[파이낸셜뉴스] 소상공인시장진흥공단이 운영하는 '소상공인정책자금 누리집'이 개인정보보호 인증(ePRIVACY PLUS)을 획득했다고 3일 밝혔다. 기관 차원에서 해당 인증을 받은 것은 이번이 처음이다. 개인정보보호 인증은 개인정보보호협회가 개인정보 수집부터 보관, 파기까지 전 주기를 종합적으로 평가해 부여하는 인증이다. 법적 기준 충족뿐만 아니라 실질적인 보호조치와 내부 통제체계 운영 여부까지 평가 대상에 포함된다. 소진공은 인증 취득을 위해 개인정보 보호 전담 조직을 구성하고 내부 규정 개정과 시스템 보안성 강화, 동의서 체계 정비 등 전사적 노력을 기울였다. 임직원 대상 직무별 맞춤형 교육도 병행했다. 특히 △접속기록 관리 △이상행위 탐지 △이미지 내 개인정보 검출 등 기술적 조치와 신기술 도입 투자가 높은 평가를 받았다. 인증을 통해 소진공은 앞으로도 개인정보보호협회의 교육, 점검지원시스템, 웹 취약점 점검 등 지원 혜택을 제공받는다. 박성효 소진공 이사장은 “소상공인과 국민의 정보를 다루는 공공기관으로서 책임감 있는 개인정보 관리가 필수적”이라며 “사고 예방을 위한 기술·관리 체계를 지속 고도화하겠다”고 밝혔다. jimnn@fnnews.com 신지민 기자

[파이낸셜뉴스] 최근 의료시장의 과열된 경쟁 속에서 일부 의료기관과 광고대행업체가 의료법 및 개인정보 보호법을 위반한 채 불법적인 데이터베이스(DB) 마케팅을 시행하는 사례가 급증하고 있다. DB 마케팅은 소비자의 개인정보 및 온라인 행동 데이터를 수집·분석해 1대1 맞춤형 광고를 제공함으로써 마케팅 효율을 높이는 기법이다. 예를 들어, 사용자가 '임플란트', '모발이식', '다이어트' 등 특정 키워드를 검색하거나 관련 콘텐츠를 자주 접할 경우, 이를 기반으로 해당 분야 의료기관의 광고를 노출시키고 개인정보를 받아 상담을 유도하는 방식이다. 이러한 과정에서 수집되는 이름, 성별, 나이, 연락처 등 기본 정보와 검색 기록, 설문 응답과 같은 행동 정보는 모두 개인정보에 해당한다. 현행 개인정보 보호법은 제15조(개인정보의 수집·이용) 및 제17조(개인정보의 제3자 제공)에 따라 개인정보 수집 시 수집 주체와 목적을 명확히 고지해야 하며, 수집된 정보는 책임감 있게 관리돼야 한다고 규정하고 있다. 하지만 최근 일부 의료기관이 광고 대행업체와 결탁해 병원명이나 수집 주체를 밝히지 않은 채 개인정보를 수집·활용하는 '히든(Hidden) DB 마케팅'을 진행하는 사례가 잇따르고 있다. 이러한 행위는 개인정보 보호법을 명백히 위반하는 것으로, 소비자에게 고지하지 않고 수집된 정보는 불법이다. 심지어 일부 광고 대행업체는 먼저 소비자 개인정보만을 수집하고 환자 유인 알선의 용도로 병원들에 영업을 하는 경우도 있다. 이들은 자극적인 광고 문구, 허위 또는 과장된 수술 결과, 지나치게 낮은 가격 제시 등을 통해 소비자를 유인하고 있으며, 의료법이 허용한 할인율을 초과하거나, 이미지 보정을 통해 과장된 효과를 전달하는 등 방식으로 불법 광고를 집행하고 있다. 의료법 제92조에 따라 허위·과장 광고를 시행할 경우 1년 이하의 징역 또는 1000만원 이하의 벌금이 부과될 수 있으며, 개인정보 보호법을 위반할 경우 최대 5년 이하의 징역 또는 5000만원 이하의 벌금, 혹은 3000만원 이하의 과태료 처분이 가능하다. 또 소비자가 위법한 개인정보 처리로 피해를 입었을 경우에는 정신적 피해에 대한 위자료를 포함한 손해배상 청구도 가능하다. 하지만 문제는 이러한 광고의 경우 그 광고를 진행한 주체가 명확히 드러나지 않아 관계 당국이 해당 의료기관이나 대행사를 추적해 처벌하기 어렵다는 점이다. 특히 최근에는 불법 수집된 환자 정보가 이른바 '데이터 브로커'를 통해 제3자에게 유통되는 사례도 확인되고 있어, 개인 사생활 침해 및 2차 피해 우려도 커지고 있는 상황이다. 더불어, 과장 광고에 현혹돼 시술을 받은 환자들이 부작용을 호소하거나, 반복적으로 노출되는 광고로 인해 심리적 스트레스를 겪는 사례도 증가하고 있다. 전문가들은 불법 DB 마케팅의 근절을 위해 소비자 스스로도 개인정보 제공에 앞서 신중한 판단이 필요하다고 조언한다. 소비자들은 개인정보를 남기기 전에 개인정보 수집 주체, 수집 목적, 이용 항목, 보유 기간, 제3자 제공 여부 등을 반드시 확인해야 하며, 선택 동의 항목과 필수 항목이 명확히 구분돼 있는지도 점검해야 한다. 개인정보보호 전문 A변호사는 "DB 마케팅은 의료기관과 소비자를 효과적으로 연결할 수 있는 유용한 수단이지만, 불법적으로 활용될 경우 의료기관 대표자 및 관계자에게 실형이 선고될 수 있는 중대한 문제"라며 "의료기관은 합법적인 마케팅 전략을 수립해야 하며, 소비자 역시 광고의 적법성을 스스로 확인하는 습관을 가져야 한다"고 강조했다.   pompom@fnnews.com 정명진 의학전문기자

[파이낸셜뉴스] 개인정보보호위원회는 세일즈포스를 대상으로 개인정보 보호 취약점 여부에 대한 사실관계를 확인하고 있다고 11일 밝혔다. 개인정보위는 최근 세일즈포스의 고객관리 솔루션을 사용하는 기업을 대상으로 개인정보 유출 가능성이 제기되면서 사실관계 확인 절차에 돌입했다. 일부 언론은 구글의 위협인텔리전스 분석을 인용해 “해커가 세일즈포스의 정보기술(IT)팀 직원을 사칭해 전화 등으로 솔루션 이용 기업에 악성코드(앱) 설치를 유도하고 개인정보를 탈취한 사례가 보고됐다"고 보도했다. 세일즈포스는 글로벌 클라우드 기반 고객관계관리 서비스 업체로, 약 15만 개 이상의 기업에서 서비스를 사용 중인 것으로 추정된다. 개인정보위는 세일즈포스에 대한 정확한 현황 파악과 함께 관련 시스템의 개인정보 보호 취약점 여부를 확인 중이다. 이와 동시에 개인정보위는 세일즈포스 시스템을 이용하는 국내 기업들에게 자체 보안 점검 및 임직원 대상 피싱 예방 교육 실시, 관리자 계정에 대한 다중 인증 적용, 접근할 수 있는 아이피(IP) 주소 제한 등 개인정보 보호 활동을 각별히 강화해 달라고 당부했다. yjjoe@fnnews.com 조윤주 기자

개인정보 보호 체계 강화를 위한 공공기관 대상 평가가 올해 더 넓은 범위로 확대된다. 기존 중앙·지방정부와 공공기관 외에 KBS·카이스트 등 8개의 대학과 특수법인이 새롭게 포함되고, 인공지능(AI) 환경에 대응한 리스크 관리 체계도 평가 항목에 반영된다. 개인정보보호위원회는 이같은 내용의 '2025년 공공기관 개인정보 보호수준 평가 계획'을 4일 공개했다. 올해 평가 대상은 1445개다. 기존 중앙행정기관 및 소속기관, 지방자치단체, 공공기관, 시도교육청 뿐 아니라, KBS, 카이스트, 경북대학교, 숙명여자대학교 등 8개 대학·특수법인이 처음 포함됐다. 개인정보 유출 등 사고 발생 시에는 유출 규모와 담당자의 고의·과실 정도에 따라 감점을 차등 적용하고, 중대 위반의 경우 강화된 패널티를 적용하는 규정도 적용할 계획이다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 개인정보 보호 체계 강화를 위한 공공기관 대상 평가가 올해 더 넓은 범위로 확대된다. 기존 중앙·지방정부와 공공기관 외에 KBS·카이스트 등 8개의 대학과 특수법인이 새롭게 포함되고, 인공지능(AI) 환경에 대응한 리스크 관리 체계도 평가 항목에 반영된다. 개인정보보호위원회는 이같은 내용의 ‘2025년 공공기관 개인정보 보호수준 평가 계획’을 4일 공개했다. 개인정보 보호수준 평가는 개인정보보호법에 따라 공공기관의 개인정보 관련 법령상 의무 사항 준수 여부뿐 아니라, 개인정보 보호를 위한 기관의 노력 등을 평가하는 제도다. 올해 평가 대상은 1445개다. 기존 중앙행정기관 및 소속기관, 지방자치단체, 공공기관, 시도교육청 뿐 아니라, KBS, 카이스트, 경북대학교, 숙명여자대학교 등 8개 대학·특수법인이 처음으로 포함됐다. 올해 평가는 자체평가(60점)와 전문가 심층평가(40점)로 이뤄진다. 기존 43개였던 자체평가 지표는 40개로, 심층평가 지표는 7개로 간소화됐다. 중복 지표를 통합하고, 개인정보보호 책임자(CPO)에 대한 인력·예산 항목을 별도 편성하는 등 평가 체계도 재정비됐다. 개인정보 유출 등 사고 발생 시에는 유출 규모와 담당자의 고의·과실 정도에 따라 감점을 차등 적용하고, 중대 위반의 경우 공공기관 경영평가에서 강화된 패널티를 적용하는 규정도 적용할 계획이다. 개인정보위는 이달 말부터 온·오프라인 설명회를 시작해, 7월 중 지난해 평가에서 낮은 점수를 받은 기관과 신규 평가대상 기관을 중심으로 권역별 맞춤 현장 컨설팅도 병행할 예정이다. 이정렬 개인정보위 사무처장은 “최근 각종 유출 사고에 대한 국민의 우려가 높아지고 있는 상황에서, 공공기관이 관리하는 개인정보에 대한 관심과 중요성이 더욱 높아졌다"며 “올해 보호수준 평가를 계기로 공공 분야에서 선도적으로 안전한 개인정보 보호체계를 만들어서 국민의 소중한 개인정보를 보다 안전하게 관리·활용하기를 바란다”고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 카카오는 개인정보보호위원회, 한국인터넷진흥원(KISA)과 함께 중소사업자의 개인정보보호 역량 강화를 위한 온라인 교육을 진행한다고 4일 밝혔다. 카카오와 KISA는 2022년부터 카카오비즈니스 파트너 및 중소사업자를 대상으로 개인정보 보호 교육을 진행하고 있다. 중소사업자들의 개인정보 관리 역량 향상을 돕는 교육으로, 중소사업자가 아니더라도 개인정보에 관심 있는 누구나 참여할 수 있다. 이번 교육은 전년도 대비 질의응답 비중을 늘려 참가자들의 실질적인 궁금증 해결에 중점을 뒀다. 글로벌 IT 기업 사례를 포함한 다양한 개인정보 침해사례를 기반으로 교육 내용을 구성했으며, 실무 대응 방안을 함께 다룰 예정이다. 교육에는 KISA 기획조사팀 이수현 주임연구원이 연사로 참여해 △개인정보 침해사고 사례 △카카오 비즈니스 단계별 개인정보 처리 시 주의사항 △개인정보 유출사고 발생 시 조치사항 등을 발표할 예정이다. 교육 후에는 참가자들이 개인정보 관련 평소 궁금했던 점들을 자유롭게 질문하고 정보를 얻어갈 수 있는 실시간 질의응답을 진행한다. 세미나는 이날 오후 4시 카카오비즈니스 세미나 홈페이지를 통해 진행되며, 추후 다시보기로도 제공된다. 카카오 관계자는 "파트너사뿐만 아니라 중소사업자들이 개인정보 관련 법률을 이해하고 안전하게 사업을 운영할 수 있도록 지속적으로 맞춤형 교육과 지원을 이어갈 계획"이라고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 한국에서 사업을 벌이는 해외사업자의 개인정보 보호 책임을 이행하기 위한 국내대리인 지정요건과 관리 책임이 구체화된다. 해당 개정안이 통과되면 국내에 진출하려는 해외 빅테크 서비스나 최근 개인정보 유출로 논란이 된 중국 인공지능(AI) 딥시크 등의 서비스도 영향을 받을 전망이다. 개인정보보호위원회는 국내대리인 제도의 실효성을 높이는 내용을 담은 '개인정보보호법' 시행령 개정안을 7월 9일까지 입법예고한다고 30일 밝혔다. 국내대리인은 해외사업자에 대해 우리 국민의 개인정보 보호책임을 부여하고, 정보 주체의 피해 구제를 돕기 위한 제도다. 국내에 주소나 영업장이 없는 기업은 국내대리인을 지정하고, 이들에게 개인정보 보호책임자 업무와 개인정보 유출 통지 및 신고 업무 등을 부여해야 한다. 그러나 일부 해외기업이 이를 형식적으로 운영해온 탓에 제도가 유명무실하다는 지적이 제기돼 왔다. 이에 올해 10월 시행되는 개인정보보호법에서는 제도 실효성을 높이고자 해외사업자가 국내에 설립한 법인이나, 해외사업자가 임원 구성·사업 운영에 지배적인 영향력을 행사하는 국내법인을 국내 대리인으로 지정하도록 규정했다. 해외사업자에게 국내대리인 관리·감독 의무도 부여했다. 시행령 개정안에는 관련법 개정안에서 언급된 '임원 구성·사업 운영에 지배적인 영향력을 행사하는 국내 법인'의 정의를 세분화하는 내용이 담겼다. 대표이사를 임면할 수 있거나, 임원 절반 이상을 선임할 수 있는 권한이 있는 경우가 이에 해당한다. 발행주식총수나 출자 총액의 30% 이상을 출자한 경우도 포함된다. 아울러 해외사업자의 국내대리인에 대한 업무수행계획 수립 및 이행 여부 점검·확인, 교육 등 관리·감독 의무도 구체화했다. 또 관련 법에서 정의한 공공기관 범위에 지방자치단체 출자·출연기관을 추가해, 해당 기관이 개인정보를 안전하게 관리하도록 했다. wongood@fnnews.com 주원규 기자

[파이낸셜뉴스] NH농협카드는 고객이 안심하고 금융거래를 이용할 수 있도록 개인정보보호 및 보안 역량을 지속적으로 강화하고 있다고 19일 밝혔다. 먼저 NH 페이(pay)를 통해 보이스피싱 등 금융사기를 사전에 예방할 수 있는 '악성 앱 탐지 서비스'를 제공하고 있다. 서비스는 인공지능(AI) 기술을 활용해 고객 휴대폰에 설치된 앱을 실시간으로 분석하고, 정상적인 앱파일 형태를 벗어난 악성 앱을 자동으로 탐지한다. 고객이 별도로 신청하거나 설정할 필요 없이, NH pay를 설치하고 로그인만 하면 '악성 앱 탐지 서비스'가 자동으로 작동한다. 더불어 지난 4월에는 '금융 보이스피싱 시스템 및 그 방법'에 대한 특허를 등록했으며, 이외에도 '자가이상거래 모니터링 장치 및 방법', '불법적 금융 거래 방지 장치' 등 다양한 카드 보안 관련 BM특허를 보유하고 있다. 지난달 28일에는 서울 종로구 NH농협카드 본사에서 '2025년 개인(신용)정보 보호 집합 교육'을 개최하는 등 임직원들의 개인정보보호 역량 강화를 위해서도 지속 노력하고 있다. coddy@fnnews.com 예병정 기자

【파이낸셜뉴스 수원=장충식 기자】경기주택도시공사(GH)는 개인정보보호위원회가 발표한 '2024년 공공기관 개인정보 보호수준 평가'에서 최고 등급(S)을 획득했다고 30일 밝혔다. 평가 대상은 중앙행정기관, 지방자치단체, 공기업 등 총 1426개 공공기관이며, 전체 기관 평균 점수는 77.6점이었다. GH는 90.13점으로, 개인정보 관리 체계와 보호 노력을 인정받아 최고 등급인 'S등급'을 획득했다. 이번 평가는 '개인정보 보호법' 개정에 따라 기존 '공공기관 개인정보 관리수준 진단'이 평가제로 전환·확대된 후 처음으로 실시됐다. 이에 따라 이전 진단보다 평가의 공정성과 신뢰성이 한층 강화되었으며, 기관별 개인정보 보호체계 구축 수준과 관리 실태를 종합적으로 평가했다. GH는 개인정보 보호 정책 수립, 안전조치 이행, 신기술 대응 노력 등 모든 항목에서 고른 점수를 받은 가운데, 특히 '신기술 환경에서의 개인정보의 안전한 활용 및 안전조치'에서 가점을 얻었다. 경기도에서 S등급을 받은 기관은 GH가 유일하다. 이를 위해 GH는 지난해 11월 조직 개편을 단행, '정보통신법'에 따른 정보보호 최고책임자 운영과 정보보호 강화를 위해 부급이었던 조직을 정보보호실로 격상, 사장 직속으로 편제해 확대 운영하고 있다. 이종선 사장 직무대행은 "개인정보 보호는 공공기관의 신뢰와 직결되는 사항으로, 이번 S등급 획득으로 공사의 개인정보 보호노력 및 성과를 인정받아 매우 뜻깊게 생각한다"라며 "도민의 개인정보를 더욱 안전하게 보호하고, 신뢰받는 공공기관으로 자리매김 하겠다"고 말했다. jjang@fnnews.com 장충식 기자

[파이낸셜뉴스] 중소벤처기업진흥공단은 개인정보보호위원회가 주관하는 '2024년 개인정보 보호수준 평가'에서 3년 연속 최고등급인 ‘S등급’을 획득했다고 30일 밝혔다. 개인정보 보호수준 평가는 중앙행정기관, 지방자치단체, 공공기관 등 1426개 기관을 대상으로 개인정보 관리체계와 침해 방지 수준을 평가하는 제도다. 총 51개 세부 지표를 기준으로 점수를 산정하며 평가 결과에 따라 최상위인 ‘S’부터 A, B, C, D까지 5등급으로 나뉜다. 이번 평가는 기존 ‘공공기관 개인정보 관리수준 진단’에서 평가제로의 개편 이후 첫 시행이다. 평가대상은 796개 기관에서 1426개 기관으로 확대되고, 평가단 규모도 50명에서 100명으로 늘어났다. 또한 평가방식도 한층 강화돼 개인정보보호 수준뿐만 아니라 신기술 환경에서의 데이터 활용과 안정성 확보 조치까지 중점적으로 평가됐다. 중진공은 개인정보보호를 위한 전담인력과 조직을 구성해 운영하고 안전조치 이행 등 개인정보 침해 방지 노력을 인정받아 전년 대비 2.66점이 상승해 3년 연속 S등급을 달성했다. 특히 임직원 대상 △수준별 교육 △사내 공모제안 △퀴즈 이벤트 등 참여형 활동을 통해 전사적인 개인정보보호 인식 제고에 기여한 점이 높이 평가됐다. 이창섭 중진공 기획관리이사는 “이번 성과는 강화된 개인정보보호 기준에 맞춰 모든 임직원이 책임감을 갖고 함께 노력한 결과”라며 “앞으로도 고객의 개인정보를 철저히 보호하고, 중소벤처기업의 정보보호 인식 확산에도 적극 앞장서겠다”고 말했다. jimnn@fnnews.com 신지민 기자