[파이낸셜뉴스] 개인정보보호위원회(개인정보위)가 지난 28일 제14회 전체회의를 열고, 개인정보 보호법을 위반한 3개 기업에 대해 총 2억1592만원의 과징금과 1560만원의 과태료를 부과하기로 결정했다고 29일 밝혔다. 대상 기업은 한화호텔앤드리조트, 띵스플로우, 현대자동차로, 이들은 온라인 서비스 제공 과정에서 개인정보 보호법상의 안전조치 의무, 동의 의무, 개인정보 유출 신고와 통지 의무 등을 위반한 것으로 나타났다. 한화호텔앤드리조트는 시스템 개발 과실 등으로 인해 타인의 예약 정보가 조회되는 오류를 발생시켜 1억8531만원의 과징금과 300만원의 과태료를 부과 받았다. 개인정보위는 로그인 절차 변경 시 타인의 개인정보 조회 가능성을 제대로 검증하지 않은 점을 안전조치 의무 위반으로 판단했다. 띵스플로우는 합병한 비트윈어스의 위반 사항으로 인해 제재를 받았다. 주요 위반 사항은 만 14세 미만 아동 3만8633명의 개인정보를 법정대리인 동의 없이 수집한 것이다. 개인정보취급자가 개인정보처리시스템에 접속한 기록을 보존·관리하지 않았고, 개인정보 열람 요구에 대해 기간(10일) 내 답변하지 않은 사실도 있었다. 이에 대해 개인정보위는 2732만원의 과징금과 360만원의 과태료를 부과하고, 처분 결과를 공표하기로 했다. 현대자동차는 신차 시승 이벤트를 하면서 선택사항인 마케팅 활용 등 홍보 목적의 개인정보 수집에 동의하지 않은 고객에게 시승 서비스 제공을 거부한 사실이 있었다. 또 고객지원 앱(마이현대) 운영 중 보안 패치를 즉시 적용하지 않아, 다른 사람의 개인정보가 이용자에게 노출된 사실이 적발됐다. 개인정보위는 신고 및 통지도 지연한 사실도 발견했다. 이에 329만원의 과징금과 900만원의 과태료가 부과됐으며, 처분 결과 역시 공표될 예정이다. 개인정보위는 "개인정보를 수집·처리하는 모든 개인정보처리자는 개인정보처리시스템의 운영환경과 취약점을 주기적으로 점검·개선하고, 만 14세 미만 아동의 개인정보를 수집할 때에는 법정대리인의 동의를 받아야 한다"며 "마케팅 활용 등 홍보를 위한 개인정보 수집·이용에 동의하지 않았다는 이유로 재화나 서비스의 제공을 거부해서는 안 된다"고 강조했다. soup@fnnews.com 임수빈 기자
2024-08-29 10:38:31[파이낸셜뉴스] 카카오페이가 알리페이와 애플에 고객 정보를 동의 없이 불법으로 제공했다는 의혹을 받고 있는 가운데, 개인정보보호위원회가 카카오페이에 사실관계를 확인 후 조사 여부를 결정할 예정이라고 밝혔다. 개인정보위는 13일 "개인정보 보호법상 개인정보 국외 이전 의무 준수와 관련한 사실관계 확인을 위해 카카오페이 등에 자료제출을 요구할 계획"이라고 전했다. 이어 "필요 시 금융감독원 등 관계기관과 협조할 것"이라며 "조사 착수 여부는 사업자들이 제출한 자료에 대한 면밀한 검토 등을 거쳐 결정할 예정"이라고 덧붙였다. 앞서 금융감독원은 이날 "올해 5월부터 7월까지 카카오페이의 해외결제부문에 대한 현장검사를 실시하는 과정에서 카카오페이가 그동안 고객 동의 없이 고객신용정보를 제3자에게 제공한 사실을 확인했다"고 밝혔다. 금감원에 따르면 해외결제를 이용하지 않은 고객까지 포함해 카카오페이에 가입한 고객 전체의 개인신용정보가 고객 동의 없이 알리페이에 제공됐다. 알리페이는 중국 최대 플랫폼 알리익스프레스를 소유한 알리바바 그룹의 결제부문 계열사다. 제공정보항목은 카카오계정 ID, 핸드폰번호, 이메일, 카카오페이 가입내역, 카카오페이 거래내역(잔고, 충전, 출금, 결제, 송금내역) 등이다. 카카오페이는 알리페이가 NSF 스코어 산출(애플사가 제휴 선결조건으로 요청)을 명목으로 카카오페이 전체 고객의 신용정보를 요청하자 해외결제를 이용하지 않은 고객까지 포함해 카카오페이에 가입한 전체고객의 개인신용정보를 고객 동의 없이 알리페이에 제공해온 것으로 알려졌다. 금감원은 2018년 4월부터 최근까지 알리페이에 넘어간 카카오페이 고객정보가 매일 1회, 총 542억 건(누적 4045만명)에 달하는 것으로 보고 있다. soup@fnnews.com 임수빈 기자
2024-08-13 16:29:37[파이낸셜뉴스] 최장혁 개인정보보호위원회 부위원장은 6일 서울 정부서울청사에서 열린 정례브리핑에서 "'티몬·위메프 사태'에서 개인정보 유출을 모니터링한 결과 현재까지 특별한 이상은 발견되지 않았다"고 말했다. 앞서 개인정보위는 티몬·위메프 사태 이후로 가입자들의 개인정보 유출에 대한 우려가 커지자 개인정보 처리실태를 모니터링하고 있다고 밝힌 바 있다. 티몬·위메프의 개인정보 관리를 위탁 받아 담당 중인 큐텐테크놀로지 유한회사의 개인정보보호책임자(CPO)와 소통하며, 개인정보 처리실태를 선제적으로 확인했다는 설명이다. 아울러 개인정보위는 중국 이커머스 업체인 테무 관련 개인정보보호 조사결과를 마무리하고 이르면 9월 제재여부도 결정할 방침이다. 개인정보위는 지난달 개인정보 보호법 위반 관련 알리익스프레스에 대한 조사 결과는 발표했다. 개인정보보호 법규를 위반한 알리익스프레스에 대해선 19억7800만원의 과징금과 780만원의 과태료, 시정명령 및 개선권고를 부과하기로 의결했다. 그러나 또 다른 중국 이커머스 업체인 테무는 추가 확인 및 자료제출 보완요구 등을 거쳐 심의 및 의결하기로 했다. 최 부위원장은 "테무 아시아태평양 담당자와 얘기해 보니 9월 쯤 회계 자료가 오픈된다고 한다"며 "(조사 결과 발표는) 그 전후가 될 것 같은데 구체적인 날짜는 우리 쪽 실무진과 테무 실무진이 협의하고 있다"고 했다. 이어 그는 "글로벌 기업들은 우리나라와 재무제표 작성이나 공시하는 방식이 달라 외국 기관 통해 공개된 자료를 확인하는 시간이 걸리고 있다"며 "테무는 한국에서 서비스한 지 얼마 안돼 시간이 더 걸린다. 협조 통해서 자료 확보되는대로 분석 통해서 합당한 조치 처분할 것"이라고 덧붙였다. 한편 개인정보위는 지난 5월 이용자 개인정보 점검 및 보호 조치 소홀 등의 이유로 카카오에 151억원의 과징금을 부과한 건에 대해 카카오 측에 아직 처분서를 전달하지 않았다고 전했다. 최 부위원장은 "카카오가 소송을 제기하겠다고 한 만큼 처분서는 개인정보위의 공식 입장인 셈"이라며 "신중하게 법리적 부분의 완성도를 높여서 가져가려고 하기 때문에 시간이 더 걸리고 있다. 시한에 쫓겨서 서둘러 (처분서를) 만들 생각은 없다"고 했다. soup@fnnews.com 임수빈 기자
2024-08-06 17:31:07[파이낸셜뉴스] 개인정보보호위원회(개인정보위)가 최근 티몬·위메프 사태에 따른 개인정보 이슈 관련 우려에 대해 개인정보 처리실태를 모니터링 중이라고 밝혔다. 개인정보위는 티몬·위메프의 개인정보 관리를 위탁 받아 담당 중인 큐텐테크놀로지 유한회사의 개인정보보호책임자(CPO)와 소통하며, 개인정보 처리실태를 선제적으로 확인했다고 26일 밝혔다. 티몬·위메프는 '온라인쇼핑 분야 민관협력 자율규약' 참여사 중 하나다. 온라인쇼핑 분야 민관협력 자율규약은 온라인쇼핑 분야에서 보호법이 정한 수준 이상의 개인정보보호(안전장치)를 제공하기 위해 정부와 기업이 함께 만든 체계로, 지난 2022년 7월부터 이어져 오고 있다. 참여사로는 티몬, 위메프는 물론 11번가, 네이버(스마트스토어), 롯데쇼핑(롯데온), 버킷플레이스(오늘의집), 인터파크, 지마켓, 카카오(카카오쇼핑), 쿠팡 등이 있다. 개인정보위는 "티몬·위메프는 정산·환불 이슈 발생 시부터 현재까지 개인정보 처리 관련 문제점은 확인된 바 없다"고 했다. 이어 "관계사들의 개인정보 처리실태를 적극적으로 지도·감독하고 지속적으로 모니터링해 국민들이 불안해하지 않도록 최선을 다할 예정"이라고 덧붙였다. soup@fnnews.com 임수빈 기자
2024-07-26 15:00:34[파이낸셜뉴스] 개인정보보호위원회가 알리익스프레스(알리), 테무 등 중국 전자상거래 기업들을 대상으로 한 현황 조사를 마무리하고, 조만간 조사 결과에 대해 발표할 예정이다. 고학수 개인정보보호위원회 위원장은 1일 서울 종로 정부서울청사에서 열린 정례브리핑에서 "알리와 테무에 대한 조사가 마무리됐다"며 "다음 전체회의 안건으로 상정돼 처분이 내려질 것"이라고 전했다. 개인정보위는 중국 전자상거래 업체인 알리, 테무에 대해 개인정보 유출 우려가 제기되자 지난 4월 개인정보 수집 및 이용 실태에 관한 조사에 착수했다. 또 상반기 내에 관련 조사는 완료하겠다고도 했다. 하지만 시기가 밀린 것에 대해 "실무적인 조사는 끝났지만, 절차상의 이유로 (발표가) 늦춰진 것"이라고 부연했다. 아울러 중국 이커머스 업체를 조사하는 과정에서 국내 매출액을 파악하는 데도 어려움이 있었던 것으로 나타났다. 고 위원장은 "실무적인 차원에서 어려움이 있었다면, 회사의 영업규모를 파악하는 것이었다"며 "알리는 한국에서 그나마 비즈니스를 한 이력이 있는데 테무는 이력도 짧고, 급성장한 상황이라 영업 관련 기록이 많지 않았다"고 말했다. 중국 전자상거래 기업 외에도 개인정보위는 월드코인의 개인정보 유출 문제도 조사하고 있다. 고 위원장은 "월드코인은 실무 차원에서 거의 마무리 단계라 7월이나 한두달 사이에 마무리될 예정"이라고 설명했다. 개인정보가 유출돼 조사에 착수했던 행정안전부(정부24)와 우리카드에 대한 조사는 "진행 중"이라고 말했다. 한편 이용자 개인정보 점검 및 보호 조치 소홀 등의 이유로 카카오에 151억원의 과징금을 부과한 건에 대해서도 처분 상황이 이어지고 있다. 고 위원장은 "카카오가 여전히 유출 신고를 하지 않은 상태"라며 "최종 처분서가 완료되는 대로 전달되면 법적 절차가 진행될 것"이라고 했다. soup@fnnews.com 임수빈 기자
2024-07-01 17:32:18[파이낸셜뉴스] 내년 3월 마이데이터의 전 분야 확대 시행을 앞두고 개인정보보호위원회가 산업계 대상 설명회를 열고 입법 취지 등을 설명했다. 특히 중소기업과 스타트업을 중심으로 마이데이터 확대가 부담이 될 것이라는 우려에 대해 "사실과 다르다"고 선을 그었다. 개인정보위는 지난 25일 서울 서초구 엘타워에서 설명회를 열었다고 26일 밝혔다. 이 자리에는 스타트업 등 약 400여 명의 기업 관계자가 참석해 전 분야 마이데이터에 대한 관심을 보였다. 마이데이터는 자신의 개인정보를 보유한 기업·기관에 그 정보를 당사자가 원하는 곳으로 이전을 요구할 수 있는 서비스다. 지난해 개인정보보호법 개정으로 마이데이터 법적 근거가 마련됐고, 개인정보위는 개인정보 전송요구권의 세부 기준을 담은 시행령을 마련해 지난 5월 입법예고했다. 개인정보위는 이날 설명회에서 △정보주체의 요구에 따라 정보를 전송해야 하는 정보전송자 기준 △전송대상 정보 항목 △구체적 전송방법 △정보를 수신받아 활용할 수 있는 개인정보관리 전문기관의 지정요건 등 마이데이터 시행과 관련된 세부 내용을 소개했다. 이와 함께 마이데이터의 점진적·단계적 안착을 위해 서비스 수요와 인프라 상황 등을 고려해 의료·통신·유통 부문을 우선적으로 추진한다고 밝혔다. 특히 개인정보위는 마이데이터 추진과 관련한 우려에 대해 "사실과 다르다"고 해명하며, 업계 의견을 충분히 반영해 구체적인 내용을 확정하겠다고 강조했다. 우선 정보 전송이 중소기업·스타트업 등에 부담이 된다는 우려에 대해 "중소기업이나 스타트업은 전송 의무대상이 아닌 만큼 정보 전송에 대한 부담이 발생하지 않고, 오히려 데이터를 전송받아 혁신적 서비스 등 새로운 비즈니스를 창출할 수 있는 기회가 될 것"이라고 일축했다. 유통부문의 경우, 매출액이 1500억 원 이상이면서 정보주체 수가 300만 명 이상인 자 중 거래 품목 종수(유형의 재화에 한정) 등을 고려해 대형 온라인 종합쇼핑몰이나 오픈마켓 등으로 정보전송자를 한정할 계획이라고도 했다. 또 정보 전송에 따른 기업 부담을 완화하기 위해 전송업무를 지원하는 중계 전문기관을 운영하고, 전송비용을 보전할 수 있도록 이해관계자 의견수렴을 통해 합리적인 비용분담체계도 마련할 것이라고 설명했다. 이와 함께 '전송된 정보가 외부에 판매될 경우, 기업의 영업비밀이 유출될 수 있다'는 우려에 대해서도 "전송요구로 인해 영업비밀이 유출되는지 여부에 대해 명확히 확인할 필요가 있으며, 확인 결과에 따라 필요시 전송정보(분석결과물 포함)에 대한 판매를 제한하는 조건으로 개인정보관리 전문기관(수신자)을 지정하는 방안 등을 검토할 수 있다"고 말했다. 안전하지 않은 해외 사업자가 전송 의무는 부담하지 않는 반면, 정보를 받을 수 있는 것 아니냐는 우려에 대해서도 "전송 의무를 이행하지 않는 기업은 전문기관 지정에서 배제하고, 현장실사 등을 통해 엄격하게 심사할 계획"이라고도 했다. 한편, 이날 설명회에서는 기업들이 마이데이터를 활용해 국민이 체감할 수 있는 선도서비스를 발굴하고 이를 구현하도록 지원하는 선도서비스 사업 계획도 소개했다. 개인정보위는 오는 7월 중 마이데이터 선도서비스 사업자 선정 공모를 통해 5개 과제를 선정하고 과제당 5억원씩 총 25억원을 지원할 계획이다. 이상민 범정부 마이데이터추진단장은 "전분야 마이데이터에 대한 많은 기대와 관심에 부응하기 위해 다양한 이해관계자 및 관계부처와의 긴밀한 협력을 통해 내년 제도 시행을 차질 없이 준비할 것"이라며 "국민이 안전하고 편리하게 제도 혜택을 누릴 수 있도록 최선을 다하겠다"고 말했다. yjjoe@fnnews.com 조윤주 기자
2024-06-26 14:39:16[파이낸셜뉴스] 개인정보보호위원회가 시스템상 접속기록을 보관·점검하지 않아 개인정보보호법을 위반한 SK텔레콤의 인공지능(AI) 개인비서 '에이닷'에 '안전조치 의무 준수' 시정권고를 내렸다. 개인정보위는 12일 전체회의를 열고 에이닷 등 AI 응용서비스를 젲공하는 4곳에 대한 사전 실태점검 결과를 심의·의결했다고 13일 밝혔다. 이번 점검 대상은 SKT의 에이닷, 스노우, 딥엘, 뷰노 등 4곳이다. 개인정보위는 지난해 11월부터 국내·외 주요 AI 서비스를 거대언어모델(LLM) 관련 사업자와 응용서비스 제공사업자로 나눠 점검했고, 지난 3월 LLM 관련 사업자에 대해 우선 점검 결과를 발표한 바 있다. 이번 심의·의결 과정에서는 에이닷, 스노우 등 AI를 활용한 응용서비스의 개인정보 처리 과정을 중점적으로 살폈다. 개인정보위에 따르면 에이닷의 통화 녹음·요약 서비스의 경우 이용자 기기에서 통화 녹음이 이뤄지면 음성파일이 SKT 서버에서 텍스트로 변환되고, 이를 다시 마이크로소프트의 클라우드 시스템에서 챗GPT 모델로 요약해 이용자에게 전달하는 방식으로 진행되고 있었다. 이 과정에서 텍스트 파일을 보관하는 시스템 등에 접속기록이 보관되지 않은 사실이 확인됐다. 개인정보보호법 위반이 확임됨에 따라 개인정보위는 시스템상 접속기록의 보관·점검 등 안전조치 의무를 준수토록 시정권고하기로 했다. 아울러 텍스트 파일의 보관 기간 최소화, 비식별 처리의 강화, 서비스 내용에 대해 정보주체들이 명확히 이해할 수 있는 조치를 마련·시행할 것을 개선 권고했다. 이에 따라 SKT는 열흘 이내 수용 여부를 밝히고, 만약 개인정보위 조치를 거부할 경우 실태점검이 아닌 일반 조사로 전환돼 제재 처분이 내려진다. 시행권고를 수용하고 시정명령으로 전환된 이후, 이행하지 않을 경우 과태료 3000만원이 부과된다. 생성형AI 기술 기반으로 AI 프로필 등 사진을 변형한 이미지를 생성해 주는 스노우의 경우, 사전 학습이 되어 인터넷에 공개된 AI 모델을 이용함에 따라 별도 학습데이터는 수집하지 않고, 서비스 이용 과정에서 생성된 이미지 또한 이용자 편의를 위해 일정기간 서버에 보관할 뿐 다른 목적으로 이용하지 않은 것으로 확인됐다. 다만 스노우가 개인정보 처리방침을 이용자가 알기 어려운 형태로 공개하고 있고, 이미지 필터링 등을 위한 외부 개발도구 안전성을 충실히 검토하지 않은 사실이 확인돼 개선을 권고했다. AI 기술로 전 세계 31개 언어를 번역해 주는 딥엘은 이용자가 무료 서비스에 입력한 정보에 대해 AI 학습과 인적 검토를 하면서도 이를 명확히 공개하지 않은 사실이 확인됐지만, 점검 과정에서 이를 개선한 만큼 별도의 개선권고는 하지 않았다. AI 기반의 의료영상(X-RAY, CT, MRI 등)과 심전도 등 생체신호 판독·진단을 보조하고 질환을 예측하는 프로그램인 뷰노의 경우, 특별한 위반 사항은 발견되지 않았다. 개인정보위는 "이번 사전 실태점검은 각 산업·서비스 분야에서 빠르게 AI를 도입하는 가운데 개인정보 처리 과정에서의 취약점을 선제적으로 점검하고 개선을 유도했다는 데 의의가 있다"며 "앞으로도 정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI를 도입하는 응용서비스에 대한 지속적인 모니터링을 실시하고, AI 시대의 개인정보 보호 대책 및 안전한 개인정보 활용 방안을 마련해 나갈 계획"이라고 말했다. yjjoe@fnnews.com 조윤주 기자
2024-06-13 12:25:33[파이낸셜뉴스] 지난해 발생한 '카카오톡 오픈채팅방 개인정보 유출' 논란과 관련 카카오가 150억원 규모의 과징금 처분을 받아 행정소송을 예고한 가운데, 개인정보보호위원회(개인정보위)는 카카오가 이용자들의 개인정보 관리에 소홀했다고고 재차 강조했다. 기술이 고도화되고 개인정보의 개념과 범위가 확대되는 상황에서 카카오가 이용자 안전 조치 강화에 보다 힘썼어야 한다는 지적이다. 최장혁 개인정보보호위원회 부위원장( 사진)은 지난 5일 서울 종로 정부서울청사에서 진행된 정례브리핑에서 "책임 있는 기업은 기술 발전에 대응해야 한다"며 이 같이 말했다. 앞서 개인정보위는 지난달 22일 전체회의를 통해 카카오에 과징금 151억4196만원과 과태료 780만원 의결했다. 지난해 3월 카카오톡 오픈채팅 이용자들의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 조사에 착수한 결과, 카카오가 이용자 개인정보 안전조치 의무와 유출 신고·통지 의무를 위반한 사항이 발견했기 때문이다. 하지만 카카오는 억울하다는 입장을 밝히며 행정소송도 불사하겠다는 입장이다. 개인정보위에 따르면 카카오는 오픈채팅 서비스를 운영하면서 일반 채팅에서 사용하는 '회원일련번호'와 오픈채팅방 정보를 단순 연결한 '임시ID'를 만들어 암호화 없이 그대로 사용했다. 반면 카카오 측은 '회원일련번호'는 단순 숫자로 구성된 문자열로, 개인정보가 될 수 없고 다른 사회관계망서비스(SNS)도 사용 중이며 누구나 쉽게 얻을 수 있게 돼 있다고 주장했다. 최 부위원장은 "회원일련번호가 개인정보가 아니라는 건 개인정보 개념이 바뀐 상태에 수긍하기 어렵다"고 말했다. 김해숙 조사2과장도 "카카오는 회원일련번호로 개개인을 관리하고 있었다"며 "해킹을 얼마나 쉽게 할 수 있는지, 충분히 (외부 정보와) 결합할 수 있는 정보였는지 따져봤을 때 (회원일련번호는) 개인정보로 볼 수 있고 그래서 처분이 내려진 것"이라고 부연했다. 최 부위원장은 "개인정보가 유출됐다고 확인된 인원이 696명인데, 카카오는 홈페이지에 게시했을 뿐 개개인에 공식 통지하지 않았다"며 "(개인정보 유출과 관련해) 과학기술정보통신부와 한국인터넷진흥원(KISA)에 정보통신망법상 해커의 해킹에 대해 신고를 한 것이고 개인정보위에 접수된 것은 없다"고 전했다. soup@fnnews.com 임수빈 기자
2024-06-05 17:53:54[파이낸셜뉴스] 개인정보보호위원회(개인정보위)가 지난해 발생한 '카카오톡 오픈채팅방 개인정보 유출' 논란과 관련 150억 규모의 과징금을 부과했다. 이에 대해 카카오는 문제가 된 임시 ID에 대해 "그 자체로 개인 식별이 불가능해 개인정보라고 판단할 수 없다"며 행정소송을 포함한 다양한 조치를 검토하겠다고 밝혀 법적 공방을 예고했다. ■역대 최대 과징금 부과 개인정보위는 23일 개인정보보호 법규를 위반한 카카오에 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령을 내렸다. 이는 기업 중 역대 최대 과징금 규모다. 개인정보위는 카카오의 개인정보에 관한 기술적·관리적 보호조치 등 전반적인 부분에 대한 조사를 진행했다. 그 결과 개인정보위는 카카오가 '안전조치의무' 및 '유출 신고·통지 의무'를 위반했다고 봤다. 우선 카카오가 익명의 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용한 부분은 ‘안전조치의무 위반'으로 파악됐다. 그러나 카카오에 따르면 여기서 '회원일련번호'나 '임시ID'는 카카오톡 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보다. 특히 회원일련번호는 숫자로 구성된 문자열로, 다른 사회관계망서비스(SNS)에서도 누구나 쉽게 얻을 수 있게 돼 있다는 설명이다. 결국 그 자체로는 어떠한 개인정보도 포함하고 있지 않고, 이것만으론 개인 식별이 불가능하다는 입장이다. 이에 카카오 측은 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기 때문에 이를 암호화하지 않은 것도 법령 위반으로 볼 수 없다"고 부연했다. 개인정보위는 카카오가 2020년 8월부터 오픈채팅방 임시ID를 암호화했지만, 기존 개설됐던 일부 오픈채팅방은 암호화되지 않은 임시ID가 그대로 사용되고 있던 부분도 허점으로 지적했다. 이 오픈채팅방에서는 암호화된 임시ID로 게시글을 작성할 시 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다. 이에 대해 카카오 측은 "임시 ID는 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없지만 그럼에도 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리한 것"이라며 "2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용했다"고 해명했다. 해커의 독자적 불법행위까지 카카오 과실로 판단한 부분에 대해서도 억울함을 호소했다. 개인정보위는 "해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다"고 판단했다. 하지만 카카오 측은 "해커가 결합해 사용한 ‘다른 정보’란 카카오에서 유출된 것이 아니다"라고 선을 그었다 해커가 불법적인 방법을 통해 자체 수집했기 때문에 카카오의 위법성을 판단할 때 고려돼서는 안 된다는 것이다. 아울러 개인정보위가 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보보호법을 위반했다고 판단한 부분에 대해선 사건을 인지한 즉시 신고하고, 수사에도 적극 협조했다고 전했다. 카카오 측은 "해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고를 했다. 경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다"며 "이 밖에도 지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"고 밝혔다. 그러면서 "전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다"며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이고, 앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다하겠다"고 했다. 지난해 발생한 '카카오톡 오픈채팅방 개인정보 유출' 논란에 대해 개인정보보호위원회(개인정보위)가 150억 규모의 과징금을 부과한 가운데, 카카오가 적극 반박에 나섰다. 카카오는 사실과 다른 부분을 두고 해명하며, 행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토하겠다고 밝혔다. 23일 업계에 따르면 개인정보위는 이날 개인정보보호 법규를 위반한 카카오에 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령을 내렸다고 발표했다. 이는 기업 중 역대 최대 과징금 규모다. 개인정보위는 카카오의 개인정보 기술적·관리적 보호조치 등 전반적인 부분에 대한 조사를 진행했다.. 그 결과 개인정보위는 카카오가 '안전조치의무' 및 '유출 신고·통지 의무'를 위반했다고 봤다. 우선 카카오가 익명의 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용한 부분은 ‘안전조치의무 위반'으로 파악됐다. 그러나 카카오에 따르면 여기서 '회원일련번호'나 '임시ID'는 카카오톡 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보다. 특히 회원일련번호는 숫자로 구성된 문자열로, 다른 사회관계망서비스(SNS)에서도 누구나 쉽게 얻을 수 있게 돼 있다는 설명이다. 결국 그 자체로는 어떠한 개인정보도 포함하고 있지 않고, 이것만으론 개인 식별이 불가능하다는 입장이다. 이에 카카오 측은 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기 때문에 이를 암호화하지 않은 것도 법령 위반으로 볼 수 없다"고 부연했다. 개인정보위는 카카오가 2020년 8월부터 오픈채팅방 임시ID를 암호화했지만, 기존 개설됐던 일부 오픈채팅방은 암호화되지 않은 임시ID가 그대로 사용되고 있던 부분도 허점으로 지적했다. 이 오픈채팅방에서는 암호화된 임시ID로 게시글을 작성할 시 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다. 이에 대해 카카오 측은 "임시 ID는 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없지만 그럼에도 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리한 것"이라며 "2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용했다"고 해명했다. 해커의 독자적 불법행위까지 카카오 과실로 판단한 부분에 대해서도 억울함을 호소했다. 개인정보위는 "해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다"고 판단했다. 하지만 카카오 측은 "해커가 결합해 사용한 ‘다른 정보’란 카카오에서 유출된 것이 아니다"라고 선을 그었다 해커가 불법적인 방법을 통해 자체 수집했기 때문에 카카오의 위법성을 판단할 때 고려돼서는 안 된다는 것이다. 아울러 개인정보위가 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보보호법을 위반했다고 판단한 부분에 대해선 사건을 인지한 즉시 신고하고, 수사에도 적극 협조했다고 전했다. 카카오 측은 "해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고를 했다. 경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다"며 "이 밖에도 지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"고 밝혔다. 그러면서 "전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다"며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이고, 앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다하겠다"고 했다. soup@fnnews.com 임수빈 기자 soup@fnnews.com 임수빈 기자
2024-05-23 11:49:25[파이낸셜뉴스] 행정안전부는 정부24의 성적.졸업 등 교육민원 관련 증명 서비스와 법인용 납세증명서 등 국세민원 서비스의 오류와 관련해 오발급된 서류 삭제 및 당사자 통보조치를 완료하고 현재까지 관련 서류는 정상 발급되고 있다고 5일 밝혔다. 개인정보보호위원회는 지난달 초 '정부24'에서 다수의 개인정보가 유출된 사고와 관련해 행정안전부를 대상으로 신고 절차의 위법성 여부와 유출 규모 등을 들여다보고 있는 상황이다, 개인정보위와 행안부에 따르면 4월 초 정부 온라인 민원서비스인 정부24에서 성적증명서, 납세증명서 등을 발급받을 때 타인의 서류가 발급되는 오류가 발생했다. 해당 서류에는 타인의 이름, 주민등록번호, 주소 등 민감한 개인정보가 담긴 것으로 알려졌다. 이에 개인정보위는 조사관을 배정하고 현장 조사를 벌이는 한편, 행안부에 관련 자료 제출을 요구하는 등 개인정보 유출 규모와 경위 등을 파악하기로 했다. 행안부는 우선 성적.졸업 등 증명 관련 오발급 서류는 4월 1일 확인 즉시 삭제 조치했고, 법인용 납세증명서 오발급 서류는 4월 19일 확인 즉시 삭제 조치했다고 설명했다. 이번 발생한 오류발급에 대해 각각 시스템 점검 이후 현재 모두 정상 발급되고 있다고 밝혔다. 교육민원 서비스 오류발급은 646건이며, 납세증명서는 587건 오류발급됐다. 오류발급 과정에서 타인에게 노출된 개인정보와 관련해 개인정보보호 관련규정에 따라 개인정보보호위원회에 각각 신고했고 해당 당사자에게 민원서류 오류발급 내용을 전화통화, 우편 등으로 신속히 알렸다고 전했다. 특히 교육민원 오류발급의 내용은 신청인 개인의 민원 발급이 제대로 되지 않고 다른 사람의 관련 내용이 오류발급된 것이며, 시스템에서 즉시 삭제하고, 오류 증명서를 발급받은 개인에게 모두 삭제토록 조치했다. 행안부는 이번 오류발급의 원인은 정부24와 교육 정보시스템 간 연계 프로그램을 최적화하는 과정에서 다수의 사용자가 동시에 접속했을 때 다른 사람의 증명서가 발급되는 상황이 발생했다고 설명했다. 이번 오류발급과 관련해 사업자의 법률 및 계약 위반사항 검토 등 필요한 조치는 법적으로 처리할 계획이다. 정부24는 1일 평균 방문자는 평균 150만 명이고, 1일 평균 민원서류 발급은 110만건, 월평균은 3500여만건, 연간은 4억여건이다. ktitk@fnnews.com 김태경 기자
2024-05-05 15:45:49