프라이버시 이슈를 보다, 프리-뷰 안녕하세요! 오늘의 프리-뷰는 최근 핫한 메타버스 메신저 '본디'의 개인정보 이슈와 LG유플러스의 개인정보 유출 사건, 그리고 국내 정책 동향까지 싹- 정리해서 알려드릴게요😊 |
|
|
본디, 내 개인정보 다 빼간다고?
본디가 뭔데?
최근 본디(BONDEE)라는 메신저가 엄청난 인기를 끌고 있죠. 과거 싸이월드를 떠올리게 만드는 아바타와 방 꾸미기 기능, 1:1과 그룹 채팅 기능에 귀여운 아바타 애니메이션이 합쳐진 새로운 형태의 메타버스 기반 SNS예요. 광고 없이 쾌적한 환경에, 최대 50명까지 친구 추가가 가능해 지금까지의 SNS에 지친 사람들로부터 호평을 받고 있어요. |
|
|
잠깐, 중국 어플이었어?
버그일까요. 본디를 사용하던 중 화면에서 중국어를 봤다는 이용자들이 등장했어요. 갑자기 중국어? 알고 보니 본디는 작년 중국에서 인기를 얻었던 SNS 앱 젤리(啫喱)와 매우 유사한 서비스였어요. 사실 본디는 싱가포르 기업 메타드림(Metadream)이 바로 이 ‘젤리’를 인수하였고, 본디로 명칭을 바꿔 글로벌 서비스로 운영했던 거예요.
중국 앱은 예전부터 논란이 많았어요. 중국 기업은 중국 데이터안전법에 따라 이용자의 정보를 국가가 요구하면 언제든지 국가에 제공할 수 있어요. 내 정보가 중국 정부에 언제 넘어갈지도 모르는데, 대부분의 중국 앱들이 너무 많은 개인정보를 과도하게 수집하고 있었기에 더욱 문제가 되었어요. 이 때문에 우리나라에서도 개인정보 유출을 걱정하여 중국 앱은 몽땅 삭제하자는 기류가 형성돼있었죠. 중국 어플일 수 있다는 우려가 생기자 개인정보 유출에 대한 불안감이 확산되며 빠르게 본디를 탈퇴하는 이용자도 늘었어요.
단순 중국 출신이어서가 아냐
중국 앱이었지만, 싱가포르 기업이 인수했으니까 상관없는 거 아니냐고요? 문제가 없다고 단정 짓기엔 아직 일러 보여요.
- 중국에서도 개인정보 유출 논란 - ‘젤리’는 중국 1위 메신저 ‘위챗’을 누르고 앱스토어 순위 1위를 할 만큼 중국에서 큰 인기를 얻었어요. 하지만 ‘젤리’에서 개인정보가 유출된다는 논란이 일었고, 이와 더불어 아바타 의상 표절 등의 다른 논란까지 겹쳐 결국 ‘젤리’는 중국에서 철수하게 되었어요.
- 싱가포르 기업으로 국적 세탁 - 중국 기업이 반중 감정을 피하고 서비스의 글로벌 확장을 위해 싱가포르 기업으로 국적을 세탁하는 경우가 많은데요, 이를 흔히 ‘싱가포르 워싱’이라고 해요. 실제로 국내 특허청에 등록된 본디 상표에서도 출원인의 주소가 중국으로 되어있다 보니, 싱가포르 워싱 의혹이 더욱 커졌어요.
|
|
|
- 이용 약관의 불공정성 - 본디 이용약관이 이용자에게 매우 불리하게 작성되었다는 논란도 있어요. 약관 중에는 “개인정보가 불법적인 목적으로 사용될 수 있음을 완전히 인지하고 있고 이에 동의합니다. 귀하는 이와 관련된 모든 손실을 부담해야 하는 점을 인지하고 있고 이에 동의합니다.”라는 내용이 있어요. 단순 보기에도 이용자에게 모든 책임을 전가하는 것으로 보이지 않나요? 글로벌기업이다 보니 번역 과정에서 약간의 실수가 있었을지도 모르지만, 확실한 건 불공정약관은 약관규제 법률에 위반되는 행위라는 점이에요.
- 과도한 개인정보 수집 - 본디 서비스에서 필요하지 않은 정보까지 너무 많은 개인정보를 수집해간다는 의혹도 떠올랐어요. 특히, IMEI를 수집하고 있다는 점이 가장 큰 쟁점이에요. IMEI는 국제 모바일 단말기 식별 번호로, 핸드폰의 주민등록번호와 같아요. IMEI를 이용하면 휴대폰을 복제하여 범죄에 사용될 위험도 있어 특히 주의해야 해요. 이미 국내에서는 IMEI를 민감한 개인정보로 분류하여 사용자의 동의 없이 수집할 경우 불법이라는 판례가 있어요. 안드로이드 Q(10) 버전부터는 IMEI 수집을 지원하고 있지 않아요.
|
|
|
본디의 공식 입장, 그럼에도 불구하고
논란이 지속되자 본디 측에서는 14일 인스타그램을 통해 공식 입장을 발표했어요. 제기된 논란에 대해 사실이 아니라고 밝혔지만, 아직 모든 의혹이 해소되기에는 설명이 부족해 보여요.
본디의 개인정보 처리방침을 살펴보았을 때, 대부분의 글로벌 기업에서와 같이 영문 Privacy Notice를 default로 적용하고 국가에 따라 세부 사항을 추가해 내용을 기재했어요. 언어 선택을 한국어로 하고 내용을 살펴보니, 국내 개인정보 보호법에서 개인정보 처리방침에 적어야 하는 사항들을 추가 약관으로 명시해 기재해 놓았고요.
필요한 사항들을 적어놓았음에도 불구하고 여전히 IMEI를 비롯한 수집항목에 대해 이용자들이 우려를 표하고 있는 만큼, 논란을 지울 수 있는 본디의 대응이 필요해 보여요. (에디터도 본디 애용자로서😢) 이용자들이 안심하고 사용할 수 있도록 하루빨리 논란이 명쾌히 해결되었으면 좋겠습니다.
|
|
|
LG U+ 개인정보 유출 후폭풍
지난 1월, LG 유플러스에서 18만 명의 개인정보가 유출됐다는 소식에 이어 추가로 11만 명의 유출 사실이 밝혀졌어요. 추가로 확인된 11만 명은 해지 고객으로, 데이터가 분리보관되어 있어 확인이 늦어졌다고 해요. 하지만 LG 유플러스에서는 이 사실을 미리 알았음에도 최초 개인정보 유출 공지보다 한 달이 지난 시점에서야 공개했다는 🤔의혹도 있어요.
이외에도 개인정보 유출로 인한 후폭풍이 심각해요.
상황이 심각해지자 과학기술정보통신부에서 LG 유플러스의 기본 침해 대응 체계가 미흡한 점을 강력 경고했어요. 한국인터넷진흥원과 특별조사 점검단을 꾸려 엄격한 현장 조사를 진행할 것도 예고했고요. 오늘(16일) LG 유플러스 사장의 공식 기자 간담회가 예정되어 있는데, 새로운 소식이 들려올까요? 정부 조사도 계속 진행 중이니, 소식을 계속 기다려봐야겠습니다. 내용이 확인되는 대로 프리-뷰에서 소개해 드릴게요!
|
|
|
실수였다고? 아니, 법 위반이야.
무슨 상황이었냐면
작년 11월, 카카오T 앱에서 🚖택시 호출 서비스를 클릭하면 ‘추가 동의가 필요해요’라는 팝업이 뜨며 개인(위치)정보 제3자 제공 동의를 요구했어요. 내 위치정보와 전화번호를 ‘현대자동차’와 ‘오토노머스에이투지’에 제공함에 동의하라는 거였죠.
개인정보 보호법 위반인 이유
- 제3자 제공의 목적을 정확히 알리지 않았어요 - 제3자 제공 동의를 추가로 받으려던 이유는 카카오T가 준비 중인 “자율주행 택시 호출”이란 신규 서비스를 위해서예요. 그렇다면 자율주행 택시 호출 서비스를 이용하려는 사용자에게만 동의를 받아야 하는데, 기존 택시 호출 서비스를 선택했을 때에도 이 동의창이 뜬 거죠. 이때, 제공 목적에 ‘서비스 내 이용자 식별, 탑승 관리 및 운영 전반’이라고만 적혀 있어 이용자들은 기존 택시 호출 서비스 이용에 필요한 제공 동의로 오인했을 소지가 컸어요.
- 이용자에게 선택권을 주지 않았어요 - 제3자 제공에 동의하지 않으면 기존 택시 호출 서비스도 사용할 수 없었어요. 기존 택시 호출 서비스에는 제3자 제공이 전혀 필요하지 않아 선택 동의로 구성되어야 함에도 불구하고, 필수 동의사항으로 구성된 거죠.
- 제3자 제공 동의를 미리 받았어요 - 아직 자율주행 택시 호출 서비스는 카카오T에서 정식으로 시행되고 있는 서비스도 아니었어요. 사용자는 서비스를 이용할 수도 없는데 개인정보는 넘어가는 거죠.
최근 개인정보보호위원회가 선택적으로 동의할 수 있는 사항에 동의하지 않으면, 서비스 제공을 거부한 사업자들에게 제재를 내리는 경우가 잦아요. 개인정보에 대한 권리는 정보 주체에게 있기 때문에 개인정보처리자는 항상 서비스 기획 단계에서부터 동의 화면을 세심하게 설계할 필요가 있어요.
|
|
|
나한테 정보 안 줄거면 서비스 이용 못해 🙅🏻♂️
작년 페이스북과 인스타그램의 개인정보 처리방침 개정 논란에 대해 기억하시나요? 개인정보 처리방침을 개정하며 타사에서 수집한 행태정보 제공에 동의하지 않으면 서비스를 이용할 수 없도록 강제하다가, 논란이 커지자 동의 화면만 슬그머니 없앴었죠. 지금까지도 여전히 두 서비스의 가입 단계에서 타사 행태정보의 제공을 거부할 수 있는 방법은 없어요. 이에 대해 개인정보보호위원회에서 메타에게 과태료 660만 원을 부과했습니다.
*타사 행태정보: 다른 사업자의 앱/웹사이트에서 이용자가 무슨 앱을 사용하였고, 그 앱에서 무슨 행동을 했는지, 어떤 분야를 좋아하고, 어떤 것을 구매하였고 어떤 광고를 보았는지 등등 이용자의 관심, 흥미, 기호, 성향을 파악할 수 있는 이용자가 행동한 정보 |
|
|
과태료 부과의 이유
쟁점은 ‘타사 행태정보가 페이스북과 인스타그램 이용에 있어 꼭 필요한 정보냐’예요. 메타 측은 맞춤형 광고를 제공함으로써 이용자들에게 무료로 서비스를 제공할 수 있기 때문에 타사 행태정보가 반드시 필요하다고 주장했어요.
하지만 개인정보보호위원회의 조사 결과는 정반대.
- 서비스를 이용하다가 중간에 타사 행태정보 제공을 거부해도 똑같이 서비스를 이용할 수 있던데?
- 본질적으로 두 서비스는 친구와의 소통을 위한 SNS야. 광고를 보려고 사람들이 페이스북이나 인스타그램에 들어가진 않지.
- 비슷한 서비스들은 타사 행태정보를 이용자 계정과 결합하지 않고도 맞춤형 광고를 잘만 하고 있어.
이번 제재는 타사 행태정보 제공에 대해 이용자에게 선택권을 주어야 한다는 점과 메타의 비즈니스 모델 자체를 개선하도록 시정 명령을 내렸다는 것에 의의가 있어요. 해외에 비해 과태료가 현저하게 낮다는 아쉬운 점은 남지만요. 꼭 타사 행태정보가 아니더라도, 서비스 이용을 위해 반드시 필요한 정보가 아니라면 정보주체에게 수집에 대한 선택 동의를 제공해야 한다는 점, 꼭 명심하세요! |
|
|
KISA에서도 단체 메일 발송 실수
한국인터넷진흥원(KISA)에서 단체 메일을 발송하며 1,509개의 이메일 주소가 노출되는 사고가 발생했어요. 최근 리멤버에서도 같은 문제로 365명의 정보가 노출된 적이 있었죠. KISA에서도 이런 사고가 발생할 만큼 단체 메일 발송 시 주소 노출은 빈번히, 또 쉽게 일어날 수 있는 유형이에요. 이렇게 담당자의 실수로 개인정보가 유출되면 5일 이내에 해당 정보 주체에게 통지하고, 유출된 개인정보가 1,000건 이상이면 소관부처와 KISA에 신고해야 합니다. 회사 차원에서도 이와 관련한 개인정보보호 교육을 지속적으로 실시해야 해요. |
|
|
불법 대부업 영업, 이제 그만 ✋
자세히 알아보자면
갑자기 돈이 필요할 때, 인터넷에 ‘돈 빌릴 수 있는 곳’ 치면 우수수 나오는 대출 사이트들. 모두 온라인 대부 중개 사이트예요. 대부 중개 사이트의 대출 문의 게시판에 사람들이 돈을 빌릴 수 있는지 문의 글을 남기면, 작성자의 전화번호가 사이트에 회원으로 가입된 모든 대부 업체들에게 공개가 되고요.
문제는 대부 사이트에 합법적인 대부 업체만 있지 않다는 점. 대부 중개 사이트에 가입할 때 대부업등록증을 확인하는 절차 등이 없어 불법사금융업자까지 모두 회원이 될 수 있었어요.
“작성자의 전화번호 공개 + 불법사금융업자의 사이트 이용 가능”의 콜라보로 지금까지는 문의 게시판에 글을 남긴 작성자에게 불법 대부 업체로부터 대출 영업 전화가 쏟아진 거죠.
즉, 온라인 대부 중개 사이트와 관련한 서민층의 피해가 심각하여 이용자들의 개인정보 보호를 위해 사이트 운영 방식을 개선한 거예요. 이 외에도, 금융위원회는 회원 대부 업체가 불법사금융업자에게 무단으로 개인정보를 유출하는 경우를 엄정 단속하겠다 밝혔어요. |
|
|
정보보호 공시 가이드라인 개정
한국인터넷진흥원(KISA)이 정보보호 공시 가이드라인 개정본을 발간했어요. 정보기술과 정보보호 부문과의 판단 기준이 생겼으며, TF팀 구성을 권고하고, 정보보호 투자· 인력 산출 방법 등이 상세히 안내되었어요. 보다 자세한 내용은 가이드라인 전문을 참고해 주세요.
개인정보 보호에 대한 사회적 인식이 커짐에 따라 기업에서 공개하는 정보보호 공시 내용의 정확성과 신뢰성이 중요해졌죠. 이번 가이드라인을 통해 기업들의 정보보호에 도움이 되었으면 좋겠습니다. 한시적으로 KISA에서 무료로 지원하는 정보보호 공시 사전점검은 이곳에서 신청할 수 있어요. |
|
|
여성폭력피해자 지원기관을 위한 개인정보보호 안내서 발간
한국여성인권진흥원에서 여성폭력 피해자 지원기관 개인정보보호 안내서를 발간했어요. 피해자 지원 기관은 업무 특성상 긴급한 구조와 피해자 지원 과정에서 민감한 개인정보를 다루게 되고, 의료기관과의 정보 제공이 이루어지다 보니 특히 주의가 필요해요. 안내서 전문은 이곳에서 받을 수 있어요. |
|
|
|