프라이버시 이슈를 보다, 프리-뷰 안녕하세요. 오늘의 프리-뷰는 최근 개인정보위에서 내린 제재를 사유 중심으로 자세히 정리했고, 국내 개인정보 유출 이슈와 개인정보 관리 노하우 세미나 소식까지 알찬 내용으로 가져왔어요😊 |
|
|
지금까지 알게 모르게 행해지던 관행, 이제는 안돼요.
개인정보보호위원회가 사업자 및 기관을 처분하는 사유가 기존보다 훨씬 다양해졌거든요.
기존에는 개인정보 보호법 위반 행위의 대부분이 개인정보 유출이나 안전조치 의무 위반이었어요. 유출 사고의 66%는 안전조치 의무 위반 때문이었고요. 때문에 과태료나 과징금 부과 사례도 이 두 가지 유형일 때가 대부분이었죠. 하지만 최근 2주간 개인정보보호위원회가 사업자 및 기관에 대해 처분한 내용을 살펴보면, 신선한(?) 과태료 처분 사유가 등장했어요. |
|
|
|
개인정보 보호법 제22조제1항에 따르면, 개인정보처리자가 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 해요. 이는 처리하는 개인정보의 목적과 유형에 따라 각각의 동의서를 안내하고 동의받아야 함을 의미하는데요. 건강정보와 같은 민감정보, 주민등록번호와 같은 고유식별정보, 제3자에게 정보가 전달되는 제3자제공, 광고성 정보 수신과 같은 마케팅 수신 동의서는 기본 개인정보 수집 이용 동의서와 구분되어 안내되어야 한다는 뜻이에요. |
|
|
하지만, 똑닥, 닥터나우, 나만의닥터, 올라케어는 각각의 동의서를 안내하고 별도로 구분하여 동의를 받지 않았어요. 회원가입 시 개인정보 처리방침 전문으로 일괄 동의를 받은 거예요. 이렇게 ‘동의서’가 아니라 ‘처리방침’에 동의를 받는 건, 개인정보, 민감정보, 고유식별정보가 모두 포괄적으로 기재되어 있기 때문에 이용자가 특히 주의해야 할 부분을 쉽게 알아채기 어려워요.
동의서가 아니라 처리방침에 동의 받는 건 사업자가 가장 흔히 위반하는 사항인데요. 개선 권고와 같은 시정 명령으로 끝나던 과거와 달리, 실질적으로 과태료가 내려지기 시작했으므로 더욱 유의하셔야겠습니다. |
|
|
주민등록번호는 내 신분을 나타내는, 한 사람당 하나밖에 없는 아주 중요한 개인정보죠. 그만큼 다른 고유식별번호와 달리(운전면허번호, 여권번호, 외국인등록번호) 법령에서 명시하는 처리 가능한 근거에 해당되지 않는다면 이용자의 동의가 있더라도 처리할 수 없어요. 유출되면 2차 피해가 발생할 가능성도 매우 높고요.
이렇게 중요한 주민등록번호, 이용자로부터 수집했다면 안전히 보호해야겠죠? 유출되지 않도록 보관해야 함은 물론, 보관할 때도 마스킹 처리나 암호화를 해야 합니다. 이러한 안전조치를 하지 않은 닥터나우, 나만의닥터, 올라케어가 추가 과태료를 부과받았어요. 안전성 확보조치 미흡으로 주민등록번호가 유출된 대방건설은 약 5천만 원의 과징금을 부과받기도 했습니다. |
|
|
필수 동의 사항은 서비스 제공을 위해 꼭 필요한 사항을 말해요. 만약 쇼핑몰이 주문자의 이름, 전화번호, 주소를 모르면 주문상품을 배송해 줄 수 없으니, 이들 정보를 수집·이용하는 것에 동의해야 인터넷 쇼핑 서비스 제공이 가능하죠.
선택 동의 사항은 서비스 제공에 있어 꼭 필요하진 않지만, 서비스의 운영이나 부가 기능을 위해 이용자들로부터 선택적으로 추가적인 정보를 수집하는 사항을 말해요. 보통 맞춤 추천이나 부가 기능 이용, 마케팅 정보 수신을 위한 개인정보의 처리를 말해요.
선택 사항은 말 그대로 “선택”사항! 개인정보처리자는 개인정보 보호법 제22조제5항에 따라 선택적으로 동의할 수 있는 사항에 동의하지 않았다고 이용자에게 서비스의 제공을 거부해서는 안돼요. 선택 사항에 동의하지 않았다고 회원가입이나 다음 단계로의 진행을 막아서는 안된다는 점, 꼭 주의해 주세요! (어떤 것이 필수인지, 선택인지 잘 구분하는 것도 중요하겠죠?😉) |
|
|
사용자가 회원탈퇴를 했다고요? 주문한 상품이 배송완료됐나요? 이벤트 상품 전달이 끝났나요?
그럼, 개인정보를 파기하셔야 해요! 개인정보는 수집 목적을 달성하거나 사용자에게 안내한 보유기간이 종료되면 지체 없이 삭제하여야 합니다. 보유기간이 경과한 개인정보를 파기하지 않는 것도 가장 많이 위반하는 사항이에요. 지난 26일 (주)좋은책신사고가 보유기간이 지난 개인정보를 파기하지 않아 과태료 300만 원을 부과받았으며, 최근 대규모로 개인정보가 유출된 LG U+는 탈퇴 고객의 개인정보를 삭제하지 않고 있다가 이들 개인정보까지 모두 유출된 적 있어요.
개인정보는 수집·이용부터 파기까지 처리의 모든 과정 중 어느 하나도 소홀해서는 안돼요. 데이터 경제가 도래할수록 데이터의 안전한 활용, 프라이버시 보호에 대한 사회적 요구도 함께 증가하고 있죠. 사회는 점점 더 기업에게 정보주체의 권리에 대한 더 높은 수준의 경각심을 요구합니다. 개인정보보호위원회뿐만 아니라 모든 이용자가 언제나 지켜보고 있다는 점, 명심하세요! 👀 |
|
|
(광고) 오늘 소개해 드린 기업들의 위반 사례들을 보면서, 우리 회사는 과연 괜찮을까 궁금하셨죠? 동의는 어떻게 받아야 하는지, 처리방침은 어떤 내용으로 작성되어야 하는지.. 개인정보 관리의 기초부터 실전 노하우까지, 필요한 내용만을 꾹꾹 눌러 담았어요. (수강생분들께만 드리는 특별한 혜택도 있으니, 지금 바로 확인해보세요😊)
|
|
|
대학아 내 개인정보는..?
전국의 대학교를 대상으로 2022년 정보보안과 개인정보보호 수준을 진단한 결과, 대학 4곳 중 1곳 이상이 미흡한 상태로 드러났어요. 193개 학교 중 정보보안 영역에서 42개 학교(21.8%), 개인정보보호 영역에서 33개(17.1%)가 미흡 평가를 받았어요.
최근에도 대학의 개인정보 관련 사고가 지속적으로 나타나고 있어요.
포항공대(포스텍)에서는 장학생에 지원한 대학원생 300명의 개인정보가 전체 대학원생 약 3천 명에게 이메일로 발송되며 유출되었어요. 유출된 개인정보에는 이름, 전화번호, 주민등록번호뿐만 아니라 생활비 지원 이력까지 심각한 2차 피해가 우려되는 민감한 정보가 포함되어 있었고요.
숭실대에서는 학생용 메일 서비스를 재개하며 임시 비밀번호를 안내하였는데, 이 임시번호가 ‘학번+@’과 같이 전교생 모두 동일한 조합이어서 논란이 되었습니다. 이러한 방식은 학번만 알면 누구나 해당 계정에 얼마든지 로그인할 수 있기 때문에 누군가 악의적으로 계정에 접속할 수 있기 때문이에요. 요즘은 학교 웹메일 계정으로 가입하면 학생 할인 혜택을 주는 사이트들도 많아 2차 피해가 발생할 수도 있어요.
대학교는 재학생, 졸업생, 교직원까지 수많은 사람들의 개인정보를 처리하는 공공기관으로, 작은 위반행위로도 심각한 피해로 이어질 수 있어요. 때문에 엄격한 관리가 매우 중요하지만 제대로 이뤄지지 않고 있는 것이 현실이에요. 정보보호학과 신설과 같이 전문 인력 양성도 중요하지만, 개인정보담당자 교육부터 개인정보 처리 시스템에 대한 투자 확대 및 기존의 잘못된 관행을 바로잡는 노력이 선행되어야겠습니다.
|
|
|
채널톡, 개인정보 유출 논란
채널톡 상담 이후 각종 스팸 문자를 받은 고객들이 발생해 채널톡에서 개인정보가 유출된 것이 아니냐는 논란이 일었어요. (저희 프리뷰팀도 사용하고 있어서 화들짝…!😱) 채널톡은 현재 10만여 개의 기업에서 사용할 만큼 폭발적으로 성장하고 있는 CRM 툴인데요. 확인 결과, 외부 개인정보 유출은 아닌 제3자 제공 동의 절차에 대한 문제였어요.
채널톡에는 ‘카카오톡 상담하기’라는 기능이 있는데요. 채널톡에서 카카오톡으로 바로 연결되어 상담 서비스를 받을 수 있는 방법이에요. 카카오톡으로 상담 채널이 변경됨에 따라 카카오 계정이 있어야 상담이 가능하기 때문에, ‘카카오톡 상담하기’를 이용할 때마다 ‘제3자 제공 동의’가 필요해요. 상담받으려는 고객의 카카오톡 개인정보가 채널톡 및 채널톡을 이용하는 업체에 전달되기 때문이에요.
채널톡은 ‘제3자 제공 동의’를 받으면서 수탁자를 채널톡으로만 명시했지만 실제로 상담을 요청한 고객 개인정보는 채널톡 유료 서비스를 도입한 모든 업체에 전달되고 있었어요. 개인정보를 전달받는 수탁자가 채널톡+카카오톡을 통해 상담받으려는 업체뿐이어야 하는데 말이죠. 그래서 내가 상담받은 적도 없던 업체로부터의 마케팅 문자를 받았던 거였어요! 상담을 위해 제공한 개인정보가 스팸 용도로 쓰였다는 것도 문제고요. |
|
|
논란이 일자 채널톡은 약관 동의 시스템을 곧바로 변경했어요. 하지만 이미 다른 업체들에까지 전달된 개인정보가 삭제되었는지 등에 대한 별다른 공지는 아직 없어요. 개인정보 보호법에 따르면 개인정보를 제공받은 자는 개인정보를 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공해서는 안 되는데요. 법률 위반 여부에 대해 현재 KISA에서 조사 중이라고 하니 결과를 기다려 봐야겠습니다. |
|
|
편의점 CU 멤버십 앱 ‘포켓CU’에서 개인정보가 유출되었다는 소식이에요. 유출된 인원은 약 600명 정도로, 기본 인적 사항은 물론 이용자들의 CU포인트 80만 원까지 탈취당했어요.
원인은 바로 ‘크리덴셜 스터핑’. 다른 사이트에서 사용하는 아이디와 비밀번호 정보를 알아내어 이 정보로 포켓CU에서 로그인을 시도했어요. 사람들이 여러 사이트에서 동일한 비밀번호를 사용하는 점을 이용한 공격 방법이에요. 주로 로그인된 사용자들의 포인트나 상품권 등 금전적 이익을 노린 경우가 많아요. 올해 초, G마켓에서도 크리덴셜 스터핑 공격으로 인해 상품권 PIN 번호가 유출된 적이 있어요.
이런 크리덴셜 스터핑 방식은 정상적인 아이디와 비밀번호로 로그인을 시도하기 때문에 시스템상에서도 ‘정상 접근’으로 파악되어 피해 사실을 즉각적으로 확인하기 어려워요. 이번 포켓CU 사고에서는 사용자의 신고가 있어 빠르게 대응할 수 있었고, 탈취된 이용자의 포인트도 CU 측에서 복원해 주었다고 해요. 하지만 사용자가 여러 사이트에서 동일한 비밀번호를 사용하고, 이를 바꾸지 않은 것에 대해서는 사용자의 책임이 크기 때문에 일반적으로 피해를 보상받기는 쉽지 않아요. 기업에서도 이런 공격에 대비해야겠지만, 이용자 스스로 경각심을 가지고 비밀번호를 사이트마다 다르게 설정하고, 주기적으로 변경하는 노력이 가장 기본입니다!😉 |
|
|
개인정보 보호 가이드라인(온라인 경품행사편) 발간
온라인으로 경품 이벤트 진행 시 개인정보처리자가 지켜야 할 가이드라인이 발간되었습니다. 개인정보 보호법 개정안 통과 이후 첫 발간된 가이드라인인 만큼, 꼭 확인해보세요! (분량도 짧아요!)
👉 가이드라인 보러가기
|
|
|
기능 업데이트한 챗GPT, 이탈리아 차단 ‘해제’
지난 프리뷰에서 챗GPT가 이탈리아에서 접속 차단 조치를 당했다는 소식을 전해드렸는데요. 이탈리아 당국이 요구한 조건(투명성 개선, 사용자 동의 수집, 연령 제한 적용 등)을 모두 반영 후 다시 이탈리아에서 서비스를 재개했다는 소식입니다. OpenAI는 추가로 챗GPT에 대화 내용을 기록할지 이용자가 선택할 수 있는 기능을 추가했어요. 이 기능을 사용하면 챗봇은 기록을 30일 동안만 보관하고, 히스토리바에도 대화 내용을 표시하지 않으며, 전체 대화 내용을 학습에 활용하지 않는다고 해요. 사용 중에 버그를 발견한 이용자에게는 최대 2만 달러의 보상금도 지급할 예정이에요. 개인정보 유출에 대한 우려가 완전히 사라진 건 아니지만, 지속되는 개인정보 관련 우려에 민감히 대응하는 점은 칭찬하고 싶네요!
|
|
|
LG U+ 개인정보 유출 원인 공개
지난 1월 발생한 LG U+의 개인정보 유출 사고에 대한 과학기술정보통신부의 조사 결과가 발표되었습니다. 해커의 주장에 따르면 유출된 개인정보는 60만 건이었지만, 조사 결과 29만 7117명의 개인정보가 유출되었다고 해요. 실제 개인정보 유출 시점은 1월이 아닌 2018년 6월이었고요. 데이터 유출 실시간 감시 시스템조차 없어 이 사실을 1월에서야 인지했다고 해요. 고객 인증 데이터베이스 접속 시 필요한 관리자 계정 암호로, 기본 패스워드 ‘admin’을 그대로 사용하고 있었다는 점도 드러났습니다😱. 1월과 2월 발생한 디도스 공격도 보안시스템 소홀이 원인이었고요. 이쯤 되면, ESG 개인정보보호 우수기업 선정은 어떻게 된 것인지 궁금해지는데요🤔 LG U+는 사이버안전혁신추진단을 꾸리고 정보보호 부문에 1,000억 원 투자를 약속하는 등 사안에 엄중히 대응하고 있지만, 추락한 고객의 신뢰를 쉽게 회복하긴 어려워 보입니다.
|
|
|
오늘의 프리-뷰는 어떠셨나요?
버튼을 눌러주시는 것만으로도 프리뷰 팀에 큰 힘이 됩니다 🙌 |
|
|
|
