프라이버시 이슈를 보다, 프리-뷰 안녕하세요. 오늘의 프리-뷰는 쿠팡의 개인정보 유출 논란부터 맥도날드의 과징금 7억 소식, 그리고 개인정보위의 최근 소식과 이번주 행사 정보까지 싹- 정리해서 알려드릴게요😊 |
|
|
쿠팡 개인정보 유출 논란, 쟁점은?
쿠팡 이용자 정보 46만 건이 유출되었다는 보도가 나왔는데, 쿠팡 측에서 이를 강력하게 사실이 아니라 반박하며 논란이 뜨거워요.🔥
상황을 자세히 살펴보면
이슈의 시작은 한 언론사의 단독 취재 보도였어요. 다크웹에 데이터 판매 글이 올라와 데이터 유출 경로 및 DB 사실 여부 판단을 위해 해커에게 직접 샘플 데이터를 받아 분석해보았더니, 쿠팡 네트워크 패킷과 동일했다는 내용이었죠. 중국 판매상 상품 구매자의 정보가 유출된 것이 아닐까 하는 의혹도 함께요.
이에 대해 쿠팡은 고객 정보는 쿠팡 시스템으로부터 고객정보가 유출된 사실이 없으며 허위 주장을 한 언론사에 대해 강력한 법적조치를 취할 것이라고 강경 대응을 예고했어요. 확인 결과 쿠팡 고객정보가 유출된 것은 맞지만, 판매자 시스템에서 유출된 사건이기 때문에 법적 책임이 없다는 거예요.
여러 기업이 엮여있다 보니
쿠팡과 같은 온라인 구매 포털 서비스의 경우, 쿠팡이 상품을 판매하는 서비스로 보이기 쉬운데요. 하지만 실제로는 판매자들이 입점할 수 있는 온라인 플랫폼(쿠팡)에 오픈마켓 판매자들이 등록하여 상품을 판매하는 구조예요.
이렇게 플랫폼을 제공하는 사업자와 실제 제품을 판매하는 사업자가 다르다 보니 개인정보 법규 위반에 대한 책임 소재를 두고 의견이 분분해요. 2021년 개인정보보호위원회는 판매자에게 안전한 인증수단을 제공하지 않은 쿠팡에 과태료를 부과했지만, 법원에서는 ‘오픈마켓 판매자는 플랫폼 운영자의 개인정보취급자에 해당한다고 볼 수 없기에 제재가 위법이다’고 판결했거든요. 책임 소재를 가리는 것도 중요하지만, 이 서비스에 참여한 기업들이 협력하여 각자의 사업 범위뿐만 아니라 기업 간의 제공과 이용과정에서도 개인정보 보호가 잘 이루어질 수 있게 운영하는 것이 더 중요해 보여요.
쿠팡이 이미 2달 전 개인정보 유출 사실을 인지했음에도 개인정보보호위원회와 이용자들에게 알리지 않았으며, 해커와 거래를 시도했다는 추가 소식도 들려오는데요. 개인정보보호위원회에서 사실 여부와 사건 경위에 대해 조사 중이라고 하니 조사 결과를 기다려봐야겠습니다. |
|
|
법규 위반 사업자 제재 사례… 과징금만 총 8억
3월 22일, 개인정보보호위원회가 법규를 위반한 6개 사업자에 대해 과징금과 과태료를 처분했다는 소식이에요. 이 중 5곳은 모두 접근 통제를 소홀히 하여 이용자들의 개인정보가 유출된 곳이에요.
(과징금액+과태료액 / 개인정보 유출 건수)
- 한국맥도날드( 7억 666만 원 / 4,876,106명) - 개인정보가 포함된 백업파일이 SMB 프로토콜*을 통해 접속될 수 있도록 운영, 휴면 고객정보 미파기, 유출 신고·통지 지연
- 삼성증권(1억 160만 원 / 48,122명) - 디렉토리 리스팅** 취약점 조치를 하지 않음, 관리자 페이지 인증절차 누락, 개인정보처리시스템 접속기록 관리 미흡
- 아이마켓코리아(2,195만 원 / 4,894명) - 개인정보처리시스템 접근권한을 설정하지 않음
- 브리티쉬아메리칸토바코코리아(4,098만 원 / 1,540명) - 개인정보처리시스템 접근권한을 설정하지 않음
- 카라솔루션(1,578만 원 / 1,664명) - 검색엔진에 관리자 페이지 URL 노출, 외부에서 개인정보처리시스템 접속 시 안전한 인증수단을 적용하지 않음
*SMB 프로토콜: 네트워크 파일 공유 프로토콜(규칙)
**디렉토리 리스팅: 특정 디렉토리(폴더)를 웹 브라우저에서 열람하면 해당 디렉토리(폴더) 내 목록과 파일이 직접 조회될 수 있도록 설정하는 옵션
위 5곳과 달리, ‘제이케이클럽’은 개인정보 수집·이용 동의사항 위반으로 제재를 받았어요. ‘제이케이클럽’은 일반 의류 쇼핑몰 운영사로, 온라인 쇼핑몰 사이트를 웹호스팅 업체를 통해 구축해서 운영하고 있었어요. 하지만 웹호스팅 업체에서 기본 제공한 동의 문구를 제이케이클럽의 운영 상황에 맞게 수정하지 않고, 이 부분을 아예 공란으로 두었어요. 개인정보 수집·이용 동의를 받으면서 법적 고지사항 전부를 이용자에게 안내하지 않은 거죠. 심지어 동의를 하지 않아도 회원가입을 할 수 있었어요.
앞선 ‘제이케이클럽’의 사례는 홈페이지 제작 및 관리 인력이 부족한 사업자들이 웹호스팅 업체를 사용하면서 발생하는 경우가 많은데요. 카페24나 아임웹 같은 웹호스팅 업체를 사용하여 홈페이지를 구축하더라도, 업체 측에서 제공하는 기본 문구나 템플릿을 개인정보 관련 법규에 따라 회사에 맞게 수정해서 이용해야 해요.
(광고) 개인정보 동의, 플립에서 놓치지 않고 제대로 만들 수 있어요. 지금 바로 동의서를 점검하고, 업데이트하세요. |
|
|
CCTV, 어떻게 사용하고 계시나요? 👁️
CCTV 있는 곳에서 옷을 갈아입으라고요?
과태료 500만 원을 부과받은 ‘마노성형외과의원’과 ‘리앤리성형외과’는 탈의실이 있는데도 불구하고 탈의실이 아닌 회복실에서 환자들이 옷을 갈아입도록 안내했어요. 문제는 이 회복실에 CCTV가 설치되어 있었다는 거예요. 범죄 예방·의료사고 방지를 위해 설치하였다지만, 촬영되고 있다는 사실을 알았다면 그곳에서 옷을 갈아입었을까요? 개인정보 보호법에서는 목욕실, 화장실, 탈의실 등 현저한 사생활 침해가 우려되는 공간에의 CCTV 설치를 엄격히 금지하고 있어요.
직원이 일을 잘하고 있나 감시해볼까~
‘디쉐어’는 CCTV로 직원의 근태를 확인해서 시정명령을 받았어요. CCTV를 이용한 직원 감시는 꾸준히 발생하는 사례로, 코로나19로 인해 재택근무가 활성화되면서 CCTV에서 나아가 웹캠, 원격 프로그램 등을 이용한 통제로도 이어져 더욱 논란이 되었던 부분이죠. CCTV는 원칙적으로 범죄 예방, 시설 안전, 화재 예방 목적으로만 설치할 수 있어요. 원래 목적과 다르게 직원 감시용으로 CCTV를 이용하는 건 개인정보 보호법 위반일뿐만 아니라 인권 침해에 해당합니다.
한편 CCTV를 운영할 때 직원들에게 안내하지 않는 것도 문제가 될 수 있어요. 실제로 ‘에스티아이’는 직원들에게 CCTV 운영에 대한 안내를 제대로 하지 않아 과태료 300만 원을 부과받았어요. 회사에서 부당하게 운영하더라도, 근로자는 쉽사리 이를 거부하기 힘든 것이 현실이죠. 개인정보 보호에 대한 권리 보장이 당연해지는 사회가 오길 바라봅니다😥
|
|
|
개인정보 유출 피해 보상, 빠르게 한 곳이 어디라고? 💰
소송에서 피해 보상을 제공하라는 판결이 나오지 않는 이상 피해 보상을 하지 않던 이전과 달리, 점차 기업들이 발 빠르게 자발적으로 보상금을 지급하는 모습을 보이고 있어요.
3월 28일 개인정보 유출 사고가 발생한 리디(RIDI)는 이틀 만에 세 차례에 걸쳐 사과문을 공지하며 정확하고 빠르게 사건 경위와 보상안을 모두 안내했어요. 특정 시각에 로그인한 5,814명의 이용자에게 다른 계정 정보가 노출된 건데요. 이용자들은 오히려 개인정보 유출이 안 돼서 아쉬울 지경이라며 리디의 대응에 만족하는 모습을 보였어요.
한편 호텔신라에서는 지난 1월 두 차례에 걸쳐 발생한 유출사건에 대한 피해자 보상으로, 1년 이내에 사용할 수 있는 객실 예약 포인트 3만 점을 지급했어요. 뉴스레터 발송 시 회원 정보와 이메일 주소를 잘못 입력해 다른 고객의 정보가 발송되어 회원정보 약 10만 건이 유출된 사고에 대한 보상안이에요. 이에 대한 고객 반응은 개인정보 유출 사고에 대해 직접적인 보상을 해준 것이 만족스럽다는 긍정적 반응을 보였지만, 사용 조건과 기간이 한정된 쿠폰을 지급한 것에 대한 부정적인 입장도 있어요.
개인정보 유출 사고가 발생하지 않도록 예방하는 것도 중요하지만 기업의 투명하고 신속한 대응 또한 중요하죠. 기업이 사고에 대해 어떻게 후속 대응하느냐에 따라 소비자가 기업에 갖는 이미지는 긍정적으로도 혹은 더 부정적으로도 달라질 수 있습니다😊 |
|
|
한국인터넷진흥원(KISA)이 2022 가명정보 활용 우수사례집을 발간했어요. 사례집에서는 2022년 9월에 개최된 「가명정보 활용 우수사례 아이디어 경진대회」의 수상작과 「가명정보 결합 선도사례」의 대표적인 성과를 확인할 수 있어요.
실제 데이터 결합 현장에서 활용되는 사례를 정리한 만큼, 개인정보 데이터를 활용하고자 하는 기업들이 참고하면 좋은 내용들이 수록되어 있어요. 자세한 내용은 사례집 전문을 참고해 주세요. |
|
|
개인정보 중심 설계 인증제(PbD) 시범 도입 |
|
|
개인정보 보호에 대한 인식이 증가하는 만큼, 개인정보 보호에 대한 안전성이 소비자의 의사결정 과정에서 중요한 고려 요소가 되기도 하는데요. 이를 확인할 수 있는 ‘개인정보 중심 설계 인증제(PbD, Privacy by Design)’를 개인정보보호위원회에서 시범적으로 선보인다는 소식입니다. 해킹사고가 빈번한 홈캠과 같은 IP 카메라 및 IoT 기기를 대상으로 시범 운영한다고 해요.
개인정보 중심 설계(PbD)란, 제품·서비스의 기획, 운영 등의 전 과정에서 개인정보 보호 요소를 충분히 고려해 개인정보 침해를 사전 예방하는 설계 개념을 말하는데요. 이번 인증 제도 시행으로 소비자들이 좀 더 안심하고 사용할 수 있는 기기를 선택하는데 큰 도움이 될 것 같습니다😊. |
|
|
구인구직 플랫폼에서는 개인정보를 어떻게 처리할까?
개인정보보호위원회에서 사람인, 잡코리아, 인크루트와 같은 구인구직 플랫폼의 개인정보 처리 현황 조사 결과를 발표했어요. 작년 발표된 자율규제 대상 온라인 플랫폼 분야 7개 중 5번째 분야가 발표된 거죠. 구인구직 분야 온라인 플랫폼은 채용안내, 인재검색 외에도 AI 기술을 활용한 채용대행 서비스도 제공하는 특징이 있는데요. 그만큼 구직자의 학력, 경력, 장애 여부, 영상, 음성정보 등 민감정보를 포함한 많은 개인정보를 처리하기 때문에 이용자의 개인정보 보호가 매우 중요해요.
개인정보보호위원회는 이번 분석 결과를 바탕으로 관련 업체와 자율규제 규약을 진행할 예정이라고 해요. 온라인 플랫폼 분야 7개 중 오픈마켓, 주문배달 분야는 자율 규제 규약이 이미 확정된 바 있죠. 다음은 구인구직 분야 차례일까요?🤭 |
|
|
개인정보보호위원회가 「2022년 개인정보보호 및 활용조사 보고서」를 발표했어요. 조사 결과의 주요 내용을 살펴보면, 개인정보보호 업무 수행 시 가장 어려운 점으로 공공기관은 ‘인력 부족’(78.7%)을, 민간기업은 ‘관련 법률의 내용을 이해하기 어려움’(40.1%)을 꼽았는데요. 더욱이 주목할 점으로는 민간기업의 담당자들이 개인정보 보호를 위한 필요 정책으로 “처벌 규정 강화”를, 공공기관의 담당자들은 “개인정보보호 전문가 양성 등 인력개발”을 최우선으로 꼽았다는 점이에요. 이번 결과를 활용하여 개인정보 보호 정책을 펼친다고 하니, 앞으로의 방향성을 예측해 볼 수 있어요. 보고서 전문은 이곳에서 확인하세요! |
|
|
제22회 세계 보안 엑스포 ‘SECON 2023’ X 제11회 전자정부 정보보호 솔루션 페어 ‘eGISEC 2023’
일시 : 2023년 3월 29일(수)~31일(금)
장소 : 일산 킨텍스 제2전시장, 콘퍼런스룸
국내외 보안 시장의 동향과 기술 트렌드를 살펴볼 수 있는 아시아 최대 규모 통합보안 전문 전시회 자세히 보기
|
|
|
2023년 제1차 CPO(Chief Privacy Officer) 워크숍
일시 : 2023년 3월 31일(금)
장소 : 일산 킨텍스 제2전시장
개인정보보호위원회의 주최로 올해 처음 진행되며, 개인정보보호 주제의 5개 강연으로 구성. 자세히 보기
|
|
|
|
