프라이버시 이슈를 모아, 프리-뷰. 1. 재무 상담 TV 프로그램이 알고보니, 보험사의 협찬으로 만들어진 보험 판촉 프로그램이었다는 것과
2. 해커들의 타겟이 된 호주에 어떤 일들이 일어나고 있는지,
3. 국내외에서 발생한 개인정보 주요 이슈에 대해 정리했어요. |
|
|
시청자 개인정보를 보험사에 제공한 방송사에 과징금 부과
방송통신위원회가 방송사 16개에 시정명령과 함께 총 1억 310만 원의 과징금을 부과했어요. 이들은 모두 보험상담 방송 프로그램을 방영했던 방송사인데요, 시청자들의 개인정보를 보험사에 넘겼어요.
자세히 알아보자면
이들 보험상담 프로그램은 보험 관련 정보를 제공하면서 보험사 대표전화를 무료 재무상담번호로 안내하는 등 시청자 상담을 안내했어요. 시청자들은 방송사와 상담하는 줄 알았지만 사실은 보험설계사와 상담했던 거죠. 이 과정에서 수집된 상담 내역은 다른 보험설계사들에게 판매되기도 했어요.
이번이 처음이 아니야
태초에 EBS ‘머니톡’이 있었어요. 머니톡은 재무 설계 방송이라 홍보되었지만 사실은 보험대리점 업체 키움에셋플래너로부터 26억 원 협찬금을 받고 제작된 보험 판촉 프로그램이었어요. 위와 같은 방식으로 시청자 개인정보는 정보 주체의 별도 동의 없이 키움에셋플래너에 제공되었고요. 이에 대해 올해 2월, 개인정보보호위원회가 EBS와 키움에셋플래너에게 2억의 과징금을 부과했어요.
|
|
|
더 큰 문제점은…
EBS 머니톡은 불법 보험 방송으로 언론에 알려지자마자 2020년 10월 폐지됐어요. 하지만, 방송통신위원회의 조사가 시작되고 약 1년 반이 지나서야 제재가 나올 때까지 머니톡과 유사한 프로그램이 수십 개가 생기고 말았죠. 늑장 제재로 인해 피해가 커졌다는 비판을 피할 수는 없는 이유예요.
무엇보다 가장 큰 문제는 피해자가 본인이 피해자인지도 모르고 있다는 점이에요. 2월에 제재와 과징금을 부과 받은 EBS조차 피해자들에게 피해 사실을 알리지 않았어요. 세상에 공짜는 없다지만, 자신도 모르게 자신의 개인정보가 보험사에 넘어간다는 것을 알고도 상담전화를 이용했을 시청자는 몇이나 될까요. 머니톡과 관련한 피해자 집단 소송도 현재 진행 중이라고 하니 확인해 보세요.
|
|
|
얼굴정보로 출퇴근 관리…“개인정보자기결정권 침해”
카드나 지문을 댈 필요 없이 카메라 앞을 지나가기만 하면 얼굴을 인식하여 자동으로 출퇴근을 확인하는 기업들이 많은데요. 이러한 안면인식기를 통한 출퇴근 관리가 개인정보 자기결정권을 침해한다는 인권위의 의견이 나왔어요. 고양시는 올해 3월부터 국공립 어린이집 90여 곳에 안면인식기를 설치해 관리해왔는데, 이에 대해 인권위가 문제가 있다고 판단한 거죠.
우리도 다 이유가 있어
고양시가 안면인식기를 도입한 이유를 자세히 살펴보면 :
- 일일이 손으로 적어서 관리하면 비효율적이고 틀릴 때가 많아
- 지문인식 방법은 한 사람의 이름으로 여러 사람의 지문을 등록해서 초과근무수당을 부정 수령해가는 경우가 있어서 안돼
- 얼굴 이미지 관리는 원장 한 사람만 가능하기 때문에 유출될 위험도 적다고
왜 개인정보자기결정권 침해야?
인권위는 고양시에게 다른 출퇴근 확인 방법을 마련하라고 권고했어요. 이렇게 판단한 가장 큰 이유는 안면인식기 말고는 다른 출퇴근 확인 방법을 제공하지 않았기 때문이에요. 안면인식 정보는 민감정보에 해당하기 때문에 일반 개인정보와는 다르게, 유출될 경우 사생활을 침해할 우려가 높으므로 수집·이용 시 주의가 필요해요.
|
|
|
개인정보 부실 관리한 하나은행…4.8억 과태료 제재
하나은행이 고객의 개인정보를 안전하게 관리하지 않아 금융감독원으로부터 4억 7910만 원의 과태료를 부과 받았어요. 하나은행이 잘못한 점을 살펴보면 :
- 개인정보 파기 ❌ : 법적 의무보유기간이 끝난 이후에도 1,845만여건의 고객 정보를 삭제하지 않았어요.
- 개인정보 분리보관 ❌ : ‘하나은행과의 거래가 종료된 회원’과 ‘현재 거래 중인 회원’의 정보를 분리하여 보관하지 않고 함께 저장했어요.
- 동의 없이 개인정보 무단 제공 : 고객의 동의를 받지 않고 대출, 펀드 등의 상품 안내를 위해 계열사에 고객 289명의 정보를 넘겼어요.
- 개인정보 무단 열람 : 고객정보 128건을 부당한 목적으로 조회했어요.
- 개인정보 조회 권한 부여 시 심사 ❌ : 개인정보 조회 권한을 직급별·업무 목적별로 구분해 부여하지 않았어요.
*일반적인 개인정보 침해에 대한 조사 및 관리는 개인정보보호위원회가, 금융정보(개인신용정보) 침해에 대한 조사 및 관리는 금융위원회/금융감독원이 담당하고 있어요.
|
|
|
카카오T “개인정보 안 줄거면 서비스 이용 못해”…개발자 실수 해프닝
지난 17일, 카카오T 앱에서 택시 호출 서비스를 눌렀을 때 뜨는 ‘추가 동의가 필요해요’라는 팝업이 이슈가 되며 논란이 됐어요. 그 이유는 개인(위치)정보 제3자 제공 동의가 필수로 되어있었기 때문. 단순 택시 호출 서비스를 이용하는데도 내 위치정보와 전화번호가 ‘현대자동차’와 ‘오토노머스에이투지’에 제공된다는 내용이었어요. |
|
|
카카오모빌리티 측의 입장은
- 최초 입장: 위치정보는 민감정보가 아니니 필수 동의 받는 것은 상관없다. 후에 일반 국민을 대상으로 제공할 자율주행 서비스를 준비 중이어서 택시 서비스 이용자에게도 필수사항으로 동의를 받았다.
- 입장 번복: 개발자의 실수로 전체 공개가 되었다. 자율주행차량 서비스 관련자만을 대상으로 필수 동의를 받을 계획이었다.
이게 왜 이슈가 되었냐면
- ‘제3자 제공 동의의 필수/선택 여부’는 기본적인 서비스의 이용을 위해 개인정보를 반드시 제3자에게 제공하는데 동의해야 하느냐의 문제예요. 서비스 제공 목적에 따라 제3자 제공이 반드시 필요하다면 필수 동의로 받을 수 있어요.
즉, 자율주행차량 호출 기능을 이용하는 사용자에게 제3자 제공 동의를 필수로 받을 수는 있어요. 하지만, 택시 호출 기능을 이용하려는 사용자에게 자율주행차량 호출 서비스 기능 개발 목적으로 제3자 제공 동의를 받는 건, 이용자의 권리를 침해하기 때문에 불가하답니다.
- 위치정보가 민감정보가 아닌 것은 맞아요. 하지만 필수/선택의 판단은 민감정보 해당 여부가 아니라, 이 정보가 “서비스 이용을 위해 반드시 필요한 항목인지의 여부”예요. 다시 말해, 이 정보가 없어도 서비스 이용에는 문제가 없는 정보라면 개인정보 최소 수집 원칙에 따라 선택항목으로 구분하여 동의를 받아야 해요. 만약 민감정보가 서비스 이용을 위해 반드시 수집되어야 한다면 필수 항목일 수 있어요. (ex. 건강 상태 분석 서비스 - 걸음수, 심박수)
이번 이슈는 빠른 시간 내에 복구가 되었고, 피해가 발생하지 않아 개인정보위에서도 제재를 받지 않았지만, 잘못된 원칙으로 개인정보 수집이 지속적으로 이루어진다면 언제든 개인정보위로부터 제재를 받을 수 있으니 조심해야 해요. 목적과 개인정보 유형에 따라 필수/선택 여부와 동의를 받는 동의서 유형도 다르니 서비스를 운영할 때 꼭! 주의하세요.
|
|
|
2022년 호주는 해커들과 전쟁 중
호주는 올해 유독 개인정보 유출로 인해 골머리를 썩고 있어요. 1년간 신고된 7만 6천 건의 사이버 범죄 피해 건수 외에도, 하반기에 대규모 개인정보 유출 사건이 많았어요.
호주를 향한 해커들의 공격
- 옵터스 해킹 : 점유율 2위의 통신사 옵터스에서 980만 명의 고객 개인정보가 대규모 유출되었어요. 이 중 280만 명은 여권번호, 운전면허번호까지 유출되어 옵터스가 여권과 면허증 교체 비용 지원을 약속했어요. 오래된 고객들의 개인정보를 파기하지 않고 보관해와서 더욱 피해가 컸어요.
- 메디뱅크 해킹 : 메디뱅크는 호주의 가장 큰 보험사예요. 이곳에서 970만 명의 개인정보가 유출되었는데, 보험금 청구 자료에는 마약 치료, 정신과 진단 내역, 낙태 기록 등 민감정보가 포함되어 있어서 피해가 더욱 클 것으로 보여요. 메디뱅크도 신분증 교체 비용 지원 등 후속 지원을 약속했어요. 고객 지원 비용과 시스템 강화 비용으로만 320억 원 정도가 예상되는데, 정보 유출 피해 고객들이 집단 소송까지 예고하여 이번 유출로 인해 기업의 지출 비용이 매우 클 것으로 보여요.
- 군 통신 서비스 랜섬웨어 공격 : 호주 군인들이 가족이나 국방부 직원과 소통하는 포스넷 서비스가 랜섬웨어 공격을 받았어요. 다행히 국방부 데이터는 유출되지 않았다고 해요.
- 마이딜 해킹 : 호주 대형 온라인 쇼핑몰 마이딜의 고객 관리 시스템에 해커가 접근하여 220만 명의 고객정보가 유출되었어요. 120만 명은 이메일 주소만 유출되었다니, 다른 사건에 비해 상대적으로 유출 피해는 적어요.
왜 하필 호주일까?
호주는 일반적인 가정과 사무실에서 오래된 구식 버전의 공유기를 이용하는 경우가 많다고 해요. 보안 업데이트가 자주 되지 않는 환경을 통해 해커들이 손쉽게 침입할 수 있었던 거죠. 또한, 전문적으로 훈련받은 사이버 정보 보안 인력이 부족해서 해커들의 공격에 대응이 어렵다고 해요.
정부의 강력 대응 예고
- 개인정보 보호법 개정 : 이러한 상황이 계속되자 호주 정부는 개인정보 유출 시 기업에게 부과하는 과징금을 EU 수준으로 높이는 방안을 검토 중이에요. 공개된 초안에서는 기업이 낼 수 있는 과징금 최대 금액 한도가 약 25배나 증가했어요. (210만 달러 → 5천만 달러)
- 보복 해킹 선언 : 대규모 해킹 공격이 계속되자 정부 측에서 해킹 공격자들에게 보복 해킹을 실시할 것이라 밝히며 강력 대응을 예고했어요. 이 외에도 메디뱅크 해킹의 배후를 러시아로 지목하는 등 범인 색출을 위해서는 외교 갈등도 피하지 않겠다는 강력한 의지가 보여요.
- 몸값 지불 금지 법안 발의 : 옵터스를 해킹한 해커들은 기업에 개인정보 반환 대가로 100만 달러를 요구했어요. 메디뱅크를 해킹한 해커는 정보 1건 당 1달러를 요구하였는데, 이를 메디뱅크가 거절하자 해커는 고객의 낙태 기록를 공개하기까지 했어요. 기업에 대한 비난이 심해지자 호주 정부는 아예 해커에게 몸값을 지불하는 것을 불법으로 만드는 법안을 고려 중이라 밝히며 기업의 책임을 덜어주려는 모습이에요.
|
|
|
위치 무단 추적해온 구글, 미국 40개주에 5000억원 배상
이용자가 위치정보 수집을 거부했음에도 다른 기능을 통해 계속 위치를 추적했던 구글이 미국 40개 주에 3억 9150만 달러를 보상하겠다 합의하며 소송을 종료했어요. 위치정보는 타임 스태프가 찍힌 채 기록되었고, 구글은 이러한 위치 정보를 통해 맞춤형 광고에 활용하여 수익을 거두었어요.
이는 미국 역사상 가장 큰 규모의 개인정보 피해 합의예요. 구글은 이외에도 워싱턴 DC, 인디애나, 텍사스에서 위치 추적과 관련된 소송을 진행 중이에요. 같은 이유로 제기된 애리조나주와의 소송에서는 지난달 8500만 달러 지급을 합의한 적이 있어요. |
|
|
일본 최대통신사 NTT, GDPR 위반으로 벌금 받은 첫번째 일본 기업
일본 통신기업 NTT의 자회사인 ‘NTT Data Spain’이 64,000유로의 과징금을 부과 받았어요. 2018년 NTT Spain의 고객사 개인정보가 유출된 원인이 보안 조치가 미흡했기 때문이라는 조사에 대한 결과예요. 이는 2018년 GDPR이 시행된 이후, GDPR 위반으로 일본 기업에 과징금이 부과된 첫 사례예요. 한국 기업이 GDPR 위반으로 과징금을 받은 적은 아직까지 없어요. |
|
|
|