개인정보위, ‘개인정보 기술포럼’ 발족…온라인 맞춤형 광고 제도개선 방안
[데이터넷] 택배사 로젠이 택배 영업소장에 의한 고객정보 유출로 과태료 600만원을 부과받았다. 이외에도 엘지유플러스 게임사 컴투스 등 10개사가 개인정보 보호법 위반으로 8300여만원의 과징금, 3500여만원의 과태료를 부과받았다.
개인정보보호위원회에 따르면 로젠은 택배 영업소장이 개인정보를 조회할 수 있는 계정을 제3자에게 불법 제공해 고객의 개인정보를 유출시켜 개인정보보호법 안전조치 미흡 위반으로 과태료를 받았다.
배달대행 프로그램 바로고는 위탁받은 업무 범위를 초과한 개인정보 위반으로 시정명령을 받았다. 음식점 주문배달을 대행하기 위해 개인정보를 처리하는 수탁자로서 주문배달 정보는 해당 음식점의 배달업무에만 이용해야 하지만, 2014년 4월부터 2022년 4월까지 음식점에서 주문 이력이 없는 주문자의 전화번호를 입력하면 주문자가 이전에 타 음식점에서 이용했던 배달지 주소가 자동 조회·출력되도록 했다.
실수에 의한 개인정보 유출도 빈번
취약점 조치 미흡으로 인한 해킹사고로 개인정보 유출 사고도 발생했다. 엘지유플러스는 임직원 등의 교육시스템 내 일부 페이지에 로그인 없이 접근할 수 있었으며, 특수문자 차단 기능을 적용하지 않아 SQL인젝션 공격을 당해 임직원 메일 정보가 유출돼 다크웹에 게시되는 사고를 겪었다. 이에 600만원의 과태료를 부과받았다.
여행·숙박 중개 사이트를 운영하는 디아스타코리아는 해킹으로 이용자의 예약 내역이 유출되는 사고를 당했다. 해커는 쿠키 변조 보안취약점을 이용해 관리자 권한을 획득한 후 관리자 페이지에 무단접속, 개인정보를 유출했다. 디아스타코리아는 개인정보처리시스템을 운영하면서 취약점 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않아 과징금 8297만 원, 과태료 360만원 부과와 시정명령을 받았다.
실수에 의한 개인정보 유출 사고도 여럿 있다. 컴투스는 사내망에 건강검진 대상자를 공지하면서 임직원 연락처를 잘못 게시했고, 국립중앙박물관은 개인정보 포함 설문지를 책상위에 방치, 쓰레기장에 버려지는 실수를 저질렀다. 누리미디어는 경품 이벤트 당첨자를 공지하면서 비식별 처리된 당첨자 명단이 아닌 전체 참여자의 개인정보 파일을 잘못 게시했다.
나라사랑공제회는 홈페이지에서 로그인 없이 관리자 페이지에 접근할 수 있었으며, 정상북한산리조트는 홈페이지 기능 업데이트 과정에서 미완성된 소스코드를 적용해 타인의 예약정보가 조회되는 사고를 일으켰다.
개인정보 안전한 활용 중요
이번에 제재 받은 사례는 개인정보 유출 사고가 발생하는 거의 대부분의 사례를 담고 있다. 공격자들은 개인정보를 이용해 보이스피싱, 금융사기 등 다양한 공격을 진행하며, 기업·기관에 대한 APT·랜섬웨어 공격, 사회 중요 인프라 침투를 위한 초기 액세스 정보를 얻을 수 있는 단서로 활용하기도 한다. 그래서 개인정보는 공격자들이 가장 탐내는 정보로, 강력한 보안 기술과 정책으로 보호되어야 한다.
그런데 개인정보는 데이터를 이용해 새로운 시장을 만들고자 하는 기업·기관에게도 매우 중요한 자원이 된다. 데이터 경제 시대에 접어들면서 고급 개인정보는 고객·시장 맞춤형 서비스를 개발·제공하는데 필수로 요구된다. 그래서 우리나라는 마이데이터 서비스를 전 산업군으로 확대하는 한편, 특정인을 식별할 수 없는 가명처리된 정보는 본인 동의 없이 사용할 수 있게 했다.
데이터 활용에만 방점을 찍으면 개인정보 유출 피해가 발생할 수밖에 없다. 개인정보 보호에만 방점을 찍으면 데이터 활용이 어려워 데이터 경제 시대에 적응하지 못하고 도태된다. 그래서 개인정보를 안전하게 활용할 수 있는 방법을 마련하는 것이 매우 중요한 때가 됐다.
개인정보위는 한국인터넷진흥원(KISA)와 ‘개인정보 기술포럼’을 발족하고 개인정보의 안전한 활용을 위한 기술 개발에 나섰다. 이 포럼에는 학계, 산업계, 연구기관 등의 전문가 60여명이 참여하며, 개인정보 보호·활용을 위한 기술개발 활성화와 산업 생태계 발전방안 모색, 인적·기술적 핵심 기반 마련 등에 나선다.
이용자 사생활 보호할 수 있는 맞춤형 광고 지원
개인정보위는 산업계·전문가와 협력해 온라인 맞춤형 광고의 제도개선 방안을 마련하고 있다. 구글·메타의 개인정보 보호법 위반 제재를 통해 알 수 있듯 온라인 맞춤형 광고를 위해 무분별하게 수집·이용되는 개인정보·행태정보의 기존 처리 관행을 근본적으로 개선하기 위한 것이다.
SNS와 인터넷을 이용하는 사용자들은 자신의 행위가 수집·이용돼 맞춤형 광고에 사용된다는 사실을 정확하게 인지하기 어려운데다가 행위정보 수집을 거부할 방법도 없어 개인정보·사생활 침해 우려를 안고 있다. 또한 글로벌 기업의 맞춤형 광고에 대한 정책 변화로 국내 기업도 많은 기술적 변화가 진행되고 있어 제도 개선이 필요한 시점이다.
개인정보위는 맞춤형 광고분야 전문가와 함께 ‘맞춤형 광고 제도 개선 공동 작업반’을 구성했다. 여기서는 국내·외 맞춤형 광고 작동방식, 해외동향 등을 참고해 이용자의 사생활과 권리를 보호할 수 있는 제도개선 방향을 도출하고, 맞춤형 광고에 대한 선택권, 안전성·투명성·책임성 등을 확보할 수 있는 바람직한 제도개선 방안을 마련할 계획이다.
