[파이낸셜뉴스]새해초 고객정보 유출 사고로 LG유플러스의 개인정보보호 역량이 또다시 도마 위에 올랐다. 지난해 개인정보보호위원회로부터 두 차례 과태료를 부과받은 LG유플러스는 통신3사 중 정보보호 부문 투자에 가장 소극적인 것으로 나타났다. 정부도 현장 조사 등 구체적인 원인 파악에 나섰다.  11일 통신 업계에 따르면 LG유플러스는 지난 10일 고객 개인정보가 유출된 사실을 홈페이지를 통해 공지했다. 18만 유·무선 및 IPTV 고객의 금융 정보를 제외한 이름, 생년월일, 전화번호 등 개인정보가 유출됐다는 설명이다.  LG유플러스가 유출 사실을 인지한 날짜는 지난 2일이다. 이튿날인 3일 경찰 사이버수사대와 한국인터넷진흥원(KISA) 등 수사·정부기관에 수사를 의뢰했다. 결과적으로 유출 최초 인지 시점과 공지 시점 간 일주일가량 시간이 소요된 셈이다. 하지만 정부가 지난 2016년 제정한 개인정보 보호 대응 매뉴얼에 따르면 개인정보보호법에 따라 유출 사실을 인지한 시점부터 24시간 내 고객에게 통지해야 한다. 대규모 유출로 24시간 이내 전체 통지가 기술적으로 어려운 경우에는 홈페이지 팝업창 등을 통해 방문 이용자가 모두 알 수 있도록 당시까지 파악된 유출 사실을 등을 게시한 후 추가적인 개별 통지를 진행해야 한다. 다만 유출된 개인정보 확산 및 추가 유출 방지를 위해 긴급 조치가 필요하다고 인정되는 경우에만 조치 후 5일 내 정보주체에 알릴 수 있다고 명시하고 있다. 대신 메뉴얼은 "긴급조치가 필요하다고 인정되지 않는 경우에는 3000만원 이하의 과태료가 부과될 수 있다"고 명시하고 있다. 관계 당국의 유권해석이 필요한 지점이다. LG유플러스 측은 일주일 간 간극에 대해 "불명확한 데이터를 확인하고, 고객을 특정하는 데 시간이 걸렸다"고 해명했다.  개인정보보호위원회는 이날 개인정보보호법 위반 여부 파악을 위해 현장조사를 진행하면서 "위반사항이 확인되면 엄정히 행정처분하고, 재발방지 대책 등을 점검할 계획"이라고 전했다. #OBJECT0#이런 가운데 KISA 정보보호 공시 종합 포털에 따르면 지난해 기준 LG유플러스의 정보보호부문 투자액은 291억8660만원이다. △SK텔레콤(SK브로드밴드와 별도) 626억5700만원 △KT 1021억1000만원에 비해 낮다. 정보보호부문전담인력(내·외부 포괄)은 △SK텔레콤 196명 △KT 335명 △LG유플러스 91명으로 파악됐다.  이미 LG유플러스는 2021년과 2022년 개인정보보호위원회로부터 두차례 과태료를 부과받은 바 있다. 임직원·고객 개인정보를 관리하는 데 있어 안전조치가 미흡했다는 이유에서다. LG유플러스는 이번 사태에 대해 "해당 고객정보의 유출 시점과 경위를 파악하기 위해 수사기관 및 정부기관의 조사에 적극 협조하고 있으며 모니터링 시스템을 강화하고, 조사결과에 따라 재발 방지 대책을 마련할 예정이다"고 했다. jhyuk@fnnews.com 김준혁 기자

공공기관과 민간기업(300인 이상)의 15% 정도가 100만명 이상의 개인정보를 보유하고 있는 것으로 나타났다. 개인정보 유출 피해가 없도록 공공기관·사업자들의 개인정보 관리·보호 체계에 대한 더많은 관심과 투자가 필요하다는 지적이다.11일 개인정보보호위원회와 한국인터넷진흥원은 이같은 내용을 담은 2021년 개인정보보호 실태조사 결과를 발표했다. 이번 조사는 공공기관(1500개), 종사자수 1인 이상 사업체(3000개)인 민간기업과 일반국민(2500명)을 대상으로 지난해 9~10월 실시됐다. 조사 결과, 공공기관의 16.4%, 300인 이상 민간기업의 14.9%가 100만명 이상의 개인정보를 보유하고 있는 것으로 확인됐다. 5만명 이상의 고유식별정보를 보유한 공공기관은 29.9%, 300인 이상 민간기업은 55.4%에 달했다. 설문조사 내용을 보면, 개인정보보호 업무와 관련한 어려움으로 공공기관은 전문인재 부족(73.8%), 민간기업은 개인정보 처리 절차 복잡(46.5%) 등을 가장 먼저 꼽았다. 개인정보보호를 위해 필요한 정책으로 공공기관은 인재 양성 (60.4%), 기술개발·보급 촉진(53.8%)을, 민간기업은 처벌 규정의 차등화·합리화(34.2%), 맞춤형 자문 지원(28.1%) 등을 희망했다. 이와 달리 국민이 생각하는 개인정보보호 정책 우선 순위 1위는 처벌 강화(24.9%)였다.국민(정보주체)들은 무엇보다 개인정보 침해에 대한 우려가 컸다. 개인 맞춤형 서비스 이용시 본인의 행태정보가 수집된다는 사실을 인지하는 비율은 64.6%였다. 하지만 서비스 이용을 위해 행태정보를 제공할 의향이 있다고 응답한 이용자는 21%에 그쳤다. 개인정보를 가명처리하더라도 빅데이터 분석 등을 위해 본인의 개인정보 활용을 허용하겠다고 응답한 비율도 39.5%였다. skjung@fnnews.com 정상균 기자

[파이낸셜뉴스] 개인정보보호위원회가 가명정보의 안전한 활용을 지원하기 위해 공공기관과 민간기업을 방문한다고 3일 밝혔다. 개인정보보호위는 삼성SDS를 시작으로 가명정보 공공기관, 지방자치단체와 민간기업 등 10여곳을 선정, 방문할 계획이다. 이번 방문은 가명정보 처리와 관련 기관·기업 등 현장 의견을 청취하고 관련 제도에 반영하기 위한 것이다. 이한샘 개인정보보호위 데이터안전정책과장은 "이번 현장 방문은 가명정보 이용자의 입장을 반영한 가명정보 제도 운영에 도움이 될 것으로 기대한다. 기관의 가명정보 처리·결합 담당자와 현장 애로 및 건의사항을 자유롭게 논의해 현장지원 및 제도 개선을 추진할 계획"이라고 말했다. skjung@fnnews.com 정상균 기자

[파이낸셜뉴스] 개인정보보호위원회가 "전자금융거래법 개정안의 일부 조항이 개인정보보호 법체계와 맞지 않고 사생활의 비밀 및 개인정보자기결정권 침해 우려가 있다"고 밝혔다. 25일 윤재옥 국민의힘 의원이 보호위에 전금법 개정안과 관련 입장을 질의한 결과에 따르면 보호위는 전금법의 구체적 조항에 대한 문제점을 지적하고 개인정보보호법을 배제하는 조항 및 헌법에 위배될 수 있는 조항에 대한 협의가 필요하다고 밝혔다. 보호위는 국무총리 소속 중앙행정기관으로 개인정보 보호 관련 정책·제도·법령, 개인정보 처리 관련 공공기관 간의 의견조정, 개인정보 보호 법령 해석·운용 등에 대한 개선권고와 시정조치 등에 관한 사항을 심의·의결한다. 보호위는 "전금법 개정안의 일부조항은 개인정보보호 법체계와 맞지 않는 부분이 있으며, 포괄위임금지 원칙에 위배될 가능성이 있다"며 전금법에서 문제되는 법조항으로 개인정보보호법 체계를 꼽았다. 이에 전금법 개정안이 포괄위임금지 원칙에 위배되고 사생활의 비밀 및 개인정보자기결정권의 침해 우려가 있다고 판단했다. 이어 보호위는 "전금법 개정안 중 개인정보보호 법체계와 배치되는 내용을 수정하도록 금융위와 협의하겠다"고 밝혔다. 이와 관련 윤 의원은 “전자금융거래법 개정안은 개인정보보호법을 비롯해 신용정보이용 및 보호에 관한 법률, 금융실명제법 등의 적용을 면제하고 있어 개인정보보호에 관한 법체계에 중대한 변화를 가져온다”며 “빅브라더 법이라는 우려가 많은 만큼 신중하게 논의돼 검토되어야 할 것이다”고 강조했다. jiany@fnnews.com 연지안 기자

[파이낸셜뉴스] 정부가 정보보호산업계 종사자들과 만나 정책 건의 사항을 듣는 소통의 자리가 마련됐다. 개인정보보호위원회는 6일 오후 2시부터 1시간 동안 제4회 '개인정보 톡톡릴레이' 간담회를 개최했다고 밝혔다. 개인정보 톡톡릴레이는 보호위가 우리 사회 각계각층의 시민, 전문가 50명과 릴레이 방식으로 만나, 정책 방향에 대해 대화하고 개선 방향을 모색하는 자리다. 이날 간담회에는 한국정보보호산업협회 이동범 회장을 비롯해 정보보안 기업(안랩·소만사·시큐센·파수·스틸리언) 대표 등 정보보호산업계 종사자 8명이 참석했다. 참석자들은 정보보호와 관련된 산업과 기술 동향을 공유하고, 다양한 정책을 건의했다. 먼저 인공지능(AI), 양자컴퓨팅 등 급변하는 첨단기술 환경 속에서 개인정보보호에 바탕을 둔 안전한 활용이 가능하도록 차세대 개인정보보호 기술 개발(R&D) 지원이 필요하다는 의견을 전했다. 개인정보보호 인력 교육훈련장 개설, 재직자 맞춤형 교육 프로그램 운영 등 개인정보보호 전문인력 육성을 위한 정책의 필요성도 제기됐다. 공공기관이 개인정보보호 솔루션 도입할 때 가격보다는 기술 중심의 평가를 강화하고, 민간기업의 개인정보보호 투자 지원책을 마련하는 등 관련 산업·기술 활성화를 위한 정책도 중점 추진해달라고 건의했다. 이에 대해 윤종인 보호위 위원장은 "4차 산업혁명의 핵심 기반인 데이터 활용이 제대로 이뤄지기 위해서는 AI 등 신기술에 대응할 수 있는 개인정보보호 기술과 관련 산업의 발전이 필수"라며 "보호위는 혁신적인 개인정보보호 기술 발전을 통해 안전한 데이터 활용환경을 조성할 수 있도록 산업 현장과의 소통을 지속적으로 해나가겠다"고 강조했다. eco@fnnews.com 안태호 기자

[파이낸셜뉴스]  개인정보보호위원회는 개인정보 보호법 등 개정된 데이터 3법 내용을 반영한 개인정보 보호법 해설서 초안을 사전 공개하고 주요 고객인 산업계, 시민단체, 국민의 의견을 수렴한다고 5일 밝혔다.  이번 해설서에 새롭게 추가된 내용은 보호법의 주요 개정내용인 △정보주체의 동의 없이 추가적인 이용 및 제공 △가명정보 도입을 통한 데이터 활용성 제고 △개인정보처리자의 책임 강화 등이다. 보호법에 특례규정으로 포함된 정보통신망법 중 개인정보 보호 관련 조항과 신용정보법 등 다른 법률과의 관계도 상세히 설명했다. 2016년 이후 개인정보와 관련된 판례(38건)와 보호위 결정례(23건) 뿐 아니라 Q&A도 따로 수록해 보다 쉽게 이해할 수 있도록 했다. 이번 해설서는 산업계에는 기술개발 등에 필요한 데이터 활용 기준이 되고, 정보주체인 국민에게는 자기정보침해에 대한 불안감 해소 및 개인정보자기결정권 행사에 지침이 될 수 있다고 보호위는 설명했다.  이와 관련 보호위는 본 해설서 초안을 홈페이지에 사전 공개하고 산업계, 시민단체, 법조계 등 각계의 의견을 수렴한 뒤 10월말 발간할 예정이다. 의견수렴은 10월 6일부터 15일까지 보호위 홈페이지나 개인정보 보호포털을 통해 온라인으로 진행된다. 강유민 보호위 개인정보정책국장은 "데이터 경제 활성화로 개인정보의 활용 요구가 증가함에 따라 보호법 해설서는 개인정보처리자와 정보주체인 국민에게 중요한 의미를 가지므로 이번 사전공개 및 의견수렴에 많은 관심과 참여를 부탁 드린다"고 강조했다. eco@fnnews.com 안태호 기자

[파이낸셜뉴스]  안전한 데이터 활용을 위한 '가명정보 처리 가이드라인' 통합본이 발간돼 10월부터 '개인정보 보호법'에 따른 가명정보 결합이 본격화될 전망이다.  개인정보보호위원회는 24일 가명정보 처리 가이드라인 통합본을 발간했다. 보호법에 따라 개인정보를 가명처리하거나 가명정보를 결합하는 데 대한 세부 절차를 수록했다.  ‘가명정보의 결합 및 반출 등에 관한 고시’에 따라 가명정보 결합을 신청하려는 개인정보처리자가 어떤 절차에 따라 결합을 신청하고 결과물을 반출해 활용할 수 있는지를 설명하고 있다. 가이드라인에 따르면, 가명정보를 결합해 활용하려는 자는 가명정보 보유 기관과 사전에 협의해 가명정보 제공 동의를 얻은 뒤 법령에 따라 총 4단계에 걸쳐 결합을 진행할 수 있다. 가명정보 결합 진행 과정에서 도움이 필요할 경우 결합을 지원하는 기관인 한국인터넷진흥원과 실제 결합을 담당하는 결합전문기관에 지원을 요청할 수 있다. 결합된 가명정보는 결합전문기관 내에 별도 구성된 '반출심사위원회'가 심사해 최종적으로 결합전문기관의 승인을 받아 반출할 수 있다. 이때 가명정보 결합목적이나 가명정보가 처리되는 환경의 안전조치 수준 등을 고려해 심사토록 했다. 한편 보호위는 지난 23일 열린 '제4차 개인정보보호위원회 전체회의'에서 분야별 가이드라인 첫 번째로 보건의료분야의 특수성을 반영한 '보건의료 데이터 활용 가이드라인'을 함께 보고받았다. 민감정보 중 건강에 관한 정보 등을 가명처리하거나 질병정보 등을 포함한 가명정보를 결합할 때 참고할 수 있도록 절차와 방법을 안내한 것이다.  보호위는 가명정보 처리에 관한 제도적 기반이 완비됨에 따라 보호위는 제도 활성화와 실제 사례발굴을 위한 지원방안 마련에 집중할 계획이다. 가명정보 제도 안내를 위해 ‘헬프 데스크’를 구축하고, 범부처 협업을 통해 가명정보 결합 선도사례 발굴 추진방안을 마련 중이다.  개보위 관계자는 "10월 중 '가명정보 결합 종합지원시스템'의 필수기능 구축을 완료해 운영에 착수하는 등 결합전문기관이 지정되면 바로 가명정보 결합을 수행할 수 있도록 후속조치를 차질없이 진행할 계획"이라고 밝혔다.  eco@fnnews.com 안태호 기자

정부의 늑장대처로 유럽연합(EU)에 진출해있거나 EU를 대상으로 사업을 진행하는 국내 업체들이 불안에 떨고 있다. 규정을 위반할 경우 2000만유로(260억원) 또는 해당 기업의 전 세계 매출의 4%에 해당하는 금액을 과징금으로 부과할 수 있는 EU의 개인정보보호법(GDRP, General Data Protection Regulation)이 지난해 5월부터 시행되면서다. 특히 GDPR에서 요구하는 수준의 개정정보보호 체계를 갖출 능력이 있는 대기업과 달리 중소기업 혹은 스타트업 기업들은 보호 체계를 갖출 여력이 없어 과징금 시한폭탄을 안고 있는 형국이다. 특정 국가의 개인정보보호 체계가 GDPR과 동일하다는 '적정성 평가'를 받은 경우 해당 국가 기업들은 EU의 국민들의 개인정보를 자유롭게 이용할 수 있지만 한국은 2016년(행정안전부), 2018년(방송통신위원회) 두 차례나 평가에서 탈락했다. GDPR이 제정된 2016년 5월 이후 2년여의 시간이 주어졌다는 점에서 비판을 면키 어려운 대목이다. 반면 일본은 올해 1월 적정성 평가를 획득해 EU와 거대데이터 시장을 형성하는 데 성공했다. 최성진 코리아스타트업포럼 대표는 "EU데이터를 보면 GDPR 적용 이후 중·소 앱 서비스 사업자의 트래픽이 25%나 빠지고 그 자리를 구글, 페이스북 등 대비가 잘 돼있는 글로벌 기업들이 채우고 있다"며 "EU 중·소사업자나 우리와 같은 제3국 사업자들의 EU 내 활동이 줄었다"고 설명했다. 이어 "이런 문제를 정부가 빨리 해결해줘야하는데 국회에서 차일피일 미루고 있는 상황이라 현실적인 피해가 발생하고 있다"고 안타까움을 나타냈다. ■한국, EU 적정성 평가 탈락한국의 EU의 적정성 평가 탈락에는 개인정보보호의 컨트롤 타워 역할을 수행할 감독기구의 부재가 가장 큰 이유로 꼽힌다. 2011년 만들어진 개인정보보호위원회는 현재 행정위원회에 불과해 심의기능만 갖고 있다. 국가기관, 자치단체가 개인정보를 침해할 경우 보호위가 시정을 권고할 수 있지만 강제사항이 아니기 때문에 지키지 않으면 그만이다. 5급 직급 이상 인사권은 행안부가 갖고 있으며 예산도 행안부 전자정부국에서 편성한다. 현재 인원은 48명으로 인건비를 제외한 한 해 예산은 20여억원이다. 개인정보보호 컨트롤 타워로서는 턱없이 부족한 실정이다. 하인호 행안부 개인정보보호정책과장은 "EU 적정성 평가에서 감독기관의 독립성이 굉장히 중요하다. 행안부, 방통위가 정부 부처이기 때문에 독립성이 약하다고 본 것"이라며 적정성 평가 탈락 이유를 설명했다. 분산된 개인정보보호법 체계도 문제다. 오프라인 개인정보의 경우 '개인정보보호법(행안부)', 온라인의 경우 '정보통신망법(방통위)'이 우선 적용된다. 금융 분야의 경우 신용정보법(금융위원회)이 우선 적용돼 이중·삼중 규제의 문제도 발생하고 있다. 예컨대 정보통신망법에서는 개인정보가 1건이라도 유출되면 감독당국에 신고해야 하지만 개인정보보호법에서는 1000명 이상 유출 시 신고대상이 되는 등 상이한 규정이 존재한다. 최인선 한국정보화진흥원 수석연구원은 "O2O(Online To Offline) 서비스 확대 등으로 오프라인 매장을 가지고 있는 사업자들이 온라인으로 상품을 판매하는 경우가 많은데 이중으로 법의 적용을 받아 불편을 호소하는 사례가 많다"고 지적했다. ■법안 개정으로 보호위 권한 강화이에 정부와 국회는 지난 해 11월 개인정보보호법 개정안을 만들어 보호위를 국무총리 산하 정부부처로 승격해 독립성을 강화키로 했다. 보호위원장의 국회 출석·의견진술권, 국무회의 출석·발언권을 부여하고 조사·처분권, 법안제출 건의권을 신설해 보호위 권한을 한층 강화했다. 분산된 개인정보보호 감독 기능도 보호위로 일원화 했다. 행안부·방통위 감독 기능 전부를 보호위로 이관하고 금융의 특수성을 고려해 금융위 기능 일부를 이관해 보호위의 컨트롤타워 기능을 강화했다. 하지만 현재 개정안은 상임위원회 법안소위에 머물러있어 통과가 차일피일 미뤄지고 있는 상황이다. 한편 개정안 통과 이후에 마련될 보호위의 예산, 인원 등 구체적인 규정 마련이 여전히 숙제로 남아있다. 법안 통과 이후 시행령과 규정을 마련하는 과정에서 본래 법 취지가 퇴색되는 사례가 많기 때문이다. 보호위의 구체적인 조직과 기능이 어느 수준으로 정리되느냐가 관건이 될 전망이다. 현재 개정안에서는 보호위원 7인의 선임에 대한 내용만 담겨있다. 보호위 관계자는 "중앙행정기관으로 승격되면 가장 중요한 것이 조직의 설계인데 내부적으로 다양한 방안을 검토하고 있다"면서 "개정안이 통과되면 곧바로 행안부와 협의를 진행할 예정"이라고 밝혔다. 행정안전부 관계자도 "개정안 통과 여부를 지켜보고 있다. 하위법령에 대해 검토하고 있는 단계"라고 전했다. eco@fnnews.com 안태호 기자

진보네트워크센터(진보넷)는 개인정보보호위원회의 정보 비공개 관행에 대해 이의신청을 제기 했다고 10일 밝혔다. 진보넷은 "2011년 제정발효한 개인정보보호법에 따라 설치된 개인정보보호위의 심의 의결 회의는 일반 국민의 개인정보 보호에게 미치는 영향이 크다"면서 "회의자료 중 비공개 및 내부검토 자료, 발언록(속기록), 소위원회 관련자료에 대한 정보부분 비공개를 취소한다는 결정을 구한다"고 밝혔다. 이어 "정보공개법의 비공개 대상 정보 범위를 초과한 많은 정보를 비공개로 해 월권에 해당한다"면서 "헌법에 기초한 국민의 정보공개청구권을 유린하는 문제여서 시급히 시정돼야 한다"고 덧붙였다. 또 공개한 정보 열람에 수수료를 부과한 것도 부당하다고 주장했다. 진보넷은 개인정보보호위가 공개한 정보는 전자적 형태로 관리되며 정보통신망을 통해 전파돼 실비가 소요되지 않는데 3000원의 수수료를 부과한 결정도 부당하다고 밝혔다. lkbms@fnnews.com 임광복 기자

[파이낸셜뉴스] 개인정보보호위원회는 9일 적극행정위원회를 출범했다. 적극행정위원회는 학계·법조계·산업계·시민단체 등 민간위원 11인 등 총 15인으로 구성됐다. 이날 첫 회의에서 위원들은 2021년도 개인정보위 적극행정 실행계획을 논의하고 적극행정 우수사례를 선정했다. 이번에 선정된 3건의 우수사례는 △어린이집 폐쇄회로 텔레비전(CCTV) 영상원본 열람 확대 △코로나19 개인안심번호 도입 △이동통신사가 보관하고 있는 통화내역 열람 기한 확대(6→12개월) 건이다. 최영진 개인정보위 부위원장은 "개인정보는 국민의 일상생활과 밀접한 관련이 있어 적극행정이 더욱 필요하다. 적극적인 업무수행으로 성과가 창출된다면 직원들에게 파격적인 인센티브 등을 부여하겠다"고 말했다. skjung@fnnews.com 정상균 기자