[파이낸셜뉴스] 생성형 인공지능(AI) 서비스를 개발·활용하는 기업·기관을 위한 개인정보 안전 처리 기준이 마련됐다. 개인정보보호위원회는 6일 서울 중구 정동 1928 아트센터에서 '생성형 인공지능과 프라이버시' 오픈 세미나를 개최하고 '생성형 AI 개발·활용을 위한 개인정보 처리 안내서'를 공개했다. 개인정보위는 안내서가 생성형 인공지능 개발과 활용의 전 과정에서 개인정보 보호법 적용의 불확실성을 해소하고, 기업·기관의 자율적 법준수 역량을 높이는 데 큰 역할을 할 것으로 보고 있다.  개인정보위는 AI의 발전이 프라이버시 침해 위험을 동반할 우려가 있어 개인정보 처리에 관한 명확한 기준 마련이 필수적이라고 설명했다.  이에 개인정보위는 올해 초부터 내부 검토와 외부 전문가 의견 수렴을 거쳐 안내서 초안을 마련하고, AI분야 전문가들로 구성된AI 프라이버시 민·관 정책협의회 전체회의를 거쳐 공개본을 확정했다. 먼저 개인정보위는 이번 안내서에서 생성형 인공지능을 개발·활용하는 생애주기를 4단계로 분류하고, 단계별로 확인할 최소한의 안전조치를 체계적으로 제시했다. 또 AI가 실제로 개발·활용되는 방식과 맥락을 유형화하고, 각 유형에 따른 법적 기준과 안전성 확보 기준을 제시했다. 아울러 이용자 개인정보를 인공지능에 학습할 수 있는 법적 기준 등 생성형 인공지능 개발·활용 과정에서 불확실성이 높은 이슈들에 대해 개인정보위의 정책 및 집행 사례를 바탕으로 구체적인 해결방안을 제시했다. 개인정보위는 그간 생성형 인공지능에 대한 △안내자료 마련 △사전실태점검 등 집행 사례 △규제샌드박스 및 사전적정성 검토 등을 통해 다양한 정책적 경험을 축적해온 바 있다.  마지막으로 안내서에는 AI 에이전트, 지식증류, 머신 언러닝 등 생성형 AI 개발·활용과 관련한 최신 기술 동향과 연구 성과 등이 반영됐다. 안내서는 기술 발전과 국내·외 개인정보 보호 정책 변화에 발맞춰 지속적으로 업데이트될 예정이다. 고학수 개인정보위 위원장은 "안내서를 통해 실무 현장의 법적 불확실성이 해소되고, 생성형 인공지능 개발·활용에 개인정보 보호 관점이 체계적으로 반영될 수 있을 것으로 기대된다"며 "앞으로도 개인정보위는 ‘프라이버시’와 ‘혁신’ 두 가치가 상호 공존할 수 있도록 정책 기반을 마련해 나가겠다"고 말했다. wongood@fnnews.com 주원규 기자

[파이낸셜뉴스] 개인정보보호위원회가 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤(SKT)에 대한 조사가 마무리 수순에 접어들었다. 이르면 이달 중 SKT에 대한 제재 수위가 결정될 전망으로, 역대 최대 규모의 과징금이 부과될지 주목된다. 5일 업계 등에 따르면 개인정보위는 지난달 말 SKT에 사전처분 통지를 했다.  처분안은 이르면 오는 27일 열릴 개인정보위 전체회의에 상정될 수 있다.  처분 사전통지는 개인정보위가 제재 수위 결정에 앞서 거치는 마지막 실무 절차다. 개인정보위는 이번 조사에서 SKT가 개인정보 유출 후 고객 통지를 제대로 했는지, 외부 침입 차단 등 법정 안전조치 의무를 준수했는지 등을 중점적으로 점검한 것으로 알려졌다. 개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있고 유출사안과 관련이 없는 매출액의 경우 산정 기준에서 제외할 수 있다. 이에 따라 지난해 SK텔레콤의 무선통신사업 매출인 12조7700억원을 기준으로 과징금이 최대 3000억원대 중반까지 이를 수 있다는 추측도 나온다. 다만 해킹 사고 이후 SK텔레콤이 피해자 구제와 재발 방지 대책을 마련한 점 등이 반영되면 과징금이 1000억원대로 줄어들 가능성도 있다. wongood@fnnews.com 주원규 기자

[파이낸셜뉴스] 개인정보보호위원회는 네이버, 카카오톡, 쿠팡, 배달의민족, 당근 등 주요 슈퍼앱 5개에 대한 사전 실태점검 결과 개인정보 이전·공유 과정의 내부통제를 강화하고 불필요한 동의 요구 관행을 개선 권고했다고 24일 밝혔다. 사전 실태점검은 개인정보 보호의 취약점을 선제적으로 점검해 침해 위험을 사전에 예방하는 제도로 법위반사항 발견 시 시정권고, 처리실태 개선필요 판단 시 개선 권고한다. 먼저 개인정보위는 개인정보 이전·연계 지점 관리를 강화하라고 요구했다. 슈퍼앱들은 API(응용프로그램 인터페이스)와 DW(데이터 분석저장소) 등 두 가지 방식으로 고객 개인정보를 처리자 간에 이전하거나 공유하고 있다. 이에 개인정보위는 API 등 개인정보의 외부 이전 경로 생성·배포, DW 등 개인정보 처리시스템에 접근 권한 부여 등 중요사항에 대해서는 반드시 개인정보 보호 담당 부서 참여하에 결정되도록 내부통제를 강화할 것을 권고했다. 또 개인정보보호법에 명시된 대로 DW 접속기록을 2년간 관리·점검할 것도 요청했다. 대부분 사업자가 계약 이행 등을 위한 필수 정보를 수집하면서도 별도의 '동의'를 요구하고 있는 점도 지적했다. 법적으로 동의 없이도 수집이 가능한 정보임에도 과도하게 동의 항목을 늘리는 것이 사용자 혼란을 유발하는 불필요한 절차라는 뜻이다. 개인정보위는 서비스 가입 시 계약 이행 등 필수 사항은 개인정보처리방침 등을 통해 고지하고 이용자의 동의가 필요한 항목에 대해서만 동의받아 처리하도록 개선 권고했다. 이와 함께 개인정보위는 이용자 본인의 정보가 처리되는 범위를 결정할 수 있는 개인정보자기결정권 보장을 위해 서비스 이용약관 등에 슈퍼앱의 서비스 목록을 명확히 안내하고,개별 서비스를 탈퇴하는 기능을 마련해 개인정보 처리정지·삭제요구 절차를 알기 쉬운 방법으로 안내하도록 요구했다. 5개 슈퍼 앱은 MAU(월간활성사용자수) 상위 앱 중에서 개인정보처리자가 단일 회사가 아닌 계열사가 공동으로 관여하는 경우를 기준으로 선정됐다. 슈퍼앱은 검색과 쇼핑, 금융·결제, 배달 등 다양한 기능을 하나의 앱 안에서 제공하는 플랫폼으로, 여러 사업자가 연계돼 개인정보가 충분한 설명이나 통제 없이 이전·공유된다는 우려가 나왔다. 개인정보위는 "슈퍼앱이 축적하는 대규모 데이터는 인공지능(AI) 학습 및 관련 서비스 개발에 핵심자원으로 활용될 가능성이 높다"며 "개인정보 보호에 대한 안전한 관리 요구가 커지고 있는 상황"이라고 설명했다. 이어 "이번 사전 실태점검은 슈퍼앱 서비스의 개인정보 처리 과정 전반을 선제적으로 살펴봄으로써 개인정보자기결정권 침해 위험을 사전에 차단하는 의의가 있다"며 "개선 권고 사항이 제대로 준수되는지를 지속해 확인해 나갈 계획"이라고 말했다. wongood@fnnews.com 주원규 기자

[파이낸셜뉴스] 개인정보보호위원회가 아파트, 상가, 공원, 도로 등 다중이용시설의 관제목적으로 운영되는 네트워크 형태 아이피(IP)카메라의 개인정보 침해 가능성을 우려하며 보안 강화를 주문했다. 개인정보위는 지난 9일 제15회 전체회의를 열고, 개인정보 침해 우려가 있는 175개 IP카메라 운영자에 대해 경고 조치 하기로 의결했다고 10일 밝혔다. 개인정보위는 지난 5월 IP카메라의 보안이 취약해 개인정보 침해 우려가 있다는 공익 신고의 접수에 따라 조사를 진행해 왔다. 조사결과, 이들 175개 운영자는 영상정보처리기기인 네트워크 비디오 레코더(NVR)의 아이피주소를 ‘공개’로 설정해 외부접속을 허용했고 관리자계정(아이디/비밀번호)을 ‘admin/1234’, ‘root/pass’ 등 추측하기 쉬운 단순한 형태로 설정한 상태였다. 권한이 없는 자가 손쉽게 아이피카메라 네트워크에 접근해 영상정보를 관측할 수 있는 상태로 운영한 사실이 확인됐다. 개인정보위는 침해 우려를 시급히 해소하기 위해 아이피카메라 운영자들에게 해당 보안 취약점을 즉시 개선토록 요구했고, 175개 운영자 모두 아이피주소 비공개 전환, 비밀번호 변경 등 보안 조치를 완료했다. 개인정보위는 IP카메라 운영자들이 안전조치 의무를 소홀히 한 사실은 인정되나 운영자들의 경각심 부족으로 발생한 사안으로, 위반사항이 즉시 시정된 점 등을 고려해 엄중 경고 조치하기로 했다. 개인정보위는 이번 조사 과정에서 시중에 유통되는 IP카메라 기기 자체의 개인정보 보호기능 탑재 여부도 함께 점검했다. 점검 결과, 정식 발매 제품은 비밀번호 설정·변경, 특정 아이피 접속차단 등 기본적인 보호기능을 제공하고 있으나, 해외직구로 유통되는 제품은 전반적으로 미흡한 것으로 드러났다. 국내 제품은 최초 접속시 비밀번호를 반드시 설정해야 네트워크 접속이 가능하고, 제품별로 비밀번호 설정규칙이나 특정 아이피에 대해 접속 차단 기능이 있었지만, 해외직구 제품은 초기 설정값을 그대로 사용하거나 심지어는 비밀번호 없이도 네트워크 접속이 가능했다. 또 아이피 접근제한 기능을 제공하지 않거나, 수차례 로그인 실패시 일정 기간 접속제한 등의 기능이 없어 보안에 취약한 것으로 확인됐다. 개인정보위는 이번 조사 및 점검결과를 바탕으로 IP카메라 보안 행동 수칙을 마련·제공함으로써 지속적으로 안내·홍보해 나가기로 했다. 특히 주요 다중이용시설에 대한 아이피카메라 보안 관련 실태 점검 등도 적극적으로 추진할 계획이다.    yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 개인정보보호위원회는 써브웨이 인터내셔날 비브이에 대한 조사에 착수했다고 1일 밝혔다. 개인정보위는 구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 써브웨이는 지난 6월 26일 조사에 착수한 한국파파존스와 같이 홈페이지 URL(유알엘) 주소의 뒷자리 숫자 변경 시 다른 고객의 주문정보(연락처, 주문내역 등)가 별도의 인증절차 없이 확인가능한 상태로 운영된 것으로 알려졌다. 두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼, 각 사업자들은 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 강조했다. 한편, 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대하여 전반적인 개인정보 처리실태 조사를 진행하고 있으며, 올해 하반기 조사결과를 발표할 예정이다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 개인정보보호위원회가 한국파파존스에 대한 개인정보 유출 조사에 착수했다고 26일 밝혔다. 개인정보위에 따르면 한국파파존스는 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보가 온라인 상에 무방비로 노출됐던 사실을 뒤늦게 확인하고 지난 25일 유출을 신고했다. 노출된 고객 정보는 이름과 주소, 신용카드 번호 뿐만 아니라 공동 현관의 비밀번호도 포함된 것으로 확인됐다. 개인정보위는 구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등의 확인 절차에 돌입했다. 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 개인정보위는 "최근 홈페이지 설계 취약점으로 인해 개인정보가 유·노출되는 사고가 늘어나고 있는 만큼, 각 사업자들은 관리자페이지 접근제한, URL(유알엘) 주소 관리 등 홈페이지 운영에 각별한 주의가 필요하다"고 강조했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스]개인정보보호위원회는 오는 18일부터 이틀간 캐나다 오타와에서 열리는 'G7 개인정보 감독기구 라운드테이블'에 참석한다고 17일 밝혔다. 지난 2021년 영국 G7 정상회의를 계기로 출범한 G7 개인정보 감독기구 라운드테이블은 디지털 시대 데이터 및 개인정보 보호 관련 도전과제를 논의해왔다. 고학수 위원장은 이번 라운드테이블 ‘국제협력:교차점과 기회’ 세션에서 ‘AI 시대 데이터 거버넌스를 위한 G7과 GPA 간 협력의 미래’를 주제로 발표한다. 고 위원장은 그간 국제사회에서의 소통과 협력 경험을 바탕으로 개인정보 감독기구 역량 강화 및 글로벌 인공지능 데이터 거버넌스 진전을 위한 국제협력 방향을 제시할 예정이다. 개인정보위는 "이번 참석은 2020년 중앙행정기관으로 독립한 개인정보위가 출범 5주년 만에 이룬 국제적 성과라는 점에서도 큰 의미가 있다"라고 강조했다. 비(非) G7 국가임에도 불구하고 GPA 집행위원회 대표 자격으로 초청을 받아 G7 데이터 거버넌스 논의에 공식적으로 참여하게 된 것은 그간 우리나라의 데이터·프라이버시 관련 활발한 국제 활동과 정책적 리더십을 국제사회가 인정한 결과라고 개인정보위는 설명했다. 고 위원장은 “대한민국은 역동적인 인공지능 생태계를 가진 나라로서, 급변하는 AI 시대의 데이터 정책을 선도하면서 거버넌스 협력을 중재하고 촉진할 수 있는 국제적 리더십을 가진 핵심국가”라며 “개인정보위는 혁신과 규범의 조화를 이루는 글로벌 데이터 거버넌스 구축을 위해 주도적 역할을 하겠다"고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스]  개인정보보호위원회가 각각 32만명, 8만 3000여명의 개인정보 유출 사고가 발생한 전북대학교와 이화여자대학교에 총 9억6600만 원의 과징금을 부과하고 시정조치에 나섰다. 개인정보위는 지난 11일 전체회의를 열고 개인정보가 유출된 전북대와 이화여대에 총 9억 6600만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령, 공표명령 및 징계권고를 하기로 의결했다고 12일 밝혔다. 개인정보 유출에 따른 피해 규모 등을 고려해 전북대에게는 6억 2300만원, 이화여대는 3억 4300만원이 각 부과됐다. 두 대학 모두 학사정보시스템 구축 당시부터 존재하던 취약점을 방치해왔고, 외부 해킹 시도에 대한 야간·주말 모니터링도 제대로 이루어지지 않았던 것으로 조사됐다. 전북대는 지난해 7월 28일부터 이틀간 해커의 파라미터 변조 공격 등으로 학사정보시스템이 침해당했다. 이로 총 32만여 명의 개인정보가 유출됐다. 이 시스템의 취약점은 2010년 12월 시스템 구축 당시부터 존재했던 것으로, 무려 14년 가까이 방치되어 있었다. 또 전북대는 1997년부터 2001년 사이에 수집한 주민등록번호 233건을 보호법 개정 이후에도 파기하지 않고 보유하고 있었던 사실도 적발됐다. 이화여대도 지난해 9월 2~3일 통합행정시스템의 DB에서 대규모 정보유출이 발생했다. 해커는 약 10만 회의 파라미터 변조 시도를 통해 8만3000여 명의 개인정보, 주민등록번호를 포함한 학부생 및 졸업생 정보를 빼돌렸다. 해당 시스템은 구축 당시인 2015년 11월부터 취약한 상태였던 것으로 조사됐다. 지난해부터 전국 대학에서 21건의 개인정보 유출 신고가 접수됐다. 대학의 경우 대개 생성규칙이 단순한 ‘학번’ 등을 기준으로 개인정보를 관리하고 있어 파라미터(입력값) 변조 공격에 취약한 측면이 있고, 대규모 정보를 처리하고 있어 유출 사고 발생 시 막대한 피해가 예상된다고 개인정보위는 우려했다. 개인정보위 관계자는 "파라미터 변조 공격에 대비하고, 외부의 불법적인 접근 시도를 24시간 철저히 모니터링하는 등 각별한 주의가 필요하다"고 당부했다 개인정보위는 교육부에 전국 대학 학사정보관리시스템의 개인정보 관리 강화와 관련 내용을 대학 평가 등에 반영하는 방안 검토를 요청할 예정이다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 개인정보보호위원회는 세일즈포스를 대상으로 개인정보 보호 취약점 여부에 대한 사실관계를 확인하고 있다고 11일 밝혔다. 개인정보위는 최근 세일즈포스의 고객관리 솔루션을 사용하는 기업을 대상으로 개인정보 유출 가능성이 제기되면서 사실관계 확인 절차에 돌입했다. 일부 언론은 구글의 위협인텔리전스 분석을 인용해 “해커가 세일즈포스의 정보기술(IT)팀 직원을 사칭해 전화 등으로 솔루션 이용 기업에 악성코드(앱) 설치를 유도하고 개인정보를 탈취한 사례가 보고됐다"고 보도했다. 세일즈포스는 글로벌 클라우드 기반 고객관계관리 서비스 업체로, 약 15만 개 이상의 기업에서 서비스를 사용 중인 것으로 추정된다. 개인정보위는 세일즈포스에 대한 정확한 현황 파악과 함께 관련 시스템의 개인정보 보호 취약점 여부를 확인 중이다. 이와 동시에 개인정보위는 세일즈포스 시스템을 이용하는 국내 기업들에게 자체 보안 점검 및 임직원 대상 피싱 예방 교육 실시, 관리자 계정에 대한 다중 인증 적용, 접근할 수 있는 아이피(IP) 주소 제한 등 개인정보 보호 활동을 각별히 강화해 달라고 당부했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 개인정보보호위원회는 루이비통모에헤네시(LVMH) 산하 명품 브랜드 디올과 티파니의 개인정보 유출 사고 조사에 착수했다고 1일 밝혔다. 개인정보위에 따르면 디올은 사고가 1월에 발생했는데 5월 7일 인지했다며 같은 달 10일 신고했다. 티파니도 4월께 발생한 유출사고를 5월 9일에야 알게 됐다며 같은 달 22일 신고했다. 개인정보보호법 시행령은 개인정보처리자가 1000명 이상, 민감정보 등의 개인정보가 유출된 것을 알게 되면 72시간 이내에 개인정보위에 신고하도록 규정한다. 두 회사 모두 구독형 소프트웨어(SaaS) 기반 고객관리 서비스를 이용 중이다. 두 건 모두 직원계정 정보를 이용해 개인정보가 유출된 것으로 파악됐다. 개인정보위는 해당 서비스형 소프트웨어도 함께 들여다볼 계획이다. 개인정보보호위원회는 "구독형 소프트웨어를 이용하는 기업이 대규모 개인정보 유출사고를 예방하기 위해서는 이중 인증수단 등을 직원 계정에 적용하고, 접근할 수 있는 IP 주소 제한 등 접근 통제 조치가 필요하다"라며 "피싱 등을 통해 계정이 탈취되지 않도록 개인정보 취급자에 대한 교육 및 관리·감독을 강화할 필요가 있다"고 말했다. yjjoe@fnnews.com 조윤주 기자