조 요청을 한 건에 대해선 크게 의미를 부여하지 않았다. 공식 서한 등이 아닌 실무진 간 이메일 형태로 문의했다는 점에서다. 앞서 고학수 개인정보보호위원회 위원장은 지난달 14일 정부서울청사에서 열린 기자간담회에서 "(이메일을 통한 일본의 질문은) '한국의 개인정보위가 네이버 클라우드에 대한 조사를 진행한 적이 있는지', '일본 개인정보위가 요청한다면 한국 개인정보위가 이를 어떻게 받아들일 것인가'에 대한 것"이라며 "이번 경우는 굉장히 이례적이라는 인상을 받았다"고 말했다. 하지만 최 부위원장은 "(일본의 이메일에 대해) 굳이 답변해야 할 의무가 없는 것 같다"며 "한일관계가 다소 복잡한 상황에서 추가로 움직이는 게 꼭 필요한 지 의문"이라고 밝혔다.

2024.06.06 12:00장유미

최장혁 "승소 자신있다"…뿔난 개보위, '개인 정보 유출' 카카오와 정면 승부

"지난해 어려운 경제 환경에서 소송비를 거의 100% 이상 늘렸기 때문에 (이번 소송도) 자신있습니다. 개인정보라는 개념이 기술 진보와 함께 계속 바뀌고 있다는 점에서 카카오가 주장하는 부분은 수용하기 어렵습니다." 최장혁 개인정보보호위원회 부위원장은 지난 5일 오후 정부서울청사에서 정례브리핑을 갖고 최근 카카오의 행정소송 움직임에 대해 향후 강경 대응에 나설 것을 예고했다. 카카오톡 오픈채팅방 개인정보 유출 건과 관련한 개인정보위의 제재에 맞서 카카오 측이 최근 행정소송으로 맞대응에 나설 것을 시사한 데 따른 것이다. 앞서 개인정보위는 지난달 카카오가 개인정보보호 법규를 위반했다고 보고 총 151억4천196만원의 과징금과 780만원의 과태료를 부과하고 시정명령과 처분결과를 공표했다. 국내 기업을 상대로 부과한 조치로는 역대 최대 규모다. 제재를 한층 강화한 개정 개인정보법이 적용된 골프존(기존 국내 최다 과징금 건)이 75억원의 과징금을 받는 데 그쳤다는 점을 고려하면, 카카오는 상대적으로 제재가 약한 구법이 적용됐다는 점에서 최악의 상황은 피했다. 구법을 적용했음에도 골프존보다 2배가 넘는 과징금이 매겨졌다는 점에서 신법을 적용했을 경우 500억원가량의 과징금이 부과됐을 수 있었다는 분석도 나왔다. 또 개인정보위는 지난해 3월 오픈채팅 개인정보 유출 의혹이 제기된 이후 카카오가 개인정보 유출신고를 하지 않은 점을 문제 삼아 780만원의 과태료도 부과했다. 카카오 측이 이번 일에 대해 직접적으로 피해를 입은 696명에게 적극 고지하지 않았다는 점도 심각한 문제로 판단했다. 이번 일은 지난해 3월 카카오톡 오픈채팅방 참여자들의 개인정보가 유출됐다는 의혹이 불거진 데 따른 것으로, 개인정보위는 시스템의 보안 취약점으로 인해 최소 6만5천여 명의 개인정보가 유출됐을 것으로 추정했다. 최 부위원장은 "카카오가 반발하고 있지만 정부 입장은 전혀 변함이 없고, 관련 소송은 (결론이 나는데) 오래 걸리지 않을 것"이라며 "개인정보 개념을 (신법에 맞춰) 강하게 적용하지 않고 구법에 따라 제재를 했다는 점을 일단 알아달라"고 운을 띄웠다. 이어 "재판을 앞두고 쟁점에 대응하는 게 조심스럽긴 하지만 개인정보 개념은 계속 변하고 있고, 해킹 기술도 굉장히 발달하고 있다"며 "이에 맞춰 (카카오 같은) 국내 기업들이 기술 발전에 따라 적절한 준비를 해 나가야 하는 것 아닌가 싶다"고 말했다. 그러면서 "카카오톡은 무료 서비스지만 이와 관련해 다른 매출이 많이 발생하고 있다는 점을 고려해 과징금 기준이 책정된 것"이라며 "신법이 적용됐다면 더 많은 과징금이 나올 수 있었을 것"이라고 덧붙였다. '회원일련번호'가 개인정보?…개보위 vs 카카오, 해석 두고 의견 팽팽 이번 일에서 양측의 의견이 가장 엇갈리는 부분은 '회원일련번호'가 개인정보에 포함되는 지에 대한 여부다. 회원일련번호는 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념으로, 이 번호만으로는 일단 그 사람의 이름이나 전화번호를 알아낼 수 없다. 카카오톡 오픈채팅방은 참가자들이 익명을 전제로 주식 투자, 게임 등 동일한 관심사에 대한 정보나 친분을 나누는 공간으로 활용돼 왔다. 오픈채팅방 참가자들에게는 회원일련변호가 매겨져 있는데, 이 번호는 그간 카카오톡 내부에서만 회원 관리 목적으로 사용돼 왔다. 하지만 카카오가 이 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다는 점이 문제가 됐다. 그 결과 해커가 시스템 취약점을 악용해 오픈채팅방 참여자 정보를 알아낸 후 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 또 이 정보들을 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다. 개인정보위에 따르면 해커는 특정 사이트에 696명의 정보를 올려 거래를 시도한 것으로 파악됐다. 개인정보위 관계자는 "어떤 것(개인정보)은 10만원에 거래됐다는 얘기가 있다"며 "해커가 최소 6만5천719건의 (개인정보를) 조회한 것으로 확인했다"고 말했다. 카카오에 따르면 지난해 3월 문제가 된 해커는 이렇게 얻은 회원일련번호에서는 얻을 수 없는 이름, 전화번호 등을 알아내기 위해 별도의 프로그램을 동원했다. 예컨대 010-0000-0000에서 010-9999-9999에 이르는 1억 개의 전화번호를 임시로 생성한 후 전화번호로 카카오톡 친구를 추가하는 방식을 활용한 것이다. 카카오 관계자는 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "번호생성기를 이용해 무작위로 전화번호를 만들어 불특정 다수를 대상으로 스팸메시지를 뿌리는 것은 스미싱, 피싱 등 사기를 저지르는 범죄자들이 주로 활용하는 방식"이라고 밝혔다. 이어 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니다"며 "이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 덧붙였다. 반면 개인정보위는 카카오의 회원일련정보가 개인정보라고 볼 수 있는 부분이 상당하다고 주장했다. 최 부위원장은 "회원일련번호가 개인 정보냐, 결합 가능한 정보냐라고 판단하는 부분은 개인정보보호법 초기부터 나왔던 개념"이라며 "이를 근거로 다른 정보와 쉽게 결합해 개인 식별 가능한 내용도 개인 정보로 보고 있다"고 설명했다. 이어 "카카오는 이를 기반으로 개인들을 다 관리하고 있었고, 본인들도 식별 체계라고 얘기하고 있다"며 "이는 명백하게 카카오가 개인 정보로 볼 수 있었다는 것"이라고 덧붙였다. 또 그는 "이번 일은 개인 정보의 결합 용이성, 입수 가능성을 어떤 기준으로 판단하느냐의 문제로 보여진다"며 "해커 입장에서 얼마나 쉽게 해킹을 할 수 있는지, 이를 토대로 얼마나 쉽게 정보를 결합할 수 있었는지라는 측면에서 볼 때 개인 정보라고 보고 카카오에 처분이 내려진 것"이라고 강조했다. 행정소송 예고한 카카오…개인정보위, '승소' 자신 개인정보위는 대법원이 차대번호를 개인 식별 정보로 본 전례가 있다는 점을 근거로 카카오 측과의 행정 소송이 진행되면 승소할 것으로 봤다. 기술 발전에 맞춰 개인 정보라는 개념도 바뀌고 있다는 점을 재판부가 고려해 '회원일련정보'를 해석할 것으로 예상해서다. 최 부위원장은 "(기업들이) 기술 진보에만 집착하다보니 오히려 국민들의 개인정보 보호 측면은 좀 소홀해진 것 아닌가에 대해 우려스럽다"며 "점차 정보가 결합될수록 개인 정보를 특정할 수 있는 가능성이 더 많아진다는 점에서 향후 결합 기관에서만 가명 정보, 결합된 개인 정보를 관리하고 기준을 제안하는 역할을 더 강화해야 할 듯 하다"고 말했다. 개인정보위는 카카오 측의 안일한 대응에 대해서도 비판했다. 카카오 측이 이번 사건을 인지한 즉시 선제적 신고를 하고 수사에도 적극 협조했다고 주장했지만 사실과 다소 다르다는 점을 강조했다. 앞서 카카오는 KISA와 과학기술정보통신부에 신고를 했을 뿐 아니라 카카오톡 공지사항에 전체 이용자를 대상으로 서비스 공지를 게재했다고 밝힌 바 있다. 최 부위원장은 "카카오 측이 696명에게 본인의 정보가 유출됐다는 사실을 지난달 처분 의결 당시까지도 개개인에게 통지하지 않았다"며 "카카오 측이 통지했다고 주장하는 건 홈페이지에 공지로 게시한 것밖에 없다"고 설명했다. 이어 "규제당국에서 처분을 내렸음에도 카카오 측은 통지도 제대로 하지 않고 (아직) 가만히 있다"며 "일단은 행정기관에서 처분을 하면 법원 판결 전까지 이 처분의 효력이 유지가 되고 있다는 점에서 (카카오 측이) 일단 처분을 수용한 후 소송을 다퉈야 한다"고 덧붙였다. 개인정보위 관계자는 "카카오 측이 신고하고 고객들한테 통지했다고 하지만 실제로는 (우리쪽엔 안하고) 과기부에만 했다"며 "하나의 사고로 발생한 문제지만 적용되는 법은 두 개로, (개인정보보호법에 대한 것은 이행 안하고) 정보통신망법에 맞춰서만 (카카오가) 했다"고 설명했다. 그러면서 "카카오 측이 입장문에 모든 조치를 다 한 것처럼 했지만 실제로 개인 정보가 유출된 피해자들한테 사실을 고지하는 게 기업으로서의 도리가 아닌가 싶다"며 "개인정보보호법상 피해 사실을 알게 된 시점마다 개별적으로 계속 통지해야 하는데 카카오는 알면서도 이를 이행하지 않았다"고 꼬집었다. 하지만 카카오는 여전히 개인정보위의 움직임에 반발하며 강경한 태도를 보이고 있다. 또 개인정보위가 제재처분을 내리는 과정에서 해커가 독자적으로 자행한 불법행위까지 카카오의 과실로 본 점은 잘못됐다고 비판했다. 이처럼 개인정보위와 카카오의 입장이 극명하게 엇갈리는 만큼 이번 제재 처분은 법정 공방으로 이어질 전망이다. 카카오는 "회원일련번호는 페이스북, 인스타그램 등에서도 볼 수 있는데 이 역시 개인정보 유출로 다 볼 수 있는 부분인지에 대해서도 의문이 든다"며 "이번 결정에 대해 행정소송을 포함한 다양한 조치와 대응을 적극 검토할 것"이라고 밝혔다.

2024.06.06 08:49장유미