사람들을 속여 개인정보나 돈을 뜯는 이른바 '피싱 범죄' 수법이 갈수록 다양해지고 있다. 전통적인 피싱 범죄가 불특정 다수를 대상으로 그중 일부가 속길 기대하는 '투망식'이었다면, 이젠 특정 개인이나 조직을 정밀하게 목표로 삼는 '작살형'으로 진화했다. 전문가들은 피싱 범죄가 교묘해지고 있는 만큼 우선 예방 차원에서 스스로도 조심할 필요가 있다고 조언한다. 26일 경찰 등에 따르면 지난 19일 오후 6시께 서울 영등포경찰서 112상황실에 "아는 동생 A씨가 납치된 거 같다"는 신고가 접수됐다. 당시 신고자는 A씨의 SNS 계정으로 '동생을 납치했으니 돈 3000만원을 보내지 않으면 일본으로 데려가겠다'는 메시지와 청테이프로 A씨의 얼굴과 몸을 결박한 사진을 전달받았다. 신고자는 A씨의 안전이 우려돼 경찰에 신고한 것으로 전해졌다. 경찰은 A씨의 SNS를 통해 인적사항을 확인했지만, 주민등록상 주소지와 실거주지가 일치하지 않았다. 지역 경찰과 형사들은 약 4시간 동안 단서를 확보해 A씨의 실거주지를 확인했다. 이후 경찰은 A씨를 위치추적과 연락을 통해 신변에 이상이 없는 것을 파악한 뒤 해당 연락이 피싱 사기임을 확인했다. 이처럼 특정 개인을 목표로 한 피싱 범죄 사례가 갈수록 늘고 있다. SNS를 통해 개인 정보 수집이 쉬워진 데다가 특정인을 겨냥할 경우 피싱 메시지를 더 정교하게 구성해 낚을 수 있는 가능성이 더욱 높아지기 때문이다. 금융감독원이 발표한 '2023년 보이스피싱 피해 현황 분석' 자료에 따르면 지난해 보이스피싱 피해자 수는 감소했지만, 피해액은 1965억원으로 전년 1451억원 대비 35.4%(514억원) 늘어났다. 같은 기간 1인당 피해액 역시 1100만원에서 1710만원으로 전년 대비 약 55.5%(610만원) 증가했다. 올해 피싱 피해액 역시 증가 추세다. 경찰청에 따르면 올 1~7월 보이스피싱 피해액은 3909억원으로 전년 대비 61% 증가한 것으로 집계됐다. 월평균 피해건수는 1676건, 피해액만 558억원에 달한다. 문제는 피싱 범죄가 투망식에서 작살형으로 진화하면서 갈수록 교묘해지고 있다는 점이다. 최근에는 인공지능(AI)을 이용한 딥보이스, 딥페이크도 등장하면서 범죄 수법이 더욱 정교해지고 있는 상황이다. 실제 지난 5월 부산에선 AI 딥보이스 기능을 활용해 피해자의 딸과 비슷한 목소리를 만들어 범행에 이용한 보이스피싱 조직 현금 인출책이 검거되기도 했다. 범죄 수법이 교묘해지면서 향후 더 큰 피해 사례가 나올 수도 있다는 우려가 나온다. 전문가들은 1차적인 피해 예방을 위해 개인정보를 노출하지 않는 등 피싱 범죄 표적이 되지 않도록 스스로 신경쓸 필요가 있다고 조언했다. 이윤호 동국대 경찰행정학과 교수는 "과거에는 투망식 피싱이 유행이었다면 요즘은 표적을 정해놓고 사기를 치는 작살형이 가장 유행하고 있다"며 "갈수록 기술이 진화하면서 누구도 안전하지 않게 된 만큼 예방 차원에서 SNS에 개인정보 공개 행위를 자제하는 등 스스로 조심할 필요가 커졌다"고 말했다. welcome@fnnews.com 장유하 기자

[파이낸셜뉴스] 인공지능(AI) 개발과 서비스에 활용되는 공개된 개인정보의 안전한 활용 방안을 모색하는 논의가 시작된다. 개인정보보호위원회는 오는 3일 민간 전문가 및 관계부처 등이 참석한 'AI 프라이버시 민·관 정책협의회' 2차 전체회의를 열고 AI 개발·서비스를 위한 공개된 개인정보 활용 가이드라인을 논의한다고 2일 밝혔다. 챗GPT 등 대규모 언어모형(LLM) 개발의 핵심원료인 공개된 데이터에는 개인정보가 포함되어 있지만, 명확한 규율체계가 없어 회색지대가 발생하고 현장 불확실성이 높았다. 이는 AI 학습에 필수적인 공개된 데이터 활용의 제약요인으로 작용했고, 공개된 데이터를 안전하게 활용하기 위한 기준 마련이 시급하다는 지적이 지속적으로 제기된 바 있다. 개인정보위는 지난해 11월부터 데이터 처리기준 분과를 중심으로 전통적 개인정보 처리와 구분되는 AI 학습·서비스의 특성, 공개된 개인정보 처리에 수반되는 프라이버시 위험 등을 종합적으로 고려해 국내 개인정보 보호법제를 보완하는 가이드라인 마련 작업을 진행해왔다. 이번 협의회에서는 공개된 개인정보의 안전한 활용 관련 주요 법적·기술적 쟁점사항을 비롯해 AI 개발·서비스 단계별로 공개된 개인정보를 적법하고 안전하게 처리하기 위한 기준 등을 담은 'AI 개발·서비스를 위한 공개된 개인정보 활용 가이드라인(안)' 주요 내용을 공유했다. 개인정보위는 이날 민간 전문가 및 관계부처가 제시한 의견을 검토·반영하고 전체회의 등을 거쳐 이달 중 가이드라인을 확정·발표할 방침이다. 김병필 카이스트 교수(데이터 처리기준 분과장)는 “국제적으로는 대규모 AI 모형을 학습하기 위한 데이터가 조만간 고갈될 수 있다는 우려까지도 제기되고 있으나 우리는 기존에 축적된 데이터도 충분히 활용하지 못하는 실정”이라며 “온라인상 공개된 정보를 AI 학습에 안전하게 활용할 수 있는 적절한 가이드라인을 통해 현장의 불확실성을 낮출 필요가 있다”고 강조했다. 공동의장인 배경훈 LG AI연구원장은 “생성형 AI의 발전은 점점 더 많은 학습데이터를 필요로 하고 있으며, 안전한 공개 데이터 활용은 더욱더 중요해지고 있다”며 “이에 AI 프라이버시 민·관 정책협의회에서 마련한 가이드라인은 시의적절하게 그 방향성을 제시하고 있으며, 앞으로도 다양한 이해관계자들과 협의를 통해 개인정보 보호와 AI 기술발전이 상호 보완적으로 이루어지는 건강한 생태계를 조성해나갈 수 있기를 기대한다”고 말했다. 고학수 개인정보위 위원장은 “미국, 영국, 프랑스 등 주요국도 웹 스크래핑 방식으로 수집한 공개된 개인정보를 안전하게 활용하기 위한 사회적 논의를 본격화하고 있으며, 이러한 국제적 흐름에 발맞추어 혁신을 저해하지 않으면서 국민이 신뢰할 수 있는 기준이 마련될 수 있도록 지속적으로 의견을 수렴해 나가겠다”고 말했다. yjjoe@fnnews.com 조윤주 기자

개인이 직접 SNS 등에 공개한 개인정보는 무제한으로 활용할 수 있을까? 또는 명함을 주고받으면서 얻게 된 상대방의 명함정보는 어느 범위까지 활용이 가능할까? 명함에 있는 연락처로 연락할때도 개인정보 동의 필요할까? 개인정보 보호법에 따르면 개인정보를 이용하기 위해서는 정보주체의 동의를 받아야 한다. 그런데, 이 때의 동의는 명시적·사전적이어야 하므로 개인정보 이용에 관한 동의를 받는다는 사실을 명확히 알리고 동의를 받아야 하고 개인정보를 이용하기 전에 미리 동의를 받아야 한다. 명함에 있는 연락처로 연락할때도 개인정보 동의 필요할까? 그렇다면 SNS 등 공개된 매체에서 개인정보를 수집하여 이용하는 경우에도 그 정보의 주인에게 연락하여 "당신의 정보를 수집하여 이용해도 되나요?"라는 허락을 받아야 하고, 업무를 위해 명함에 있는 연락처를 이용하는 경우에도 "앞으로 이 연락처로 연락해도 될까요?"라고 의사를 확인한 뒤에 이용해야 것일까? 이에 대한 해답 또한 개인정보 보호법 안에 있다. 개인정보 보호법의 하위법령인 '표준 개인정보 보호지침'이라는 고시를 보면 정보주체로부터 직접 명함 등을 제공받음으로써 개인정보를 수집하는 경우나 인터넷 홈페이지 등에서 개인정보를 수집하는 경우에는 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서 동의를 받지 않고도 개인정보를 이용할 수 있다고 정하고 있다. 결국 '사회통념상 동의 의사가 있었다고 인정되는 범위까지만 이용할 수 있다'가 정답인데, '사회통념'이라는 용어의 낯설음만큼이나 이를 정확히 판단하기가 쉽지 않다. 실제로 '사회통념상 동의 의사가 있었다고 인정되는 범위'에 포함되는 여부가 문제가 된 경우가 있다. 인물정보를 제공하는 사이트에서 학교 홈페이지 등을 통해 수집한 교수의 개인정보(사진, 성명, 성별, 직장, 학력, 경력 등)를 유료로 이용자에게 제공한 행위에 대해 해당 교수가 자신의 동의없이 개인정보를 공개하였다고 문제삼은 사건이었는데, 법원은 '사회통념상 동의가 있었다고 인정되는 범위 내인지' 여부는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 정보주체의 공개 의도 내지 목적, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 종합적으로 검토하여야 한다고 판단하였다. 법원에서도 획일적인 기준을 제시하기보다는 다양한 요건들을 종합적으로 따져서 판단할 문제라고 본 것이다. 동의 여부는 '사회통념' 따라 달라져...법원 "다양한 요건 종합적으로 따져봐야"  그렇다면, 업무를 하면서 공개된 정보를 수집하여 이용하고자 할 때는 어떠한 방식으로 접근하여야 할까? 필자가 자문할 때의 접근법은 정보를 공개한 사람의 입장이 되어 보는 것이다. 내가 누군가에게 명함을 주었다면 명함에 적혀있는 연락처로 업무상 연락이 오는 것을 허락하는 마음을 갖고 있을 터이나 마케팅 문자가 오는 것은 허락한 범위에 해당하지 아니할 것이다. 반면, 자동차 전시장에 방문하여 시승을 한 후 명함을 전달한 경우라면 이 때는 자동차 구매와 관련된 소개 정보 정도는 받을 의사가 있다고 볼 수 있다. SNS 등 인터넷 홈페이지에 공개되어 있는 정보의 경우에도 동일한 기준이 적용될 수 있다. 블로그에 여행후기를 올리면서 개인정보로 볼 수 있는 정보가 함께 공개된다거나 중고상품을 판매하기 위해 연락처를 공개하였다면 여행관련 정보수집이나 상품거래 목적이 공개한 사람이 생각하는 동의의사의 범위일 것이다. 정리하면, 공개되어 있는 개인정보라고 하더라도 함부로 활용할 수 없다는 점을 명심해야 한다. 정보의 주인이 자신의 개인정보를 공개할 때 의도했던 바와 상관없는 목적으로 이용하고자 한다면 개인정보 보호법의 기본 원칙으로 돌아가 동의를 받아야 한다. 마케팅 목적으로 정보를 이용하고자 할 때는 특히 조심할 필요가 있다. 아무리 스스로 정보를 공개한 경우라고 하더라도 그 정보를 이용하여 나한테 상품이나 서비스를 소개하는 연락이 오는 것을 허락하는 의사를 가진 경우는 매우 드물 것이기 때문이다. [필자 소개] 정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다. 개발자 출신의 엔지니어이기도 했던 정 변호사는 개발자들 사이에서 '말이 잘 통하는 변호사'로 통한다. 전문분야인 디지털 금융의 기본 법률을 다룬 책 '디지털금융 기초 법률상식'을 지난해 10월 출간했다. 성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다. 정세진 법무법인 율촌 변호사

[파이낸셜뉴스] 휴대전화 발신 기지국 주소는 개인정보로 볼 수 없어 이동통신사가 서비스 가입자에게 공개하지 않아도 된다는 대법원 판단이 나왔다. 대법원 1부(주심 김선수 대법관)는 김가연 변호사가 KT를 상대로 낸 공개청구 소송 상고심에서 원고 패소 판결한 원심을 확정했다고 31일 밝혔다. 사단법인 오픈넷 소속 상근변호사로 활동했던 김 변호사는 2016년 5월 착신전화번호와 통화일시, 사용도수, 기지국 정보에 관해 열람을 신청했으나 거절당하자 2017년 2월 KT를 상대로 소송을 냈다. 김 변호사는 이 소송이 우리나라에서 개인정보열람청구권이 얼마나 실질적으로 보장되고 있는지 등을 알아보기 위한 공익 목적이라고 주장했다. 1심은 김 변호사 손을 들어줬다. KT의 '개인정보 처리 방침'에 따른 수집 대상 이용자 개인정보에는 착신 전화번호, 위치정보(기지국 위치) 등이 포함되므로 KT가 이를 수집한 이상 제공하는 게 맞는다고 판단했다.정보통신망법에 따르면 이용자는 서비스 제공자가 가진 이용자의 개인정보를 요구할 권리가 있다. 반면 2심은 1심 판단을 뒤집고 김 변호사 청구를 기각했다. 김 변호사 휴대전화 단말기가 발신했을 때 접속한 기지국 위치 정보는 통신사가 이용자에게 제공할 의무가 있는 개인정보에 해당하지 않는다고 봤다. 김 변호사의 상고로 열린 대법원 역시 원심 판단과 같았다. 이용자의 휴대전화 단말기가 발신했을 때 접속한 기지국 위치 정보는 이용자 위치가 아닌 기지국 위치로, 발신 기지국 위치 만으로 휴대전화 단말기가 어느 위치에서 발신한 것인지 알아내는데 한계가 있고 이는 위치정보법상 개인위치정보나 정보통신망법상 개인정보에 해당한다고 보기 어렵다는 것이 대법원 판단이다. 이어 "이동통신서비스 이용계약에 원고의 휴대전화가 발신했을 때 접속한 기지국 위치에 관한 주소를 피고(KT)가 제공할 의무가 있다는 내용이 포함됐다고 보기도 어렵다"며 상고기각했다. 대법원 관계자는 "이동통신서비스 이용자가 이동통신사를 상대로 옛 정보통신망법 또는 이용계약을 근거로 발신기지국의 지번 주소·허가번호의 공개를 구할 수 없다는 점을 최초로 선언한 판결"이라고 전했다.  yjjoe@fnnews.com 조윤주 기자

한국인터넷진흥원(KISA)은 생성형 인공지능(AI) 챗GPT 시대를 대비한 개인정보 보호 원칙을 상반기 중에 개인정보보호위원회와 함께 공개할 예정이라고 밝혔다.  7일 관련 업계에 따르면 차윤호 KISA 개인정보조사단장은 지난 4일 서울 광화문에서 ‘개인정보 유출사고와 판례로 본 주요 쟁점’을 주제로 한 발표 자리에서 앞으로 챗GPT 등 생성AI로 인해 개인정보 유출 위험이 더 커질 수 있다는 질문에 이 같이 답했다.  차 단장은 “KISA 차원에서 챗GPT 관련 별도 전략을 수립하진 않고 개보위와 함께 하는 전문기관으로서 공동 전략을 수립해야 할 것”이라며 “고학수 개보위원장이 말했던 것처럼 챗GPT에 개인정보 침해 여지가 확연하게 보이는 만큼 개인정보 보호를 위해 상반기 중에 대책을 마련해 개보위와 공동 발표할 것”이라고 말했다.  개인정보 유출은 법령 또는 처리자의 자유로운 의사에 의하지 않고 개인정보에 대한 통제를 상실하거나 권한 없는 접근을 허용하는 것을 말한다. 1000명 이상 정보주체의 개인정보가 유출된 경우 지체없이 개보위 또는 KISA에 신고해야 한다.   차 단장은 개인정보 유출사고 발생시 KISA와 개보위의 역할 분담에 대해 “개인정보보호법 63조에 따라 개보위가 유출신고 접수, 자료제출 요구, 자료 확인 및 분석, 현장조사 등의 권한을 갖고 있다”며 “KISA는 사고 정황 확인, 필수 확인사항 구성, 원인 분석, 증적 확보 등 기술적 지원을 한다”고 설명했다.  판례로 본 개인정보 보호 의무 위반 판단 기준은 △정보보안 기술 수준 △업종, 영업 규모와 취하고 있는 보안조치 내용 △정보보안에 필요한 경제적 비용 및 효용 정도 △해킹 기술 수준과 보안기술 발전 정도에 따른 피해발생 회피 가능성 △수집한 개인정보 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등이다.  차 단장은 “데이터베이스와 연동·처리하는 웹서버 등도 보호조치 대상에 포함해야 하고, 지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 개선조치를 실시해야 한다”며 “이상행위에 대한 탐지와 대응 등 실질적인 활동이 이뤄지는 것은 물론 사회통념상 합리적으로 기대 가능한 기술적 보호조치를 해야 한다”고 조언했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스]  태국에서 인구의 약 80%의 개인정보를 공개하겠다고 협박한 해커가 체포됐다. 해커는 "관심을 끌고 싶어서 온라인에 개인정보를 공개하겠다는 글을 올렸다"라고 진술한 것으로 알려졌다. 13일(현지시간) 방콕포스트 등은 태국인 5500만명의 개인정보를 획득했다고 주장한 해커가 전날 경찰에 자수했다고 보도했다. 해커는 육군 수송부 소속 부사관인 케마랏 분추아이(33)로 그는 특정 프로그램을 이용해야 접속 가능한 사이트인 '다크웹'을 통해 800만명의 개인정보를 8000밧(약 30만원)을 주고 구입했다고 진술한 것으로 전해졌다. 케마랏은 '9Near'라는 이름으로 지난달 말 해킹 정보를 거래하는 해커 커뮤니티 웹사이트에 이름, 주소, 생년월일, 전화번호를 포함한 태국인 5500만명의 개인정보를 확보했다고 올렸다. 이에 당국은 해커의 신원을 파악하고 추적해왔으나 곧바로 검거하지 못했다. 케마랏은 지난 3일부터 출근하지 않고 도피 생활을 해온 것으로 알려졌으며, 컴퓨터범죄법 위반 혐의로 기소됐다. 한편 당초 코로나19 백신 접종 서비스를 위해 정부가 개설한 애플리케이션을 통해 이용자 개인정보가 유출된 것으로 알려졌으나 일각에서는 이번 사건이 정치 세력과 연관돼 있다는 의혹이 제기되기도 했다. 차이웃 타나카마누선 디지털경제사회부 장관은 "해당 개인정보가 어떤 경로로 유출된 것인지 확인되지 않았지만, 이번 사건은 정치와는 무관하며 배후 세력도 없다"고 밝혔다. newssu@fnnews.com 김수연 기자

[파이낸셜뉴스]  경찰이 이태원 참사 희생자 명단을 공개한 온라인 매체 '민들레'와 시민언론 '더탐사'에 대한 수사에 착수했다. 고발장 접수 하루 만에 수사팀 배당을 마치고 자료 검토에 들어가는 등 속전속결로 수사가 진행될 전망이다. 17일 경찰에 따르면 서울경찰청은 지난 16일 이태원 참사 사망자 명단 공개 관련 고발 사건을 반부패·공공범죄수사대에 배당하고 신속하게 수사를 진행하겠다고 밝혔다. 이날 국민의힘 이종배 서울시의원을 고발인 신분으로 불러 조사할 계획이다. 앞서 두 매체는 지난 14일 참사 희생자 155명의 실명을 유족 동의 없이 일방적으로 공개하면서 논란이 벌어졌다. 이종배(국민의힘) 서울시 의원은 15일 "유족 동의 없이 희생자 명단을 공개한 것은 정보 주체의 동의를 받지 않고 개인 정보를 제3자에게 제공한 것"이라며 개인정보보호법 위반 혐의로 두 매체를 경찰에 고발했다. 김건희 여사의 팬 카페 '건사랑', 보수단체 '새희망결사단' 등도 같은 혐의로 두 매체를 서초경찰서에 고발한 사건도 서울청 반부패·공공범죄수사대가 병합해 수사할 것으로 보인다. 이와 별도로 시민단체 서민민생대책위원회는 지난 15일 "희생자 전체 명단은 정부기관 공무원이 아니면 파악하기가 불가능하다"며 이를 제공한 것으로 추측되는 공무원을 수사해달라고 서울경찰청에 고발장을 제출했다. 또 명단 공개에 이재명 더불어민주당 대표가 관여했을 가능성이 있다고 주장하면서 이 대표를 공무상비밀누설과 개인정보보호법위반 혐의로 고발했다. moon@fnnews.com 문영진 기자

[파이낸셜뉴스] 자신의 사회관계망서비스(SNS)에 기자의 실명과 전화번호를 공개해 고발 당한 추미애 전 법무부 장관이 불송치 됐다. 22일 경찰에 따르면 서울경찰청 반부패·공공범죄수사대는 지난 14일 개인정보보호법 위반, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)상 명예훼손과 업무방해 등의 혐의를 받는 추 전 장관에 대해 '혐의없음'으로 불송치를 결정했다. 지난해 10월에 한 인터넷 매체는 성남 국제마피아파 조직원과 추 전 장관이 사진을 찍었다고 보도했다. 이에 추 전 장관은 해당 기자가 왜곡적이고 악의적인 보도를 통해 자신의 공적 이미지를 실추시켰다고 주장하며 자신의 SNS에 해당 기자와 나눈 문자 메시지를 공개했다. 게시물을 올린 당시 문자 메시지에는 기자의 실명과 전화번호가 노출됐다. 이후 전화번호는 가려졌다. 이에 시민단체인 법치주의바로세우기행동연대(법세련)는 지난해 11월에 추 전 장관이 이른바 '좌표 찍기'로 언론 탄압했다고 주장하며 고발장을 제출했다. 하지만 경찰은 추 전 장관의 게시물을 보고 고소인에게 직접 전화를 한 사람이 7명에 불과하다며 업무방해 혐의가 인정되지 않는다고 판단했다. 경찰 조사에서 추 전 장관은 전화번호 노출을 의도한 것이 아니고 좌표 찍기가 목적이었다면 전화번호를 가리지 않았을 것이라고 진술했다. 경찰은 명예훼손 혐의에 대해서도 추 전 장관이 주관적인 의견을 표명한 것에 해당한다며 비방 목적 없다고 판단했다. kyu0705@fnnews.com 김동규 기자

[파이낸셜뉴스] 메타가 자회사 인스타그램이 10대 사용자(만 13~17세)의 개인정보가 특정 계정에서 공개되도록 했다가 5000억원이 넘는 막대한 벌금을 부과받았다. 인스타그램은 즉각 항소 의사를 밝혔다. 지난 5일(현지시간) AP통신, 더아이리쉬타임즈 등에 따르면 아일랜드 데이터보호위원회(DPC)는 이날 인스타그램의 10대 사용자 개인정보 처리에 관해 조사한 결과 4억500만유로(약 5500억원) 벌금을 매기기로 결정했다. 위원회는 인스타그램에서 10대 사용자가 '비즈니스 계정'을 쓸 경우 전화번호, 이메일 주소 등 사용자의 개인정보가 전체 공개되는 문제를 지난 2020년부터 조사했다. 비즈니스 계정은 특정 시간에 10대 사용자의 전화번호, 이메일 주소가 전 세계 사용자에게 공개되도록 요구되는 것으로 나타났다. 또 계정이 비공개로 설정되지 않는 경우 기본적으로 10대 사용자의 정보가 '공개'로 설정되는 사용자 등록 시스템을 운영한 것으로 드러났다. 위원회는 또 미성년자가 기업 용도 계정으로 쉽게 전환할 수 있는 것도 문제라고 지적했다. 인스타그램에서 개인 계정을 기업 용도로 바꾸면 자기가 올린 사진이나 영상이 얼마나 인기가 있는지 통계수치로 확인할 수 있는 것으로 알려졌다. 이에 메타 측은 인스타그램이 1년 전 설정을 변경하면서 이후 10대 사용자를 안전하게 보호하도록 정보를 비공개로 유지하는 기능을 출시했다고 해명했다. 즉, 10대 사용자가 인스타그램에 가입할 때 자동으로 계정이 비공개로 설정되고, 성인이 팔로우하지 않는 10대에게 메시지를 보낼 수 없도록 했다는 것이다. 메타 측은 벌금 계산 방식에 동의하지 않는다고 항소할 계획이다. 앞서 DPC는 지난해 EU 개인정보 규정 위반을 이유로 메타의 메신저 왓츠앱에도 2억2500만유로 벌금을 부과했다. 왓츠앱은 개인정보를 페이스북과 어떻게 공유하는지 등에 대해 충분히 설명하지 않은 점이 문제가 됐다. gogosing@fnnews.com 박소현 기자

[파이낸셜뉴스] 인공지능(AI) 식별·추적 시스템을 구축하는 법무부가 개인정보보호법 위반으로 과태료 제재를 받았다. AI 시스템을 구축하면서 개인정보 처리를 위탁한 사실과 수탁자를 공개하지 않은 것은 개인정보보호법 위반이다. 다만 법무부 AI시스템 구축에 사용된 얼굴 정보는 목적내 이용한 것으로 위법성이 없다고 봤다. 이번 건은 법무부가 출입국 AI 심사 시스템을 구축하면서 민감정보인 얼굴정보를 무단 사용해 개인정보를 침해한 게 아니냐는 논란이 일었던 사안이다. 27일 개인정보위는 정부서울청사에서 전체회의를 열고 법무부 인천공항 출입국·외국인청의 개인정보 보호법규 위반행위에 대해 이같이 심의·의결했다. 이번 건은 지난해 국정감사에서 개인정보 침해 우려가 제기된 것이다. 이에 개인정보위는 법무부·과학기술정보통신부 등 관계기관과 사업 참여기관을 조사했다. 조사 결과, AI 식별추적 시스템 개발 과정에서 사업 참여기관이 법무부가 보유한 약 1억7000여만건(내국인 5760만건·외국인 1억2000만건)의 개인정보를 활용한 사실이 확인됐다. 법무부가 출입국관리법에 따라 수집한 정보로 암호화를 거친 여권번호, 국적, 생년, 성별, 안면이미지 정보 등이다. 법무부는 개발 중에 제로 클라이언트(입출력 장치가 없는 단말기)로만 민간 참여기업이 접근할 수 있도록 제한했고, 외부로 반출된 개인정보와 AI 알고리즘은 없는 것으로 확인됐다. 관건은 안면정보 등이 민감정보에 해당하는지, 출입국 심사를 위한 AI 학습에 안면정보를 이용한 것이 목적범위 내 이용인지다. 개인정보위는 법무부 AI 알고리즘 학습에 활용한 정보는 민감정보이며, 개인정보보호법에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다고 봤다. 그러면서 개인정보위는 출입국관리법을 근거로 △민감정보는 적법하게 처리됐고 △목적 범위 내 이용이라고 판단했다. 하지만 법무부가 개인정보처리 위탁 계약에서 위탁사실과 수탁자를 공개하지 않은 것은 개인정보보호법 위반이라고 판단했다. 개인정보위는 과태료 100만원을 부과했다. 윤종인 개인정보위원장은 "정부와 공공기관 등이 안면인식 정보 등 민감정보를 처리하는 경우, 정보주체의 개인정보 자기결정권이 침해되지 않도록 개인정보보호법을 준수해야 한다"고 말했다. skjung@fnnews.com 정상균 기자