프라이버시 이슈를 모아, 프리-뷰. 1. 개인정보 유출 사고로 책임자 징계까지 간 '여기어때'의 소송 결과에 대해 알아보고,
2. 개인정보위의 시정명령을 통해 기업의 서비스가 변화된 사례와,
3. 해외 각국에서 일어나고 있는 개인정보 주요 이슈에 대해 정리했어요. |
|
|
여기어때, 개인정보 유출 관련 소송 줄줄이 패소
2017년 2~3월, 숙박앱 여기어때의 마케팅센터가 해킹되어 숙박 예약정보 323만 건, 고객 개인정보 7만 건이 유출되었어요. 여기어때는 이 사건에 대해 방송통신위원회로부터 과징금 3억 100만원과 개인정보 유출 사고 최초로 책임자 징계 권고까지 받았었는데요. 이 사건에 대한 소송의 결과가 드디어 나왔다고 해요.
해킹당한 회사는 피해자? 책임자? (형사)
대부분의 기업은 자신들도 해커에게 당한 피해자라고 주장하죠. 하지만 법원의 판결은 달랐어요. 회사는 피해자가 아니라 유출 사건에 대해 책임지고 보상해야 할 ‘책임자’라는 것. 유출이 발생한 원인이 회사가 기본 수준의 보호 조치도 제대로 하지 않아 기초적인 해킹 수법에 당한 회사의 잘못이라는 판결이에요. 결국 여기어때와 전 부대표 장 씨는 2심에서도 1심과 동일하게 각각 법정 최고형인 벌금 2000만 원을 선고받았어요.
“10월 8일, OO모텔에서 즐거우셨나요?”… 피해자들의 소송 (민사)
숙박 이용내역은 사생활과 매우 밀접하며 이를 통해 민감정보에 해당하는 성생활 정보까지 유추할 수 있어, 유출 시 매우 큰 피해가 발생될 수 있어요. 실제로 당시 정보가 유출된 피해자 4천여명은 숙박 이용내역이 적힌 성적 수치심을 유발하는 문자를 받기도 했구요. 이러한 피해자들이 제기한 집단 소송의 판결 결과, 여기어때는 피해자들에게 피해 정도에 따라 최소 5만원에서 최대 40만원씩의 배상금을 지급해야 해요.
|
|
|
공공기관 개인정보 관리 수준 개선… 도대체 언제쯤
지난 9월 14일 너무나 가슴 아픈 일이 있었습니다. 신당역에서 업무 중이던 한 사람이 스토커에게 살해당한 사건이 있었죠. 직위 해제된 가해자가 사내망을 통해 피해자의 근무지를 알아내지 못했더라면 이런 일이 없지 않았을까…하는 아쉬움이 남습니다.
끊이지 않는 공공기관에서의 개인정보 열람 악용 사례
공공기관에서 유출된 개인정보가 악용된 사례는 이번이 처음이 아니예요. 아래와 같이 강력 범죄와 연관된 사건 외에도 공무원이 개인정보를 열람하여 오남용한 사례는 최근 5년간 3만 건이 넘어요.
- N번방 사건 - 공무원과 사회복무요원이 관공서 시스템에서 개인정보를 조회하여 N번방 주범에게 전달
- 이석준 살인사건 - 구청 소속 공무원이 흥신소 직원에게 피해자 집 주소를 판매
바뀌려는 노력은 지속돼 왔다. 하지만…
공무원 및 공공기관 근로자의 개인정보 무단 열람 및 오남용을 막기 위한 방안 마련은 몇 년 전부터 지속적으로 이루어져왔어요. 하지만 개인정보 무단 열람 관련 문제는 끊이질 않았죠. 이는 결국, 법적 규제 마련도 중요하지만, 무엇보다 개인정보에 대한 인식 수준 향상과 적극적인 조치가 우선시되어야 한다는 점이에요. 하루빨리 공공기관에서의 개인정보보호 체계가 안정적으로 정착되면 좋겠습니다.
|
|
|
전화번호만 입력했는데 우리집 주소가 뜬다고?
식당을 이용한 적 없는 사람도 휴대폰번호만 알면 집 주소를 알 수 있다니, 2014년부터 올해 4월까지 배달대행업체 1위 ‘바로고’를 쓰면 가능한 일이었어요. 바로고의 이러한 행위에 대해 개인정보보호위원회가 시정명령을 내렸어요. 배달대행업체는 식당의 배달 업무를 대행하는 ‘수탁사’에 해당하는데요. 수탁사는 해당 업무가 끝난 후에는 전달받은 개인정보를 지워야 하는데, 바로고는 무려 8년 동안이나 고객 정보를 삭제하지 않고 저장하여 이용해왔던 거예요. 지금은 시정명령으로 끝났지만, 개인정보 보호법 개정안이 통과되면 수탁자도 과징금을 받을 수 있어요. |
|
|
네이버 블로그 주소 바꾸기 드디어 가능…개인정보 보호 중심 설계
블로그 챌린지로 다시 뜨고 있는 네이버 블로그. 10월 12일부터는 블로그 전용 아이디를 설정할 수 있어요. 기존 ‘blog.naver.com/아이디’ 형태의 주소는 누구나 블로그 주인의 계정을 알 수 있어 스팸 메일이나 해킹 위험에 노출되던 문제점을 개선한 거예요. 이용자가 자동으로 주소를 입력하거나 무작위로 자동 생성되는 타 블로그 서비스와 다르게 네이버 블로그는 이용자의 ID를 사용할 수밖에 없었거든요.
이 변경사항, 사실은 개인정보보호위원회에서 시킨거라고?
사실 지난 1월 네이버는 개인정보위로부터 블로그 주소에 아이디가 노출되는 문제를 개선하라는 권고를 받았어요. 이유는 기존 블로그 주소 형태가 개인정보 보호를 고려하지 않은 서비스 설계·구현으로 인해 이용자의 개인정보가 노출된 경우라고 판단했기 때문인데요. 서비스 설계 시에는 개인정보 보호 중심 설계(PbD)가 되어야 하는데 이를 고려하지 않았던 거죠.
*PbD : Privacy by Design의 줄임말로, 유럽연합(EU)의 GDPR(일반 개인정보 보호법)에 명시된 개인정보 보호 중심 설계
|
|
|
고학수 신임 개인정보보호위원회 위원장 취임
2020년 8월에 임명되었던 윤종인 초대 개인정보보호위원회 위원장이 퇴임하고, 10월 7일 고학수 서울대학교 법학전문대학원 교수가 신임 위원장으로 취임했다는 소식이에요. 국회에 머물러 있는 개인정보 보호법 개정안의 통과, 구글·메타 등 대형 플랫폼 사업자의 개인정보 오남용 방지책 마련 등 해결해야 할 과제가 산더미인데요. 위원장의 변화가 앞으로의 데이터 활용과 개인정보 관련 제재에 있어 어떤 바람을 불러올지 모두의 관심이 주목되고 있어요. |
|
|
아동 개인정보 보호 강화의 물결
9월 22일, 아동·청소년 개인정보 보호 민·관 정책협의회가 설립됐다는 소식이에요. 이 협의회는 아동의 개인정보 보호를 위한 체계를 마련하기 위해 설립되었어요. 이미 유럽에서는 GDPR을 통해 특히 아동의 개인정보를 강하게 보호하고 있죠. 전 세계적으로도 아동의 개인정보를 보호하려는 움직임이 커지고 있는 만큼 이번 협의회를 통해 국내의 아동 청소년 개인정보 보호 수준이 향상되었으면 좋겠어요. |
|
|
틱톡, 아동 개인정보 미보호로 영국서 414억여원 벌금 위기
영국 정보위원회(ICO)가 틱톡에게 2700만 파운드의 벌금을 부과하겠다는 경고장을 보냈어요. 이유는 영국 데이터 보호법 위반으로, 틱톡이 2년 동안 13세 미만 어린이의 개인정보를 부모의 동의 없이 처리한 것이 의심되기 때문이에요. ICO는 이외에도 이용자에게 고지사항을 제대로 전달하지 않고, 종교·정치적 신념 같은 민감한 정보를 마음대로 수집한 혐의도 언급했어요. 틱톡 측은 이를 인정할까요? 틱톡에게 남은 시간은 30일뿐이에요. |
|
|
캘리포니아, 아동 개인정보 보호를 위한 법안(ADCA) 제정
아동·청소년 보호를 위한 ‘캘리포니아 연령 적합 설계법(California Age-appropriate Design Code Act)’의 시행이 확정되었어요. ADCA로 불리는 이 법안은 17세 이하 미성년자를 보호하기 위한 것으로, 어린이를 보호하는 법안 중 적용 범위가 가장 넓고 강도가 높아요. 미국 아동 온라인 프라이버시 보호법(COPPA)이 어린이를 ‘서비스 대상’으로 하는 기업에게만 적용됐다면, ADCA는 어린이가 ‘접근이 가능한’ 기업 모두에게 적용돼요. 규제가 너무 광범위하고 표현이 모호하다는 문제가 있지만 캘리포니아주의 개인정보 보호 법안은 미국 전체의 표준과 같은 역할을 하는 만큼 기업에게 큰 변화를 가져올 것으로 예상돼요.
[ 법안 주요 내용 ]
- 어린이가 이해하기 쉽도록 약관 및 정책 고지
- 어린이에게 제공되는 모든 개인정보 설정을 최고 수준으로 설정
- 다크 패턴 금지
- 새로운 서비스나 기능 추가 전 데이터 보호 영향 평가 의무 시행
|
|
|
구글포토 BIPA 위반, 일리노이 주민들에게 1인당 154달러 보상
지난 레터에서 일리노이 개인 생체정보 보호법(BIPA)을 위반하여 6억 5천만 달러를 지급한 페이스북 얘기, 기억하시나요? 페이스북에 이어 구글도, 일리노이주 사용자들에게 1억 달러를 지급해야 한다는 소식입니다.
구글 포토는 사진 속 사람의 얼굴을 인식하는 기술을 통해 사람별로 사진을 분류해 주는 기능이 있는데요. 이 기능을 활성화하기 전 사용자에게 동의를 받지 않은 것이 일리노이 개인 생체정보 보호법(BIPA) 위반으로 소송까지 제기된 원인이예요. 페이스북처럼 구글도 먼저 합의금 1억 달러를 제안하며 소송을 종료. 합의금 1억 달러 중 변호사 수임료 3,500만 달러를 제외한 금액은 청구자 42만 명에게 각각 154달러씩 지급되었어요. |
|
|
EU 의사회 디지털서비스법(DSA) 최종 승인
지난 레터에서 시행 예정인 디지털서비스법(DSA)을 소개 드렸는데요. 10월 4일 EU 의사회가 이 법안을 최종 승인하며 발효를 앞두고 있어요. 법안의 효력은 발효 15개월 후인 2024년부터 발생하지만, 온라인 플랫폼 기업 규제에 관한 첫 번째 법안인 만큼 전 세계적 표준이 될 수 있어 내용을 잘 알아둘 필요가 있어요. 우리나라에서도 지난 6월 15일 더불어민주당 이용우 의원이 디지털서비스법안을 언급하며 다크 패턴 방지법을 발의한 적이 있어요. |
|
|
인도네시아, 고강도 개인정보 보호법 통과
사이버 공격으로 인한 개인정보 유출이 수없이 발생했음에도 불구하고 개인정보를 보호할 법적 제도가 없던 인도네시아에서 6년 만에 드디어 개인정보 보호 법안이 통과되었어요. 기업의 부주의로 유출 사고 발생 시 연 매출의 최대 2% 벌금 부과, 개인정보 위조 시 6년 이하의 징역, 불법 수집 시는 5년 이하의 징역 등 처벌 수위가 매우 높아요. 인도네시아를 대상으로 사업을 진행하는 업체의 경우, 2년의 계도 기간 동안 준비가 필요해 보여요. |
|
|
|