검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'개'통합검색 결과 입니다. (248건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

넷마블 '칠대죄: 오리진', 출시 기념 특별 방송 공개

넷마블(대표 김병규)은 멀티형 오픈월드 RPG '일곱 개의 대죄: 오리진' 출시를 앞두고 특별 방송 '월드 프리뷰'를 공개한다고 6일 밝혔다. 이번 방송은 오는 13일 오후 9시 공식 유튜브 채널을 통해 볼 수 있다. 월드 프리뷰는 한국, 일본, 글로벌 등 전 세계 이용자를 대상으로 각 지역의 특색에 맞춰 진행될 예정이다. 한국 방송에는 오성균, 김수현, 릴카, 샘웨, 앙리형 등 5명의 출연진이 등장해 게임 세계관, 스토리, 콘텐츠, 핵심 전투 시스템 등에 대해 이야기를 나눌 예정이다. 또 게임 개발을 총괄하는 구도형 넷마블에프앤씨 PD를 비롯한 주요 개발진의 메시지와 '멜리오다스' 성우 인터뷰도 공개된다. 특히 출시 이후 진행되는 다양한 이벤트와 보상 정보도 이번 방송을 통해 처음 선보인다. 같은 날 열리는 일본 방송에서는 원작에 참여한 유명 성우와 인기 연예인, 유명 코스플레이어가 출연해 게임 출시를 축하하고 게임에 대한 다양한 이야기를 나눌 계획이다. 오는 15일 진행하는 글로벌 방송에서는 일곱 개의 대죄: 오리진을 본격적으로 소개하는 동시에 미국 LA Live에서 진행되는 '엘리자베스 50인' 등장 이벤트를 생중계한다. 넷마블은 이번 월드 프리뷰 방송을 통해 게임의 주요 콘텐츠와 글로벌 출시 계획을 이용자들에게 본격적으로 공개할 계획이다. 일곱 개의 대죄: 오리진은 오는 17일 플레이스테이션5와 스팀을 통해 선공개된다. 24일부터는 모바일 버전을 포함한 전 플랫폼에서 만나볼 수 있다. 이 게임은 전 세계 누적 판매 5500만부 이상을 기록한 인기 만화 '일곱 개의 대죄'를 기반으로 오픈월드 RPG 신작이다. 이용자는 브리타니아 대륙을 자유롭게 탐험하고, 위기 상황에서 영웅을 교체하는 태그 전투, 강력한 합기, 무기와 영웅 조합에 따라 변화하는 액션 등을 즐길 수 있다. 오픈월드에서 친구와 파티를 꾸려 모험을 떠나거나, 보스에 도전하는 등 다양한 멀티플레이 요소가 특징이다.

2026.03.06 16:00진성우 기자

"개인정보 처리 투명히"...개보위, 메타 등 11곳과 현장간담

개인정보보호위원회는 4일 서울 중구 한국프레스센터에서 국내외 주요 생성형 인공지능(AI) 기업 및 전문가들과 '생성형 AI 분야 개인정보 처리방침 개선을 위한 간담회'를 개최했다. 이번 간담회는 최근 생성형 AI 서비스가 빠르게 확산·고도화하는 환경에서, 개인정보 처리 투명성을 강화하고 합리적인 개인정보 처리방침 개선 방향을 논의하기 위해 마련했다. 간담회에는 구글, 메타, 마이크로소프트, 오픈에이아이, 네이버, 카카오, SK텔레콤, LG유플러스, 엔씨에이아이, 스캐터랩, 뤼튼테크놀로지스 등 11개 생성형 AI 기업 및 AI 전문가들이 참석했다. '개인정보 처리방침 평가'는 개인정보처리자가 수립·공개한 처리방침을 평가해 개인정보 처리 투명성과 책임성을 제고하기 위한 제도다. 인공지능, 자율주행 등 신기술을 활용하거나 대규모 민감정보 및 개인정보를 처리하는 대표서비스를 대상으로 지난 2024년부터 평가를 시행하고 있다. 7대 분야에 대해 최초 실시한 2024년도 평가에서는 전체 평균 점수가 57.9점에 그쳤으나, 2025년도에 평가매뉴얼 배포, 작성지침 개정 및 평가지표 설명회 개최, 기업간담회 등 설명과안내를 적극 강화한 결과, 2025년 7대 분야 전체 평균 점수는 71점으로 상승, 처리방침 전반의 작성 수준이 개선된 것으로 나타났다. 2024년 시행 대상은 ▲빅테크 ▲온라인 쇼핑 ▲온라인 플랫폼(주문·배달, 숙박·여행) ▲병·의료원 ▲온라인 동영상 서비스(OTT) ▲엔터테인먼트(게임, 웹툰) ▲인공지능(AI) 채용 분야를, 2025년은 ▲커넥티드카 ▲에듀테크 ▲스마트홈 ▲생성형 AI ▲통신 ▲예약 및 고객관리 ▲건강관리앱이 대상이였다. 다만, 생성형 AI 분야의 경우 적정성, 가독성, 접근성 전반에서 상대적으로 미흡한 사례를 확인했다. 일부 서비스는 '처리하는 개인정보 항목'을 포괄적으로 기재하거나 '처리의 법적근거'를 구체적으로 밝히지 않았고, '개인정보 보유‧이용기간'을 모호하게 표현한 경우도 있었다. 또한, 개인정보를 제3자에 제공하면서 '협력업체', '서비스 제공업체' 등 추상적인 용어를 사용해 제공받는 자를 명확히 특정하지 않은 사례도 확인했다. 아울러, 정보주체의 권리행사 방법을 영문으로 안내하거나, 개인정보 관련 민원 처리를 지연하는 사례도 있었다. 일부 모바일 앱은 처리방침을 확인하기 위해 로그인을 요구하거나 여러 단계를 거치도록 운영, 접근성 측면에서 개선이 필요하다는 평가를 받았다. 번역투의 문장과 장문의 서술형 문장이 이어져 정보주체의 이해를 어렵게 하는 사례도 확인했다. 이에, 개인정보위는 생성형 AI 기업이 보다 구체적이고 이용자 눈높이에 맞는 처리방침을 작성할 수 있게 지원하기 위해 이번에 논의의 자리를 마련했다. 이날 간담회에서는 ▲'25년 개인정보 처리방침 평가 결과 및 시사점을 공유하고 ▲프롬프트 입력정보의 처리 및 학습 활용 관련 기재 방식 ▲처리의 법적근거 명확화 ▲글로벌 정책과의 정합성 문제 ▲이용자 권리행사 절차의 실효성 제고 방안 등을 중심으로 실질적 개선 과제를 논의했다. 참석 기업들은 생성형 AI의 기술적 특성상 처리 구조가 복잡하고 글로벌 본사 정책과의 조율이 어려움이 있다고 설명하면서도, 이용자의 신뢰 확보를 위해 보다 명확하고 이해하기 쉬운 설명 방식이 필요하다는 데 공감했다. 특히, 입력정보의 학습 활용 여부, 보유기간, 옵트아웃(Opt-out) 절차 등에 대해서는 이용자가 직관적으로 이해할 수 있게 구체성을 높이는 방향으로 개선해 나가겠다는 의견을 제시했다. 송경희 개보위 위원장은 “이용자가 자신의 정보가 어떻게 활용되는지 쉽게 알 수 있을 때 AI에 대한 신뢰도 함께 높아질 수 있다”면서 “앞으로도 기업과 지속적으로 소통하며 현장에서 적용 가능한 합리적 기준을 마련해 책임 있는 AI 환경을 조성하겠다”고 밝혔다. 개인정보위는 이번 간담회 논의 결과를 바탕으로 생성형 AI 기업이 보다 명확하게 처리방침을 작성할 수 있게 개인정보 처리방침 작성지침을 보완할 계획이다. 아울러 기업·기관들이 개정 기준을 충분히 이해하고 현장에 적용할 수 있게 4월 중 '개인정보 처리방침 작성지침 개정본'을 발간하고 설명회도 개최할 예정이다.

2026.03.04 16:30방은주 기자

개보위, 1회 '개인정보 고래상' 시상..."우수 성과 보상"

개인정보보호위원회는 26일 정부서울청사에서 '제1회 개인정보 고래상' 시상식을 개최하고, 우수한 성과를 창출한 직원 2명(팀)에게 총 600만원의 특별성과 포상금을 수여했다고 밝혔다. '개인정보 고래상'은 탁월한 성과를 창출한 개인정보위 공무원을 선정해 포상금을 지급하는 제도다. '인사는 공정하게, 신상필벌은 확실하게'라는 국정철학에 따라 올해 처음 시행됐다. '칭찬은 고래도 춤추게 한다'는 의미를 담아 개인정보 보호 분야에 기여한 공무원의 성과를 격려하기위해 '고래상'으로 명명했다. 개인정보위는 이를 분기별로 운영하고, 연말에는 올해 수상자 중 최고 성과자를 선정해 금고래상(1000만 원)을 수여할 계획이다. 이와 별개로 수상 여부와 관계없이 선정된 우수 공적자에게는 은고래상(300만 원)도 수여한다. 이번 수상자들은 대규모 개인정보 유출사태를 계기로 한 징벌적 과징금 도입 등 '개인정보 보호법' 개정과 범정부 차원의 유출 예방 중심 종합 대응체계 구축에 기여한 공로로 선정됐다. 수상자인 보호법제팀(개인정보보호정책과 임종철 서기관, 조사총괄과 최현진 사무관 등 6인)은 대규모 개인정보 유출사태와 관련해 기업 책임성을 근본적으로 강화하기 위한 '개인정보 보호법' 개정을 주도했다. 징벌적 과징금 도입 등 유출 대응 관련 개정안은 지난 12일 본회의를 통과했는데, 이는 지난해 12월 부처 업무보고를 통해 입법방향을 공식화한 이후 두 달만에 이룬 성과다. 이번 개정에는 징벌적 과징금 도입, 유출 가능성 통지제 신설, 대표자·개인정보 보호책임자 책임 강화, ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증 의무화 등 유출 대응 핵심 과제가 반영됐다. 특히 '제재는 강화하되, 예방 투자는 유도한다'는 원칙 아래, 반복·중대 위반에 대해서는 징벌적 수준의 제재가 가능하도록 하는 한편, 선제적으로 예방 투자 노력을 기울인 기업에게는 과징금을 필수적으로 감경해 사전 예방중심의 보호체계를 확립했다. 또다른 수상자인 개인정보보호정책과 이정수 사무관은 대규모 개인정보 유출사태와 관련한 범정부 차원의 '개인정보 유출방지 종합 제도개선 방안' 수립에 기여한 공로로 선정됐다. 이 사무관은 해당 방안 수립에 있어 관계부처 협의와 국가정책조정회의 안건 상정 등을 총괄하며 징벌적 과징금 도입 등 핵심 제도개선 과제가 신속히 입법으로 이어질 수 있도록 정책 기반을 마련했다. 수상자들은 "묵묵히 해온 일들이 인정받아 감사하다"라며 "앞으로도 국민의 개인정보 권익 보호를 최우선으로 삼아 최선을 다하겠다"라고 말했다. 송경희 위원장은 “탁월한 성과를 창출한 공무원에게는 그에 상응하는 보상이 반드시 뒤따라야 한다”며 “파격적이고 실질적인 보상을 통해 일하는 방식의 변화를 이끌고, 개인정보 보호 역량을 한층 강화하여 국민 신뢰를 더욱 공고히 하겠다”고 밝혔다.

2026.02.27 20:06방은주 기자

"산 오르고 물 건넌다"…中 유니트리, 고성능 로봇 개 공개

중국 로봇 개발업체 유니트리가 고성능 인공지능(AI) 사족보행 로봇 'As2'를 공개했다고 과학매체 인터레스팅엔지니어링이 25일(현지시간) 보도했다. As2는 무게 약 18㎏의 사족보행 로봇으로, 최대 토크 90뉴턴미터(Nm)를 구현해 관절의 움직임이 더욱 빠르고 부드럽다. 최고 속도는 초속 5m에 달해 기동성이 크게 향상됐다. 한 번 충전으로 4시간 이상, 20㎞ 넘게 주행할 수 있다. 약 15㎏의 짐을 싣고도 2시간 30분 이상 작동하면서 13㎞ 이상 이동이 가능하다. 주행 중에는 최대 15㎏을 적재할 수 있고, 정지 상태에서는 최대 65㎏ 하중을 견딜 수 있다. IP54 등급의 방수·방진 성능을 갖춰 먼지와 비에 강하며, 영하 20도에서 영상 50도까지 폭넓은 온도 환경에서 작동한다. 회사 측은 열악한 산업 현장과 야외 환경에서도 안정적으로 활용할 수 있다고 설명했다. 공개된 영상에서는 As2가 경사진 언덕을 빠르게 내려오고, 사람과 함께 등산하거나 하천을 건너는 모습을 확인할 수 있다. 빠른 속도·이동 능력 주목 As2는 25㎝ 높이 계단은 물론 최대 40도 경사면을 오를 수 있으며, 50㎝ 높이 수직 플랫폼에도 올라설 수 있는 등 뛰어난 이동 능력을 갖췄다. 속도는 모델에 따라 다르다. As2 에어 모델은 초속 3.0m, 프로 및 에듀 모델은 최대 초속 3.7m까지 달릴 수 있으며, 짐을 싣지 않은 상태에서는 최고 초속 5m에 달한다. 배터리 구성 역시 모델별로 차이가 있다. 에어 버전에는 8000mAh 배터리, 프로 및 에듀 모델에는 1만5000mAh 대용량 배터리와 고속 충전 기능이 탑재됐다. 유니트리는 또 동적 균형 제어 기술을 적용해 외부 충격이나 불규칙한 지면에서도 자세를 빠르게 회복할 수 있도록 설계했다고 밝혔다. 회사 측은 “산을 오르고 물을 건너는 등 복잡한 환경에서도 안정적으로 작동한다”며 “사람의 일상과 산업 현장을 보조하는 동반자가 될 것”이라고 강조했다. 최근 유니트리는 G1, H1 등 휴머노이드 로봇의 집단 군무 영상을 잇달아 공개하며 로봇 군집 협력 기술을 선보이고 있다. 고성능 사족보행 로봇까지 라인업을 확장하면서 향후 행보에 대한 관심이 더욱 높아지고 있다고 외신들은 평했다.

2026.02.26 10:48이정현 미디어연구소

[법과 상식 사이] 단체 채팅방 초대, 괜찮을까

모임이나 조직 활동을 하다 보면 단체 채팅방을 만드는 일은 이제 일상이 됐다. 동호회 공지나 업무 연락을 위해 연락처를 이용해 채팅방에 초대하는 일도 흔하다. 그런데 이처럼 아무렇지 않게 이뤄지는 단체 채팅방 초대가 개인정보보호법 위반이 될 수 있다면 어떨까. 휴대전화 화면에 뜬 '단체 채팅방에 초대되었습니다'라는 알림 하나가 법적 문제로 이어질 수도 있다는 사실은 의외로 낯설다. 결론부터 말하면 단체 채팅방 초대가 항상 위법이 되는 것은 아니다. 다만 해당 초대가 순수한 사적 친목을 넘어 '업무'나 '조직 운영' 등 특정 목적을 가진 개인정보처리자에 의해 이뤄질 경우 법적 잣대는 엄격해진다. 그 연락처가 어떤 경로로 취득됐는지, 그리고 어떤 목적으로 이용되고 있는지에 따라 법적 평가는 달라질 수 있다. 개인정보보호법은 개인정보를 수집한 목적 범위를 벗어나 이용하거나 다른 사람에게 제공하는 경우 원칙적으로 정보 주체의 동의를 요구하고 있기 때문이다. 상황에 따라 달라지는 법적 책임 먼저 조직 운영이나 업무 과정에서 취득한 연락처를 이용하는 경우를 살펴보자. 회사, 협회, 학교 등에서 공지나 업무 연락을 위해 단체 채팅방을 운영하는 것은 비교적 적법성이 인정될 가능성이 높다. 다만 이 경우에도 해당 연락처가 처음 수집될 당시 공지나 구성원 소통 목적으로 활용될 수 있다는 점이 안내되어 있어야 하며, 구성원 역시 단체 채팅방 운영을 어느 정도 예상할 수 있어야 한다. 또한 채팅방 참여 범위를 조직 구성원으로 제한하고 연락처 명단이나 개인정보 파일을 게시하지 않는 등 개인정보 노출을 최소화하는 방식으로 운영할 필요가 있다. 반면 업무나 조직 활동 과정에서 취득한 연락처를 친목 모임이나 개인 홍보와 같은 사적 목적으로 사용하는 경우에는 위법성이 문제 될 수 있다. 개인정보보호법은 개인정보를 수집한 목적과 다른 용도로 이용하는 행위를 원칙적으로 제한하고 있기 때문이다. 업무상 알게 된 연락처를 이용해 개인적인 관심 표현 메시지를 보낸 사례에서 법원이 이를 목적 외 이용에 해당한다고 판단한 경우도 있다. 채팅방 구조가 만드는 뜻밖의 위험 단체 채팅방의 구조 자체도 중요한 판단 요소다. 많은 메신저 서비스에서는 채팅방에 참여하는 것만으로도 전화번호나 프로필 정보가 다른 참여자에게 노출된다. 법적으로 이러한 상황은 개인정보의 '제3자 제공'에 해당할 가능성이 있다. 개인정보보호법에서 제3자 제공이란 개인정보를 정보 주체가 아닌 다른 사람에게 전달하거나 열람할 수 있도록 하는 행위를 의미한다. 단체 채팅방 참여로 인해 연락처나 개인정보가 여러 참여자에게 공유된다면 단순한 소통을 넘어 동의 없는 개인정보 제공으로 간주될 수 있다. 이와 함께 혼동하기 쉬운 개념이 '목적 외 이용'이다. 목적 외 이용이란 개인정보를 처음 수집한 목적과 다른 용도로 사용하는 경우를 말한다. 예를 들어 업무나 조직 활동 과정에서 취득한 연락처를 친목 모임이나 개인 홍보, 호감 표현을 위해 사용하는 경우가 여기에 해당할 수 있다. 단체 채팅방 초대에서는 이 두 문제가 동시에 발생할 수 있다. 연락처를 새로운 목적으로 이용했다면 목적 외 이용 문제가 생길 수 있고, 채팅방 참여로 인해 다른 구성원에게 개인정보가 공유된다면 제3자 제공 문제도 함께 제기될 수 있다. 특히 전화번호 명단을 채팅방에 게시하거나 정보 주체의 의사와 무관하게 불특정 다수가 참여하는 방에 초대해 개인정보를 노출한 경우에는 민사상 손해배상 책임까지 지게 될 수 있다. 안전하게 운영하는 방법 이러한 분쟁을 예방하는 가장 안전한 방법은 단체 채팅방 참여 여부를 사전에 확인하는 것이다. 1대1 메시지를 통해 참여 의사를 묻거나, 초대 링크를 제공해 본인이 직접 참여하도록 하는 방식은 개인정보 이용에 대한 사전 동의 여부를 둘러싼 분쟁을 줄이는 데 효과적이다. 또 단체 채팅방 운영 목적, 참여 범위, 노출될 수 있는 개인정보 항목 등을 사전에 안내하거나 이에 대한 동의를 받는 방식 역시 법적 위험을 낮추는 데 도움이 된다. 결국 단체 채팅방 초대의 적법성은 초대 행위 자체보다 개인정보가 어떤 맥락에서 취득됐는지, 그리고 초대 과정에서 어떤 범위까지 공유되는지에 따라 판단된다. 일상적인 소통까지 법이 제한하려는 것은 아니지만 업무나 조직 활동 과정에서 취득한 연락처를 사용할 때는 정보 주체의 기대와 통제권을 존중하는 것이 기본이다.

2026.02.26 10:20안정민 컬럼니스트

넷마블, '일곱 개의 대죄: 오리진' 공식 출시 영상 공개

넷마블(대표 김병규)은 오픈월드 RPG 신작 '일곱 개의 대죄: 오리진' 출시 프로모션 영상을 공식 유튜브 채널을 통해 24일 공개했다. 이번 영상은 '일곱 개의 대죄' 시리즈의 멀티버스 세계관을 기반으로 구성됐다. 브리타니아 대륙에 위기가 닥치고, 각기 다른 세계에 존재하던 멜리오다스, 트리스탄, 다이앤 등 주요 인물들이 한자리에 모여 이를 극복하는 서사를 담았다. 여러 인물이 함께 힘을 모아 전투에 나서는 연출을 통해 이용자 간 협력 플레이가 가능한 신작의 특징을 시각적으로 구현했다. 넷마블은 다음 달 17일 플레이스테이션5와 스팀을 통해 '일곱 개의 대죄: 오리진'을 선공개하고, 3월 24일 모바일을 포함한 전 플랫폼에서 정식 출시할 예정이다. 해당 게임은 전 세계 누적 판매 5500만 부 이상을 기록한 원작 만화를 기반으로 개발됐다. 이용자는 오픈월드로 구현된 브리타니아 대륙을 탐험하며 영웅 교체 태그 전투, 합동 공격, 무기와 영웅 조합에 따른 액션 등을 경험할 수 있다. 현재 공식 사이트 및 구글 플레이, 애플 앱스토어에서 사전등록을 진행 중이며, 참여자에게는 게임 초반 성장에 필요한 혜택을 제공한다.

2026.02.24 16:02정진성 기자

한국 등 세계 52국 "딥페이크 공동 대응"...선언문 채택

그록(Grok) 등 생성형 인공지능(AI) 서비스를 악용한 딥페이크와 미성년자 성적 이미지의 생성·확산이 최근 세계 문제로 부상함에 따라 국제 개인정보 감독기구들이 공동 대응에 나섰다. 개인정보보호위원회(개인정보위)는 국제 개인정보 감독기구 협의체(GPA) 차원의 '인공지능 생성 콘텐츠와 개인정보 보호에 관한 공동선언문' 채택에 참여했다고 23일 밝혔다. 이번 선언은 실제 인물이 당사자의 동의 없이 묘사·확산되는 프라이버시 위협에 대해 국제 사회가 신속하고 일관된 목소리를 냈다는 점에서 의의가 크다고 개보위는 설명했다. 이 선언문에는 인공지능 시스템 개발 및 활용 기관이 준수해야 할 4가지 핵심 원칙을 담았다. 구체적으로 △개인정보 오남용 및 동의 없는 성적 콘텐츠 생성을 방지하기 위한 안전조치 이행 △인공지능 시스템 이용 가능 범위 등에 대한 투명성 확보 △신속한 신고 및 삭제를 위한 효과적인 구제 절차 마련 △연령 적합 정보 제공 등 아동·청소년에 대한 강화된 보호조치 이행 등의 내용을 담았다. 또 각국 감독기구는 '신뢰할 수 있는 인공지능 혁신'이라는 공동의 가치를 실현하기 위해 정책, 집행, 교육 등 대응 경험을 적극적으로 공유하고 연대를 강화하기로 했다. 이번 선언문은 한국 개인정보위가 참여하고 있는 국제 개인정보 감독기구 협의체(GPA) 산하 국제집행협력 작업반 주도로 마련됐다. 사안의 시급성에 공감한 50개 이상 회원국의 개인정보 감독기구가 서명에 참여하는 등 국제 사회 전반의 폭넓은 지지가 있었다고 개인정보위는 설명했다. GPA는 한국, 프랑스, 영국, 싱가포르, 캐나다, EU 등 52개국 61개 개인정보 감독기구가 참여하고 있는 단체다. 송경희 개인정보위 위원장은 “딥페이크 등 인공지능 콘텐츠 생성 기술 오남용으로 인한 개인정보 침해 위험에 국제 사회와 공동으로 대응하겠다”면서 “앞으로도 국내외의 신뢰 기반 인공지능 활용 환경 조성을 주도해 나가겠다”고 밝혔다.

2026.02.23 15:30방은주 기자

"사람은 반려견에게 너무 많은 것을 요구하고 있다"

개는 오랫동안 인간의 가장 가까운 동반자로 사랑받아 왔다. 그러나 최근 미국 사회에서는 반려견에게 지나치게 많은 역할을 기대하는 경향이 나타나고 있으며, 이는 반려견과 인간 모두에게 바람직하지 않은 결과를 낳을 수 있다는 지적이 나왔다. 이 같은 내용은 더컨버세이션 등 외신을 통해 보도됐다. 미국 수의사협회에 따르면, 미국 가구의 약 42.6%가 개를 기르고 있다. 고양이(32.6%)보다 높은 수치다. 또 다른 조사에서는 미국 반려동물 보호자의 97%가 “반려동물은 가족의 일원”이라고 답했고, 51%는 “인간 가족과 동등하다”고 응답했다. 그만큼 반려동물에 대한 애정이 깊어졌다는 의미다. 수의사 관련 법률 전문가인 마크 쿠싱 변호사는 이런 변화를 '반려동물 혁명'이라고 표현했다. 그는 인터넷 확산 이후 고립감을 느끼는 사람들이 인간 대신 반려동물에 더욱 집중하게 됐다고 분석했다. 그 결과 반려동물은 미국 사회에서 점점 더 특권적인 지위를 차지하게 됐다는 설명이다. 하지만 미주리 과학기술대학교 인문사회과학 특별교수인 마거릿 그레보비츠 교수는 특히 코로나19 봉쇄 이후 상황이 달라졌다고 지적했다. 이제 개는 단순한 동반자를 넘어, 인간이 스스로 해결하지 못하는 문제를 대신 해결해 줄 존재로까지 기대를 받고 있다는 것이다. 2025년 발표된 한 연구에 따르면, 개 주인들은 '동료 의식'이나 '정서적 지원' 등 여러 측면에서 사랑하는 사람보다 반려견을 더 높이 평가하는 경향을 보였다. 또 자녀·연인·친족 등 가까운 인간관계에 비해 반려견과의 관계에서는 부정적인 상호작용이 적다고 느끼는 것으로 나타났다. 미국 사회의 전반적인 신뢰 수준은 낮아지고 있다. 1972년에는 미국인의 46%가 “대부분의 사람을 신뢰할 수 있다”고 답했지만, 2018년에는 34%로 떨어졌다. 최근에는 친구를 만나는 빈도가 줄었다는 응답도 늘었고, 낯선 사람과의 대화를 회피하는 경향도 보고된다. 사람들은 집에서 보내는 시간을 늘리고, 그 시간을 반려동물과 함께 보내는 데 만족감을 느끼고 있다. '사람에게는 기대하기 어렵지만, 개에게는 기대할 수 있다'는 인식이 확산되고 있다는 분석이다. 그러나 그레보비츠 교수는 이 같은 기대가 과도해질 경우 문제가 발생할 수 있다고 경고했다. 개가 사랑받고 있다는 느낌을 주고, 출산 부담을 덜어주며, 일상의 단조로움이나 경쟁 사회의 스트레스를 완화해 준다는 인식이 지나치면, 반려견에게서 '치유의 감정'을 지속적으로 끌어내는 구조로 이어질 수 있다는 것이다. 이는 자원을 과도하게 채굴하는 것과 마찬가지로 결국 지속 가능하지 않다는 설명이다. 또한 반려동물을 인간의 아이처럼 대하는 생활 방식이 확산되면서 불필요한 의료 행위나 검사, 투약을 요구하는 사례도 늘고 있으며, 이는 동물에게 해를 끼칠 수 있다고 지적했다. 보호자가 외출한 사이 집에 홀로 남겨진 개들은 지루함과 만성적 스트레스에 시달리며 건강 문제를 겪기도 한다. 그레보비츠 교수는 “반려견이 우리의 사회적·정서적 공백을 메워줄 것이라고 기대하는 것은 오히려 반려견과 인간 모두의 번영을 저해할 수 있다”고 말했다. 이어 “가정과 가족, 사회의 구조를 인간과 동물 모두에게 더 나은 방향으로 재구성할 필요가 있다”면서 "접근성 높은 의료 체계와 양질의 식량 등 인간의 삶을 개선하는 조건을 마련하는 것이 결국 반려동물의 삶을 개선하는 길이 될 것"이라고 강조했다.

2026.02.22 12:05백봉삼 기자

프랜차이즈, 자사앱 활성화 안간힘…이용자 보호는?

프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다. 20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다. 앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 "외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다"며 "점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제"라고 설명했다. 자사앱 확대 속도에 못 미치는 개인정보 관리 수준 문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다. 실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다. 여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다. 올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다. 이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 '관리 부실'로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다. 개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다. 프랜차이즈 "개인정보 보호 조치 강화" 한 목소리...전문가 "보안 투자 필수" 프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다. 최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다. 교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다. bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다. 염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다. 특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다. 염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.

2026.02.20 17:42류승현 기자

국회 "쿠팡 영업정지 고려는 아직...계정 도용 확인돼야"

3367만 건의 개인정보가 유출된 쿠팡 사태를 두고 공정거래위원회는 과징금을, 개인정보보호위원회는 과태료 부과 여부를 들여다본다. 영업정지는 법적 요건이 충족되지 않아 현실화가 불투명하지만, 요건이 충족될 경우 실현 가능성을 배제할 수는 없을 전망이다. 이훈기 더불어민주당 의원은 19일 서울 국회의원회관에서 열린 '을지로위원회 쿠팡 개인정보 유출 대책 간담회'에 참석해 “영업정지는 법 적용도 그렇고, 많이 고민해볼 사안”이라고 말했다. 영업정지의 핵심 쟁점이 되는 '개인정보 도용' 여부가 입증되지 않았기 때문이다. 현재 공정위 차원에서는 쿠팡 사태에 대해 과태료 및 시정 조치를, 개보위는 과징금을 부과하는 제재를 검토 중이다. 김남근 더불어민주당 의원은 “영업정지에 대해서는 전자상거래법상 개인정보 유출이 아니라 다른 사람에게 넘어가서 이용되고 있다는 도용까지 확인돼야 하는데, 이것까지는 확인되지 않았기 때문에 영업정지는 아직 고려하지 않고 있다”고 답했다. 영업정지 처분이 현실화되려면 공정위가 조사 결과를 토대로 계정 도용으로 인한 재산상의 손해가 발생했거나 발생할 우려가 있는지, 사업자가 피해 회복 조치를 취하지 않았는지를 검토한 후 시정 조치를 취해야 한다. 시정 조치만으로 소비자 피해보상이 어렵다고 판단되면 이 때 영업정지 처분이 가능해진다. 다만, 개인정보 도용 확인 시 영업정지 가능성은 열어뒀다. 김 의원은 추후 쿠팡의 개인정보 유출 사고로 인한 도용 사태가 발생하면 영업정지나 과태료 처분 등을 추가적으로 고려할 수 있을지를 묻는 질문에 “그럴 수 있다고 본다”고 덧붙였다. 이날 을지로위원회에서는 정부가 다양한 방식을 통해 유출된 개인정보가 3367만 건이라는 점을 바로잡을 수 있도록 노력하겠다고 밝혔다. 이어 배송지 목록 등이 유출됐다는 점을 고려해 쿠팡 회원이 아닌 인물들도 피해가 예상된다는 점을 통지하기로 했다. 또 모의해킹 과정에서 발견된 문제점과 관련해서는 근본적인 개선 방안을 마련할 것을 촉구했다. 보안 측면에서는 재발 방지 대책을 수립할 것을 권고했다. 가령 비정상적으로 발급된 토큰(전자출입증)을 사전에 탐지하고 차단하는 체계를 도입하는 식이다. 회원 탈퇴가 어렵게 돼 있던 부분에 대해서는 쿠팡 측에서도 권고를 받아들여 탈퇴 절차를 간소화하기로 했다. 이외에도 을지로위원회는 김범석 쿠팡Inc 의장의 재벌 총수 지정 문제와 택배 과로사, 독과점 문제 등은 앞으로도 계속해서 점검해나가기로 뜻을 모았다.

2026.02.19 16:40박서린 기자

명품 브랜드 SaaS 해킹 사태, 남일 아니다…클라우드 통제권 부각

루이비통·디올·티파니 등 글로벌 명품 브랜드 3곳이 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템 운영 과정에서 대규모 개인정보 유출 사고를 겪은 가운데, 기업 클라우드 통제권이 산업 전반의 화두로 떠오르고 있다. 19일 업계에 따르면 이번 사태는 단순한 보안 취약점 문제를 넘어 SaaS 중심 클라우드 구조 속에서 기업 데이터 통제권의 중요성을 드러낸 사례로 평가된다. 개인정보보호위원회(개인정보위)는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 3개 사업자에 총 360억 3300만원의 과징금과 1080만원의 과태료를 부과했다. 이들 기업은 SaaS 기반 고객관리 서비스를 운영하는 과정에서 개인정보 유출 사고가 발생했다. 루이비통은 직원 기기 악성코드 감염으로 SaaS 계정 정보가 탈취되며 약 360만 명의 개인정보가 세 차례에 걸쳐 유출됐다. 디올과 티파니 역시 SaaS 접근 권한 관리 과정에서 허점이 드러나 각각 195만 명, 4600여 명의 정보가 외부로 빠져나갔다. 표면상으론 해킹이나 피싱, 내부 관리 부실이 주요 문제로 지적되지만 업계에서는 이를 SaaS 기반 클라우드 운영 구조의 한계를 보여준 사례로 보고 있다. 고객 데이터는 기업 소유이나 실제 시스템 운영과 접근 권한 설정은 외부 SaaS 플랫폼 구조에 의존하는 만큼 통제 경계가 복잡해졌다는 분석이다. SaaS는 자체 서버에 소프트웨어(SW)를 설치하는 대신 인터넷을 통해 클라우드 형태로 제공받는 방식이다. 초기 구축 비용을 줄이고 유지관리 효율성을 높일 수 있어 많은 기업이 글로벌 SaaS를 도입하고 있지만, 데이터·계정·접근 권한 관리 역시 서비스 구조에 종속되는 특징을 갖는다. 특히 SaaS 환경에서는 '책임 공유 모델'의 경계가 모호해질 수 있다는 지적이 나온다. 인프라형 클라우드(IaaS)는 인프라를 제공하는 클라우드 서비스 기업(CSP)과 고객의 책임 구분이 비교적 명확하다. 반면 SaaS는 애플리케이션 보안 설정, 접근 통제, 로그 관리 등이 계약 조건과 사업자 정책에 따라 달라진다. 결과적으로 기업은 데이터를 보유하면서도 세부 운영 통제 범위는 제한될 수 있다는 의미다. 이 같은 문제는 SaaS 확산 흐름과도 맞닿아 있다. 시장조사업체 아스튜트 애널리티카에 따르면 기업들은 평균 110개 이상의 SaaS 애플리케이션을 사용하는 것으로 나타났다. SaaS가 늘어날수록 비용 중복, 가시성 부족, 거버넌스 리스크 역시 확대되는 구조다. 여러 SaaS에 데이터가 분산되면 기업 내부에서 전체 데이터 흐름과 접근 권한을 통합적으로 파악하기도 쉽지 않다. 국내 기업들도 고객관계관리(CRM)·협업툴·HR·마케팅 자동화 등 핵심 업무를 글로벌 SaaS에 의존하는 비중이 빠르게 확대되고 있다. 특히 멀티 SaaS 환경이 일반화되면서 기업 내부에서 데이터 흐름과 접근 권한을 통합적으로 관리하기 더 어려워지고 있다는 지적이 나온다. 해외 업계에서도 SaaS 확산에 따른 관리 난이도가 주요 과제로 지목된다. SaaS는 도입은 쉽지만 관리가 어렵고 누가 어떤 애플리케이션에 접근하고 있는지 지속적으로 관리하는 것은 쉽지 않다는 분석이다. 가시성이 확보되지 않으면 비용 통제뿐 아니라 데이터 거버넌스 측면에서도 공백이 생길 수 있다는 우려가 제기된다. 이번 제재 과정에서 개인정보위는 SaaS를 도입하더라도 개인정보 보호 책임이 면제되거나 전가되지 않는다고 강조했다. 규제 관점에서 결과 책임은 기업에 있다는 점을 재확인했다. 다만 업계에서는 실제 운영 통제 범위와 법적 책임 범위 사이의 괴리를 줄이기 위한 계약·관리 체계 보완이 필요하다는 의견도 나온다. ▲접근 로그의 실시간 확보 및 보존 범위 ▲데이터 저장 리전과 이전 가능성 ▲재위탁 사업자 운영 구조 ▲대량 다운로드 제한 정책 ▲사고 발생 시 통지 의무와 범위 등을 계약 단계에서 명확히 규정해 구체적인 통제 환경을 갖춰야 한다는 설명이다. 공공·금융 등의 시장에서도 인공지능(AI)과 클라우드 기반 서비스가 빠르게 확산되는 상황에서 SaaS 의존도는 더욱 높아질 전망이다. 마케팅, 고객관리, 협업, 인사관리 등 핵심 업무가 클라우드 플랫폼 위에서 구동되면서 기업은 점점 더 클라우드 구조 안에서 사업을 운영하게 된다. 이 과정에서 보안 강화 못지않게 데이터 접근 구조, 로그 확보 권한, 벤더 관리 체계 등 통제 가능한 거버넌스 설계가 중요해질 것으로 보인다. 업계 관계자는 "단순히 클라우드 서비스를 쓰는 것이 능사가 아니라 얼마나 통제 가능한 구조를 설계했느냐가 관건"이라며 "AI와 SaaS가 확산되는 상황에서 보안 솔루션을 덧붙이는 방식에 앞서 기업 스스로 데이터 흐름과 책임 구조를 처음부터 설계하는 접근이 필요하다"고 말했다.

2026.02.19 15:06한정호 기자

개보위, 마이데이터 전 분야로 확대...시행령 개정 8월 시행

·# A씨는 여러 대형병원에 흩어져 있는 건강검진, 진료내역 등을 마이데이터 기관을 통해 자신의 건강 상태를 스스로 관리할 수 있다(의료 마이데이터). 또 필요할 경우 건강관리 서비스를 지원하는 전문기관을 통해 장기 치료 중인 질병에 부담이 적은 맞춤형 일자리를 추천받고(고용 마이데이터), 치료 중 소득 공백을 메울 수 있는 복지지원금 신청을 자동 안내받을 수 있으며(복지 마이데이터), 구매 내역을 분석해 건강관리에 도움이 되는 식재료를 추천받아 할인된 가격에 이용할 수 있다(유통 마이데이터). 개인정보위원회가 그리는 마이데이터 전 분야 확산 시나리오다. 개보위는 정보주체가 자신의 개인정보를 원하는 곳으로 이동해 활용할 수 있는 '마이데이터 제도'와 관련한 '개인정보 보호법 시행령' 개정안이 지난 10일 국무회의에서 의결됐다고 밝혔다. 이에, 시행령 개정을 통해 앞으로는 대형병원 뿐만 아니라 교통, 문화,여가, 유통 등 일정 규모 이상의 전 분야 기업과 기관의 홈페이지에서 조회되는 정보를 개인이 직접 내려받아 관리하거나, 안전성이 보장된 전문기관의 도움을 받아 다양한 본인 정보를 한 곳에 모아 활용하는 것이 가능해진다. 위에 언급한 A씨의 전송정보를 활용하는 전문기관은 안전조치 요건 등을 갖췄는지 엄격한 심사를 통해 지정받으며, 정보전송자와 사전협의해 안전성 및 신뢰성이 보장된 방식으로만 정보를 전송할 수 있다. A씨는 '온마이데이터' 플랫폼에서 안전하다고 판단되는 서비스를 스스로 선택할 수 있고, 모든 전송 과정은 A씨의 명시적인 판단 및 의사결정 확인 후 진행된다. 또한, A씨는 온마이데이터 플랫폼을 통해 언제든 정보 전송을 중단하거나 이미 전송된 정보의 삭제를 요청할 수도 있다. 이번 개정안은 지난해 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 폭넓게 체감하고 활용할 수 있도록 확대한 것으로, 기존 의료·통신 분야에 한정된 본인 대상 정보전송자(개인정보 처리자)와 전송정보 범위를 전 분야로 확대한 내용을 담고 있다. 또 전 분야로 확대된 본인전송요구권을 보다 안전한 방식으로 행사할 수 있게 절차와 방법 등도 구체화해 규정했다. 개정안은 유예기간을 거쳐 오는 8월부터 시행된다. 개정안은 국민이 직접 본인 정보를 관리한다는 컨셉이다. 하지만 산업계 일각에서는 개인정보 유출 위험성과 국내 소비자 정보의 중국계 기업 활용 등을 우려하는 지적이 나왔다. 본인 대상 정보전송자 및 전송정보 기준 첫째, 본인 대상 정보전송자의 기준은 개인정보 보호역량을 갖추고 있는 대규모 개인정보처리자 등으로 규정했다. 구체적인 기준은, 중소기업기본법 등에 따른 평균매출액 등이 1800억원 초과하면서 정보주체 수가 100만 명 이상 또는 민감·고유정보 5만 명 이상의 대규모 시스템 운영 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이다. 전송을 요구할 수 있는 정보는 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 포함 된다. 다만 별도 생성 정보(개인정보처리자의 본질적 행위와 '별도'로 개인정보를 분석·가공해 생성한 정보를 의미. 예를 들어 환자 치료와 별개로 진단·처방내역 등을 분석한 후 별도 생성한 위험군 등 분류·통계정보 등), 제3자 권리·이익을 침해하는 정보, 영업비밀 등 다른 법령에 따라 보호가 필요한 정보는 제외할 수 있다. 안전한 본인전송 방법 둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우에 안전하게 전송할 수 있는 전송방법을 규정했다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받게 했다. 원칙적으로는 API(애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 본인 대상 정보전송자가 대리인과 사전협의를 거친 안전성‧신뢰성이 보장된 대리인에 한해 제한적으로 스크래핑을 허용했다. 또 본인 대상 정보전송자는 대리인이 사전에 협의한 방식으로 본인전송요구를 대리하는 경우 정당한 사유없이 거절하지 못하도록 규정했다. 아울러, 본인전송방법으로 본인 대상 정보전송자가 자신이 관리하는 인터넷 홈페이지를 통해 정보주체가 접속해 열람, 조회할 수 있는 정보를 안전한 암호화 알고리즘으로 암호화해 내려받는 방식도 가능하다고 명시했다. 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있다. 전송요구권 행사 범위 확대 셋째, 정보주체의 전송요구권 행사 범위가 기존 의료‧통신에서 전 분야로 확대된다. 다만 본인 대상 정보전송자의 전송 준비 등에 소요되는 시간 등을 고려해 공공시스템운영기관과 제3자 대상 정보전송자는 시행을 공포된 날로부터 6개월 유예하되, 평균 매출액 등이 1800억원을 초과하는 민간 분야에 해당하는 본인 대상 정보전송자(평균 매출액 등 1800억원 초과하는 자로서 정보주체수 100만명 이상 또는 민감‧고유식별정보 5만명 이상인 개인정보처리자, 시행령 제42조의2제1항제1호)의 경우 1년 유예했다. 향후 계획 개인정보위는 마이데이터가 국민이 체감 가능한 분야로 확산되도록 제3자 전송 분야도 '26년도 에너지, 교육, 고용, 문화‧여가 분야로 확대하기 위한 실무협의체를 구성, 운영할 계획이다. 아울러 이번에 개정한 시행령 주요 내용과 본인전송요구권 확대와 관련해 오는 3월부터 개인정보관리 전문기관 지정 및 지원사업 계획에 대한 설명회를 열 계획이다. 송경희 위원장은 “이번 시행령 개정으로 정보주체인 국민은 자신의 개인정보 주권을 적극적으로 행사하고, 본인의 의사에 따라 정보를 이동해 활용할 수 있을 것으로 기대한다”면서 “안전하고 신뢰 가능한 기업 및 기관을 통해 정보가 전송되도록 함으로써 마이데이터 제도에 대한 국민의 신뢰 및 체감 가능한 성과를 창출하도록 노력할 것”이라고 말했다.

2026.02.16 12:32방은주 기자

개보위, 공공 부문 집중관리시스템 387개로 확대

개인정보 보호를 보다 엄격히 적용해야 하는 공공 부문의 집중관리시스템이 올해 확대 됐다. 총 58개 기관의 387개 시스템으로 2024년(57개 기관, 382개 시스템작년)에 비해 기관 수가 1곳 늘었고 시스템은 5개가 추가됐다. 혈액정보관리시스템(대한적십자사) 등 국민의 개인정보 처리가 많은 8개 시스템은 집중관리시스템으로 새로 지정됐다. 반면 감염병 확산 시 한시적으로 이용한 역학조사지원시스템(질병관리청) 등은 지정에서 제외했다. 또 개보위는 주요 공공시스템을 대상으로 긴급 실태점검을 하고, 고유식별정보 실태조사도 전면 개편한다. 개보위는 이 같은 내용을 골자로 한 주민등록번호 등 주요 개인정보를 대규모로 처리하는 공공기관의 사전예방 중심 관리 강화 방안을 12일 마련, 발표했다. 안에 따르면 개보위는 ①위험기반 관리(Risk-based) ②증적중심 점검(Evidence-based) ③결과와 인센티브 연계(Outcome-linked)로 자발적 개선 유도 원칙을 세우고, 이에 맞춰 사전예방 업무를 추진해 나갈 계획이다. 이번 조치는 인공지능·클라우드 확산, 플랫폼 경제로의 전환 등으로 대규모·고위험 개인정보 처리가 일상화하면서 개인정보 유출 및 침해 위험이 높아지는 데 따른 것으로, 공공기관의 경우 국민 개인정보를 당사자 동의 여부와 무관하게 법령에 따라 대규모로 처리함에 따른 위험도가 크지만, 과징금 부과 등 사후 제재 효과가 크지 않아, 우선적으로 실태점검과 안전 관리체계 확립에 나섰다. 2025년 기준 공공부문 유출 신고 현황은 128건이다. 전체 신고 건수의 28.6%를 차지했다. 최근 몇년간 지속 증가했다. 2022년은 23건, 2023년은 41건, 2024년은 104건에 달했다. 유출 원인은 업무과실(64%), 해킹(32%) 순이였다. 위반유형은 안전조치 의무(64%), 주민등록번호 등 수집제한(8%)으로 나타났다. 개인정보 보유 100만명 이상, 사업비 100억 이상 등이 조건...58개 기관 해당 집중관리시스템 대상 조건은 ①보유량 100만명 이상 ②취급자 수 200명 이상 ③사업비 100억 ④주민등록정보 연계 ⑤민감정보 처리 등이다. 구체적인 공공시스템 목록은 개인정보위 홈페이지에 공개됐다. 개보위는 혈액정보관리시스템(대한적십자사) 등 국민의 개인정보 처리가 많은 8개 시스템을 집중관리시스템으로 신규 지정했다. 반면 감염병 확산 시 한시적으로 이용한 역학조사지원시스템(질병관리청)은 지정에서 제외했다. 또 기존 집중관리시스템으로 지정한 워크넷 등 3개 시스템이 고용24로 통폐합됨에 따라, 고용24(한국고용정보원)를 집중관리시스템으로 지정, 변경했다. 이에 공공부문 집중관리시스템은 2024년 382개 시스템(57개 운영기관)에서 2026년 387개 시스템(58개 운영기관)으로 확대됐다. 집중관리시스템으로 지정하면, 개인정보취급자 권한부여시 인사정보와 연계, 접속기록 자동 분석 등 일반 시스템보다 강화한 안전조치를 적용해야 한다. 387개 집중관리시스템 등 대상 최신 보안 패치 적용 여부 등 조사 개인정보위는 오는 3월까지 공공기관의 387개 집중관리시스템과 1만 명 이상의 주민등록번호를 처리하는 시스템을 대상으로 긴급 실태점검을 실시한다. 이번 점검은 최근 대형 유출사고에서 확인한 주요 취약요인을 점검하고 조치하기 위한 것이다. 집중관리시스템은 최신 보안패치 적용여부, 취급자 접속 시 인증서·일회용 비밀번호 등 안전한 인증수단 적용, 로그기록에 주민등록번호 등 주요정보가 남지 않도록 비식별조치 여부 등을 중점 점검한다. 또 1만 건 이상 주민등록번호를 처리하는 시스템은 주민등록번호 암호화 시 안전한 암호화 알고리즘 이용 여부와 암호키 관리 방식 등을 점검한다. 점검 결과 미흡 사항은 기관 별로 우선 조치하되, 위험도에 따라 컨설팅 등 개선조치 지원을 통해 점검의 실효성을 확보할 계획이다. 고유식별정보 실태조사 전면 개편...26개 점검 항목 대폭 손질 개인정보 보호법에 따라 개보위는 일정 규모(공공은 1만명 이상 고유식별정보 처리, 민간은 5만명 이상 고유식별정보 처리) 이상 주민등록번호 등 고유식별정보를 처리하는 기관의 안전관리 실태를 점검해야 한다. 그간은 자체점검 결과를 서면으로 제출하는 형식적 점검에 그쳤고, 조사의 강제성이 없어, 처리자 자율에 의존하는 측면이 크다는 지적이 있었다. 이에 당초 고유식별정보 관리실태 점검 취지에 맞게, 공공기관의 개인정보파일 목록에 있는 고유식별정보 유형, 처리 규모 등을 바탕으로 위험 정도를 파악해 점검 대상을 선정한다. 이를 위해 개인정보파일 목록을 상반기 중 현행화할 예정이다. 또 기존 26개 점검 항목을 대폭 손질해 고유식별정보에 접근할 수 있는 취급자 권한 부여 현황 및 취급자가 정보 조회 시 일부 마스킹 등 비식별조치, 암호키 관리실태 등 핵심항목 위주로 깊이 있게 점검하되, 구체적인 증빙자료를 제출하도록 해 점검의 실효성을 높일 계획이다. 아울러, 미흡사항 확인 시 개선계획 제출을 의무화하고, 점검 결과 우수기관에 대해서는 일정기간 점검 면제 및 포상 등 인센티브를 제공할 예정이다. 송경희 개보위 위원장은 "공공기관은 당사자의 동의 없이도 법령에 따라 전 국민의 중요 개인정보를 대규모로 처리하고 있으므로 사전 예방적 관리가 더욱 요구되는 영역”이라면서 “공공부문을 필두로 우리 사회 전반에 사전 예방 중심 개인정보 보호 체계가 뿌리내릴 수 있도록 개인정보위는 '사전예방 중심 정책'을 적극 펼쳐나갈 것”이라고 밝혔다.

2026.02.16 11:50방은주 기자

개보위 "설명절...개인정보 유출 조심하세요"

개인정보보호위원회는 설명절을 맞아 택배 및 선물 문자 등이 급증함에 따라 개인정보 유출에 대한 13일 주의를 당부했다. 개인정보위는 택배 주문 시 보이스피싱, 스팸이나 스미싱 방지를 위해 필수 정보만 입력·제공하고, 가급적 임시 가상번호(가상전화번호, 안심전화번호, 송장정보 비노출 등 개인정보를 보호하는 서비스)를 제공하는 쇼핑몰과 택배사를 이용하는 것이 좋다고 전했다. 택배 문자 수신 시, 택배사의 인증된 공식번호로 보낸 안심링크만 클릭하고 주문한 적이 없는 배송 안내 문자는 스미싱일 가능성이 높으므로 링크에 접속하지 않도록 주의를 요구했다. 특히, 택배가 공개된 장소에 오래 방치될 경우 개인정보 노출의 위험이 있으므로 가급적 즉시 수령하고, 수령 후에는 택배상자의 운송장을 폐기해 개인정보 노출을 방지해야 한다. 운송장 바코드를 통해서도 개인정보를 확인할 수 있으므로 바코드도 확실하게 제거할 것을 권장했다. 이와함께, SNS에 가족이나 지인과 함께 찍은 사진을 게시할 경우 위치정보가 노출될 수 있다는 것을 인지하고, 이를 원치 않을 경우 위치정보를 비활성화하는 조치가 필요하다고 밝혔다. 개인정보위는 “택배와 선물, 안부 문자 등이 급증하는 설명절 기간 동안 이를 이용한 보이스피싱, 스미싱 등의 피해 역시 커지는 만큼 개인정보 유출 방지를 위해 이용자들이 주의와 관심을 기울여 달라"고 당부했다.

2026.02.13 19:05방은주 기자

넷마블 '칠대죄: 오리진', 원작 성우진 인터뷰 공개

넷마블(대표 김병규)은 오픈월드 RPG 신작 '일곱 개의 대죄: 오리진' 출시를 앞두고, 원작 애니메이션 성우진이 참여한 릴레이 인터뷰 영상을 공개한다고 13일 밝혔다. 이번 영상은 원작 성우 7인이 게임 플레이 소감과 본인이 연기한 캐릭터에 대한 생각을 전하는 릴레이 인터뷰다. 인터뷰 영상은 오는 14일 엘리자베스 역의 성우 '아마미야 소라' 편을 시작으로 멜리오다스, 킹, 트리스탄, 티오레 등 주요 캐릭터를 연기한 성우의 인터뷰가 차례로 공개될 예정이다. 각 영상에는 성우가 오리진을 통해 구현된 원작 애니메이션의 세계에 대한 감상과 이용자에게 전하는 메시지가 담긴다. 넷마블은 이번 성우 인터뷰 공개를 기념해 이용자 중 추첨을 통해 네이버페이 쿠폰 등 경품을 증정하는 이벤트를 진행한다. 일곱 개의 대죄: 오리진은 전 세계 누적 판매 5500만부 이상을 기록한 인기 만화 '일곱 개의 대죄'를 기반으로 오픈월드 RPG 신작이다. 이용자는 브리타니아 대륙을 자유롭게 탐험하고, 위기 상황에서 영웅을 교체하는 태그 전투, 강력한 합기, 무기와 영웅 조합에 따라 변화하는 액션 등을 즐길 수 있다. 오픈월드에서 친구와 파티를 꾸려 모험을 떠나거나, 보스에 도전하는 등 다양한 멀티플레이 요소가 특징이다.

2026.02.13 17:10진성우 기자

개보위, 조직문화 개선 추진..."일 잘하는 개방 조직 변신"

개인정보보호위원회가 조직 문화 개선에 나섰다. 국민이 신뢰하고 일 잘하는 개방적 조직이 목표다. 불합리한 관행과 불필요한 일을 현 시점에 맞게 진단하고, 업무 프로세스를 성과 중심으로 과감히 개선한다. 12일 개보위에 따르면, 우선 과장급 이상 간부를 대상으로 일부 공직사회에 남아있는 '간부 모시는 날(직원들이 순번을 정해 사비로 간부의 식사를 대접하는 것)' 관행에 대한 제로방침을 분명히 하고 서약식도 열었다. 아울러, 불합리하고 관행적인 절차 근절, 공정한 성과 평가, 소통과 존중 기반의 리더십 교육도 실시했다. 또 직급을 막론하고 자유롭게 의견을 개진할 수 있는 이른바 '조직 문화 개선의 날'을 운영한다. 2월 중 간담회를 통해 불합리한 업무구조와 불필요한 일을 구체적으로 정의하고, 활발한 아이디어 제안과 소통문화 정착을 위한 실천방안도 폭넓게 논의한다. 이러한 논의 결과를 토대로 핵심 프로젝트를 선정, 연내 가시적인 변화를 도출한다. 또 조직 문화 개선에 앞장 선 직원들을 대상으로 포상금을 지급하는 등 인센티브도 부여할 예정이다. 송경희 위원장은 “유출사고 반복과 AI 대전환 등 최근 개인정보위가 당면한 환경이 녹록치 않다”며 “개인정보위에 대한 국민의 기대와 급증하는 업무수요에 비해 조직규모가 충분하지 않은 만큼, 그 어느 조직보다 효율성과 합리성이 중요하다. 작은 불합리까지도 적극적으로 찾아내고 실질적으로 변화시켜 국민께 신임받는 조직으로 거듭나겠다"고 말했다.

2026.02.12 22:21방은주 기자

아동 정보까지 건드렸다...'버거킹'·'메가커피' 과징금 집중된 이유

개인정보보호위원회가 식음료 프랜차이즈와 원격 예약·대기 플랫폼 등 10개 사업자에 대해 제재를 가한 가운데, 버거킹과 메가MGC커피 두 곳에 과징금이 집중됐다. 다수 사업자가 개인정보 단순 관리 부실로 적발된 것과 달리, 이들 두 회사는 동의 없이 아동 개인정보를 수집하거나 이용자 정보를 다른 목적으로 사용한 탓이다. 개인정보보호위원회는 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과했다. 아울러 시정명령 및 공표명령도 함께 의결했다. 이 과징금은 사업자별로 보면 사실상 두 곳에 집중됐다. 먼저 버거킹 운영사 비케이알이 9억 2400만원, 메가MGC커피 운영사 엠지씨글로벌이 6억 4200만원을 각각 부과받았다. 스타벅스와 맥도날드 등 나머지 8곳은 별도의 과징금 없이 과태료와 시장명령만 받았다. 다수 사업자에게서 확인된 개인정보 미파기·안전조치 미흡이 관리 부실에 해당한다면, 두 회사는 동의 없는 처리·목적 외 이용처럼 법 위반 무게가 큰 사안이 핵심으로 적시됐다는 설명이다. 개보위에 따르면 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 처리해 개인정보보호법 제22조의2 위반으로 판단됐고, 이에 따라 과징금 9억 2400만원이 부과됐다. 여기에 개인정보 이용·제공 내역 미통지, 목적 달성 후 미파기, 접속기록 미보관 등 위반 사항이 함께 적시돼 과태료 1530만원과 시정명령·공표명령도 병과됐다. 이에 대해 버거킹 측은 과거 시스템 및 관리 미비에 따른 행정조치라고 강조했다. 엠지씨글로벌은 회원가입 과정에서 마케팅 활용에 동의하지 않았음에도 자동 동의 처리되도록 설정돼, 미동의 회원에게 마케팅 메시지가 발송된 점이 적발됐다. 개보위는 이를 동의 없이 목적 외로 개인정보를 이용한 행위(보호법 제18조)로 보고 과징금 6억 4200만원을 부과했다. 여기에 과태료 1천530만원과 시정명령·공표명령이 추가됐다. 엠지씨글로벌 측은 “외부로 개인정보가 유출되거나 이로 인한 피해 사례는 없었다”며 “앱 운영 과정에서 사전 동의 절차가 충분히 반영되지 않은 일부 미흡이 확인됐고, 조사 과정에서 즉시 시정 조치를 완료했다”고 밝혔다. 또 “2024년 7월 현장조사에서 지적된 사항은 개선 과정에서 이전 시스템의 일부 절차 미흡이 확인된 것으로, 당시 지적 사항은 모두 조치했다”며 “현재는 앱 전면 개편을 통해 개인정보 보호와 내부 통제 체계를 강화해 운영 중”이라고 해명했다.

2026.02.12 17:06류승현 기자

[법과 상식 사이] 이름도 개인정보가 아닐 수 있다?

“사람 이름을 아는 것만으로 개인정보 문제가 생길까?” 일상에서 우리는 수많은 사람의 이름을 알고 살아간다. 학교 친구의 이름을 기억하기도 하고 거래처 담당자의 이름을 휴대전화에 저장해 두기도 한다. 이름을 알고 있다는 사실 자체만으로는 대체로 법적 문제가 되지 않는다. 그럼에도 개인정보보호법을 이야기할 때 많은 사람들은 이름이나 연락처처럼 개인과 관련된 정보는 모두 법의 엄격한 보호 대상이라고 생각하는 경우가 적지 않다. 하지만 개인정보보호법에서 보호하려는 개인정보는 단순히 '개인과 관련된 정보'라는 의미보다 한층 더 구체적인 개념이다. 법은 특정 개인을 알아볼 수 있는 정보를 개인정보로 정의한다. 다시 말해, 정보의 종류보다 그 정보로 실제 개인을 식별할 수 있는지 여부가 중요하다. 이러한 기준 때문에 개인정보는 절대적으로 고정된 개념이 아니라 이용되는 환경과 결합 가능성에 따라 달라질 수 있는 상대적인 개념이 된다. 그래서 같은 이름이나 번호라도 어떤 상황에서는 개인정보가 되고, 어떤 경우에는 그렇지 않을 수 있다. 예를 들어 '김철수'라는 이름만으로는 동일한 이름을 가진 사람이 많아 일반적으로 특정 개인을 식별할 수 있다고 보기는 어렵다. 그러나 '○○고등학교 3학년 김철수'처럼 추가적인 속성 정보가 결합되면 누구인지 특정할 수 있는 가능성은 높아진다. 여기에 거주 지역이나 동아리 활동 정보까지 더해지면 식별 가능성은 현저히 증가한다. 직장 정보도 마찬가지다. '대기업 인사팀장'이라는 표현만으로는 특정 개인을 떠올리기 어렵지만 직원 수가 적은 회사에서 해당 직위를 가진 사람이 한 명뿐이라면 개인을 식별할 가능성이 생길 수 있다. 휴대전화 번호 전체는 개인을 식별할 수 있는 정보이지만 일부 숫자만으로는 특정 개인을 알아보기 어려운 경우가 많다. 다만 여기에 이름이나 직장 정보가 결합되면 다시 개인정보에 해당할 가능성이 높아진다. 결국 개인정보에 해당하는지는 정보의 내용만으로 기계적으로 판단되는 것이 아니라 조직 규모나 이용 환경 같은 맥락까지 함께 고려해 판단해야 한다. 개인정보 개념의 상대성 개인정보를 상대적인 개념으로 이해해야 한다는 점은 법 적용 과정에서 불확실성을 동반한다. 기술 수준이나 정보 결합 가능성에 따라 개인정보 해당 여부가 달라질 수 있어 규제 예측 가능성이 낮아진다는 비판도 존재한다. 그럼에도 법이 이러한 구조를 채택한 이유는 보호 대상을 미리 정해진 정보의 목록으로 한정할 경우 기술 발전과 함께 나타나는 새로운 식별 위험을 효과적으로 포착하기 어렵기 때문이다. 실제로 오늘날에는 위치정보, 온라인 활동 기록, 소비 패턴처럼 단독으로는 개인을 특정하기 어려운 정보라도 다른 데이터와 결합될 경우 특정 개인을 정밀하게 식별할 수 있다. 개인정보 보호가 요구되는 이유 역시 정보 자체를 보호하기 위해서라기보다 해당 정보를 통해 개인이 원하지 않는 방식으로 특정되거나 분석될 위험을 방지하기 위해서다. 이러한 맥락에서 개인정보보호법은 보호 대상을 개별 정보의 종류가 아니라 '개인을 식별할 수 있는 가능성'에 두고 있다. 가명정보는 여전히 보호대상 최근에는 통계 작성이나 연구를 목적으로 개인을 직접 식별할 수 있는 요소를 제거한 데이터 활용이 확대되고 있다. 그러나 이러한 정보가 곧바로 개인정보에서 제외되는 것은 아니다. 이름이나 주민등록번호와 같은 직접 식별 정보를 삭제하거나 대체하더라도, 다른 정보와 결합하거나 추가 분석을 통해 특정 개인을 다시 알아볼 수 있다면 해당 정보는 여전히 개인정보에 해당한다. 개인정보보호법은 이러한 중간 형태의 데이터를 '가명정보'로 구분한다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보이지만 재식별 가능성이 완전히 제거된 것은 아니다. 이 때문에 가명정보는 일정 범위에서 활용이 허용되면서도 여전히 개인정보로서 법적 보호의 대상이 된다. 개인정보에 해당하는지는 단순히 식별 정보가 삭제되었는지 여부만으로 결정되지 않는다. 정보의 결합 가능성, 재식별에 필요한 비용과 기술 수준, 그리고 정보가 이용되는 환경까지 종합적으로 고려된다. 데이터 분석 기술이 발전할수록 과거에는 안전하다고 평가되었던 정보라도 다시 개인을 식별할 위험을 가질 수 있기 때문이다. 이러한 이유로 개인정보 판단 기준은 고정된 정보 목록이 아니라 기술 변화와 이용 맥락에 따라 유동적으로 해석될 수 밖에 없다. 이처럼 개인정보에 해당하는지는 정보의 형태만 보고 단순하게 판단할 수 없다. 핵심 기준은 결국 “이 정보로 특정 개인을 식별할 수 있는가”라는 질문에 있다. 같은 정보라도 이용되는 환경과 다른 정보와의 결합 가능성에 따라 개인정보가 될 수도 있고 그렇지 않을 수도 있다. 따라서 개인정보보호법을 이해할 때는 특정 정보의 명칭이나 유형에만 주목하기보다 해당 정보가 개인을 식별하거나 분석하는데 어떤 역할을 할 수 있는지를 중심으로 판단할 필요가 있다. 이러한 관점은 기술 변화 속에서도 개인정보 보호의 목적과 적용 범위를 일관되게 이해하는 출발점이 된다.

2026.02.12 17:06안정민 컬럼니스트

"버거킹·투썸 등 10곳 소비자 정보보호 미흡"

투썸플레이스 등 유명 식음료 프랜차이즈를 운영하는 회사 7곳과 캐치테이블 등 3개 플랫폼 사업자 등 총 10곳이 소비자의 개인정보보호 미흡으로 과징금과 과태료를 부과 받았다. 이들 10곳 중 가장 유명한 식음료 프랜차이즈인 스타벅스 운영사는 시정명령만 받아, 10곳 중 처분이 가장 약했다. 반면 버거킹은 9억2400만원으로 과징금이 가장 많았다. 개인정보보호위원회는 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만 원의 과태료를 부과했다. 아울러 시정명령 및 공표명령도 함께 의결했다. 처분을 받은 10개 식음료 사업자는 플랫폼 분야에서 ▲와드(캐치테이블) ▲테이블링(테이블링) ▲야놀자에프앤비솔루션(도도포인트, 나우웨이팅) 등 3사와 프랜차이즈 분야 ▲에스씨케이컴퍼니(스타벅스) ▲비케이알(버거킹) ▲엠지씨글로벌(메가MGC커피) ▲한국맥도날드(맥도날드) ▲투썸플레이스(투썸플레이스) ▲이디야(이디야) ▲더본코리아(빽다방) 등 7개사다. 개인정보위는 최근 음식점, 카페 등에서 정보통신기술(ICT)을 접목한 원격 예약·대기 및 키오스크(KIOSK) 주문 방식 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라, 식음료 분야의 개인정보 처리실태를 조사했다. 앱 서비스 이용률 및 안전조치의무 등 개인정보 보호법 위반 이력을 고려해 원격 예약·대기 플랫폼 앱 및 프랜차이즈 사업자를 선정했고, 구체적인 조사 결과는 다음과 같다. 조사 결과(종합) 대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리했다. 또 앱 등 온라인 서비스 제공과정에서 개인정보를 동의 없이 홍보·마케팅에 이용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법 준수를 소홀히 한 사례를 확인했다. 분야별로 살펴보면, 플랫폼 사업자의 경우 온·오프라인에서 수집한 개인정보를 연동하면서, 원격 예약 및 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인했다. 프랜차이즈 사업자의 경우, 개인정보 처리업무를 제3자에게 위탁하면서, 수탁자에 대한 관리·감독을 소홀히 하거나 100만 명 이상의 정보주체의 개인정보를 처리하면서 개인정보 수집·이용·제공 내역을 주기적으로 정보주체에게 통지하지 않는 등 보호법 위반 사실을 확인했다. 사업자별 위반내용 및 처분 결과 조사 대상 사업자의 주요 위반 내용과 처분 결과는 다음과 같다. 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용했고, 엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정, 미동의 회원에게 마케팅 메시지(앱푸시)를 발송했다. 또 와드(캐치테이블)와 테이블링(테이블링), 야놀자에프앤비솔루션, 한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실을 확인했다. API(application Programming Interface)는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계 및 전송하는 방식을 말한다. 투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영했고, 더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의 받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 했다. 그 밖에 대부분의 사업자가 보유기간이 경과하거나 처리목적이 달성된 개인정보를 파기하지 않고 보관했고, 접근권한 관리 및 접근통제, 접속기록 보관 등의 안전조치의무를 소홀히 한 사실이 확인됐다. 이에, 개인정보위는 법정대리인 동의없이 만 14세 미만 아동의 개인정보를 수집·이용한 행위(보호법 제22조의2 위반)에 대해, 비케이알에 9억2천4백만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 이용(보호법 제18조 위반)한 엠지씨글로벌에 6억4천2백만 원의 과징금을 부과했다. 또, 사업자들의 기타 보호법 위반행위에 대해 총 과태료 1억 1130만 원을 부과하고, 재발방지를 위하여 시정명령과 공표명령도 함께 처분했다. 이번 조사 및 처분 의의 이번 조사·처분은 일상에서 매일 접하는 식음료 서비스의 전반적인 개인정보 관리 체계를 면밀히 점검 잠재된 개인정보 침해 요인을 선제적으로 제거하고, 유출사고로 인한 사회적 비용과 피해를 최소화하였다는 점에서 의미가 크다고 개보위는 밝혔다. 또 개보위는 아동·청소년의 개인정보는 특별한 보호가 필요하며, 다양한 참여자가 연결된 플랫폼 생태계에서 적법 처리 근거, 필요·최소한의 정보 수집 등 프라이버시 중심의 서비스 설계가 중요하다고 강조했다. 아울러, 디지털 환경에서 처리 목적 등을 달성한 개인정보의 미파기는 잠재적 유출 사고의 핵심 변수로 작용할 수 있는 만큼 불필요한 개인정보의 즉시 파기를 당부했다. 개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로, 상시 점검 및 사전 예방 활동을 강화해 나갈 방침이다.

2026.02.12 11:00방은주 기자

"SaaS 해킹 주의"...개보위, 루이비통 등 명품 3사 과징금 총 360억 부과

개인정보보호위원회(개인정보위)가 11일 제3회 전체회의를 열고 '개인정보 보호법'을 위반한 명품브랜드 판매 3개 사업자 ▲루이비통코리아 ▲크리스챤디올꾸뛰르코리아 ▲티파니코리아에 에 총 360억 3300만 원의 과징금과 1080만 원의 과태료를 부과했다. 이 가튼 처분 사실 공표도 함께 명령했다. 이들 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용하는 과정에서 개인정보 유출사고가 발생했다. SaaS(Software as a Service)는 소프트웨어를 회사 내부 서버에 설치하지 않고 인터넷을 통해 클라우드 형태로 외부에서 제공하는 방식을 말한다. 개보위는 이들 3사 사례가 방법만 다를뿐 모두 해킹에 해당한다고 밝혔다. 각 회사별 구체적인 위반 내용과 처분 결과는 다음과 같다. 루이비통 : 과징금 213억 8,500만 원과 결과 공표 루이비통은 직원 기기가 악성코드에 감염돼 서비스형 소프트웨어 계정 정보를 해커에게 탈취당했다. 이에, 약 360만 명의 개인정보가 총 3차례('25.6.9.~13.)에 걸쳐 유출됐다. 루이비통은 2013년부터 구매 고객 등 관리를 위해 해당 서비스형 소프트웨어를 도입·운영하면서, 접근할 수 있는 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았으며, 개인정보취급자가 외부에서 접속할 때 안전한 인증수단을 적용하지 않은 것으로 나타났다. 이에 개인정보위는 루이비통에 과징금을 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다. 디올 : 과징금 122억 3,600만 원과 과태료 360만 원 부과, 결과 공표 디올은 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라 약 195만 명의 개인정보가 유출됐다. 디올은 구매 고객 등 관리를 위해 2020년부터 해당 서비스형 소프트웨어를 도입·운영하면서, 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았으며, 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았다. 또 개인정보 다운로드 여부 등 접속기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 확인하지 못했다. 아울러, 개인정보 유출 인지('25.5.7.) 후 정당한 사유 없이 72시간을 경과해 유출 통지('25.5.12.)를 한 사실도 확인했다. 이에 개인정보위는 디올에 과징금 및 과태료를 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다. 티파니 : 과징금 24억 1,200만 원과 과태료 720만 원 부과, 결과 공표 티파니는 디올의 유출 경위와 마찬가지로, 고객센터 직원이 해커의 보이스피싱에 속아 서비스형 소프트웨어에 대한 접근권한을 해커에게 부여함에 따라, 약 4600여 명의 개인정보가 유출됐다. 티파니는 2021년부터 마케팅을 위해 해당 서비스형 소프트웨어를 도입·운영하면서, 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았으며, 대량의 데이터 다운로드 지원 도구의 사용을 제한하지 않았다. 아울러, 개인정보 유출 인지('25.5.9) 후 정당한 사유 없이 72시간을 경과해 신고 및 통지('25.5.22.)한 사실도 확인했다. 이에 개인정보위는 티파니에 과징금 및 과태료를 부과하고, 처분받은 사실을 사업자 누리집(홈페이지)에 공표하도록 명령했다. 이번 조사 및 처분 의의 최근 많은 기업은 초기 구축 비용 절감 및 유지관리 효율성 등을 이유로 글로벌 대기업의 서비스형 소프트웨어를 도입해 운영하고 있다. 그러나, 서비스형 소프트웨어에 대한 신뢰를 토대로 비용·편의 측면만 고려 시 개인정보 안전성 확보에는 소홀히 할 우려가 있어 주의가 요구된다. 고객 관리 등을 위해 서비스형 소프트웨어를 도입해 개인정보를 처리하는 경우 이는 개인정보처리시스템에 해당하므로 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하는 등의 조치를 취해야 한다고 개보위는 밝혔다. 아울러, IP 주소 등을 제한해 인가받지 않은 접근을 통제하고, 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 인증 수단(일회용 비밀번호(OTP), 인증서, 보안토큰 등)을 필수적으로 적용해야 한다. 개인정보위는 "기업이 서비스형 소프트웨어를 도입하는 경우에도 개인정보를 안전하게 관리하는 책임이 면제 또는 전가되지 않는 만큼 해당 서비스가 제공하는 개인정보 보호 기능을 개인정보처리자가 충분히 적용해 개인정보 유출사고를 예방해야 할 것”이라고 강조했다.