프라이버시 이슈를 보다, 프리-뷰 안녕하세요. 오늘의 프리-뷰는 국내 개인정보 이슈부터 헌법재판소의 판단 내용, 새로운 정부 지원 서비스, 그리고 해외 소식까지 놓치지 않고 정리했어요😊 |
|
|
9월 15일, 개정안이 시행됩니다.
법 제정 이래 가장 큰 변화가 예고된 만큼, 개정안의 내용을 확인하고 미리 준비하세요.
|
|
|
BTS 실물 봐야지~ 개인정보 훔쳐본 코레일 직원
코레일(한국철도공사) 직원이 BTS(방탄소년단) 멤버 RM의 개인정보를 무단으로 열람했다는 사실이 드러났어요. 해당 직원은 승차권 예약 정보와 회원정보를 18차례 열람하며 직접 실물을 확인하거나 친구에게 좌석 정보를 알려주는 등 지극히 개인적인 용도로 이용했어요. 이에 코레일은 해당 직원에게 정직을 권고하고 운영 시스템에서 개인정보를 조회할 경우 경고 팝업을 띄우고 조회 사유를 입력하는 기능을 개발해 시행 중이라고 밝혔어요.
아무리 사내에서 접근 권한을 제한하고, 열람 제한 시스템을 운영한다 하더라도 직원 개개인의 개인정보 보호에 대한 인식이 낮다면 이와 같은 일은 언제든 다시 발생할 수 있어요. 공인이라고 해서 모든 개인정보가 공공재인 것은 아니죠. 모든 정보를 볼 수 있는 권한이 있다고 모든 정보를 마음껏 봐도 된다는 의미는 아니라는 점, 명심합시다! |
|
|
카카오 오픈채팅을 통한 개인정보 유출 논란
정보 공유부터 커뮤니티 형성까지 익명으로 자유롭게 활동하는 카카오톡 오픈 채팅방, 익명이라 믿고 사용했는데 내 개인정보를 다 알 수 있다면?
한 사이트에 카카오톡 오픈채팅 참여자의 개인정보를 추출해 준다는 광고글이 올라와 논란이에요. 오픈 채팅방의 닉네임을 말하면 해당 닉네임의 사용자 이름, 전화번호와 함께 대화DB를 알려준다는 거죠. 오픈 채팅방에 활용되는 일종의 일련번호, 즉 유저 아이디를 추출하여 다른 개인정보들과 결합하여 ‘개인정보 세트’를 만들어주는 것으로 보여요. |
|
|
오픈채팅 시스템의 보안이 무너진 걸까요?
카카오 측은 오픈 채팅방을 이용해 참여자의 전화번호나 이메일, 대화 내용 등을 확인하는 건 시스템 상 불가능하다는 입장이에요. 불법 프로그램 등 다른 수단을 통해 개인정보가 유출되었다는 판단이죠. 한편에서는 ‘로코 프로토콜’ 취약점을 이용했다는 얘기도 나오고 있어요. 그동안 개발자 커뮤니티에서 종종 문제가 제기되었거든요. 카카오 측은 로코 프로토콜이 아닌 신규 어뷰징(부당 사용) 방식으로 보고, 이에 대한 보안 조치를 진행했다고 밝혔어요.
보안 취약점과 자세한 개인정보 유출 경위 및 규모 등을 개인정보보호위원회와 한국인터넷진흥원에서 조사한다고 하니, 그 결과를 기다려봐야겠어요. 이용자들이 안심하고 사용할 수 있도록 조사 결과가 빠르게 발표되면 좋겠습니다. |
|
|
개인정보보호 법규 위반 사업자 제재 사례
3월 8일, 개인정보보호위원회가 법규를 위반한 19개 사업자에 대해 과징금과 과태료를 처분했어요. 이번 처분에서는 주로 제재가 내려지던 안전조치의무 위반, 유출신고·통지 위반 외에 신선한(?) 위반 사유가 눈에 띄어요.
개인정보 열람 요구에 대해 정당한 사유 없이 거절(3곳)
바로 정보주체의 개인정보 열람 요구를 거절했기 때문이에요. 개인정보에 대한 열람의 권리는 개인정보 보호법 제4조에서 보장하고 있는 정보주체의 권리죠. 이 때 열람 요구 방법은 개인정보 수집 방법보다 어려워서는 안된다는 점도 함께 주의하세요😉 아래 3개 사업자는 모두 과태료 300만 원을 부과받았어요.
- 순천제일병원 - 열람 요구에 응하지 않다가 개인정보위의 조사가 시작된 이후에야 열람 허용
- 지마켓 - 상담원의 업무 미숙으로 열람을 거절
- 쿠쿠전자 - 열람 신청서를 자필로 작성하지 않았다는 이유로 열람을 거절
|
|
|
적십자 지로통지서 발송을 위한 개인정보 수집은 합헌
대한적십자사가 적십자 회비 납부용 지로통지서를 발송하기 위해 국가나 지방자치단체로부터 세대주의 이름과 주소를 제공받는 것이 합헌이라는 헌법재판소의 판단이 나왔어요. 7:2로 판결이 나긴 했지만, 반대 의견도 들여다볼 필요가 있어 보여요.
🧑⚖️(합헌7) ”제네바협약에 가입한 우리나라는 적십자사 활동을 지원할 의무가 있다. 자료제공의 목적은 적십자회비 모금을 위한 것으로 한정되고, 제공되는 정보의 범위는 세대주의 이름과 주소로 한정된다. 주소는 지로통지서 발송을 위한 필수 정보이고, 이름은 사회생활 영역에서 노출되는 것이 자연스러운 정보다. 세대주의 이름·주소가 다른 개인정보와 결합하지 않는 한 그 자체로 엄격한 보호의 대상이 되지는 않는다.”
🧑⚖️(위헌2) “회비 납부가 목적이라면 주소 수집만으로 충분하다. 이름까지 적십자사에 일괄 제공하는 것은 문제다. 이름이 주소와 함께 제공되면 누가 어디에 살고 있는지를 알 수 있게 돼 정보의 가치는 훨씬 커지고 개인정보가 악용·유출됐을 경우의 위험성도 함께 높아진다.”
헌재의 의견을 보면, 주소는 지로통지서 발송을 위한 필수 정보인 것으로 볼 수 있으나 세대주의 이름이 필수정보인지 여부는 판단에 의문이 생기게 되는데요. 세대주의 이름과 주소가 이미 결합된 형태로 제공되고 있고, 이는 이 주소에 살고 있는 세대주의 정보와 이름까지 아는 것이 가능한 것처럼 정보가 모일수록 그 피해가능성도 커지기 때문이죠. 이 사안이 개인정보 수집 최소한의 원칙에 부합되는 것인지, 사회생활 영역에서 자연스럽게 노출되는 정보 그 이상을 제공하는 것은 아닌지, 또한 정보주체의 개인정보 자기결정권을 침해하는 것은 아닌지 다시 한번 생각하게 되는 부분이네요. |
|
|
비급여 진료내역 국가 보고 의무는 합헌
의료기관이 비급여 진료내역과 증명 수수료 항목, 기준, 비용을 보건복지부 장관에게 보고하도록 의무화한 의료법 조항(제45조의2)이 합헌이라는 헌법재판소의 판단이 나왔어요. 이 조항에 따라 의무 보고대상이 병원급 의료기관에서 의원급 의료기관까지 확대되기 때문에 의료계에서 큰 논란이 있었어요.
🧑⚖️ ”보고 의무조항은 일부 의료기관이 환자에게 비급여 진료를 사실상 강요해 과도한 진료비용을 부담하게 하는 것을 감독하고 방지하는데 그 목적이 있다. 보고 대상인 진료내역에는 상병명, 수술·시술명 등 비급여의 실태 파악에 필요한 진료 정보만 포함되고 환자 개인의 신상 정보는 포함되지 않을 것임을 예상할 수 있어 포괄위임금지원칙 위반이 아니다.”
이러한 헌법재판소의 판단에 대해 의료계는 제출 항목이 매우 사적이고 민감한 개인의 진료정보라며 유감을 표시했어요. 관련 고시에 따르면 보고내역에는 개인의 생년과 성별이 포함되는데요, 이름과 생년월일이 결합되지 않는다면 이 정보만으로는 개인을 특정짓기는 쉽지 않아보여요. 다만, 이외에 다른 개인정보가 ‘진료내역’에 포함될 수 있는 가능성은 여전히 남아있어요. 이번 헌법재판소의 판결도 5(합헌):4(위헌)으로 의견이 분분했던만큼, 보다 많은 논의가 필요해 보여요. |
|
|
비급여 진료비용 등의 보고 및 공개에 관한 기준 고시 전부개정(안) |
|
|
개인정보 포털 새 단장
개인정보 보호와 관련된 업무를 지원하는 개인정보보호포털 홈페이지가 새롭게 바뀌었어요. 이름도 ‘개인정보 포털’로 바뀌었고,. 별개로 운영되던 개인정보 분쟁조정과 e-프라이버시 클린서비스가 통합되었으며, 추천 알고리즘을 통해 연관 서비스도 검색할 수 있어요. 잊힐 권리, 판례 보기, 통계 보기, 집단 공고 게시 기능도 새롭게 추가되었고요. 새 단장 기념 이벤트도 진행 중이라 하니 구경해 보세요😉 개인정보 포털 보러가기 |
|
|
KISA, “내서버 돌보미” 서비스 출시
중소기업의 서버 보안 취약점을 원격으로 점검해 주는 새로운 서비스가 출시됐다는 소식이에요. 바로 한국인터넷진흥원(KISA)과 과학기술정보통신부가 함께 제공하는 ‘내서버 돌보미’ 서비스입니다! Windows, Linux/Unix 서버를 대상으로 안전한 비밀번호 설정 여부, 운영체제 최신 버전 패치 여부, 의심스러운 프로세스 점검 등을 무료로 지원한다고 해요. 신청은 이곳에서 할 수 있어요. |
|
|
Cerebral, 이용자 건강정보를 제3자에 공유한 사실 인정 🇺🇸
Cerebral이 메타, 틱톡, 구글 및 기타 제3자 광고주들에게 이용자의 민감한 건강 데이터를 공유해왔음을 밝혔어요. 회사는 메타의 Pixel과 Google의 쿠키와 같은 추적 코드를 사용하였고, 이를 통해 이용자 정보가 제3자에게 유출된 거예요. Cerebral은 정신적으로 고통받는 사람들에게 비대면 진료, 약물 배송, 정기적 관리 등 원격 의료 지원 서비스를 제공하는 회사예요. 때문에 이용자 310만 명의 이름, 연락처, 생년월일 외에도 정신건강 평가 결과와 같은 민감한 건강 정보가 함께 유출되었죠. 이는 2023년 발생한 건강 데이터 침해 사건 중 두 번째로 큰 규모예요.
의약품 유통 플랫폼사 GoodRx 또한 이와 같은 이유로 FTC로부터 벌금을 부과 받은 적이 있다 보니, Cerebral도 벌금을 피하기는 어려워 보여요. 쿠키, 픽셀과 같은 추적 도구를 사용하면 구글, 메타뿐만 아니라 광고주들에게도 데이터가 제공되죠. 의료 분야는 민감정보를 다루는 만큼 추적 도구를 비활성화 혹은 제거하는 등 사용에 주의해야 합니다. |
|
|
플레이스토어의 개인정보 라벨, 믿어도 될까? 🇺🇸
구글 플레이스토어가 2022년 4월부터 제공한 데이터 안전 라벨에 대해 그 신뢰도가 의심된다는 연구 결과가 나왔어요. 파이어폭스의 개발사이기도 한 모질라재단의 연구에 따르면, 상위 인기 앱 40개를 조사한 결과 80%가 데이터 안전 라벨 내용과 실제 개인정보 처리방침의 내용이 다르다고 밝혀졌어요. 모질라가 자체적으로 내용을 비교하여 등급을 내린 결과는 아래와 같아요.
- OK - (6개) 구글 플레이게임, 캔디크러쉬사가 등
- 개선 필요 - (15개) 구글, 인스타그램, 틱톡, 유튜브, 크롬, 구글지도, G메일, 왓츠앱, 스포티파이 등
- 나쁨 - (16개) 트위터, 페이스북, 마인크래프트 등
- 양식 자체를 제대로 작성하지 않음 - (3개) UC Browser, League of Stickman, Terraria
|
|
|
데이터 안전 라벨 제출 양식 자체에 결함이 있다 보니, 앱 개발사들은 데이터 제3자제공과 같은 내용을 보고하지 않고도 통과할 수 있었어요. 데이터 안전 라벨에 대한 내용이 사실인지 확인하는 절차도 없었어요.
문제는 이용자들의 의사결정과정에서 이 라벨 정보가 중대한 영향을 끼칠 수 있다는 점이에요. 라벨만 보고 믿고 사용하였는데, 사실은 내 개인정보가 줄줄 새는 앱이었다면? 구글의 데이터 안전 라벨에 분명 개선이 필요해 보여요.
|
|
|
반려동물 관련 앱 보안 주의보 🇬🇧
펫 카메라, 반려동물의 건강 상태 기록, 자동으로 먹이를 주는 시스템 등 반려동물과 관련된 스마트 앱들의 보안이 취약하다는 연구 결과가 나왔어요. 영국 뉴캐슬대와 런던대 공동연구팀이 조사한 바에 따르면, 조사 대상 펫테크앱 40개 중 90%가 보안에 취약했으며, 50%가 이용자 동의와 상관없이 위치정보를 수집하고 있었어요. 개인정보 보호 정책에 대한 안내도 미흡했고요. 반려동물 앱의 이용자는 결국 사람이에요. 반려동물의 위치정보는 주인의 위치정보와 연관성이 높기도 하고요. 동물을 대상으로 서비스한다고 보안을 소홀히 하면 안 되겠죠?😊 |
|
|
|
