[파이낸셜뉴스] 최근 의료시장의 과열된 경쟁 속에서 일부 의료기관과 광고대행업체가 의료법 및 개인정보 보호법을 위반한 채 불법적인 데이터베이스(DB) 마케팅을 시행하는 사례가 급증하고 있다. DB 마케팅은 소비자의 개인정보 및 온라인 행동 데이터를 수집·분석해 1대1 맞춤형 광고를 제공함으로써 마케팅 효율을 높이는 기법이다. 예를 들어, 사용자가 '임플란트', '모발이식', '다이어트' 등 특정 키워드를 검색하거나 관련 콘텐츠를 자주 접할 경우, 이를 기반으로 해당 분야 의료기관의 광고를 노출시키고 개인정보를 받아 상담을 유도하는 방식이다. 이러한 과정에서 수집되는 이름, 성별, 나이, 연락처 등 기본 정보와 검색 기록, 설문 응답과 같은 행동 정보는 모두 개인정보에 해당한다. 현행 개인정보 보호법은 제15조(개인정보의 수집·이용) 및 제17조(개인정보의 제3자 제공)에 따라 개인정보 수집 시 수집 주체와 목적을 명확히 고지해야 하며, 수집된 정보는 책임감 있게 관리돼야 한다고 규정하고 있다. 하지만 최근 일부 의료기관이 광고 대행업체와 결탁해 병원명이나 수집 주체를 밝히지 않은 채 개인정보를 수집·활용하는 '히든(Hidden) DB 마케팅'을 진행하는 사례가 잇따르고 있다. 이러한 행위는 개인정보 보호법을 명백히 위반하는 것으로, 소비자에게 고지하지 않고 수집된 정보는 불법이다. 심지어 일부 광고 대행업체는 먼저 소비자 개인정보만을 수집하고 환자 유인 알선의 용도로 병원들에 영업을 하는 경우도 있다. 이들은 자극적인 광고 문구, 허위 또는 과장된 수술 결과, 지나치게 낮은 가격 제시 등을 통해 소비자를 유인하고 있으며, 의료법이 허용한 할인율을 초과하거나, 이미지 보정을 통해 과장된 효과를 전달하는 등 방식으로 불법 광고를 집행하고 있다. 의료법 제92조에 따라 허위·과장 광고를 시행할 경우 1년 이하의 징역 또는 1000만원 이하의 벌금이 부과될 수 있으며, 개인정보 보호법을 위반할 경우 최대 5년 이하의 징역 또는 5000만원 이하의 벌금, 혹은 3000만원 이하의 과태료 처분이 가능하다. 또 소비자가 위법한 개인정보 처리로 피해를 입었을 경우에는 정신적 피해에 대한 위자료를 포함한 손해배상 청구도 가능하다. 하지만 문제는 이러한 광고의 경우 그 광고를 진행한 주체가 명확히 드러나지 않아 관계 당국이 해당 의료기관이나 대행사를 추적해 처벌하기 어렵다는 점이다. 특히 최근에는 불법 수집된 환자 정보가 이른바 '데이터 브로커'를 통해 제3자에게 유통되는 사례도 확인되고 있어, 개인 사생활 침해 및 2차 피해 우려도 커지고 있는 상황이다. 더불어, 과장 광고에 현혹돼 시술을 받은 환자들이 부작용을 호소하거나, 반복적으로 노출되는 광고로 인해 심리적 스트레스를 겪는 사례도 증가하고 있다. 전문가들은 불법 DB 마케팅의 근절을 위해 소비자 스스로도 개인정보 제공에 앞서 신중한 판단이 필요하다고 조언한다. 소비자들은 개인정보를 남기기 전에 개인정보 수집 주체, 수집 목적, 이용 항목, 보유 기간, 제3자 제공 여부 등을 반드시 확인해야 하며, 선택 동의 항목과 필수 항목이 명확히 구분돼 있는지도 점검해야 한다. 개인정보보호 전문 A변호사는 "DB 마케팅은 의료기관과 소비자를 효과적으로 연결할 수 있는 유용한 수단이지만, 불법적으로 활용될 경우 의료기관 대표자 및 관계자에게 실형이 선고될 수 있는 중대한 문제"라며 "의료기관은 합법적인 마케팅 전략을 수립해야 하며, 소비자 역시 광고의 적법성을 스스로 확인하는 습관을 가져야 한다"고 강조했다.   pompom@fnnews.com 정명진 의학전문기자

[파이낸셜뉴스]법무법인 태평양이 늘어나는 사이버 보안 위협에 선제 대응하고자 '정보보호 전략컨설팅팀'을 신설하기로 했다. 태평양 미래금융전략센터는 이달 초 해당 팀을 신설했다고 18일 밝혔다. 신설 팀은 정보보호 정책 정비부터 보안 교육, 컴플라이언스 체계 구축까지 원스톱 서비스를 제공한다. 주요 업무 분야는 △정보보호 정책 정비 및 거버넌스 구축 △보안 위협 분석 및 리스크 평가 △사고 대응 절차 수립 △임직원 교육 △클라우드·원격근무 보안 정책 마련 등 기업 정보보호와 관련됐다. 또 전자금융거래법, 신용정보법, 개인정보보호법 등과 관련된 컴플라이언스(준법 경영) 체계 마련도 지원한다. 정보보호 전략컨설팅은 인공지능(AI)과 개인정보보호 분야에서 오랜 경험을 쌓은 윤주호 변호사가 이끈다. 이외에 전자금융 전문인 김영모 외국변호사, 당국 대응 경험이 있는 노미은·임세영·김현정 변호사, 금융감독 당국 출신 박영주·최지혜·조광현 변호사 등이 협업하게 된다. 최근 허성욱 전 정보통신산업진흥원장, 이수화 전 비바리퍼블리카 법무총괄도 합류한 바 있다. 윤주호 변호사는 "단순한 기술적 대응을 넘어 법적 컴플라이언스와 실무 운영을 통합한 체계적인 정보보호 거버넌스 구축이 필요한 시점"이라며 "기업이 변화하는 보안 위협에 선제적으로 대응할 수 있는 역량을 갖추도록 돕겠다"고 말했다.   scottchoi15@fnnews.com 최은솔 기자

[파이낸셜뉴스] 업비트 운영사 두나무는 16일 2021년부터 지난해까지 4년간 정보보호 부문에 투자한 금액이 384억원에 달한다고 밝혔다. 지난 13일 공개된 정보보호 공시에 따르면 두나무의 정보보호 부문 연도별 투자액은 △2021년 57억원 △2022년 87억원 △2023년 92억원 △2024년 148억원이다.  두나무의 지난해 정보보호 투자액(약 148억원)은 전체 정보기술(IT) 부문 투자액(1543억원)의 9.6%에 해당한다. 보안 인력도 늘리고 있다. 지난 2024년 기준 두나무의 정보보호 전담 인력은 33.6명으로, 2021년 9.9명 대비 3배 이상 증가했다. 특히 2022년부터 2023년 사이에는 13.3명에서 26.7명으로 1년 만에 두 배 이상 늘었다. 정재용 두나무 최고정보보호책임자(CISO)는 "정보보호는 사고 이후의 대응보다 그 이전에 어떤 준비를 해왔는지가 실질적인 경쟁력을 결정짓는다"며 "앞으로도 고객의 자산 보호와 신뢰받는 서비스를 만드는 것에 최선을 다하겠다"고 말했다. localplace@fnnews.com 김현지 기자

[파이낸셜뉴스] 개인정보보호위원회는 세일즈포스를 대상으로 개인정보 보호 취약점 여부에 대한 사실관계를 확인하고 있다고 11일 밝혔다. 개인정보위는 최근 세일즈포스의 고객관리 솔루션을 사용하는 기업을 대상으로 개인정보 유출 가능성이 제기되면서 사실관계 확인 절차에 돌입했다. 일부 언론은 구글의 위협인텔리전스 분석을 인용해 “해커가 세일즈포스의 정보기술(IT)팀 직원을 사칭해 전화 등으로 솔루션 이용 기업에 악성코드(앱) 설치를 유도하고 개인정보를 탈취한 사례가 보고됐다"고 보도했다. 세일즈포스는 글로벌 클라우드 기반 고객관계관리 서비스 업체로, 약 15만 개 이상의 기업에서 서비스를 사용 중인 것으로 추정된다. 개인정보위는 세일즈포스에 대한 정확한 현황 파악과 함께 관련 시스템의 개인정보 보호 취약점 여부를 확인 중이다. 이와 동시에 개인정보위는 세일즈포스 시스템을 이용하는 국내 기업들에게 자체 보안 점검 및 임직원 대상 피싱 예방 교육 실시, 관리자 계정에 대한 다중 인증 적용, 접근할 수 있는 아이피(IP) 주소 제한 등 개인정보 보호 활동을 각별히 강화해 달라고 당부했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 소상공인시장진흥공단이 정보보호 분야 최고 권위의 국제표준 인증 2종을 2년 연속 유지했다. 소진공은 최근 진행된 사후 심사에서 '정보보안 경영시스템(ISO/IEC 27001:2022)'과 '개인정보 보호 경영시스템(ISO/IEC 27701:2019)’ 인증을 유지했다고 10일 밝혔다. ISO/IEC 27001은 조직, 인력, 물리적, 기술적 통제 영역에 걸쳐 93개 항목에 대한 심사를 통과해야 한다. ISO/IEC 27701은 개인정보 수집부터 보관, 파기까지 전 과정의 8개 분야, 49개 기준을 충족해야 인증이 가능하다. 이번 사후 심사는 지난해 5월 인증 획득 이후 1년간의 운영 성과와 내부 개선 노력을 중심으로 진행됐다. 소진공은 보안담당자의 전문성 강화를 위해 자격증 취득과 교육을 지원하고 임직원을 대상으로 보안 교육·훈련을 꾸준히 실시해왔다. 또한 개인정보 수탁자 관리 및 전주기 점검 체계를 구축하는 등 실질적인 보호 역량 강화에 집중했다. 클라우드 기반 서비스 확산과 내부 시스템 다각화에 따른 외부 위협에 대응하기 위해, 접근 통제 및 로그 점검 체계도 고도화했다. 박성효 소진공 이사장은 “국제표준 인증의 유지 여부는 단순한 절차를 넘어 공단의 정보보호 체계가 실질적으로 작동하고 있음을 의미한다”며 “디지털 전환 시대에 걸맞게 시스템과 인력을 지속적으로 고도화하고, 대국민 신뢰 확보를 위한 보안 수준 강화를 이어가겠다”고 말했다. jimnn@fnnews.com 신지민 기자

[파이낸셜뉴스] 카카오게임즈가 자사의 정보보호 및 개인정보보호 관리체계에 대해 국제표준인 ‘ISO 27001(정보보호 관리체계)’과 ‘ISO 27701(개인정보보호 관리체계)’ 인증을 동시에 획득했다고 5일 밝혔다. ‘ISO 27001’은 정보 자산 보호를 위한 관리체계의 구축과 운영 여부를 평가하는 국제 표준이며, ‘ISO 27701’은 개인정보 처리 과정에 대한 관리체계를 확장한 인증으로, 유럽연합의 GDPR을 포함한 글로벌 개인정보보호 법규 준수를 위한 핵심 기준으로 활용된다. 이번 인증은 글로벌 인증기관 DNV로부터 발급받았으며, 인증 범위는 ‘온라인게임 서비스 운영’ 전반에 걸쳐 적용된다. 카카오게임즈 측은 외부 컨설팅 없이 자체 인력 주도로 인증을 취득했다는 점에서 의미가 크다고 설명했다. 특히 사내 정보보호 및 개인정보보호 전담 인력을 중심으로 체계적인 보안 시스템을 구축하고 수개월에 걸친 준비 끝에 국제 기준에 부합하는 심사를 성공적으로 통과했다. 카카오게임즈는 이번 인증을 기반으로 글로벌 시장에서의 보안 경쟁력을 한층 강화하며 △이용자 개인정보 보호 △기술 윤리 준수 △사이버 위협 대응 체계 고도화 등 디지털 책임을 이행하는 ESG 활동도 지속 확대할 계획이다. 한편, 카카오게임즈는 이번 ‘ISO 27001·27701’ 인증 외에도 2021년부터 ‘ISMS-P(정보보호 및 개인정보보호 관리체계)’ 인증을 유지하고 있으며 글로벌 기준에 부합하는 보안 체계 구축에 힘쓰고 있다. wongood@fnnews.com 주원규 기자

개인정보 보호 체계 강화를 위한 공공기관 대상 평가가 올해 더 넓은 범위로 확대된다. 기존 중앙·지방정부와 공공기관 외에 KBS·카이스트 등 8개의 대학과 특수법인이 새롭게 포함되고, 인공지능(AI) 환경에 대응한 리스크 관리 체계도 평가 항목에 반영된다. 개인정보보호위원회는 이같은 내용의 '2025년 공공기관 개인정보 보호수준 평가 계획'을 4일 공개했다. 올해 평가 대상은 1445개다. 기존 중앙행정기관 및 소속기관, 지방자치단체, 공공기관, 시도교육청 뿐 아니라, KBS, 카이스트, 경북대학교, 숙명여자대학교 등 8개 대학·특수법인이 처음 포함됐다. 개인정보 유출 등 사고 발생 시에는 유출 규모와 담당자의 고의·과실 정도에 따라 감점을 차등 적용하고, 중대 위반의 경우 강화된 패널티를 적용하는 규정도 적용할 계획이다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 개인정보 보호 체계 강화를 위한 공공기관 대상 평가가 올해 더 넓은 범위로 확대된다. 기존 중앙·지방정부와 공공기관 외에 KBS·카이스트 등 8개의 대학과 특수법인이 새롭게 포함되고, 인공지능(AI) 환경에 대응한 리스크 관리 체계도 평가 항목에 반영된다. 개인정보보호위원회는 이같은 내용의 ‘2025년 공공기관 개인정보 보호수준 평가 계획’을 4일 공개했다. 개인정보 보호수준 평가는 개인정보보호법에 따라 공공기관의 개인정보 관련 법령상 의무 사항 준수 여부뿐 아니라, 개인정보 보호를 위한 기관의 노력 등을 평가하는 제도다. 올해 평가 대상은 1445개다. 기존 중앙행정기관 및 소속기관, 지방자치단체, 공공기관, 시도교육청 뿐 아니라, KBS, 카이스트, 경북대학교, 숙명여자대학교 등 8개 대학·특수법인이 처음으로 포함됐다. 올해 평가는 자체평가(60점)와 전문가 심층평가(40점)로 이뤄진다. 기존 43개였던 자체평가 지표는 40개로, 심층평가 지표는 7개로 간소화됐다. 중복 지표를 통합하고, 개인정보보호 책임자(CPO)에 대한 인력·예산 항목을 별도 편성하는 등 평가 체계도 재정비됐다. 개인정보 유출 등 사고 발생 시에는 유출 규모와 담당자의 고의·과실 정도에 따라 감점을 차등 적용하고, 중대 위반의 경우 공공기관 경영평가에서 강화된 패널티를 적용하는 규정도 적용할 계획이다. 개인정보위는 이달 말부터 온·오프라인 설명회를 시작해, 7월 중 지난해 평가에서 낮은 점수를 받은 기관과 신규 평가대상 기관을 중심으로 권역별 맞춤 현장 컨설팅도 병행할 예정이다. 이정렬 개인정보위 사무처장은 “최근 각종 유출 사고에 대한 국민의 우려가 높아지고 있는 상황에서, 공공기관이 관리하는 개인정보에 대한 관심과 중요성이 더욱 높아졌다"며 “올해 보호수준 평가를 계기로 공공 분야에서 선도적으로 안전한 개인정보 보호체계를 만들어서 국민의 소중한 개인정보를 보다 안전하게 관리·활용하기를 바란다”고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 카카오는 개인정보보호위원회, 한국인터넷진흥원(KISA)과 함께 중소사업자의 개인정보보호 역량 강화를 위한 온라인 교육을 진행한다고 4일 밝혔다. 카카오와 KISA는 2022년부터 카카오비즈니스 파트너 및 중소사업자를 대상으로 개인정보 보호 교육을 진행하고 있다. 중소사업자들의 개인정보 관리 역량 향상을 돕는 교육으로, 중소사업자가 아니더라도 개인정보에 관심 있는 누구나 참여할 수 있다. 이번 교육은 전년도 대비 질의응답 비중을 늘려 참가자들의 실질적인 궁금증 해결에 중점을 뒀다. 글로벌 IT 기업 사례를 포함한 다양한 개인정보 침해사례를 기반으로 교육 내용을 구성했으며, 실무 대응 방안을 함께 다룰 예정이다. 교육에는 KISA 기획조사팀 이수현 주임연구원이 연사로 참여해 △개인정보 침해사고 사례 △카카오 비즈니스 단계별 개인정보 처리 시 주의사항 △개인정보 유출사고 발생 시 조치사항 등을 발표할 예정이다. 교육 후에는 참가자들이 개인정보 관련 평소 궁금했던 점들을 자유롭게 질문하고 정보를 얻어갈 수 있는 실시간 질의응답을 진행한다. 세미나는 이날 오후 4시 카카오비즈니스 세미나 홈페이지를 통해 진행되며, 추후 다시보기로도 제공된다. 카카오 관계자는 "파트너사뿐만 아니라 중소사업자들이 개인정보 관련 법률을 이해하고 안전하게 사업을 운영할 수 있도록 지속적으로 맞춤형 교육과 지원을 이어갈 계획"이라고 말했다. yjjoe@fnnews.com 조윤주 기자

[파이낸셜뉴스] 한국에서 사업을 벌이는 해외사업자의 개인정보 보호 책임을 이행하기 위한 국내대리인 지정요건과 관리 책임이 구체화된다. 해당 개정안이 통과되면 국내에 진출하려는 해외 빅테크 서비스나 최근 개인정보 유출로 논란이 된 중국 인공지능(AI) 딥시크 등의 서비스도 영향을 받을 전망이다. 개인정보보호위원회는 국내대리인 제도의 실효성을 높이는 내용을 담은 '개인정보보호법' 시행령 개정안을 7월 9일까지 입법예고한다고 30일 밝혔다. 국내대리인은 해외사업자에 대해 우리 국민의 개인정보 보호책임을 부여하고, 정보 주체의 피해 구제를 돕기 위한 제도다. 국내에 주소나 영업장이 없는 기업은 국내대리인을 지정하고, 이들에게 개인정보 보호책임자 업무와 개인정보 유출 통지 및 신고 업무 등을 부여해야 한다. 그러나 일부 해외기업이 이를 형식적으로 운영해온 탓에 제도가 유명무실하다는 지적이 제기돼 왔다. 이에 올해 10월 시행되는 개인정보보호법에서는 제도 실효성을 높이고자 해외사업자가 국내에 설립한 법인이나, 해외사업자가 임원 구성·사업 운영에 지배적인 영향력을 행사하는 국내법인을 국내 대리인으로 지정하도록 규정했다. 해외사업자에게 국내대리인 관리·감독 의무도 부여했다. 시행령 개정안에는 관련법 개정안에서 언급된 '임원 구성·사업 운영에 지배적인 영향력을 행사하는 국내 법인'의 정의를 세분화하는 내용이 담겼다. 대표이사를 임면할 수 있거나, 임원 절반 이상을 선임할 수 있는 권한이 있는 경우가 이에 해당한다. 발행주식총수나 출자 총액의 30% 이상을 출자한 경우도 포함된다. 아울러 해외사업자의 국내대리인에 대한 업무수행계획 수립 및 이행 여부 점검·확인, 교육 등 관리·감독 의무도 구체화했다. 또 관련 법에서 정의한 공공기관 범위에 지방자치단체 출자·출연기관을 추가해, 해당 기관이 개인정보를 안전하게 관리하도록 했다. wongood@fnnews.com 주원규 기자