검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'인정'통합검색 결과 입니다. (83건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

쿠팡 6300억 역대급 과징금, 보안 전문가들 평가는?

3000만명 이상의 개인정보 유출 사고가 발생한 쿠팡에 개인정보보호위원회(개인정보위)가 6300억원에 달하는 과징금을 부과했다. 이는 SK텔레콤 유출 사고로 지난해 8월 부과받은 과징금(1348억원)의 4배를 웃도는 수치다. 개인정보위는 보안의 기본 중 기본인 인증키 관리를 소홀히 했다는 점 등을 이유로 과징금을 엄중하게 선정했다는 입장인데, 취재에 응한 보안 전문가들은 적정 수준으로 판단했다. 또 "업계 전반에 경종을 울릴 만한 사건"으로 평가했다. "개인정보보호 노력 지속 감경 요소 참작...국민 일상 밀접한 플랫폼이어서 엄중 처분" 개인정보위는 지난 10일 제11회 전체회의를 열고 개인정보보 법규를 위반한 쿠팡에 총 6246억8100만원 과징금과 1680만원 과태료를 부과했다. 개인정보위가 부과한 과징금 중 역대 최대치다. 개인정보위가 쿠팡에 매긴 과징금을 살펴보면 개인정보 유출 사고로 인해 부과된 과징금이 4235억7500만원이다. 이용자들의 타사 온라인 활동 기록을 무단 수집한 점과 관련해서는 2011억600만원의 과징금이 부과돼 총 과징금이 산정됐다. 이 외 임직원 건강 관련 민감정보 이용에 대한 과징금은 2800만원이 부과됐다. 또한 쿠팡풀필먼트서비스(CFS)에도 총 2억4800만원 과징금을 부과했다. 개인정보위는 개인정보 유출 사고 발생 시 안전조치 의무 위반, 개인정보보호법 위반 사항 등이 확인될 경우 사고 직전 3개년도 매출의 최대 3%까지 과징금을 부과할 수 있다. 금융감독원 전자공시시스템에 따르면 쿠팡 한국 법인의 지난 3년간 연결기준 평균 매출액은 약 32조원이다. 이 금액에 3%를 적용해 최대 과징금을 매기면 9600억원, 즉 1조원에 육박하는 과징금 부과가 가능하다. 다만 과징금 산정 과정을 세부적으로 살펴보면 매출액의 3%까지 부과되는 경우는 거의 없다. 유출 사고와 직결되는 매출액만을 기준으로 과징금을 산정하고, 중대성 판단과 더불어 개인정보보호 노력, 피해 회복 노력 등을 감안해 과징금을 가중 혹은 감경하는 절차를 밟기 때문이다. 최대 매출액 10%에 달하는 과징금을 부과할 수 있다는 개인정보보호법 개정안이 오는 9월 시행되는 만큼 이번 쿠팡 과징금 부과에는 이같은 징벌적 과징금이 부과되지는 않았다. 개인정보위에 따르면 쿠팡은 사고가 발생한 쿠팡 이커머스 서비스 매출만을 기준으로 과징금이 정해졌다. 쿠팡이츠, 쿠팡플레이 등 이번 유출 사고와 관련이 없는 독립적인 매출액은 과징금이 부과되는 매출액 기준에서 제외된 것이다. 다만 연간 매출액 약 30조원을 상회하는 대규모 개인정보처리자로서, 인증 시스템 및 인증키 관리를 소홀히 한 행위 및 다수의 이상행위를 탐지하지 못했다는 점을 중대성 판단에 고려했다는 것이 개인정보위의 설명이다. 정보보호 관리체계 및 개인정보보호 관리체계(ISMS-P) 인증의 취득·유지, 민관협력 자율규제 규약 이행 등 개인정보보호 노력을 지속한 점도 감경 요소로 참작됐다. 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 보상 절차도 감경 요소로 작용했다. 개인정보위는 11일 제11회 전체회의 브리핑에서 "위반 기간 및 최근 3년 내 동종행위로 과징금이 부과됐는지 여부와 조사 방해·협조 여부 등 요소를 고려해 최종 과징금을 산정했다"며 "1억2000만개의 주소들이 관리되고 있는 국민의 일상생활과 밀접한 온라인 플랫폼이기 때문에 엄중하게 처분을 했다. 또 보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다"고 밝혔다. "상징적 과징금…보안 중요성 인지시켰을 것" vs "법 집행 형평성 의문" 보안업계에서는 이번에 쿠팡에 부과된 과징금을 두고 '적정' 수준이라는 의견이 지배적이다. 최대 수위의 과징금이 부과됐으며, 이를 계기로 유출사고에 대한 경각심을 끌어올리는 계기가 될 것이라는 예상이다. 이용준 극동대 해킹보안학과 교수는 "총 과징금 6300억원의 과징금 중 유출사고로 인한 과징금이 4000억원이 넘는데, 3000만명의 데이터가 유출된 점으로 보아 1인당 1만원이 넘는 수준의 과징금이 부여된 것으로 보인다"며 "부과할 수 있는 범위 내에서 최대 규모로 과징금을 부과한 것으로 보이는데, 이를 통해 이커머스, 온라인 쇼핑 업계 전반에 경종을 울릴 만한 사건으로 기록될 전망"이라고 밝혔다. 이 교수는 "과거에는 보안에 대한 투자가 ISMS-P 등 법적 기준에만 맞춰서 형식적으로 투자가 이뤄졌는데, 쿠팡 사태를 다른 기업들이 보고 자발적으로 법에서 요구하는 수준보다 보안 투자를 확대해야 한다는 경각심을 가졌을 것"이라며 "충분히 의미 있고 보안에 대한 중요성을 인지시키는 과징금"이라고 평가했다. 김선희 가천대 스마트보안학과 초빙교수도 "인증키 관리, 내부자 관리는 온전히 기업 책임인데, 6300억원에 달하는 과징금은 개인정보위가 최대 수준으로 부과한 것으로 보인다"며 "쿠팡이 과징금에 대해 향후 어떻게 대응할지는 지켜봐야겠지만, 개인정보위의 엄정한 대응을 확인할 수 있는 대목"이라고 말했다. 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "쿠팡은 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았다. 조사에 협조적이기는 커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 강조했다. 반대로 이번 쿠팡에 대한 개인정보위 제재 수위가 과하고, 법 집행 형평성에 의문이 제기될 수 있는 판단으로 보인다는 학계 의견도 있었다. 서용구 숙명여대 경영학부 교수는 "개인정보 유출에 대한 책임은 엄정하게 물어야 한다"면서도 "다만 제재 수위는 기업 규모 자체보다 해당 정보의 민감성, 실제 피해 수준, 사고 이후의 대응과 피해 확산 방지 노력 등을 종합적으로 고려해 결정할 필요가 있다. 특히 이번 처분이 향후 산업 전반의 기준으로 작용할 수 있다는 점에서 더욱 신중한 접근이 요구된다"고 밝혔다. 이은희 인하대 소비자학과 명예교수는 "규제 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"며 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 우려했다. 김대종 세종대 경영학부 교수는 "보안 관리 소홀에 대한 책임은 당연히 져야 하지만 기업이 얻은 부당이득이나 실제 피해와 관계없이 매출 규모에 비례해 천문학적인 과징금을 부과하는 방식이 과연 바람직한지는 따져볼 필요가 있다"면서 "기업 입장에서는 성장할수록 규제 리스크가 기하급수적으로 커지는 구조로 받아들일 수 있고, 이는 결국 투자와 혁신을 위축시키는 잘못된 신호가 될 수 있다“고 말했다.

2026.06.11 16:36김기찬 기자

개보위, 쿠팡 사태 '총제적 관리 실패' 결론…근거는

지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡 사건에 대해 개인정보보호위원회가 회사의 총체적인 보안 관리 실패로 결론지었다. 인증수단의 미흡한 관리 체계와 소홀한 접근 통제, 조사 방해, 탈퇴 회원의 자료 미파기 등을 근거로 들었다. 이와 함께 개보위는 쿠팡에 대한 고발도 병행한다. 지난해 11월 사고 관련 증거 자료 보전을 명령했지만 5개월 분량의 웹 접속 기록을 수동으로 삭제하고, 자동 삭제 시스템 역시 중단시키지 않은 사실이 확인됐기 때문이다. 개보위는 11일 서울 종로구 정부서울청사에서 쿠팡 제재안 관련 브리핑을 열고 안전조치 및 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원, 과태료 1680만원을 부과했다. 회사의 물류를 담당하는 쿠팡풀필먼트서비스(CFS)에도 과징금 2억4800만원을 내렸다. 개인정보 수집·이용 및 민간정보 처리 제한 위반 사실을 확인하면서다. 인증수단 관리 미흡·조사 방해·회원 자료 미파기가 이유 개보위는 인증수단을 안전하게 관리하지 않고, 불법적인 접근·침해사고 방지를 위한 접근 통제를 소홀히 했다는 점을 총체적 보안 관리 실패로 본 이유로 꼽았다. 쿠팡이 운영하는 토큰 기반 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근을 허용할 수 있다는 점에서 엄격한 운영·관리가 필요하지만 이를 소홀히 했다는 것이다. 해커가 퇴사를 했음에도 서명키를 즉시 갱신하거나 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것도 영향을 미쳤다. 해커가 공격하는 과정에서 과도한 트래픽 이상과 비정상 접속이 다수 있었음에도 회사는 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다. 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하고, 이상행위에 대한 별도 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회도 놓친 것으로 확인됐다. 여기에 올해 1월 30일 회원 약 16만명의 개인정보가 추가 유출됐고 이를 인지했음에도 법령이 정한 72시간이 경과한 2월 5일에서야 유출 사실을 통지했다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이를 통지할 것을 촉구했음에도 이를 이행하지 않은 것도 하나의 요인이다. 해킹에 대한 자체적인 조사 당시 결과를 홈페이지에 공개할 때 개인정보보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않아 직무수행 권한을 무력화한 것도 원인으로 작용했다. 자료 폐기 등을 통해 개보위의 조사도 방해를 받았다. 회원정보는 탈퇴 후 90일이 경과하면, 주소·계좌번호는 즉시 파기하도록 하는 내부 규정이 있었음에도 246만5592건은 파기 하지 않아 실제 유출로 이어졌다. 탈퇴회원의 계좌번호 31만8499건을 즉시 파기하지 않고, 탈퇴 후 90일이 경과한 71만7865명의 개인정보도 별도의 발송용 DB에서 파기하지 않은 점도 드러났다. 개보위 "쿠팡 고발 진행…자료보전명령 미이행" 개보위는 이번 사안에 대해 쿠팡에 대한 고발을 진행하기로 했다. 송경희 개보위원장은 "조사를 개시하고 자료보전명령을 내렸는데도 이후 (자료가) 삭제된 적이 있었다"며 "자동 삭제 시스템도 중단시키지 않아 다시 한 번 삭제되는 일이 있어 조사를 어렵게 했다"고 설명했다. 아울러, 개보위는 이번 결정에서 쿠팡 측 의견도 일부 반영됐으며, 국내와 국외 사업자의 차별은 없었다고 강조했다. 송 위원장은 "제안된 의견에 대해서는 사실 여부를 면밀하게 확인하고 조사 결과와도 대비해 여러번 확인하는 과정을 거쳤다"며 "물론 사실과 부합하는 부분은 감안된 것이 있다"고 말했다. 쿠팡이 피해 회복과 관련된 일부 프로그램을 진행했다는 점도 가중·감경에 반영됐다. 개보위 관계자는 "심의에 고려하기 위해서는 쿠팡에서 시행하는 프로그램이 어느 정도로 이용됐는지가 정확하게 확인되는 게 중요하다"며 "쿠팡이 답변을 하지 않아 정확히 얼마가 집행됐는지는 확인이 안되고 있는 상황이지만 종합적으로는 판단에 일부 고려가 됐다"고 덧붙였다. 앞서 쿠팡은 개인정보가 유출된 이용자를 대상으로 쿠팡 플랫폼과 쿠팡 이츠에 각각 5000원, 쿠팡 럭스와 트래블에 2만원씩 총 5만원의 쿠폰을 지급한 바 있다. 안전 강화·정보 유출 통지 등 명령…"불복 시 적극 대응" 시사 개보위는 과징금·과태료와 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPO 실질적 역할 보장 등을 시정 명령했다. 또한 탈퇴회원 개인정보 처리 체계와 관련해 개선을 권고하며 3개월 이내 시행·조치 결과를 확인할 예정이다. 쿠팡이 부과받은 과징금과 과태료가 역대 최대치로 나오면서 회사는 사과와 함께 "지난해 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못했다"며 유감스럽다는 의사를 표현했다. 또 "쿠팡 파트너스는 다른 글로벌 기업들과 동일한 제휴 모델을 사용해 고객 데이터를 보호하고 적법하게 운영하고 있다"며 "개보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다"고 강조했다. 이같은 쿠팡의 후속 조치에 개보위는 불복할 경우 적극 대응하겠다는 입장이다. 송 위원장은 "만약 소송이 제기된다면 적극적으로 대응하겠다"며 "처분은 법과 원칙에 근거해 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분"이라고 밝혔다. 쿠팡은 파트너스 프로그램을 통한 타사 온라인 활동 기록 무단 수집을 두고 "비의도적이다. 자연적으로 적재가 됐다"고 항변했으나 인터넷 통신 규약상 자연적으로 적재할 수 있는 형태가 아니라고 봤다. 특히, 기기 식별자를 회원들 브라우저에 설치해 이를 바탕으로 타사의 웹·앱의 온라인 기록들을 쿠팡 서버에 들어왔을 때 회원 식별번호와 결합해 의도적으로 데이터베이스(DB)에 쌓아놨다는 점이 충분히 의도성이 있다는 설명이다. 개보위 관계자는 "이 DB를 나중에 쿠팡이 일정하게 조회한 사실도 확인했기에 이를 위법하다고 본 것"이라고 부연했다.

2026.06.11 13:32박서린 기자

[속보] 개보위 "쿠팡 고발할 것...조사 어렵게 한 사실 확인"

개인정보보호위원회가 지난해 대규모 개인정보 유출 사건을 일으킨 쿠팡에 대해 조사를 어렵게 한 사실이 확인돼 고발한다고 11일 밝혔다. 쿠팡이 이번 개보위의 결정에 불복해 소송을 제기할 경우 적극적으로 대응한다는 입장이다.

2026.06.11 11:26박서린 기자

개인정보위, 쿠팡 6247억 '철퇴'…작년 과징금 총액 4배

쿠팡이 6247억원 규모의 역대 최대 규모 과징금 철퇴를 맞았다. 지난해 개인정보보위원회(개인정보위)가 부과한 전체 과징금 총합보다 높다. 개인정보위는 지난 10일 제11회 전체회의를 열고, 개인정보보호 법규를 위한판 쿠팡에 총 6246억8100만원의 과징금 및 1680만원의 과태료 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다. 이는 지난해 개인정보위가 부과한 한 해 과징금 총액(1677억원)의 4배 수준에 달하는 금액이다. 개인정보위가 부과한 역대 최대 과징금이다. 이와 별개로 개인정보보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다. 유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리·통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 '회원이 아닌 정보주체' 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다. 쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령했고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다. 개인정보위는 쿠팡에 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관‧관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고했다. 앞서 개인정보위는 지난해 11월20일 쿠팡의 유출신고를 접수하고 이튿날부터 개인정보 유출 조사에 착수했다. 이후 개인정보위는 국회 청문회, 언론 보도 및 타 부처 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 올해 1월7일 추가적인 조사를 추진했다. 개인정보위는 쿠팡 서비스가 국민 대다수가 일상적으로 이용하는 생활 인프라 성격의 플랫폼으로, 개인정보 유출 및 침해사고 발생 시 대국민 영향도가 큰 점 등을 고려해 한국인터넷진흥원(KISA)과 함께 집중조사 TF를 구성했다. TF는 사실관계, 개인정보 보호 법규 위반 여부 등을 '법과 원칙에 따라 책임에 상응하는 처분 부과' 원칙 아래 중점적으로 확인했다. 3322만 명 정보 유출…'CPO 독립성 방해'에 조사 방해까지 TF 조사 결과 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 회원 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 '회원이 아닌 정보주체'의 개인정보를 유출한 것으로 확인됐다. 회원정보 수정 페이지에서 3305만7012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인됐다. 배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(비식별화))가 6398만6351건 유출됐다. 아울러 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었고, 회원이 아닌 정보 주체는 최소 433만8368명에 달한다는 것이 TF의 조사 결과다. 주문 목록 페이지에서는 회원 5만8349명의 주문내역(주문일, 상품명, 수량, 가격) 27만2470건이 유출된 것으로 확인됐다. 이와 관련 개인정보위는 쿠팡이 기본적인 안전관리 체계 미비 및 관리 소홀로 이번 사태가 발생한 것으로 판단했다. 조사 과정에서 확인된 주요 관련 법령 위반 사항은 ▲안전조치 의무 위반 ▲개인정보 유출통지 의무 위반 ▲개인정보보호책임자(CPO)의 독립적 업무 수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해 등이다. 동의 없는 '납치 광고'로 1100만 명 온라인 활동기록 무단 수집 쿠팡이 판매하는 상품을 광고 파트너의 매체를 통해 홍보하도록 하는 제휴 마케팅 프로그램인 '쿠팡 파트너스'를 운영하고 있다. 개인정보위 조사 결과에 따르면 쿠팡은 2024년 12월23일부터 올해 2월 4일까지 1564만5338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 1117만613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인됐다. 쿠팡이 수집한 타사 온라인 활동기록은 기기 식별자 및 회원번호와 함께 광고 DB에 저장되어 있어 그 자체로도 개인 식별이 가능한 개인정보에 해당한다. 이에 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다. 개인정보위는 타사 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집‧저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있도록 해야 하는데 이를 명확히 알리지 않았다는 점도 지적했다. 아울러 자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환되도록 하는 '부정 광고(납치 광고)'를 개제해 용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 했다. 또 개인정보위 조사 결과 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대해 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다. CFS와 관련해서는 경찰청 출입기자 개인정보 수집·이용 문제가 불거졌다. 개인정보위 조사 결과에 따르면 CFS는 2023년 9월부터 2024년 2월까지 물류 센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 '허위사실유포' 사유로 취업제한 목록에 등록하였고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다. 뿐만 아니라 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 것과 관련, 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단해 과징금을 부과했다. 개인정보위 "유출사고 엄격한 법적 책임 명확히했다" 평가 개인정보위는 이번 조사 및 처분을 통해 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 다시 한번 명확히했다고 평가했다. 또한 대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다고 봤다. 송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 밝혔다.

2026.06.11 11:00김기찬 기자

[법과 상식 사이] 스마트 글래스와 동의 없는 개인정보

'타인 안경 속에 들어간 나' 옆 테이블에 앉은 안경 쓴 사람이 내 쪽을 보는 것 같다. 나를 보는 것이 아니라 주변을 살펴보는 중일 수도 있고, 일행과 대화 중일 수도 있다. 그래서 대개는 무심히 넘긴다. 그러나 그 안경에 카메라와 마이크, 위치 센서, AI 분석 기능이 들어 있다면 이야기는 달라진다. 나는 동의한 적이 없다. 앱을 설치한 적도 없고, 약관을 읽은 적도 없고, 카메라 접근 권한을 허용한 적도 없다. 나는 그 기기를 이용하지도 않지만, 그 사람의 시야 속에서 내 얼굴과 목소리, 위치와 행동이 누군가의 AI 기기 속 데이터가 될 수 있다. 스마트 글래스가 일상화되는 시대의 개인정보 문제는 여기서 시작된다. 과거 구글 글래스가 등장했을 때 사람들이 불편함을 느꼈던 이유도 비슷했다. 내가 지금 촬영되고 있는지, 혹시 내 얼굴도 저장되는지, 내가 분석되는 건 아닌지에 대한 불안이 있었다. 최근 다시 부각하고 있는 AI 스마트 글래스는 단순한 웨어러블 기기에 머물지 않는다. 카메라와 마이크, AI 기능이 결합되면서 사용자가 보고 듣는 주변 환경을 촬영하고 해석하는 장치로 발전하고 있다. 지금은 기능과 활용 범위에 제한이 있지만 기술의 방향은 분명하다. 사람의 시야와 일상 공간이 데이터 처리의 출발점이 되고 있다. 주변인에게는 선택의 여지가 없다 스마트 글래스의 개인정보 문제는 기기를 착용한 이용자 본인보다 그 기기를 사용하지 않는 주변 사람들에게서 더 뚜렷하게 드러난다. 착용자는 기기를 구매하고 약관에 동의하며 앱 권한을 설정할 수 있지만, 그 옆을 지나가는 사람에게는 그런 선택의 기회가 없다. 그동안 스마트폰에서는 개인정보 보호가 주로 내 기기와 내 앱을 관리하는 문제였다. 그러나 스마트 글래스는 타인의 기기에 의해 내가 데이터 처리의 일부가 될 수 있다는 더 어려운 문제를 드러낸다. 스마트 글래스는 단순한 촬영 장치가 아니다. 여기서는 기록이 바로 분석이 되고, 분석은 곧바로 이용자에게 제공되는 정보가 된다. 주변 사람의 얼굴, 목소리, 위치, 행동이 AI와 결합되는 순간 그것들은 단순한 배경이 아니라 특정인을 식별하고 추론하는 단서가 될 수 있다. 이 분석이 반드시 글래스 안에서만 이뤄지는 것도 아니다. 실시간 인식과 정보 제공을 위해 데이터는 스마트폰, 통신망, 엣지 서버, 클라우드 AI 시스템 사이를 오가며 처리될 수 있다. 결국 스마트 글래스의 개인정보 문제는 기기 하나에 그치지 않고 기기와 통신 인프라가 결합된 환경에서 데이터가 어떻게 생성되고 처리되는가의 문제까지 포함하게 된다. 내 위치는 많은 것을 드러낸다 스마트 글래스가 일상 공간을 인식하고 분석하게 되면 위치정보의 의미도 달라진다. 위치정보는 단순한 GPS 좌표가 아니다. 반복되는 이동 경로와 체류 장소는 생활 반경, 관심사, 인간관계까지 드러날 수 있다. 여기에 스마트 글래스의 시선 방향과 주변 공간 정보가 결합되면 문제는 더 복잡해진다. 이제 위치정보는 어디에 있었는가를 넘어 무엇을 보았는가, 누구와 함께 있었는가, 무엇을 할 가능성이 있는가를 추론하는 단서가 된다. 개인정보보호법의 관점에서도 쟁점은 복합적이다. 얼굴과 음성은 개인을 식별할 수 있는 정보가 될 수 있고, 시선 방향과 체류 시간은 관심사와 성향을 추론하는 단서가 될 수 있다. 반복 방문 장소와 이동 경로는 위치정보와 결합해 생활패턴과 사회적 관계를 드러낼 수 있으며, AI가 결합되면 이 정보들은 더 민감한 의미를 갖게 된다. 나아가 해외 클라우드나 외부 AI 연산 시스템이 개입하면 데이터가 어느 국가에서 처리되고 누구에게 위탁되는지의 쟁점도 함께 발생한다. 결국 스마트 글래스가 보여주는 개인정보 쟁점은 하나의 정보 항목에 머물지 않는다. 얼굴, 목소리, 위치, 시선, 체류 시간이 결합되면 한 사람의 생활을 읽어내는 단서가 된다. 침해 역시 명단 유출이나 앱 권한 남용처럼 눈에 보이는 사건으로만 나타나지 않는다. 누군가의 안경 속에 반복적으로 포착되고 그 정보가 분석되어 나의 이동, 관심사, 관계가 조용히 추론되는 방식으로도 나타날 수 있다. 이제는 가져간 정보보다 그 정보로 무엇을 알아낼 수 있는지가 중요해 졌다. 스마트 글래스의 개인정보 문제는 단순히 무엇을 촬영했는가에 그치지 않는다. 무엇을 인식하고, 무엇을 결합하며, 무엇을 추론할 수 있는가의 문제가 되어가고 있다. 착용자의 편의와 혁신만으로 타인의 일상이 데이터화되는 것을 당연시할 수는 없다. 이제는 기기의 설계와 데이터 처리 과정에서부터 상품화 전 개인정보 영향평가를 통한 안전성 확보, 수집 즉시 얼굴, 음성 등의 익명화 처리 등 주변인의 권리가 어떻게 보호될 수 있는지, 이를 사업자의 자율에 맡겨둘 것인지 법과 규제가 직접 다뤄야 할 것인지 명확히 해야 할 시점이다.

2026.06.10 17:03안정민 컬럼니스트

개보위, 10일 쿠팡 제재안 심의…역대 최대 과징금 나올까

지난해 11월 대규모 개인정보 유출 사건이 발생한 쿠팡에 대한 과징금 수위가 오는 10일 결정된다. 역대 최대 수준 과징금이 현실화될지 관심이 쏠린다. 개인정보보호위원회는 오는 10일 전체 회의를 열고 쿠팡의 제재안을 심의할 예정이다. 앞서 과학기술정보통신부 민관합동조사단은 지난 2월 쿠팡 유출 사고 조사 결과를 발표한 바 있다. 이때 유출된 이용자 성명, 이메일 주소를 포함한 개인정보는 3367만3817건 수준이다. 개보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용 등을 담은 사전통지서를 발송했다. 이후 쿠팡은 의견 제출 기한 연장을 요청한 후 의견서를 제출했고 개보위는 이를 검토해온 것으로 알려졌다. 이번 전체회의에서 개보위는 쿠팡의 개인정보보호법 위반 여부와 과징금 부과 등 제재 수위를 논의한다. 구체적인 과징금 액수와 처분 내용을 위원들의 심의를 거쳐 최종 확정될 예정이다. 업계에서는 유출 규모와 대응 과정 등을 고려하면 '역대급' 과징금이 부과될 수 있다고 보고 있다. 현행법에서는 개인정보 유출 사고 발생 시 매출액의 최대 3% 범위 내에서 과징금을 부과할 수 있도록 규정하고 있는데, 지난해 쿠팡의 매출액은 345억 달러(약 52조 1813억원)으로 부과 가능한 최대 과징금은 1조5000억원대다. 지금까지는 지난해 발생한 SK텔레콤의 유심 정보 유출 사고에 역대 최대 과징금이 부과됐다. 당시 SK텔레콤을 상대로 부과된 과징금 규모는 1348억원 가량이다. 다만, 쿠팡이 행정소송을 통해 불복할 가능성도 배제할 수 없다. SK텔레콤은 올해 1월 과징금 관련 행정 소송을 제기한 바 있다.

2026.06.09 15:06박서린 기자

쿠팡 개인정보 유출 조사 마무리…개인정보위 "곧 결정"

3367만명의 개인정보를 유출한 쿠팡에 대한 제재 수위가 이르면 내달 결정될 것으로 보인다. 송경희 개인정보보호위원회 위원장은 지난 12일 정부서울청사에서 열린 정책브리핑에서 “쿠팡에 대한 조사를 다 마무리했다”면서 “조사 결과에 대한 사전 통지를 보냈고, 사업자 의견 제출을 받고 있다”고 말했다. 그러면서 “지금 사업자가 제출한 의견을 받아서 검토 중이고, 검토가 완료되면 개인정보위 전체 회의에서 의결하도록 하겠다”며 “단계가 빠르게 진행되고 있다”고 덧붙였다. 개인정보위 규정에 따르면 조사관은 조사 결과보고서를 바탕으로 처분 내용을 당사자에게 사전통지해야 하며, 당사자는 14일 이상의 기간 내 의견을 제출할 수 있다. 이와 관련해 쿠팡은 개인정보위에 보낸 의견서에서 전반적인 처분 방향에 동의하기 어렵다는 취지의 의견을 견지한 것으로 알려졌다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출의 최대 3%까지 부과할 수 있다. 한국 쿠팡 모회사 쿠팡Inc의 지난해 매출은 약 49조원으로 3%를 단순 계산하면 법정 최대 과징금 규모는 대략 1조5000억원 수준이 될 전망이다. 쿠팡Inc의 경우 매출 대부분이 한국에서 발생하고 있다. 개인정보위 전체 회의는 이달 13일과 27일 예정돼 있지만 13일 회의에는 해당 안건이 상정되지 않으면서 내달 중 결과가 나온다는데 힘이 실린다.

2026.05.13 09:52박서린 기자

[법과 상식 사이] "매장서 일회용 컵으로 드시면 안 돼요"…디지털 시대 법은 UI로 작동한다

과거 카페 벽의 안내문과 점원의 “매장 내 취식은 일회용 컵이 안 됩니다”란 말로 전달되던 법은 이제 키오스크 첫 화면과 배달앱 체크박스 같은 UI(User Interface) 속으로 옮겨갔다. 같은 프랜차이즈라도 어떤 매장은 종이컵을 주고 어떤 곳은 머그잔만 가능하다고 안내해 소비자는 헛갈린다. 그러나 그 이면에는 법이 정한 복잡한 예외 기준과 이를 반영한 알고리즘이 작동하고 있다. 사용자가 '매장 이용'을 누르는 순간 일회용 컵 옵션이 비활성화되는 장면은 법이 조문에서 알고리즘으로 옮겨가고 있음을 보여준다. 법은 이제 설명보다 시스템 입력을 통해, 설득보다 시스템 작동을 통해 집행된다. UI, 가장 조용한 규제 수단 「자원의 절약과 재활용촉진에 관한 법률」 제10조는 일정 시설·업종의 사업자에게 원칙적으로 1회용품 사용을 억제하고 무상 제공하지 않을 의무를 부과한다. 카페·음식점 등 식품접객업소가 대표적 대상이다. 그러나 법은 현실적인 소비 형태를 고려해 여러 예외도 둔다. 매장 밖에서 소비할 목적으로 판매·배달하는 경우에는 1회용품 사용이 가능하다. 매장 면적 33㎡ 미만인 소규모 점포나 2028년까지 규제가 유예된 생분해성 빨대 역시 일부 예외에 포함된다. 장례식장도 대표적인 예외 공간이지만 조리·세척 시설이 완비됐다면 다회용기를 사용해야 한다. 단순해 보이는 규제 뒤에는 업종, 면적, 재질, 공간 구조까지 따지는 복잡한 기준이 숨어 있는 셈이다. 흥미로운 점은 이런 복잡한 예외와 조건들이 디지털 환경에서는 알고리즘으로 구현된다는 사실이다. 법은 더 이상 '쓰지 마라'는 명령에 머물지 않는다. 키오스크나 배달앱을 통한 주문에는 고객이 1회용품 사용 여부를 직접 선택할 수 있는 기능을 갖추도록 요구한다. 법적 의무가 조문을 넘어, UI에 어떤 버튼을 만들고 어떤 선택지를 보여줄지까지 영향을 미치기 시작한 것이다. 법과 상식 사이의 '회색지대'는 어디로 갔나 문제는 수많은 예외와 특수성을 고려해 설계된 법이 화면 위에서는 단 몇 개의 버튼과 체크박스로 축소된다는 점이다. '매장 이용'과 '포장'이란 두 선택지 뒤에는 업종, 면적, 재질, 소비 목적 같은 복잡한 조건이 숨어 있지만 소비자는 그 이유를 알지 못한 채 시스템이 허용한 선택지만을 따르게 된다. 법은 본래 상황에 따른 해석과 설명의 여지를 남겨두는 유연한 규범이다. 그러나 UI 안에서 법은 이를 생략한 채 즉각 실행되는 명령으로 바뀐다. 편리함을 얻는 대신 우리는 왜 안 되는지 질문할 기회를 잃는다. 사용자는 '법이니 그렇겠지'라고 받아들이지만, 실제 법령과 화면의 규칙이 언제나 정확히 일치하는 것은 아니다. 현장의 상식을 담기 위해 면적 1㎡, 재질의 미세한 차이까지 따져 설계된 법도 UI의 효율성 앞에서는 화면 속에서 지워질 수 있다. 더 강한 통제보다 더 나은 설계 디지털 시대의 법치주의는 '해석'의 영역에서 '설계'의 영역으로 이동하고 있다. 비활성화된 버튼 하나, 기본값으로 설정된 체크박스 하나가 강력한 집행수단이 되는 시대다. 이러한 규제는 별도의 단속 없이도 높은 효율을 보장하지만, 법 뒤에 숨은 사회적 가치와 공감의 과정을 단순한 버튼 조작으로 축소하기도 한다. 앞으로 법 규제의 효과성과 강제성은 키오스크, 웹, 앱 같은 IT 시스템을 통해 더욱 직접적으로 구현될 가능성이 크다. 그러나 중요한 것은 규제가 얼마나 강하게 작동하느냐만이 아니다. 법의 궁극적 목적은 시민을 더 안전하고 풍요롭고 인간적인 삶으로 이끄는 데 있다. 그렇다면 디지털 시스템에 법을 반영하는 과정 역시 효율성뿐 아니라 인간 중심의 설계를 기준으로 삼아야 한다. 법이 화면으로 작동하는 시대일수록 우리는 화면 속 코드가 시민의 선택권을 과도하게 제한하고 있지는 않은지, 인터페이스가 법의 목적과 상식을 충분히 담아내고 있는지 살펴야 한다. 디지털 시대의 법치는 더 강한 통제보다 더 나은 설계에서 완성된다.

2026.05.04 08:33안정민 컬럼니스트

[법과 상식 사이] 병원 진료 대기판에 뜨는 내 이름, 한 글자 가리면 충분할까

이름의 한 글자를 가리면 곧바로 익명처리가 될까? 병원 진료 대기판에는 환자 이름이 전부 드러나지 않도록 일부를 별표나 동그라미로 가려 표시하는 경우가 있다. 병원 나름의 개인정보 보호 조치다. 그러나 법적으로 중요한 질문은 따로 있다. 그 표시가 실제로도 환자를 식별하기 어렵게 만들었는가. 아니면 대기실이라는 공간적 맥락 속에서 여전히 누구인지 쉽게 짐작하게 하는가를 고려했을 때 충분한 조치인가. 맥락이 붙는 순간, 이름은 단순한 문자가 아니다 개인정보 보호법은 개인을 알아볼 수 있는 정보뿐 아니라 다른 정보와 쉽게 결합해 식별할 수 있는 정보도 개인정보로 본다. 또한 게시·표시 등은 개인정보 '처리'에 포함될 수 있다. 병원 대기판 표시는 단순한 안내가 아니라 개인정보 처리의 한 방식으로 봐야 한다. 특히 병원에서는 이 문제가 더 민감해진다. 병원은 단지 사람이 모이는 공간이 아니라 이름 표시가 진료 대기 상황과 결합되는 장소이기 때문이다. 진료실 앞 대기판 문제의 핵심은 '이름을 조금 가렸는가'가 아니라, 그 표시 방식이 현실적으로 식별 가능성을 얼마나 낮추고 있는가에 있다. 가명정보라는 오해 이름 일부를 가렸으니 '가명정보'가 아니냐고 물을 수 있다. 하지만 법은 가명처리를 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것이라고 정의한다. 다시 말해, 같은 대기실의 이용자들이 별도의 추가정보 없이도 누구인지 쉽게 추정할 수 있다면 실질적으로는 가명처리의 효과가 충분하다고 보기 어렵다. 그래서 병원 대기판에서 핵심은 부분 비식별 표시만으로 실제 보호가 충분한지에 있다. 몇 글자를 가렸는지가 아니라 그 방식이 현실적인 식별 가능성을 충분히 낮추고 있는지가 중요하다. 최소 처리의 원칙 이 사안을 관통하는 법적 기준은 개인정보보호법 제3조의 원칙이다. 개인정보처리자는 목적에 필요한 최소한의 범위에서만 정보를 처리해야 하며, 익명이나 가명처리로 목적을 달성할 수 있다면 그 방법을 우선해야 한다. 병원 대기판 운영에 이 원칙을 대입하면 질문은 단순하다. 환자 확인을 위해 반드시 이름이 필요한가. 필요하다면 전체 공개가 불가피한가. 더 나아가 이름 일부를 표시하는 것보다 덜 식별적인 대체 수단은 없는가. 법이 요구하는 것은 관행이 아니라 목적 달성에 필요한 최소 범위의 설계다. 접수번호나 대기번호 중심의 호출 방식처럼 덜 침해적인 수단이 존재한다면, 병원은 왜 더 노출하는 방식을 선택했는지 설명할 수 있어야 한다. 어떻게 설계해야 하나 그래서 실무적 결론도 비교적 분명하다. 원칙적으로는 대기번호나 내부 식별번호 중심으로 운영하는 것이 가장 안전하다. 불가피하게 이름 확인이 필요한 경우라면 성명 전체를 드러내기보다 일부만 표시하는 방식으로 식별 범위를 줄이는 것이 바람직하다. 다만 여기서도 안심할 수는 없다. 외국인 이름처럼 드물고 눈에 띄는 경우, 지역이나 병원 규모상 동명이인이 많지 않은 경우, 예약 시간이나 대기 순번이 함께 보이는 경우에는 이름 일부만 가려도 특정이 쉬울 수 있다. 핵심은 마스킹의 유무가 아니라 재식별 가능성을 충분히 낮췄는지에 있다. 특히 주의해야 할 것은 정보가 놓이는 맥락이다. 이름을 다 보여주지 않았다고 해서 문제가 사라지는 것은 아니다. 진료실 앞 대기판은 그 위치 자체로 이미 의료적 맥락을 형성하기 때문에 성명 일부만 표시하더라도 주변 사람이 누구를 위한 호출인지 짐작할 가능성이 있다. 그래서 병원은 무엇을 표시할 것인가만이 아니라, 그 정보가 어떤 맥락에서 읽히는지도 함께 따져야 한다. 필요 이상의 식별 단서는 빼고 정말 필요한 최소 요소만 남겨야 한다. 결국 병원 대기판 운영의 판단 기준은 분명하다. 형식적으로 몇 글자를 가렸는지가 아니라, 그 방식이 실제로 환자의 식별 가능성과 사생활 노출을 얼마나 줄였는지가 핵심이다. 환자 안내와 진료 운영의 편의도 중요하지만 그 목적이 개인정보 최소처리의 원칙을 넘어설 수는 없다.

2026.04.21 08:46안정민 컬럼니스트

[현장] 송경희 "개인정보 유출 3년 새 20배…사후 제재론 한계"

개인정보보호위원회가 인공지능(AI) 시대 대규모 개인정보 침해에 대응하기 위해 보안 인증 의무 범위를 확대하고 과징금 상한을 매출액의 10%로 높이는 등 개인정보 보호 체계 전면 강화에 나선다. 송경희 개인정보보호위원회 위원장은 8일 서울 강남구 삼정호텔에서 'AI시대 개인정보보호 체계 대전환'을 주제로 열린 한국IT전문가협회 조찬세미나에서 "개인정보보호가 선택적인 문제가 아니라 필수 투자 영역으로 정착될 수 있도록 징벌적 체계를 도입했다"고 밝혔다. 송 위원장에 따르면 2025년 개인정보 유출 건수는 2022년 대비 20배 증가한 1억여 건에 달한다. 사이버 침해 신고 건수도 전년 대비 26% 늘었다. 데이터 집중화와 클라우드 확산으로 한 번 침해 시 피해 규모가 급격히 커지는 구조가 굳어지고 있다는 게 개인정보위의 진단이다. 이 같은 문제의식에 따라 국회에선 개인정보보호법 개정안이 통과됐다. 반복적이고 중대한 위반이 발생할 경우 과징금 상한을 현행 전체 매출액의 3%에서 10%로 높이는 것이 개정안 핵심 내용이다. 기본 과징금 기준인 3%는 유지되며 위반의 중대성과 반복성 요건을 충족한 경우에 한해 상한선이 적용된다. 적용 기준이 되는 매출액은 국내 매출 기준으로 사고와 무관한 매출임을 입증할 경우 제외할 수 있다. 다만 과징금 강화만으로는 실질적인 보호 투자를 유도하기 어렵다는 판단 아래 예방 투자 기업에 대한 과징금 필수 감경 제도도 도입된다. 기존 법엔 예방 투자를 했더라도 과징금을 반드시 감경해야 하는 규정이 없었으나 개정법에 이를 명문화했다. 오는 9월부터 시행되며 시행령에서 구체적 감경 요건을 규정할 예정이다. 개인정보보호 관리체계 인증(ISMS-P) 제도도 대폭 강화된다. 현행 ISMS-P는 보안(ISMS) 인증만 의무화돼 있고 프라이버시(P) 인증은 자율에 맡겨왔다. 이번 개정법 통과로 대규모 통신·플랫폼 서비스 사업자와 주요 공공기관을 대상으로 프라이버시 인증도 의무화된다. 오는 2027년 7월 시행에 앞서 약 1년 반의 준비 기간이 부여될 예정이다. 인증 기준 자체도 높아진다. 국민 파급력이 큰 기업엔 현행 101개 항목에서 20개 이상을 추가한 강화 기준이 적용된다. 송 위원장은 "ISMS-P를 받은 280여 개 기업·기관 중 약 11%에서 사고가 발생한 것으로 나타났다"며 "인증이 최소한의 약속인 만큼 인증받은 대로 실제로 지켜지는지를 확인하는 체계가 필요하다"고 설명했다. 사후 관리 방식도 바뀐다. 현재는 3년의 인증 유효기간 내 사실상 점검이 없는 구조였으나 앞으로 유효기간 중 불시 현장 점검을 실시하고 심각한 문제가 확인되면 인증을 취소할 수 있도록 한다. 조사 협조를 거부하거나 자료 제출 명령을 이행하지 않는 경우에는 이행 강제금 부과도 추진한다. 공공기관 대상 보호 체계도 손질된다. 개인정보위는 최근 두 달간 680여 개 공공기관의 개인정보 보호 예산과 인력 현황을 전수 조사했다. 미국 정보기술(IT) 기업들이 IT 투자액의 13.2%를 보안에 쓰는 반면 국내 민간은 6.3%, 공공은 7.3%에 그친 것으로 나타났다. 송 위원장은 "인프라는 잘 돼 있는데 지키는 쪽은 허술한 상황"이라며 "조사 결과를 바탕으로 행정안전부, 재정경제부(옛 기획재정부)와 인력·예산 확충 협의를 진행 중"이라고 말했다. 개인정보위는 사후 제재 강화와 함께 예방 중심의 체계로 전환도 병행 추진한다는 방침이다. 개인정보 보호 중심 설계 인증을 법제화해 기기·서비스 설계 단계부터 프라이버시 위험을 반영하도록 유도한다. 현재까지 키오스크, 로봇청소기, 가정용 CCTV 등을 대상으로 시범 인증을 운영해 왔으며, 이를 본격적으로 확대한다는 계획이다. 권태일 한국IT전문가협회 회장(빅썬시스템즈 대표)은 이날 인사말을 통해 "기술적 진보만큼이나 개인정보를 지키는 균형 잡힌 제도와 체계가 중요하다"며 "현장에 있는 우리 IT 전문가들도 윤리적인 책임감을 갖고 함께 지혜를 모아야 할 때"라고 강조했다.

2026.04.08 10:13이나연 기자

쿠팡 사태로 '예스24' 랜섬웨어 뒷전...조사만 9개월째

예스24 랜섬웨어 해킹 사건이 발생한지 9개월이 지났음에도, 개인정보위원회의 조사가 지연되고 있다. 기술 지원을 나갔던 한국인터넷진흥원(KISA)은 이미 결과 자료를 보냈지만, 피해 경위·규모 종합 발표와 과징금 등 제재 수위 결정이 계속 미뤄지고 있는 것이다. 정부는 지난해 쿠팡 사태 등 잇단 침해사고가 발생하면서 피해 규모나 영향이 큰 사건부터 처리하다 보니 조사 결과 발표가 늦어지고 있다는 입장이다. 29일 과학기술정보통신부와 KISA에 따르면 이들은 예스24 측에 지난해 6월 발생한 랜섬웨어 관련 해킹 사건 기술 지원 결과 자료를 같은 해 가을경 전달했다. 당시 예스24는 랜섬웨어 공격으로 인해 닷새간 홈페이지, 스마트폰 앱 접속이 마비됐다가 서비스를 순차적으로 재개했다. 이 때 예스24는 시스템 점검으로 서비스가 일시적으로 제한된다고 공지했으나, 정치권에서 자료를 통해 랜섬웨어로 인한 서비스 장애라는 사실이 밝혀지며 결국 해킹 사실을 시인한 바 있다. 지원 종료 OS 사용 등이 원인 중 하나…백업 시스템 보완 권고 KISA는 정보통신망법 제48조 3에 따라 침해사고가 발생하면 정확한 원인 분석과 대응조치 방안을 지원한다. 구체적으로 발생 원인 및 침투 경로를 분석하고, 침해사고를 당한 기업에 대응조치 방안을 안내한 후 재발방지를 위해 침해 원인을 제거하는 작업에 착수한다. 랜섬웨어 피해 당시 예스24는 KISA에 적극 협조하고 있다고 주장했지만, KISA의 기술지원을 거부했던 사실이 뒤늦게 밝혀져 비난을 샀다. 이후 결국 예스24는 KISA의 기술지원을 받았으나, 침해사고 발생 약 9개월이 흐른 현재까지 종합적인 조사 결과를 발표하지 않아 피해 규모나 경위를 파악할 수 없는 상황이다. KISA가 전달한 기술 지원 결과 자료에는 사고 신고 시점과 원인, 보완 조치 방안들이 담겼다. 예스24는 사고 발생 당일인 지난해 6월 9일 신고를 접수했으며, 원인은 알려진 바와 같이 랜섬웨어로 밝혀졌다. 기술 지원이 지난 윈도 운영체계(OS)를 사용한 것 또한 사고 발생 원인 중 하나로 꼽힌다. 예스24는 윈도 서버 2018과 윈도 서버 2012를 병행 사용하고 해왔는데, 이 중 전체 시스템의 5%를 출시 13년이 넘은 윈도 서버 2012로 운영해왔다. 윈도 서버 2012는 2023년 10월 공식 지원이 종료돼 제작사인 마이크로소프트(MS)의 보안 패치 업데이트를 받을 수 없어 사이버 공격에 취약해질 수밖에 없다. 예스24에 침투한 랜섬웨어는 업무망, 서비스망 등에 접근해 악성코드를 감염시켰다. 당시 예스24는 공격자에게 수십억원 상당의 암호화폐를 지불하는 식으로 서비스를 복구한 것으로 알려졌다. 단, 이에 대한 사실유무를 회사 측이 밝힌 적은 없다. 이후 2개월 뒤 예스24는 또 다시 랜섬웨어 공격에 당해 서비스가 마비됐다. 보안업계에 따르면 한 번 랜섬웨어 공격에 타깃이 되고 금전을 지불해 협상에 응하게 되면, 공격자들 사이에서 타깃이 되기 십상이다. 다만 두 번째 공격에서 예스24는 백업 데이터를 통해 7시간 만에 서비스를 복구했다. 현재까지 상황을 요약하면 예스24는 1차 랜섬웨어 당시 KISA의 기술지원 절차가 완료됐고, 2차 랜섬웨어 때에는 백업 데이터로 복구했다. 서비스를 지속하기 위한 조치는 한 셈이다. 그러나 침해사고 과정에서 개인정보 유출이 있었다면, 피해 경위 및 규모 파악 외에도 과징금 부과 등 제재 절차가 남아있다. 과학기술정보통신부 및 개인정보보호위원회 등 유관기관은 침해사고 이후 위법사항이 발견되면 행정조치나 과징금 부과 등 제재를 가한다. “침해사고 조사, '선입선출' 아니다…파급 큰 사건부터 해결하느라 지연” 예스24 랜섬웨어 사태에 대한 기술적인 조치는 마쳤지만, 행정적인 절차는 끝맺음을 짓지 못하고 있다. 지난해 이례적으로 대형 침해사고가 연달아 터지면서 조사 인력 부족, 대형 침해사고 선결 등의 이유로 조사 단계에만 방치된 모양새다. 개인정보위 관계자는 예스24의 조사 결과 발표 지연과 관련해 “개인정보 유출신고에 대한 조사는 '선입선출' 식이 아니다”라며 “쿠팡이나 KT처럼 사건의 중요도에 따라 먼저 진행하는 식이기 때문에 다른 사건의 경우 조사가 지연되는 경우가 있다”고 밝혔다. 과기정통부 관계자는 “지난해 통신사 해킹 사태 등과 같이 큰 사고는 대대적인 조사를 통해 조사 결과를 발표한다”면서 “(예스24 랜섬웨어 사태는) 민관합동조사단이 꾸려지지 않아 특별히 조사 결과를 발표하지 않았던 것”이라고 설명했다. 사안이 큰 침해사고를 우선적으로 조사하기 때문에 조사가 지연되고 있다는 것이 관계부처의 중론이다. 실제 전문가들도 예스24 조사 결과 발표 지연과 관련해 같은 견해를 내비치고 있다. 이용준 극동대 해킹보안학과 교수는 “개인정보위, 과기정통부 등 여러 주무부처가 침해사고 조사 과정에 투입되다 보니 부처 간 합의점을 도출하기까지 시간이 오래 걸린다”며 “지난해 이례적으로 많은 사고가 터지다 보니 개인정보위와 과기정통부에 조사가 많이 밀려 있는 상태”라고 설명했다. 이 교수는 이어 “뿐만 아니라 조사에 투입되는 인원들이 대형 로펌 등으로 이직하는 경우가 잦아 조사 자체에 투입되는 인력이 부족한 상황”이라면서 “사고 조사에 투입되는 인원들에 대한 증원이 필요한 상황”이라고 말했다. 익명을 요구한 보안업계 관계자는 “과기정통부나 개인정보위가 쿠팡 사태 조사로 예스24에 대한 관심은 뒷전”이라며 “명확히 구분하면 과기정통부는 침해 경위 등에 대해 조사 결과를 발표하고, 개인정보위는 유출 사실에 대한 위법 사항을 살펴보고 징계를 내리는 부처다. 과기정통부, 사고조사기관, KISA가 합의점을 도출해 침해 경위를 밝히고, 개인정보위 역시 조사를 끝마쳐야 하는데 이런 합의가 미뤄지고 있는 것으로 보인다”고 설명했다. 결국 정확한 침해 경위 파악과 함께 개인정보 유출 시 매겨질 과징금 산정이 남은 절차다. 이 과정에서 짚어야 할 대목은 보안 조치 의무 위반, 개인정보보호법 위반 등의 사항이다. 현행 정보통신망법은 침해사고 발생 정황 인지 시점 24시간 내에, 개인정보 유출 사실은 유출 시점 인지 72시간 이내 당국에 신고하도록 규정하고 있다. 이를 어길 시 최대 3000만원의 과태료를 부과받을 수 있다. 예스24 해킹 사건의 경우 개보위 측은 회사의 신고를 받고 조사에 착수했으며, 신고 시점은 지난해 6월 11일이다. 예스24가 사고를 인지했다고 공지한 시간은 6월 9일 새벽 4시경이다. 개보위 관계자는 “6월 9일은 예스24에서 침해 사고를 인지했다고 주장한 시점”이라며 “기록 등을 보면서 정확한 조사 결과가 나와야 인지 시점이 맞는지 추정해볼 수 있다”고 설명했다. 예스24는 “(종합)조사 결과 기다리고 있다”며 “조사 결과에 대해 하나하나 이야기하는 것은 맞지 않다. 전체적인 결과를 종합적으로 봐야한다”고 답했다.

2026.03.29 08:00박서린 기자

[법과 상식 사이] 업무용 차랑 블랙박스, 안전 기록인가 감시 장치인가

도로 위에서 블랙박스는 가장 객관적인 목격자로 여겨진다. 사고 순간을 기록해 책임을 가리고 분쟁을 줄여준다는 인식이 강해지면서 이제는 자동차의 필수 장비처럼 자리 잡았다. 기업이 업무용 차량에 블랙박스를 설치하는 것도 회사 자산을 보호하고 사고에 대비하기 위한 자연스러운 조치로 받아들여진다. 하지만 시선을 조금만 달리하면 전혀 다른 질문이 떠오른다. 블랙박스는 단순한 사고 기록 장치일까, 아니면 그 안에서 일하는 사람을 상시 기록하는 장치일까. 사무실 책상 위에 카메라를 늘 켜 두는 것에는 강한 거부감을 느끼면서도 이동하는 노동 공간인 차량 내부의 기록에는 상대적으로 관대한 시선이 존재한다. 그렇다면 업무용 차량이라는 이유만으로 그 안에서 일하는 사람의 프라이버시는 덜 중요해지는 것일까. 블랙박스는 차량 장비가 아니라 개인정보 처리 장치 법의 관점에서 보면 블랙박스는 단순한 차량 장비가 아니라 사람의 모습을 촬영하는 장치가 될 수 있다. 개인정보보호법에 따르면 사람의 얼굴이나 행동이 촬영된 영상으로 개인을 식별할 수 있다면 그 영상 역시 개인정보에 해당한다. 차량 내부 촬영 기능이 있는 경우에는 운전자의 얼굴과 행동뿐 아니라 동승자의 모습까지 기록될 수 있고, 일부 장치에는 음성 녹음 기능까지 포함돼 있어 차량 상태뿐 아니라 사람의 모습과 대화까지 수집될 수 있다. 문제는 이러한 장치가 설치된 차량이 운전자나 직원이 하루의 상당 시간을 보내는 '노동 공간'이라는 점이다. 차량이 단순한 이동수단을 넘어 하나의 근무 공간이 되는 만큼 블랙박스는 설치 자체보다 어떻게 사용되는지가 더 중요한 법적 문제가 된다. 사고 대응을 위해 설치된 장치가 근태 관리나 징계 자료로 활용되기 시작한다면 그 법적 성격을 달라질 수 있다. 안전을 위한 기록 장치가 직원의 행동을 관찰하는 감시 장치로 기능하게 되기 때문이다. 특히 차량 내부 음성 녹음 기능은 사적인 대화까지 자동으로 기록할 수 있어 법적 논란이 커질 가능성이 있다. 차량 내부에서 이뤄지는 대화는 통상 공개되지 않은 대화로 평가될 수 있어 통신비밀 침해 문제가 제기될 여지도 있다. 블랙박스 규제의 제도적 공백 이 지점에서 제도적 기준의 차이가 드러난다. 택시와 버스 같은 여객자동차의 블랙박스는 법률에 의해 비교적 엄격하게 규율된다. 여객자동차운수사업법은 영상기록장치의 설치 사실을 이용자에게 알리도록 하고, 수집된 영상의 목적 외 이용을 제한하며 특히 녹음 기능을 이용한 음성 기록을 금지하고 있다. 승객과 운전자의 사생활을 보호하기 위한 장치다. 반면 일반 회사 차량의 블랙박스에 대해서는 이처럼 구체적인 규정이 거의 없다. 택시는 승객 보호를 이유로 음성 녹음이 금지되지만 회사 차량에서는 직원의 대화가 기록될 가능성이 남아 있는 구조가 만들어질 수 있다. 현실에서는 많은 회사 차량이 블랙박스를 운영하고 있지만 설치 목적, 열람 권한, 보관 기간, 활용 범위에 대한 기준은 대부분 회사 내부 판단에 맡겨져 있다. 회사 소유 장비라는 이유로 접근 권한을 별도로 관리하지 않거나 관리자 외의 직원도 영상을 확인할 수 있는 경우가 적지 않으며, 열람 역시 사고나 분쟁과 같은 목적에 한정되지 않고 이뤄지는 관행이 나타나기도 한다. 이러한 규범적 공백 속에서 블랙박스는 어떤 조직에서는 안전장치로 작동하지만 다른 조직에서는 감시 도구로 변할 수 있다. 블랙박스의 해법은 '운영의 투명성'이다 결국 본질은 블랙박스의 설치 여부가 아니라 운영의 투명성에 있다. 블랙박스가 안전 장비가 될지 감시 도구가 될지는 회사가 설정한 목적과 운영 절차에 의해 좌우되기 때문이다. 회사는 블랙박스의 용도를 사고 대응과 안전 관리로 한정하고 이를 근태 관리나 징계의 증거로 사용하지 않는다는 원칙을 명확히 해야 한다. 특히 법적 리스크가 큰 음성 녹음이나 과도한 내부 촬영 기능은 사용하지 않는 것이 바람직하다. 또한 회사 차량이 운전자에게 하나의 근무 공간이라는 점을 고려한다면 영상 열람 시에는 반드시 정보 주체인 운전자의 동의와 제3자의 참관 등 절차적 정당성을 확보하는 것도 중요하다. 결국 블랙박스 문제의 핵심은 기술이 아니라 신뢰의 설계다. 노사 간 합의된 운영 원칙이 없다면 기록 장치는 안전을 위한 증거가 아니라 서로를 의심하게 만드는 감시의 눈이 될 수 있다. 회사는 블랙박스를 단순한 자산 보호 장치를 넘어 근로자의 안전을 보장하고 불필요한 오해를 줄이는 공정한 관리 도구로 운영해야 한다.

2026.03.18 15:32안정민 컬럼니스트

AI 학습 데이터 빗장 푼다…개인정보 AI 특례, 절차·기준 모호성은 숙제

'개인정보 인공지능(AI) 특례안'이 AI 학습 데이터 활용의 물꼬를 틀 수 있는 입법으로 주목받는 가운데, 절차적 복잡성과 기준의 모호성을 해소해야 한다는 법조계 진단이 나왔다. 이강혜 법무법인 태평양 변호사는 13일 서울 중구 한국지능정보사회진흥원(NIA)에서 개인정보보호법학회와 법무법인 태평양이 공동 주최한 'AI 시대, 다시 데이터를 고민하다' 세미나에서 "AI 기술 개발엔 다량의 학습 데이터가 필수적이지만 현행법상 동의나 계약 이행 근거만으로는 대규모 데이터 처리에 한계가 있다"고 밝혔다. 현행 개인정보보호법은 수집 시 정해진 목적 범위 내에서만 데이터를 활용하도록 규정하고 있다. 사업자들은 이를 AI 학습에 활용할 수 있는지를 두고 법적 불확실성이 있었다. 가명 처리 특례도 있지만 사람의 표정 등 고도화된 AI 기능 개발은 가명 처리만으로 충분하지 않다는 의견이 꾸준히 제기된 이유다. 규제 샌드박스를 활용하는 방법도 있으나, 한시적 특례인 탓에 기업이 장기적·안정적으로 사업을 추진하기엔 부족하다는 지적이다. 이 변호사는 "이번 특례안은 적법하게 수집된 개인정보를 정해진 요건 내에서 AI 기술 개발에 활용할 수 있도록 법적 근거를 명확히 한다는 점에서 의미가 있다"고 설명했다. 개인정보 AI 특례안의 핵심은 수집 목적 외 개인정보 처리를 예외적으로 허용하되, 엄격한 요건을 부과하는 구조다. 익명·가명 처리로 AI 개발이 어려운 경우나 기술적·관리적·물리적 보호 조치가 된 공간에서 처리할 때, 공익 증진이나 기술 혁신 목적이면서 정보 주체의 이익 침해 우려가 현저히 낮은 경우 등 3가지 실체 요건을 모두 충족해야 한다. 여기에 개인정보보호위원회의 사전 심의·의결이라는 절차적 요건도 거쳐야 한다. 민감 정보나 고유식별정보가 포함된 경우 위험 요인 평가를 실시하고 그 결과를 보호위에 제출해야 한다. 심의·의결 내용은 개인정보 처리방침에도 공개해야 한다. 개인정보보호위원회는 심의 이후에도 주기적으로 이행 여부를 관리·감독하고, 필요시 관계자에게 자료 제출을 요구할 수 있다. 지난 1월 발의안과 달리 이달 개정안에선 기존 심의·의결 내용과 실질적으로 동일하거나 유사한 경우 절차를 간소화할 수 있는 조항이 추가됐다. 다만 이 법안이 AI 산업 현장의 기대를 온전히 충족하기엔 넘어야 할 과제가 있다는 지적도 나온다. 이소은 광운대 법대 교수는 개인정보 AI 특례안의 구성이 AI 사업자보다 정보 주체의 이익 쪽으로 치우쳐 있다는 점을 지적했다. 3가지 실체 요건을 모두 갖춰야 하는 데다 사전 심의까지 받도록 한 구조는 AI 기술 개발의 속도를 고려할 때 산업 경쟁력을 저해할 수 있다는 우려다. 이 교수는 '사회적 이익 증진'이나 '기술 혁신 촉진'이라는 요건이 너무 광범위하다는 이유로 목적 요건의 포괄성도 지적했다. 대부분의 AI 개발이 이를 충족하게 되면 사실상 변별력이 없어진다는 것이다. '침해 우려가 현저히 낮은 경우'라는 문구도 판단 기준이 불명확하다고 짚었다. 이 교수는 "현행법 제15조 제1항 제6호의 '정당한 이익' 조항도 기준이 모호해 실무에서 거의 활용되지 못하고 있다"며 "같은 문제가 반복될 수 있다"고 말했다. 이 변호사 역시 "사전 심의 절차가 길어질 경우 AI 개발의 적시성이 훼손될 수 있다"며 "사후 규제 방식에 대한 검토도 병행할 필요가 있다"고 덧붙였다.

2026.03.13 16:46이나연 기자

정보유출 롯데카드 주민번호도 암호화없이 저장…개보위 과징금 철퇴

약 300만명에 가까운 개인신용정보를 유출한 롯데카드에 대한 개인정보위원회(개인정보위) 과징금 수준이 예상보다 낮게 나와 이유에 대한 관심이 쏠린다. 12일 정부서울청사에서 열린 개인정보위 브리핑에서 개인정보위는 전체회의를 거쳐 롯데카드에 과징금 96억 2000만원, 과태료 480만원을 부과 처분한다고 밝혔다. 롯데카드서 유출된 개인정보(이름·주민등록번호·주소·전화번호 등)는 물론이고 결제에 필요한 카드·CVC 등이 해킹돼 부정적 파급력이 높다는 점, 전체 매출액의 3% 이하로 과징금을 부과할 수 있다는 점을 감안하면 과징금은 그리 높지 않은 수준이다. 2024년 연결 기준 롯데카드의 전체 매출액은 3조 348억원이다. 개인정보위는 '솜방망이' 처벌에 대해 강력히 부인했다. 윤여진 개인정보위 조사1과장은 "롯데카드 과징금은 주민등록번호를 과도하게 수집하고 처리한 부분에 대한 과징금"이라며 "결제 정보나 개인정보에 대한 유출 피해 등과 관련한 것은 금융당국이 관여한다"고 설명했다. 즉, 개인정보위는 약 297만명의 개인정보유출에 대해 법적 판단을 한 것이 아닌 롯데카드가 개인정보법 24조 2항을 위배해 과도하게 주민등록번호를 수집해 로그에 저장하고, 이 주민등록번호를 암호화하지 않았다는 처리 위반 사실에 대해서만 과징금 처리했다는 것이다. 개인정보위는 롯데카드 정보 유출에 대한 금융감독원의 신고를 받고 조사에 나섰으며, 로그에 주민등록번호 13자리가 어떠한 암호화조치도 되지 않은 채 저장된 건 49만건을 확인했다. 더불어 온라인 결제 약관에 주민등록번호를 수집해 로그에 기록했으며 이 역시도 제대로 처리되지 않았다. 윤 과장은 "개인정보위는 롯데카드의 정보 유출 위법성을 매우 엄중하게 바라보고 있다"며 "과징금 처분 시 최대 50%까지 감경이 가능한데 감경 사유에 해당하는 것도 포함시키지 않고 20%수준만 감경하는데 그쳤다"고 언급했다. 이어 그는 "다만 과징금은 전체 매출액 기준인데 롯데카드가 관련 매출액이 아닌 부분 을 입증해 온라인 결제 매출액만으로 (과징금을) 산정했다"며 "2년 여 동안 개인정보법 위반에 따른 과징금 가중 사유 50% 등이 있었으며 최종적으로 20% 과징금을 가중 처분하는 것으로 결정내렸다"고 말했다.

2026.03.12 10:48손희연 기자

개보위, 대규모 개인정보유출 롯데카드에 과징금 96억2천만원 부과

수백 만 건의 개인·신용정보를 유출한 롯데카드가 개인정보보호위원회(개인정보위)로부터 과징금 96억 2000만원, 과태료 480만원을 부과받았다. 개인정보위는 11일 4회 전체회의를 열고 롯데카드 온라인 간편시스템 해킹으로 로그 파일에 기록된 이용자 약 297만명의 개인신용정보가 유출, 45만명의 주민등록번호도 함께 유출된 사실을 확인하고 이 같은 처분 결과를 의결했다고 12일 밝혔다. 개인정보위는 2025년 9월 22일 금융감독원으로부터 신고 사실을 전달받아 조사에 들어갔으며, 개인정보 처리에 관한 개인정보보호법에 위반되는 사안을 중심으로 처분을 내렸다. 조사에 따르면 롯데카드는 온라인 결제와 관련한 로그에 주민등록번호를 포함한 다수의 개인정보를 평문으로 기록했다. 로그 파일에는 최소한의 개인정보만 기록해야 하지만 롯데카드가 로그에 주민등록번호를 포함한 다수 개인정보를 별도 검토없이 저장해온 것이다. 로그는 컴퓨터 시스템이나 네트워크 등에서 발생하는 일련의 작업이나 사건에 대한 기록을 의미한다. 이는 정보 주체 또는 제3자의 급박한 생명·신체·재산 이익을 위해 명백히 필요하다고 인정되는 경우 등 개인정보보호법 제24조 2항을 벗어나는 수준이었다고 개인정보위는 부연했다. 로그 파일에 대한 암호화 조치도 충분히 하지 않았다. 개인정보위는 이 같은 롯데카드에 과징금과 과태료를 부과하고 처분 사실을 사업자 홈페이지에 공표하도록 명령했다. 또 개인정보보호책임자(CPI) 책임·독립성 강화를 포함해 개인정보보호 체계 전반을 정비하도록 시정 조치를 내렸다. 개인정보위 측은 "롯데카드가 로그에 주민등록번호를 포함한 다수의 개인정보를 별도의 검토 없이 저장해온 것이 대규모 개인정보 유출로 이어진 원인 중 하나"라며 "법적 근거가 없거나 불필요함에도 주민등록번호를 관행적으로 처리하는지 여부와 관련해 금융분야 사업자들에 대한 사전 실태 점검을 3월 중 추진할 계획"이라고 설명했다.

2026.03.12 10:00손희연 기자

[법과 상식 사이] 단체 채팅방 초대, 괜찮을까

모임이나 조직 활동을 하다 보면 단체 채팅방을 만드는 일은 이제 일상이 됐다. 동호회 공지나 업무 연락을 위해 연락처를 이용해 채팅방에 초대하는 일도 흔하다. 그런데 이처럼 아무렇지 않게 이뤄지는 단체 채팅방 초대가 개인정보보호법 위반이 될 수 있다면 어떨까. 휴대전화 화면에 뜬 '단체 채팅방에 초대되었습니다'라는 알림 하나가 법적 문제로 이어질 수도 있다는 사실은 의외로 낯설다. 결론부터 말하면 단체 채팅방 초대가 항상 위법이 되는 것은 아니다. 다만 해당 초대가 순수한 사적 친목을 넘어 '업무'나 '조직 운영' 등 특정 목적을 가진 개인정보처리자에 의해 이뤄질 경우 법적 잣대는 엄격해진다. 그 연락처가 어떤 경로로 취득됐는지, 그리고 어떤 목적으로 이용되고 있는지에 따라 법적 평가는 달라질 수 있다. 개인정보보호법은 개인정보를 수집한 목적 범위를 벗어나 이용하거나 다른 사람에게 제공하는 경우 원칙적으로 정보 주체의 동의를 요구하고 있기 때문이다. 상황에 따라 달라지는 법적 책임 먼저 조직 운영이나 업무 과정에서 취득한 연락처를 이용하는 경우를 살펴보자. 회사, 협회, 학교 등에서 공지나 업무 연락을 위해 단체 채팅방을 운영하는 것은 비교적 적법성이 인정될 가능성이 높다. 다만 이 경우에도 해당 연락처가 처음 수집될 당시 공지나 구성원 소통 목적으로 활용될 수 있다는 점이 안내되어 있어야 하며, 구성원 역시 단체 채팅방 운영을 어느 정도 예상할 수 있어야 한다. 또한 채팅방 참여 범위를 조직 구성원으로 제한하고 연락처 명단이나 개인정보 파일을 게시하지 않는 등 개인정보 노출을 최소화하는 방식으로 운영할 필요가 있다. 반면 업무나 조직 활동 과정에서 취득한 연락처를 친목 모임이나 개인 홍보와 같은 사적 목적으로 사용하는 경우에는 위법성이 문제 될 수 있다. 개인정보보호법은 개인정보를 수집한 목적과 다른 용도로 이용하는 행위를 원칙적으로 제한하고 있기 때문이다. 업무상 알게 된 연락처를 이용해 개인적인 관심 표현 메시지를 보낸 사례에서 법원이 이를 목적 외 이용에 해당한다고 판단한 경우도 있다. 채팅방 구조가 만드는 뜻밖의 위험 단체 채팅방의 구조 자체도 중요한 판단 요소다. 많은 메신저 서비스에서는 채팅방에 참여하는 것만으로도 전화번호나 프로필 정보가 다른 참여자에게 노출된다. 법적으로 이러한 상황은 개인정보의 '제3자 제공'에 해당할 가능성이 있다. 개인정보보호법에서 제3자 제공이란 개인정보를 정보 주체가 아닌 다른 사람에게 전달하거나 열람할 수 있도록 하는 행위를 의미한다. 단체 채팅방 참여로 인해 연락처나 개인정보가 여러 참여자에게 공유된다면 단순한 소통을 넘어 동의 없는 개인정보 제공으로 간주될 수 있다. 이와 함께 혼동하기 쉬운 개념이 '목적 외 이용'이다. 목적 외 이용이란 개인정보를 처음 수집한 목적과 다른 용도로 사용하는 경우를 말한다. 예를 들어 업무나 조직 활동 과정에서 취득한 연락처를 친목 모임이나 개인 홍보, 호감 표현을 위해 사용하는 경우가 여기에 해당할 수 있다. 단체 채팅방 초대에서는 이 두 문제가 동시에 발생할 수 있다. 연락처를 새로운 목적으로 이용했다면 목적 외 이용 문제가 생길 수 있고, 채팅방 참여로 인해 다른 구성원에게 개인정보가 공유된다면 제3자 제공 문제도 함께 제기될 수 있다. 특히 전화번호 명단을 채팅방에 게시하거나 정보 주체의 의사와 무관하게 불특정 다수가 참여하는 방에 초대해 개인정보를 노출한 경우에는 민사상 손해배상 책임까지 지게 될 수 있다. 안전하게 운영하는 방법 이러한 분쟁을 예방하는 가장 안전한 방법은 단체 채팅방 참여 여부를 사전에 확인하는 것이다. 1대1 메시지를 통해 참여 의사를 묻거나, 초대 링크를 제공해 본인이 직접 참여하도록 하는 방식은 개인정보 이용에 대한 사전 동의 여부를 둘러싼 분쟁을 줄이는 데 효과적이다. 또 단체 채팅방 운영 목적, 참여 범위, 노출될 수 있는 개인정보 항목 등을 사전에 안내하거나 이에 대한 동의를 받는 방식 역시 법적 위험을 낮추는 데 도움이 된다. 결국 단체 채팅방 초대의 적법성은 초대 행위 자체보다 개인정보가 어떤 맥락에서 취득됐는지, 그리고 초대 과정에서 어떤 범위까지 공유되는지에 따라 판단된다. 일상적인 소통까지 법이 제한하려는 것은 아니지만 업무나 조직 활동 과정에서 취득한 연락처를 사용할 때는 정보 주체의 기대와 통제권을 존중하는 것이 기본이다.

2026.02.26 10:20안정민 컬럼니스트

명품 브랜드 SaaS 해킹 사태, 남일 아니다…클라우드 통제권 부각

루이비통·디올·티파니 등 글로벌 명품 브랜드 3곳이 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템 운영 과정에서 대규모 개인정보 유출 사고를 겪은 가운데, 기업 클라우드 통제권이 산업 전반의 화두로 떠오르고 있다. 19일 업계에 따르면 이번 사태는 단순한 보안 취약점 문제를 넘어 SaaS 중심 클라우드 구조 속에서 기업 데이터 통제권의 중요성을 드러낸 사례로 평가된다. 개인정보보호위원회(개인정보위)는 지난 11일 전체회의를 열고 개인정보보호법을 위반한 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아 등 3개 사업자에 총 360억 3300만원의 과징금과 1080만원의 과태료를 부과했다. 이들 기업은 SaaS 기반 고객관리 서비스를 운영하는 과정에서 개인정보 유출 사고가 발생했다. 루이비통은 직원 기기 악성코드 감염으로 SaaS 계정 정보가 탈취되며 약 360만 명의 개인정보가 세 차례에 걸쳐 유출됐다. 디올과 티파니 역시 SaaS 접근 권한 관리 과정에서 허점이 드러나 각각 195만 명, 4600여 명의 정보가 외부로 빠져나갔다. 표면상으론 해킹이나 피싱, 내부 관리 부실이 주요 문제로 지적되지만 업계에서는 이를 SaaS 기반 클라우드 운영 구조의 한계를 보여준 사례로 보고 있다. 고객 데이터는 기업 소유이나 실제 시스템 운영과 접근 권한 설정은 외부 SaaS 플랫폼 구조에 의존하는 만큼 통제 경계가 복잡해졌다는 분석이다. SaaS는 자체 서버에 소프트웨어(SW)를 설치하는 대신 인터넷을 통해 클라우드 형태로 제공받는 방식이다. 초기 구축 비용을 줄이고 유지관리 효율성을 높일 수 있어 많은 기업이 글로벌 SaaS를 도입하고 있지만, 데이터·계정·접근 권한 관리 역시 서비스 구조에 종속되는 특징을 갖는다. 특히 SaaS 환경에서는 '책임 공유 모델'의 경계가 모호해질 수 있다는 지적이 나온다. 인프라형 클라우드(IaaS)는 인프라를 제공하는 클라우드 서비스 기업(CSP)과 고객의 책임 구분이 비교적 명확하다. 반면 SaaS는 애플리케이션 보안 설정, 접근 통제, 로그 관리 등이 계약 조건과 사업자 정책에 따라 달라진다. 결과적으로 기업은 데이터를 보유하면서도 세부 운영 통제 범위는 제한될 수 있다는 의미다. 이 같은 문제는 SaaS 확산 흐름과도 맞닿아 있다. 시장조사업체 아스튜트 애널리티카에 따르면 기업들은 평균 110개 이상의 SaaS 애플리케이션을 사용하는 것으로 나타났다. SaaS가 늘어날수록 비용 중복, 가시성 부족, 거버넌스 리스크 역시 확대되는 구조다. 여러 SaaS에 데이터가 분산되면 기업 내부에서 전체 데이터 흐름과 접근 권한을 통합적으로 파악하기도 쉽지 않다. 국내 기업들도 고객관계관리(CRM)·협업툴·HR·마케팅 자동화 등 핵심 업무를 글로벌 SaaS에 의존하는 비중이 빠르게 확대되고 있다. 특히 멀티 SaaS 환경이 일반화되면서 기업 내부에서 데이터 흐름과 접근 권한을 통합적으로 관리하기 더 어려워지고 있다는 지적이 나온다. 해외 업계에서도 SaaS 확산에 따른 관리 난이도가 주요 과제로 지목된다. SaaS는 도입은 쉽지만 관리가 어렵고 누가 어떤 애플리케이션에 접근하고 있는지 지속적으로 관리하는 것은 쉽지 않다는 분석이다. 가시성이 확보되지 않으면 비용 통제뿐 아니라 데이터 거버넌스 측면에서도 공백이 생길 수 있다는 우려가 제기된다. 이번 제재 과정에서 개인정보위는 SaaS를 도입하더라도 개인정보 보호 책임이 면제되거나 전가되지 않는다고 강조했다. 규제 관점에서 결과 책임은 기업에 있다는 점을 재확인했다. 다만 업계에서는 실제 운영 통제 범위와 법적 책임 범위 사이의 괴리를 줄이기 위한 계약·관리 체계 보완이 필요하다는 의견도 나온다. ▲접근 로그의 실시간 확보 및 보존 범위 ▲데이터 저장 리전과 이전 가능성 ▲재위탁 사업자 운영 구조 ▲대량 다운로드 제한 정책 ▲사고 발생 시 통지 의무와 범위 등을 계약 단계에서 명확히 규정해 구체적인 통제 환경을 갖춰야 한다는 설명이다. 공공·금융 등의 시장에서도 인공지능(AI)과 클라우드 기반 서비스가 빠르게 확산되는 상황에서 SaaS 의존도는 더욱 높아질 전망이다. 마케팅, 고객관리, 협업, 인사관리 등 핵심 업무가 클라우드 플랫폼 위에서 구동되면서 기업은 점점 더 클라우드 구조 안에서 사업을 운영하게 된다. 이 과정에서 보안 강화 못지않게 데이터 접근 구조, 로그 확보 권한, 벤더 관리 체계 등 통제 가능한 거버넌스 설계가 중요해질 것으로 보인다. 업계 관계자는 "단순히 클라우드 서비스를 쓰는 것이 능사가 아니라 얼마나 통제 가능한 구조를 설계했느냐가 관건"이라며 "AI와 SaaS가 확산되는 상황에서 보안 솔루션을 덧붙이는 방식에 앞서 기업 스스로 데이터 흐름과 책임 구조를 처음부터 설계하는 접근이 필요하다"고 말했다.

2026.02.19 15:06한정호 기자

[법과 상식 사이] 이름도 개인정보가 아닐 수 있다?

“사람 이름을 아는 것만으로 개인정보 문제가 생길까?” 일상에서 우리는 수많은 사람의 이름을 알고 살아간다. 학교 친구의 이름을 기억하기도 하고 거래처 담당자의 이름을 휴대전화에 저장해 두기도 한다. 이름을 알고 있다는 사실 자체만으로는 대체로 법적 문제가 되지 않는다. 그럼에도 개인정보보호법을 이야기할 때 많은 사람들은 이름이나 연락처처럼 개인과 관련된 정보는 모두 법의 엄격한 보호 대상이라고 생각하는 경우가 적지 않다. 하지만 개인정보보호법에서 보호하려는 개인정보는 단순히 '개인과 관련된 정보'라는 의미보다 한층 더 구체적인 개념이다. 법은 특정 개인을 알아볼 수 있는 정보를 개인정보로 정의한다. 다시 말해, 정보의 종류보다 그 정보로 실제 개인을 식별할 수 있는지 여부가 중요하다. 이러한 기준 때문에 개인정보는 절대적으로 고정된 개념이 아니라 이용되는 환경과 결합 가능성에 따라 달라질 수 있는 상대적인 개념이 된다. 그래서 같은 이름이나 번호라도 어떤 상황에서는 개인정보가 되고, 어떤 경우에는 그렇지 않을 수 있다. 예를 들어 '김철수'라는 이름만으로는 동일한 이름을 가진 사람이 많아 일반적으로 특정 개인을 식별할 수 있다고 보기는 어렵다. 그러나 '○○고등학교 3학년 김철수'처럼 추가적인 속성 정보가 결합되면 누구인지 특정할 수 있는 가능성은 높아진다. 여기에 거주 지역이나 동아리 활동 정보까지 더해지면 식별 가능성은 현저히 증가한다. 직장 정보도 마찬가지다. '대기업 인사팀장'이라는 표현만으로는 특정 개인을 떠올리기 어렵지만 직원 수가 적은 회사에서 해당 직위를 가진 사람이 한 명뿐이라면 개인을 식별할 가능성이 생길 수 있다. 휴대전화 번호 전체는 개인을 식별할 수 있는 정보이지만 일부 숫자만으로는 특정 개인을 알아보기 어려운 경우가 많다. 다만 여기에 이름이나 직장 정보가 결합되면 다시 개인정보에 해당할 가능성이 높아진다. 결국 개인정보에 해당하는지는 정보의 내용만으로 기계적으로 판단되는 것이 아니라 조직 규모나 이용 환경 같은 맥락까지 함께 고려해 판단해야 한다. 개인정보 개념의 상대성 개인정보를 상대적인 개념으로 이해해야 한다는 점은 법 적용 과정에서 불확실성을 동반한다. 기술 수준이나 정보 결합 가능성에 따라 개인정보 해당 여부가 달라질 수 있어 규제 예측 가능성이 낮아진다는 비판도 존재한다. 그럼에도 법이 이러한 구조를 채택한 이유는 보호 대상을 미리 정해진 정보의 목록으로 한정할 경우 기술 발전과 함께 나타나는 새로운 식별 위험을 효과적으로 포착하기 어렵기 때문이다. 실제로 오늘날에는 위치정보, 온라인 활동 기록, 소비 패턴처럼 단독으로는 개인을 특정하기 어려운 정보라도 다른 데이터와 결합될 경우 특정 개인을 정밀하게 식별할 수 있다. 개인정보 보호가 요구되는 이유 역시 정보 자체를 보호하기 위해서라기보다 해당 정보를 통해 개인이 원하지 않는 방식으로 특정되거나 분석될 위험을 방지하기 위해서다. 이러한 맥락에서 개인정보보호법은 보호 대상을 개별 정보의 종류가 아니라 '개인을 식별할 수 있는 가능성'에 두고 있다. 가명정보는 여전히 보호대상 최근에는 통계 작성이나 연구를 목적으로 개인을 직접 식별할 수 있는 요소를 제거한 데이터 활용이 확대되고 있다. 그러나 이러한 정보가 곧바로 개인정보에서 제외되는 것은 아니다. 이름이나 주민등록번호와 같은 직접 식별 정보를 삭제하거나 대체하더라도, 다른 정보와 결합하거나 추가 분석을 통해 특정 개인을 다시 알아볼 수 있다면 해당 정보는 여전히 개인정보에 해당한다. 개인정보보호법은 이러한 중간 형태의 데이터를 '가명정보'로 구분한다. 가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보이지만 재식별 가능성이 완전히 제거된 것은 아니다. 이 때문에 가명정보는 일정 범위에서 활용이 허용되면서도 여전히 개인정보로서 법적 보호의 대상이 된다. 개인정보에 해당하는지는 단순히 식별 정보가 삭제되었는지 여부만으로 결정되지 않는다. 정보의 결합 가능성, 재식별에 필요한 비용과 기술 수준, 그리고 정보가 이용되는 환경까지 종합적으로 고려된다. 데이터 분석 기술이 발전할수록 과거에는 안전하다고 평가되었던 정보라도 다시 개인을 식별할 위험을 가질 수 있기 때문이다. 이러한 이유로 개인정보 판단 기준은 고정된 정보 목록이 아니라 기술 변화와 이용 맥락에 따라 유동적으로 해석될 수 밖에 없다. 이처럼 개인정보에 해당하는지는 정보의 형태만 보고 단순하게 판단할 수 없다. 핵심 기준은 결국 “이 정보로 특정 개인을 식별할 수 있는가”라는 질문에 있다. 같은 정보라도 이용되는 환경과 다른 정보와의 결합 가능성에 따라 개인정보가 될 수도 있고 그렇지 않을 수도 있다. 따라서 개인정보보호법을 이해할 때는 특정 정보의 명칭이나 유형에만 주목하기보다 해당 정보가 개인을 식별하거나 분석하는데 어떤 역할을 할 수 있는지를 중심으로 판단할 필요가 있다. 이러한 관점은 기술 변화 속에서도 개인정보 보호의 목적과 적용 범위를 일관되게 이해하는 출발점이 된다.

2026.02.12 17:06안정민 컬럼니스트

"개인정보 보호 체계, 사후 규제에서 사전 예방으로"

생성형 AI를 넘어 에이전틱 AI, 피지컬 AI 등으로 AI 기술이 빠르게 진화하는 가운데, 정부가 개인정보 보호 체계를 '사전 위험 예방 및 책임 강화' 중심으로 전환하겠다는 정책 방향을 제시했다. 한국정보통신진흥협회(KAIT)는 12일 오전 조선팰리스 서울 강남에서 국내 주요 AI 디지털 기업, ICT 유관기관, 학계 전문가, 정부 관계자 등 70여 명이 참석한 가운데 제12차 디지털 인사이트 포럼을 열었다. 이날 포럼은 AI 확산에 따른 개인정보 활용 증가와 보호 체계 재정립 필요성을 주요 의제로 다루며, 산업계와 정부 간 정책 방향을 공유하는 자리로 마련됐다. 최근 산업 전반에서 AI 학습과 자동화된 의사결정, 개인화 서비스 구현을 위해 대규모 개인정보 활용이 일상화되고 있다. 플랫폼, 금융, 의료, 모빌리티, 행정 등 다양한 분야에서 AI 도입이 확산되면서 산업 특성을 반영한 개인정보 보호 체계 고도화가 핵심 정책 과제로 부상하고 있다. 특히 의료 AI의 민감정보 처리 문제, 금융 AI의 자동화 의사결정 책임성, 모빌리티 분야의 위치정보와 영상데이터 활용 등 영역별 쟁점이 다양화되면서 획일적 규제에서 벗어난 정교한 정책 접근이 요구되고 있다. 최재유 포럼 공동의장은 “AI 시대에는 인공지능 기술 이외에도 데이터를 어떻게 책임 있게 축적, 활용하느냐가 기업 경쟁력을 좌우하게 될 것”이라며 “오픈클로, 몰트북과 같은 사례가 보여주듯이 기술 혁신과 함께 데이터 책임성과 신뢰 확보가 병행될 때 지속 가능한 성장과 발전이 가능하다”고 강조했다. 기조강연에 나선 송경희 개인정보보호위원회 송경희 위원장은 'AI 시대, 개인정보 보호 체계 대전환'을 주제로 정책 방향을 설명했다. 송 위원장은 “AI는 방대한 개인정보 활용을 전제로 작동하는 기술로, 개인정보 보호는 AI 신뢰성과 사회적 수용성을 좌우하는 핵심 요소”라며 “사후 규제 중심에서 벗어나, 사전에 위험을 막고 책임을 강화하는 방향으로 개인정보 보호 체계를 전환해야 한다”고 말했다. 이어, “AI 학습과 활용 과정의 개인정보 보호를 위해 제도적 기술적 지원을 강화하고, 기업 책임성 제고를 통해 신뢰 기반 AI 생태계를 조성하겠다”고 밝혔다. 한편, 이날 포럼에서는 회원사인 진인프라 최춘식 전무가 자사의 AI, 클라우드, 데이터센터 등 디지털 인프라 분야 사업 현황을 소개했다. 최 전무는 “진인프라는 20여 년간 공공, 금융, 민간 분야에서 IT 인프라 구축과 운영을 수행해왔으며, 클라우드와 AI 인프라를 결합한 디지털 전환(DX) 사업을 확대하고 있다”고 했다.

2026.02.12 10:05박수형 기자

[쿠팡 사태④] 3367만건 유출·1억4천만건 조회…유출-조회 차이는

쿠팡 침해사고 조사 결과에서 3367만여 건 '유출', 1억4천만여 회 '조회'라는 두 가지 수치가 함께 제시되면서 그 차이를 놓고 혼란이 일었다. 조사단은 “조회 역시 유출로 본다”는 입장을 분명히 하면서, 추후 개인정보보호위원회가 개별 정보를 모두 분리해서 유출 규모를 발표할 예정이라고 했다. 10일 과학기술정보통신부는 정부서울청사에서 민관합동조사단 조사 결과를 발표하며 "조회하는 순간 개인정보는 이미 통제권 밖으로 나가기 때문에 조회는 곧 유출"이라고 명확히 했다. 그럼에도 불구하고 조사 결과에는 '유출'과 '조회'가 나뉘어 제시됐다. 조사단에 따르면 3367만여 건 유출로 명시된 수치는 '내정보 수정' 페이지에서 확인된 성명과 이메일을 기준으로 산정됐다. 해당 페이지는 한 번 접속할 때마다 한 명의 성명과 이메일이 명확하게 노출되며, 접속기록(로그) 상에서도 개별 계정을 식별할 수 있어 정확한 건수 산정이 가능했다는 설명이다. 반면 배송지 목록 페이지의 경우 상황이 다르다. 이 페이지에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 성명, 전화번호, 주소, 마스킹된 공동현관 비밀번호 정보가 함께 포함돼 있다. 한 계정당 최대 20개까지 배송지를 등록할 수 있다. 조사단은 이 페이지가 1억4800만 회 이상 조회된 사실을 확인했지만, 페이지 안에 포함된 개인정보의 정확한 개별 건수를 현 단계에서 산정하기는 어렵다고 말했다. 이에 따라 조사단은 해당 페이지에 몇 번 접근했는지를 기준으로 조회 횟수를 발표했고, 이 조회 역시 개인정보 유출로 본다고 설명했다. 조사단 측은 “배송지 목록 페이지는 한 번 조회될 때마다 유출되는 개인정보의 개수가 사람마다 다르다”며 “이 안에 들어 있는 개별 정보를 모두 분리해 산정하는 작업은 개인정보보호위원회에서 최종적으로 판단할 사안”이라고 말했다. 조사단은 “조회라고 해서 책임이 가벼워지거나, 유출만 처벌 대상이 되는 것은 아니다”라며 “정보통신망법상으로는 조회와 유출을 모두 유출로 보고 있다”고 강조했다. 다만 개인정보보호법에 따른 유출 규모 확정과 과징금 산정은 개인정보보호위원회 소관이라고 덧붙였다. 조사단은 “조회·유출이라는 표현은 기술적 사실을 설명하기 위한 구분일 뿐, 법적 책임을 나누기 위한 구분은 아니다”라며 “최종적인 개인정보 유출 규모는 개인정보보호위원회의 판단을 기다려야 한다”고 밝혔다.

2026.02.10 16:50안희정 기자

Prev 1 2 3 4 5 Next