사건별 의결 내용 [인터폴뉴스] 개인정보보호위원회는 1월 24일 제2회 전체회의를 열고, 고정형 영상정보처리기기(CCTV, 이하 ‘영상정보처리기기’)를 설치·운영하면서, 안내판을 설치하지 아니하여 '개인정보 보호법'을 위반한 15개 사업자 및 개인에게 과태료 대신 시정명령 또는 경고 조치하기로 의결했다. 이는 지난해 9월 개정 보호법 시행 이후 달라진 영상정보처리기기 관련규정을 적용한 첫 번째 사례이다. 법 개정 이전에는 영상정보처리기기 관련 안내판을 설치하지 않으면 즉시 과태료 처분을 받았으나, 이제는 먼저 시정명령을 받고 이를 이행하지 않는 경우에 한해 과태료 처분을 받게 됐다. 이번 의결에서는, 조사가 완료될 때까지 안내판 부착 조치를 취하지 않은 3명의 개인에게는 시정명령을 처분했으나, 조사 과정에서 안내판 부착 조치를 자진해서 완료한 12개 사업자 및 개인에게는 경고 조치만 하기로 했다. 이번 의결로 인해 법 위반에 대한 인식 없이 이루어진 영상정보처리기기 운영 과정상 사소한 실수에 대해서는 먼저 자진 시정의 기회를 제공하고, 이를 악의적으로 시정하지 않은 경우에만 과태료를 부과함으로써, 과태료 처분이 부담이 되어왔던 소상공인과 개인에게 도움을 주는 동시에, 안내판 부착 규정 준수율도 제고될 것으로 기대한다.

개인정보보호위원회 [인터폴뉴스] 개인정보보호위원회는 1월 25일 정부서울청사에서 '2030 자문단' 출범식을 개최했다. '2030 자문단'은 청년을 국정운영의 동반자(파트너)로 삼고 있는 윤석열 정부의 국정철학을 구현하기 위한 핵심 시책이자 부처별 주요 정책에 대해 청년세대의 인식을 전하는 핵심 창구역할을 수행하는 20대와 30대로 구성된 정책 모니터링단이다. 개인정보위는 지난해 12월 7일부터 12월 22일까지의 공개모집을 통해 1월 15일'2030 자문단' 최종 20명을 선발했다. 모집 당시 선발인원의 약 9.5배가 넘는 191여 명의 청년이 지원하여 개인정보에 대한 청년세대의 높은 관심을 확인할 수 있었다. 개인정보위 '2030 자문단'의 단장은 지난해 12월 13일에 청년보좌역(전문임기제 다급)으로 임용된 ‘신세연’ 씨가 맡았다. 신세연 씨는 태권도학과로 입학했으나 사회문제를 해결하는 법학에 매료되어, 법학 박사까지 수료한 독특한 이력을 가졌다. 또한, 개인정보위가 출범하기 이전부터 GDPR 해설서 개발 등과 같은 개인정보 관련 많은 연구를 참여했고, 문화체육관광부에서의 법률자문 경험을 통하여 정부정책 수립ㆍ시행에 대한 이해가 높다. 선발된 자문단원들은 대학생, 직장인, 스타트업 창업자 등 다양한 경력을 가지고 있으며, 앞으로 개인정보위 주요 업무 분야인 ①개인정보 보호·활용, ②개인정보 침해 방지 및 권리 강화, ③개인정보 소통·협력 등 3개 분과별로 활동하게 된다. 이날 출범식에 참석한 자문단원들은 개인정보에 대한 관심과 자문단 활동에 대한 열의를 보이며, 개인정보위 정책 발전에 기여하고 싶다는 포부를 밝혔다. 지난해 개인정보위에서 청년인턴으로 근무한 경력이 있는 임세준 씨는 “국가 마이데이터 혁신 추진 전략과 같이 국민들의 삶을 변화시키는 정책이 마련되는 데 보탬이 되고 싶어 지원했다”고 밝혔으며, 성균관대학교에 재학 중이며 청각장애가 있는 이수현 씨는 “그간의 다양한 활동 경험을 살려 디지털 취약계층이 필요한 개인정보 정책을 제언할 것”을 다짐했다. 고학수 위원장은 이날 행사에 참석하여 '2030 자문단'출범을 축하하며, 위촉장을 수여했다. 또한, ‘위원장과의 대화’ 시간에는 개인정보위의 ’24년 핵심 추진과제 및 중점사안, 자문단에게 기대하는 역할 등 자문단원들이 궁금해하는 사항에 대해 직접 설명하는 순서도 가졌다.

개인정보보호위원회 [인터폴뉴스] 개인정보보호위원회 국장급 전보 ▲ 기획조정관 고은영

털린 내 정보 찾기’ 서비스 [인터폴뉴스] 최근 국내기업·기관들을 대상으로 한 크리덴셜 스터핑 공격, 생성형 인공지능을 활용한 공격 등 해킹 기법이 날로 고도화되고 있다. 이에 개인정보보호위원회와 한국인터넷진흥원(‘KISA’)은 이용자들이 ‘털린 내 정보 찾기’ 서비스를 통해 직접 자신의 계정정보 유출 여부를 확인하고, 본인의 계정정보를 변경하는 등의 자발적인 조치가 필요하다고 밝혔다. ‘털린 내 정보 찾기’ 서비스는 이용자가 평소 온라인 상에서 사용하는 계정정보(아이디, 암호)를 입력하면, 해당 정보가 다크웹 등 음성화 사이트에서 불법유통 됐는지 확인할 수 있는 서비스이다. 한번 유출된 계정정보(ID, PW)는 다크웹 등 음성화 사이트에서 불법유통 되면서 명의도용, 보이스피싱 등 각종 범죄에 활용되어 2차 피해를 유발할 수 있다. 특히, 이용자들은 편의를 위해 여러 사이트에서 동일한 계정정보(ID, PW)를 사용하는 경우가 많아, 하나의 계정정보가 유출될 경우 연쇄적인 피해 가능성이 크다. 계정정보 유출이 확인된 경우, 이용자는 계정정보 변경 등의 조치를 통해 추가적인 피해 확산을 방지할 수 있다. 아이디‧암호를 알지 못하는 경우, 개인정보포털의 ‘정보주체 권리행사(웹사이트 회원 탈퇴)’ 서비스를 이용하여 사용하지 않는 웹사이트의 회원 탈퇴를 할 수 있다. ’24년 개인정보위와 KISA는 계정정보 유출로 인한 피해를 방지할 수 있도록 ‘털린 내 정보 찾기’ 서비스에서 조회 가능한 개인정보의 종류를 확대, 본인인증 방식을 다변화하는 등 서비스 이용 편의성 증진을 위해 지속 노력해 나아갈 계획이다.

개인정보보호위원회 [인터폴뉴스] 개인정보보호위원회는 공공기관과 민간분야에 적용되는 '고정형 영상정보처리기기 설치·운영 가이드라인(공공기관, 민간분야 2종)'(‘CCTV 가이드라인’) 이 1월 19일 자로 개정됐다고 밝혔다. CCTV 가이드라인은 ’12년 3월 제정된 이후 ’21년 4월까지 총 4차례 개정됐으며, 이번 개정은 최근 '개인정보 보호법' 및 하위 지침·고시 등의 개정사항을 종합적으로 반영한 제5차 개정이다. 이번 CCTV 가이드라인의 주요 개정사항은 다음과 같다. 첫째, 최근 개정된 '개인정보 보호법' 및 하위 지침·고시 내용을 반영하여 ‘영상정보처리기기’를 ‘고정형 영상정보처리기기’로 용어를 변경했다. 매장 내 방문객 수 집계 등의 통계값 산출을 위한 CCTV를 허용하는 한편, 안내판 필수 기재사항을 개선(관리책임자 성명 및 연락처 → 관리책임자 연락처)하는 등 현행 제도에 맞도록 현행화했다. 둘째, 최신 동향을 반영하여 가이드라인의 구성·목차 등을 체계화하고 CCTV 설치·운영시 준수해야 하는 기본원칙과 활용 안내사항 등을 추가하여 실무자가 가이드라인 내용을 쉽게 이해하고 현장에 적용할 수 있도록 개선했다. 셋째, 최근 제도개선 사항과 CCTV 설치·운영에 대한 민원 질의내용을 종합 고려하여 구체적인 해석사례를 추가하고, 질의응답(Q&A)의 미비점을 개선하는 등 CCTV 가이드라인의 내용 전반을 보완했다. 개인정보위는 이번 CCTV 가이드라인 개정 내용을 공공기관에 배포하고 개인정보위 누리집과 개인정보보호포털 등을 통해 공개하는 한편, 안전한 CCTV 설치·운영을 위한 온·오프라인 교육도 실시할 계획이다.

개인정보보호위원회 [인터폴뉴스] 개인정보보호위원회는 1월 10일, 금년 들어 첫 번째 전체회의를 열고, 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결했다. 먼저, 개인정보위는 의료기관의 환자 개인정보 유출사건 후속으로 보건복지부의 협조를 받아 ’23. 6월 ~ 9월간 전자의무기록(Electronic Medical Record, 이하 ‘EMR’)시스템을 제공하는 상위 5개* 사업자(7개 소프트웨어)를 조사한 결과, 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인하고, 조사 대상 사업자에게 개선을 권고했다. 나아가, 개인정보위는 조사와 병행해 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보보호 수준 향상을 위해 'EMR 인증기준' 및 '청구소프트웨어 적정성 검사기준'을 강화하기로 했다. 이에 따라 보건복지부, 한국보건의료정보원, 건강보험심사평가원은 'EMR 인증기준' 및'청구소프트웨어 적정성 검사기준'을 구체화하는 작업을 진행할 예정이다. 특히 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 것이 핵심 내용이다. 개인정보위는 의료기관의 환자 개인정보 관리책임을 강화하기 위한 구체적인 방안을 마련하여 안내할 예정이다. 이번 개선방안 마련을 통해 EMR 시스템 및 청구소프트웨어를 사용 중인 대다수 의료기관(상급종합병원, 종합병원, 병원, 의원 약 37,000여 개소)의 환자 개인정보 보호 수준이 향상되고, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고 위험을 크게 낮출 수 있을 것으로 기대된다. 아울러, 의료기관의 개인정보 보호에 대한 국민의 신뢰가 향상되어 개인정보 유출에 대한 걱정 없이 의료 서비스를 이용할 수 있을 것으로 기대된다.

프라이버시 눈속임 설계 유형(11개) [인터폴뉴스] 개인정보보호위원회는 ①눈속임 설계(다크패턴), ②국외이전, ③아동‧청소년 개인정보 보호 등 모바일 앱 상 3대 취약 분야에 대한 개인정보 실태점검을 실시하고, 그 결과를 1월 10일(수) 제1회 전체회의에서 보고했다. [개인정보 눈속임 설계(다크패턴) 관련] 우선 개인정보위는 온라인 쇼핑, 예약, 누리소통망(SNS), 게임·콘텐츠 등 일상생활과 밀접하고 비용 결제 등으로 연결되어 눈속임 설계가 많이 발생하는 4개 부문에 대해 집중 점검했다. 그 결과 눈속임 설계는 가입 단계 외에도 이용·탈퇴 등 개인정보를 처리하는 모든 단계에서 일어나고 있음을 확인했다. ①개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침, 이용약관 전문으로 동의받거나, ②마케팅 정보 제공, 개인정보 공유와 같은 선택 동의 사항에 대해 사전에 미리 설정해 놓고 이용자가 개인정보 설정 화면에 들어가서 확인해야만 수정할 수 있는 경우, ③가입 시 이용자 본인이 입력한 개인정보에 대한 사후관리가 곤란(개인정보 확인·수정 불가)한 경우 등 이용자의 개인정보 보호와 관련한 11개의 대표적인 눈속임 설계 유형을 발견했다. [개인정보 국외이전 관련] 개인정보를 국외이전하는 국내 앱 서비스는 증가한 것으로 나타났다. ’22년 696개에서 ’23년 769개로 조사되어 한 해 동안 70여 개가 늘어났다. 주로 미국, 일본, 싱가폴 등으로 개인정보가 이전되고 있으며, 특히 클라우드 서비스 이용 영향 등으로 인해 아마존 웹서비스(AWS), Google LLC·Cloud, Zendesk 등으로 많이 이전됐다. 개인정보를 국외이전하는 목적으로 고객 서비스(CS) 상담·민원 처리 등 “처리위탁” 유형은 줄고, 광고(마케팅)·통계 분석 등을 위한 “정보제공” 유형이 크게 늘어난 것을 확인했다. [아동·청소년 개인정보 보호 관련] 아동·청소년이 많이 이용하는 게임, 동영상, 누리소통망(SNS) 앱(20개)을 중심으로 '개인정보 보호법' 및 ‘아동·청소년 개인정보 보호 가이드라인(’22.7.)’ 준수 여부에 대한 집중 점검도 실시됐다. 점검 결과, 14세 미만 연령확인 절차는 대부분 마련하고 있으나 아동이 연령을 허위기입하는 것을 막기 위한 방지 조치는 미흡(아동이 연령확인 절차에서 14세 이상으로 선택하고 성인용 앱에 가입할 경우 검증 곤란 등)했고, 일부 해외 앱은 아동 연령 기준을 13세 미만 등으로 설정한 것으로 확인됐다. 또, 아동·청소년 개인정보 보호 가이드라인 상 아동·청소년 대상 알기 쉬운 개인정보 처리방침 제공, 높은 수준의 개인정보 보호를 기본값으로 설정, 각종 권리행사 절차 안내 등을 권고 중이나, 일부 사업자를 제외하고 전반적으로 미흡한 것으로 확인됐다. 개인정보위는 이번 실태점검 결과를 토대로 주요 앱 운영 사업자에게 앱 서비스 개발·운영 시 올바른 개인정보 수집·이용에 관한 사항과 이용자가 유의할 사항을 정리해 안내할 계획이다. 이와 별도로 '개인정보 보호법'상 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 조사에 착수하는 한편, 경미한 사안은 계도 조치하되 유관기관과 협력해 신속한 개선을 유도할 예정이다.

앱 사업자 등에게 실제 발송된 전자우편 [인터폴뉴스] 개인정보보호위원회는 ‘페이스북 로그인’ 기능에 행태정보 수집 도구를 결합시켜 타사 행태정보를 수집한 Meta Platforms, Inc.(‘메타’)가 지난 2023년 제13회 개인정보위 의결에 따른 시정조치를 완료했음을 확인하였고, 향후 유사한 행위가 재발하지 않도록 경고 조치했다고 밝혔다. 개인정보위는 개발자(사업자)가 자신이 운영하는 웹사이트 및 앱에서 간편 로그인 기능을 제공하기 위해 ‘페이스북 로그인’을 설치하는 경우, 타사 행태정보가 메타로 자동 전송되어 맞춤형 광고에 활용되는 사실을 발견하였고, 「개인정보 보호법」 위반 여부 등을 검토하는 과정에서 메타는 해당 행위를 자진 시정하겠다고 공식의견을 제출하였다. 이에 개인정보위는 ’23.7.26.(수) 전체회의에서 메타에 자진 시정 기회를 부여하고, 그 이행 결과를 점검·확인하기로 결정하였다. 시정 기간인 3개월 경과 후 개인정보위가 확인한 결과, 메타는 한국에서 배포되는 ‘페이스북 로그인’ 관련 소스 코드의 기본값을 변경(전송→미전송) 출시하여 타사 행태정보가 자동 전송되지 않도록 하였고, 관련한 페이스북 개발자 페이지를 수정하였으며, 기존 ‘페이스북 로그인’을 설치한 사업자에게도 개별 전자우편을 통해 업데이트 등을 안내한 것을 확인하였다. 개인정보위는 이번 시정조치를 통해 “다른 국가에서 ‘페이스북 로그인’을 설치할 때, 사업자들이 소스 코드를 검토하여 타사 행태정보가 전송되지 않도록 하는 등 개인정보보호에 대한 주의를 기울여야 하는 것과는 달리, 앞으로 한국에서는 사업자가 ‘페이스북 로그인’ 설치 시 이 같은 별도의 조치는 불필요하다.”고 밝혔다.

개인정보보호위원회 [인터폴뉴스] 개인정보보호위원회가 이용률 높은 상위 5,000개 모바일 앱을 대상으로 '개인정보 보호법' 준수사항을 점검한 결과, 미준수 비율이 ’23년 69.5%인 것으로 나타났다. 이는 ’22년 80.2%에서 약 10.7%p 개선된 것이다. 개인정보위에 따르면, 우선 개인정보 처리방침의 공개에 대해서는 일부 명칭을 다르게 명시하는 경우는 있지만 확실하게 정착된 것으로 확인됐다. 또한 개인정보 수집‧이용 시에 개별‧구체적으로 동의를 받는 등 대다수 앱에서 사전동의 절차도 준수하고 있었다. 정보주체의 권리(자기결정권) 보장을 위한 열람 요구 등의 절차 고지와 동의 철회 고지도 대체로 지켜지는 것으로 나타났다. 그러나 여전히 미흡한 점도 많았다. 일부 앱의 경우 개인정보 처리방침 내용 중 제3자 제공 고지, 파기 절차 안내가 충분하지 않았다. 동의 항목 중 일부 항목을 미고지하거나 개인정보 처리방침으로 포괄 동의를 받는 사례도 다수 발견됐다. 아울러 정보주체가 자신의 권리를 명확히 알고 행사할 수 있도록 권리행사 절차 등에 대한 가시성 높은 안내 필요성도 확인됐다. 개인정보위는 실태점검 결과 확인된 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 필요하면 조사에 착수한다는 방침이다. 다만, 유관기관과의 협력 등을 통해 신속하게 자발적 개선이 이루어지도록 계도 조치할 예정이다.

개인정보보호위원회 [인터폴뉴스] 개인정보보호위원회가 작년부터 시범운영하고 있는 “지우개서비스”의 지원 대상을 확대한다. “지우개서비스”는 어릴 적 무심코 올린 개인정보가 포함된 온라인 게시물에 대하여 개인정보위가 삭제, 블라인드 처리 등을 도와주는 서비스다. 개인정보위는 앞으로 “지우개서비스”의 신청연령을 ‘24세 이하’에서 ‘30세 미만’으로 확대하고, 지원 대상에 해당하는 온라인 게시물의 작성시기도 ‘18세 미만’에서 ‘19세 미만’까지로 늘린다. 통계청의 연령별 인구 통계(2022년 인구총조사)를 기준으로 하면, 서비스 이용대상이 기존보다 약 300만 명 더 늘어나게 된다. 개인정보위는 지난해 “지우개서비스” 시범운영 성과 분석결과와 연말에 가졌던 현장간담회 때 논의된 전문가·이용자 의견 등을 반영해 이 같은 확대를 결정했다고 밝혔다. 지난 8개월간 접수된 약 1만여 건의 신청 건에 대한 주요 분석결과는 다음과 같다. 누가 많이 신청했을까? 가장 많은 신청인 연령은 15세, 14세, 16세 순으로 나타났다. 연령대별로 살펴보면 ‘16~18세(고등학생)’가 전체의 34.8%를 차지했고, ‘15세 이하(중학생 등)’도 34.3%로 큰 차이가 없었으며, ‘19~24세(성인)’는 30.9%로 나타나 주로 중·고등학생이 서비스를 많이 이용하는 것으로 보인다. 주로 어떤 경우에 게시물 삭제를 요청했을까? 사이트를 기준으로 살펴보면, 유튜브, 틱톡 등에 올린 영상게시물 삭제 요청이 많았다. 그 밖에도 네이버(지식in, 카페 등)나 인스타그램, 페이스북 등 주요 누리소통망(SNS)에 올린 게시물 삭제 요청도 많은 비중을 차지했다. “지우개서비스” 지원 확대는 오는 1월 11일(목)부터 시행될 예정이며, 개인정보 포털을 통해 서비스에 대한 보다 자세한 안내사항 확인 및 신청이 가능하다. 양청삼 개인정보정책국장은 “지우개서비스는 온라인 게시물 삭제 지원을 통한 실질적인 도움뿐 아니라, 아동·청소년 시기부터 개인정보를 스스로 보호하는 인식 조성에 중요한 역할을 할 것.”이라며, “개인정보위는 우리 사회의 미래인 아동·청소년의 개인정보 보호 강화를 위하여 계속해서 노력하겠다.”라고 말했다.