검색결과 총 22건
-
회원 130만명 털리고도 몰랐다…락앤락, 개인정보 유출로 과징금 5억
[경제일보] 락앤락이 약 130만 명의 회원 개인정보 유출 사고로 과징금 5억원대 제재를 받았다. 해커가 내부 시스템에 침입해 대용량 데이터를 빼냈지만 회사는 이를 탐지하지 못했고 해커의 협박 메일을 받고서야 유출 사실을 인지한 것으로 조사됐다. 개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보 보호법을 위반한 락앤락, 유베이스, 썬포토 등 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과했다고 9일 밝혔다. 처분 사실을 각 사 홈페이지에 공표하라는 명령도 함께 의결했다. 가장 큰 제재를 받은 곳은 락앤락이다. 개인정보위 조사 결과 해커는 2024년 4월 락앤락 메일 서버 보안 취약점을 악용해 내부 시스템에 침입했고 같은 해 5월 말 회원 데이터베이스를 유출했다. 같은 해 11월에는 내부 시스템에 다시 침입해 파일서버에 저장된 업무자료와 임직원 개인정보까지 추가로 빼낸 것으로 확인됐다. 이 과정에서 약 130만 명의 회원 개인정보와 임직원 개인정보 1111건이 외부로 유출됐다. 유출 항목에는 회원 이름, 휴대전화번호, 주소와 임직원의 주민등록증, 운전면허증, 통장 사본 등이 포함됐다. 개인정보위는 락앤락이 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못했다고 판단했다. 2022년 공개된 보안 취약점에 대한 패치를 적용하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용한 점도 문제로 지적됐다. 고유식별정보 암호화 미흡, 개인정보 미파기 등 안전조치 의무 위반도 확인됐다. 이에 개인정보위는 락앤락에 과징금 5억300만원과 과태료 540만원을 부과했다. 콜센터 아웃소싱 업체 유베이스도 제재 대상에 올랐다. 2024년 대표 홈페이지 관리자 계정이 해킹돼 문의 게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등이 유출됐다. 해커는 해당 정보를 텔레그램에 게시하기도 했다. 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 IP 주소 등으로 접근을 제한하지 않았고, 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있게 한 것으로 조사됐다. 개인정보위는 유베이스에 과징금 1억6800만원을 부과했다. 사진·영상장비 판매업체 썬포토는 관리자 계정 해킹으로 회원 약 17만 명의 개인정보와 주문정보 13건이 유출됐다. 유출 정보에는 이름, 아이디, 휴대전화번호, 성별 등이 포함됐다. 해커가 주문자 1명에게 썬포토 직원을 사칭해 보이스피싱을 시도한 사실도 확인됐다. 썬포토에는 과징금 3000만원이 부과됐다. 이번 제재는 개인정보 유출 사고의 초점이 단순 해킹 피해를 넘어 기업의 탐지·패치·접근통제 체계로 옮겨가고 있음을 보여준다. 관리자 페이지 접근 제한, 취약점 패치, 접속기록 관리, 고유식별정보 암호화 같은 기본 보안 조치가 미흡하면 사고 이후 책임도 커질 수밖에 없다.
2026-07-09 17:09:05
-
-
-
-
LG유플러스, 방통위 이용자보호 평가서 '매우 우수'…SKT·KT는 '우수'
[경제일보] 이동통신 3사의 이용자 보호 성적표가 엇갈렸다. LG유플러스는 이동통신과 초고속인터넷 양대 기간통신 분야에서 모두 ‘매우 우수’ 등급을 받으며 가장 앞섰다. 반면 SK텔레콤과 KT는 ‘우수’ 등급에 머물렀고 특히 SK텔레콤은 지난해 유심 정보 유출 사고 이후 이용자 신뢰 회복이라는 과제를 다시 확인했다. 방송미디어통신위원회는 12일 제17차 전체회의를 열고 ‘2025년도 전기통신사업자 이용자 보호업무 평가결과’를 심의·의결했다. 이번 평가는 이동통신, 초고속인터넷, 알뜰폰, OTT, SNS, 검색, 쇼핑·배달 등 12개 분야 47개 사업자를 대상으로 진행됐다. 신규 평가 대상 8개사를 제외한 39개 사업자의 평균점수는 873.3점으로 전년보다 13.4점 하락했다. 이동통신 분야에서는 LG유플러스가 전년보다 한 단계 오른 ‘매우 우수’ 등급을 받았다. KT는 전년과 같은 ‘우수’를 유지했고 SK텔레콤은 지난해 ‘매우 우수’에서 올해 ‘우수’로 한 단계 내려갔다. 초고속인터넷 분야에서도 LG유플러스는 ‘매우 우수’를 유지했다. KT와 SK텔레콤, SK브로드밴드는 모두 전년보다 한 단계 하락해 ‘우수’ 등급을 받았다. 이번 결과는 이동통신 3사의 이용자 보호 경쟁이 단순한 고객센터 운영이나 민원 처리 수준을 넘어섰다는 점을 보여준다. 통신 서비스는 휴대전화, 인터넷, 본인확인, 결제, 인증, 기업망, 보안 서비스까지 연결된 생활 인프라다. 장애나 침해사고가 발생하면 불편은 통화 품질에 그치지 않고 금융·플랫폼·공공 서비스 이용까지 번질 수 있다. LG유플러스의 약진은 눈에 띈다. LG유플러스는 이동통신과 초고속인터넷에서 동시에 최고 등급을 받은 유일한 기간통신사로 평가됐다. 과거 개인정보 유출과 통신 장애 이슈로 곤욕을 치른 뒤 보안 투자와 이용자 보호 체계를 강화해 온 점이 평가에 반영된 것으로 풀이된다. 통신 품질뿐 아니라 피해 예방, 민원 처리, 이용자 안내, 재발 방지 체계가 종합적으로 점검되는 평가라는 점에서 의미가 있다. SK텔레콤은 다른 맥락의 시험대에 올랐다. SK텔레콤은 여전히 ‘우수’ 등급을 받았지만 지난해보다 등급이 하락했다. 특히 지난해 발생한 유심 정보 유출 사고는 이용자 보호 평가와 별개로 회사의 신뢰 기반을 흔든 대형 사건이었다. 개인정보위는 해당 사고와 관련해 2300여만명의 유심 정보 등이 유출됐다고 보고 1347억9100만원의 과징금을 부과한 바 있다. 국내 1위 이동통신사로서 보안 사고가 이용자 보호 체계 전반의 약점으로 읽힐 수밖에 없는 대목이다. KT는 이동통신 분야에서 ‘우수’를 유지했지만 초고속인터넷 분야에서는 전년보다 한 단계 하락했다. 통신 3사 모두 AI, 클라우드, 데이터센터, B2B 인프라 사업으로 영역을 넓히는 상황에서 기본 통신 서비스의 안정성과 이용자 대응 체계는 여전히 사업 신뢰의 출발점이다. 신사업 확장 이전에 기존 가입자 보호 역량을 얼마나 정교하게 유지하느냐가 중요해졌다. 방미통위가 이번 평가에서 눈여겨본 부분도 이 지점이다. 서비스 제공 중단 등 이용자 이익을 해치는 상황이 발생했을 때 적절히 대응했는지, 가입·이용 과정에서 피해를 줄이기 위한 조치를 했는지, 피해 발생 이후 구제와 재발 방지가 제대로 이뤄졌는지가 핵심 평가 요소다. 통신사는 망을 운영하는 사업자인 동시에 대규모 개인정보와 인증 데이터를 다루는 사업자다. 과징금 감경 혜택 유예도 상징적이다. 이용자 보호 평가에서 우수 등급 이상을 받은 사업자는 전기통신사업법상 과징금 감경 인센티브를 받을 수 있다. 그러나 방미통위는 지난해 주요 통신사 침해사고를 고려해 우수 등급 이상 사업자에게도 과징금 감경 혜택을 부여하지 않거나 유예하기로 했다. 평가 점수만으로 면죄부를 주지 않겠다는 신호다. 한편 업계의 시선은 내년 평가로 향한다. LG유플러스는 이번 성과를 일회성 등급 상승이 아니라 지속적인 신뢰 회복으로 이어가야 한다. SK텔레콤은 보안 사고 이후 가입자 보호 체계를 얼마나 근본적으로 고쳤는지 증명해야 한다. KT 역시 통신 품질과 민원 대응, 인터넷 서비스 안정성에서 추가 개선을 보여줘야 한다. 통신사의 경쟁력은 더 이상 요금제와 속도만으로 설명되지 않는다. 이용자가 위험을 만났을 때 얼마나 빨리 알리고, 얼마나 정확히 보호하며, 얼마나 책임 있게 복구하느냐가 브랜드의 신뢰를 결정한다. AI와 데이터센터 시대에도 통신의 본질은 연결이다. 그 연결이 안전하지 않다면 어떤 신사업도 오래 설 수 없다.
2026-06-12 14:41:55
-
-
개인정보위, 쿠팡에 6246억 과징금 철퇴…"해외 기업 여부 고려 안 했다"
[경제일보] 개인정보보호위원회가 쿠팡에 역대 최대 규모인 6246억8100만원의 과징금을 부과했다. 대규모 개인정보 유출 사고에 더해 이용자 동의 없는 온라인 활동기록 수집까지 함께 적발되면서 제재 수위가 종전 최고액을 크게 넘어섰다. 개인정보위는 10일 전체회의를 열고 쿠팡의 개인정보보호법 위반 행위에 대해 개인정보 유출 관련 4235억7500만원, 개인정보 무단 수집 관련 2011억600만원의 과징금을 각각 부과하기로 의결했다. 과태료는 1680만원이다. 물류 자회사 쿠팡풀필먼트서비스(CFS)에도 개인정보 처리 위반과 관련해 2억4800만원의 과징금이 별도로 부과됐다. 이번 처분의 핵심은 과징금 산정 기준이다. 개인정보위는 미국 상장사 쿠팡Inc의 전사 매출이나 공시상 전체 매출을 그대로 적용하지 않고 처분 대상인 한국의 쿠팡 주식회사와 위반 행위 관련 매출을 기준으로 삼았다. 쿠팡이츠, 쿠팡플레이, B2B 사업 등 위반 행위와 직접 관련이 없는 독립 매출은 제외했다는 설명이다. 이에 따라 유출 사고 관련 기준 매출은 약 30조원, 무단 개인정보 수집 관련 기준 매출은 약 36조원 수준으로 산정된 것으로 전해졌다. 개인정보위는 쿠팡 사고를 고도화된 외부 해킹보다 기본적인 안전관리 체계 미비와 관리 소홀의 문제로 판단했다. 조사 결과 유출 규모는 회원 3322만명과 회원이 아닌 배송지 정보주체 최소 433만명을 합쳐 약 3755만명으로 집계됐다. 인증 서명키 관리와 접근통제, 이상 트래픽 탐지, 퇴사자 권한 관리 등 기본 보안 체계가 제대로 작동하지 않았다는 게 개인정보위 판단이다. 별도 위반 행위도 제재 규모를 키웠다. 개인정보위는 쿠팡이 ‘쿠팡 파트너스’를 운영하면서 이용자 약 1117만명의 타사 웹사이트·앱 방문 기록, 접속 일시, IP 등 온라인 활동기록을 법적 근거 없이 수집해 저장한 사실을 확인했다. 단순 유출 사고가 아니라 플랫폼 사업자의 데이터 수집 관행 자체가 제재 대상이 된 셈이다. 조사 과정에서 드러난 로그 삭제 문제는 형사 절차로 이어질 전망이다. 개인정보위는 쿠팡이 증거자료 보전 명령을 받은 뒤에도 약 5개월치 웹 접속 로그를 수동 삭제하고 일부 애플리케이션 로그가 자동 삭제되도록 방치했다고 봤다. 개인정보위는 법상 고발 요건이 충족되면 예정대로 고발 절차를 진행하겠다는 입장을 밝혔다. 쿠팡이 법적 대응에 나설 가능성도 남아 있다. 쿠팡은 개인정보위 결정에 유감을 표하고 법적 절차를 통해 사실관계를 다투겠다는 입장을 내놓은 것으로 알려졌다. 개인정보위는 이번 처분이 장시간 심의와 사업자 의견 진술, 법리 검토를 거쳐 내려진 결정이라며 행정소송이 제기되더라도 적극 대응하겠다고 밝혔다. 외교 문제로 번질 가능성에 대해서도 선을 그었다. 개인정보위는 쿠팡이 국내 기업인지 해외 기업인지가 판단 기준이 아니며 개인정보보호법 위반 여부와 증거, 조사 결과만을 근거로 처분했다고 설명했다. 미국 상장 기업이라는 지위보다 국내 소비자의 개인정보를 대규모로 처리하는 플랫폼 사업자로서의 책임을 우선했다는 의미다. 이번 제재는 국내 플랫폼 산업에 분명한 신호를 던진다. 이용자 데이터가 성장의 기반이었다면 그 데이터를 지키는 체계 역시 기업 경쟁력의 일부가 돼야 한다. 쿠팡의 속도와 규모는 한국 유통시장의 판을 바꿨지만 개인정보 보호의 실패는 그 성장 모델의 취약한 밑바닥을 드러냈다. 이제 플랫폼의 신뢰는 배송 속도가 아니라 데이터 책임으로 평가받는 국면에 들어섰다.
2026-06-11 16:01:46
-
네이버 'AI 탭', 개인정보위 사전검토 통과…6월 정식 출시 청신호
[경제일보] 네이버의 검색 인공지능(AI) 에이전트 서비스 ‘AI 탭’이 6월 정식 출시를 앞두고 개인정보보호위원회의 사전적정성 검토를 통과했다. AI 검색 고도화의 핵심인 개인화 데이터 활용이 가능해지는 대신 이용자 통제권과 민감정보 보호 장치를 강화하는 조건이 붙었다. 개인정보위는 지난 27일 제10회 전체회의를 열고 네이버가 신청한 AI 탭 서비스의 사전적정성 검토 결과를 심의·의결했다고 31일 밝혔다. 사전적정성 검토제는 AI 등 신기술·신서비스 개발 단계에서 기존 법 해석이나 집행 사례만으로 개인정보보호법 준수 방안이 명확하지 않을 때 활용되는 제도다. 기업이 개인정보위와 협의해 보호 방안을 마련하고 이를 이행하면 사후에 불이익한 처분을 받지 않는다. AI 탭은 네이버 검색 화면에서 제공되는 대화형 AI 검색 서비스다. 기존 검색처럼 웹페이지 목록을 나열하는 방식이 아니라 검색 결과와 관련 정보를 요약·분석해 1대1 채팅 형태로 답변한다. 네이버는 지난 4월 네이버플러스 멤버십 이용자를 대상으로 AI 탭 베타 서비스를 시작했고 상반기 전체 이용자 확대를 예고한 바 있다. 이번 검토의 핵심은 개인화 검색에 필요한 데이터 활용 범위다. 네이버는 이용자의 검색 이용기록, 공개된 블로그·카페 활동기록, 쇼핑 이력 등 네이버 서비스 이용내역을 AI 탭의 맞춤형 답변 생성에 활용하고자 했다. 검색 의도와 이용자 맥락을 반영해야 더 정교한 답변이 가능하다는 판단에서다. 개인정보위는 서비스 운영 자체는 가능하다고 보면서도 세 가지 보호 장치를 요구했다. 먼저 개인화 답변을 원하지 않는 이용자에게 데이터 활용 거부 옵션의 존재와 의미를 알기 쉽게 안내하도록 했다. 또 이용자 피드백을 반영해 사후 통제권이 실질적으로 보장되도록 계속 보완하라고 주문했다. 데이터 활용의 투명성도 조건으로 제시됐다. 네이버는 개인정보 처리방침 등을 통해 AI 탭에 사용되는 맞춤 정보의 항목과 주요 내용을 공개해야 한다. 개인정보 오·남용과 유출을 막기 위한 기술적·관리적 안전조치도 추가로 마련해야 한다. 민감정보 보호 기준도 명확해졌다. 개인정보위는 네이버 서비스 이용내역을 분석하는 과정에서 사상·신념, 정치적 견해, 건강, 성생활 등 개인정보보호법상 민감정보가 추론되거나 AI 답변에 이용되지 않도록 요구했다. 고유식별정보와 계좌번호, 신용카드정보 등이 AI 에이전트 답변에 포함되지 않도록 하는 조치도 포함됐다. 이번 의결은 AI 검색 경쟁이 본격화되는 상황에서 개인정보 활용과 이용자 권리 보호의 기준을 제시했다는 점에서 의미가 있다. 네이버는 AI 탭을 쇼핑, 로컬, 블로그, 카페 등 자사 서비스와 연결해 검색에서 실행까지 이어지는 통합 에이전트로 키우겠다는 전략을 세우고 있다. 최근에는 AI 검색 생태계 강화를 위해 5년간 콘텐츠 분야에 1조원을 투자하겠다는 계획도 밝혔다. 다만 개인화 AI 검색이 정착하려면 편의성과 프라이버시 사이의 균형이 관건이다. 이용자는 더 정확하고 빠른 답변을 원하지만 자신의 검색·쇼핑·커뮤니티 활동 이력이 어디까지 활용되는지도 중요하게 본다. AI 탭의 성패는 기술 성능뿐 아니라 데이터 활용 방식에 대한 신뢰를 얼마나 확보하느냐에 달려 있다. 개인정보위는 AI 탭이 정식 출시되면 네이버가 협의사항을 실제 이행하고 있는지 점검할 계획이다. 향후 AI 서비스 전반에서 사전적정성 검토와 AI 특례 제도 등 혁신지원 체계도 정비해 나가겠다는 방침이다.
2026-05-31 13:57:48
-
플랫폼·클라우드 정조준…개인정보 규제 '사후 제재'서 예방으로
[경제일보] 인공지능(AI)과 클라우드 기반 서비스 확산으로 개인정보 유출 위험이 커지면서 정부가 개인정보 규제 체계를 사후 제재 중심에서 예방 중심으로 전환한다. 대규모 개인정보를 처리하는 플랫폼과 금융권, 클라우드·서비스형 소프트웨어(SaaS) 업계를 중심으로 상시 점검과 보호 투자가 확대될 것으로 전망된다. 22일 개인정보보호위원회는 경제장관회의에서 '예방 중심 개인정보 관리체계 전환계획'을 발표했다고 밝혔다. 개인정보 침해와 유출 사고가 발생한 이후 제재하는 방식에서 벗어나 위험 가능성을 사전에 식별하고 관리하는 방향으로 정책 체계를 전환하겠다는 취지로 진행됐다. 개보위는 최근 생성형 AI와 플랫폼, 클라우드 서비스 확산으로 개인정보 처리 규모와 활용 방식이 급격히 확대되면서 개인정보 보호 문제가 산업 전반의 핵심 리스크로 떠오르고 있다는 판단이 반영됐다고 설명했다. 특히 AI 서비스 운영 과정에서 대규모 데이터 수집과 분석이 이뤄지고 SaaS와 클라우드 기반 서비스가 빠르게 늘어나면서 기존 획일적 규제 체계로는 대응에 한계가 있다는 지적이 이어져왔다. 개인정보위는 앞으로 개인정보 처리 규모와 민감도, 산업 특성 등을 기준으로 고·중·저 위험군을 구분해 차등 관리에 나설 계획이다. 고위험군에는 정기·수시 점검과 내부통제 점검을 강화하고 상대적으로 위험도가 낮은 분야는 자율점검과 컨설팅 중심으로 관리 체계를 운영한다. 올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등 대규모 개인정보와 민감정보를 처리하는 분야를 중심으로 집중 점검이 이뤄질 예정이다. 100만명 이상 개인정보를 처리하는 사업자는 고위험군으로 분류돼 영향평가와 보호활동 공개, 보안 점검 등이 강화된다. 특히 정부는 SaaS와 클라우드, 전문 수탁업체 등 데이터 공급망 전반에 대한 관리도 확대한다. AI 서비스 상당수가 클라우드 기반으로 운영되는 만큼 개인정보 보호 책임이 플랫폼 기업뿐 아니라 인프라 사업자까지 확대되는 구조다. 이에 국내 클라우드 업계의 보안 투자 경쟁도 본격화될 가능성이 제기된다. 네이버클라우드와 KT클라우드, NHN클라우드 등 주요 사업자들은 최근 AI 인프라 확대와 함께 보안 체계 강화에 집중하고 있다. 삼성SDS와 LG CNS 등도 기업 대상 AI·클라우드 전환 사업과 함께 개인정보 보호 체계 구축 사업을 강화하는 분위기다. 정부는 개인정보 보호 중심 설계(PbD) 원칙도 확대 적용할 방침이다. 기존에는 일부 IP카메라와 로봇청소기 등에 한정됐지만 앞으로는 서비스 기획과 설계 단계부터 개인정보 보호 요소를 반영하도록 제도화를 추진한다. ISMS-P 인증과 각종 평가 체계에도 PbD 원칙이 반영될 예정이다. 기업들의 자발적 보호 투자 확대를 유도하기 위한 인센티브 제도도 마련된다. 개인정보 보호 활동과 내부통제 체계를 적극 공개하거나 법정 기준을 넘어서는 추가 보호조치를 적용할 경우 과징금 감경 등 혜택을 제공하는 방식이다. 특히 오는 9월부터 개인정보보호책임자(CPO) 지정 신고제가 도입되면서 기업 내부 통제 체계 관리도 강화된다. 개인정보위는 CPO 협의체와 핫라인을 운영해 최신 위협 정보를 공유하고 유사 사고에 대한 사전 대응 체계도 구축할 계획이다. 송경희 개인정보위 위원장은 "관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고, 위험에 비례한 예방 중심 관리체계를 정착시켜 나가겠다"고 말했다.
2026-05-22 08:30:02
-
KT, 개인정보보호 자문위원회 신설…고객 신뢰 회복 나선다
[경제일보] KT가 인공지능(AI)과 데이터 기반 서비스 확산에 대응하기 위해 개인정보보호 자문위원회를 신설한다. 개인정보 유출과 보안 사고에 대한 사회적 경각심이 커진 가운데, 외부 전문가가 참여하는 거버넌스를 통해 선제적 개인정보 관리 체계를 구축하겠다는 취지다. KT는 고객 신뢰 회복과 책임 있는 데이터 활용 생태계 조성을 위해 ‘개인정보보호 자문위원회’를 신설한다고 21일 밝혔다. 자문위원회는 사후 대응보다 사전 예방에 초점을 맞춘 개인정보 관리 체계 강화를 추진하는 전략적 거버넌스다. KT는 정책·법률, 기술·보안, 산업·서비스, 윤리·이용자 보호 등 다양한 분야의 외부 전문가로 초대 자문위원을 구성했다. 염흥열 순천향대 정보보호학과 명예교수, 이희정 고려대 법학전문대학원 교수, 류재철 충남대 컴퓨터융합학부 교수, 손기욱 서울과학기술대 컴퓨터공학과 교수, 심상현 한국CPO 포럼 사무국장, 김경하 제이앤시큐리티 대표 등이 참여한다. 자문위원회는 개인정보 처리자로서 KT의 의무 이행과 책임 강화 방안, 개인정보 안전성 보호조치, 데이터 활용 적정성, 개인정보 유출 사고 예방 및 재발 방지 체계 고도화 등을 자문한다. KT는 이달 중 자문위원회를 발족하고 본격 운영에 들어갈 예정이다. 이번 자문위원회 신설은 통신사가 AI 전환 과정에서 마주한 데이터 거버넌스 과제와 맞물려 있다. 통신사는 가입자 정보, 위치 정보, 이용 행태, 결제·인증 데이터 등 민감도가 높은 데이터를 다룬다. AI 기반 서비스가 확대될수록 데이터 활용 범위는 넓어지지만, 동시에 개인정보 오남용과 유출 리스크도 커진다. 규제 환경도 강화되고 있다. 개인정보보호위원회는 지난 12일 ‘예방 중심 개인정보 관리체계 전환 계획’을 발표하고, 오는 9월부터 반복적이거나 중대한 개인정보 유출 기업에 매출액의 최대 10%까지 과징금을 부과하는 징벌적 과징금 제도를 시행한다고 밝혔다. 고의·중과실로 3년 내 반복 사고를 내거나 1000만명 이상 대규모 유출 피해가 발생한 경우가 대상이다. 개인정보위는 과징금 산정 기준도 강화한다. 직전 연도 매출액과 최근 3년 평균 매출액 중 더 큰 금액을 기준으로 적용하고, 하반기부터 100만명 이상 개인정보를 처리하는 1700개 고위험 시스템에 대한 정기 점검에도 착수할 계획이다. 이는 기업이 사고 이후 대응하는 수준을 넘어 평소 안전관리 체계를 입증해야 하는 방향으로 제도가 바뀌고 있음을 보여준다. KT 입장에서는 개인정보보호 자문위원회가 단순 자문기구를 넘어 신뢰 회복 장치가 될 필요가 있다. 외부 전문가가 데이터 활용과 보호 기준을 점검하고, AI 서비스 설계 단계에서 개인정보 보호 원칙을 반영하도록 자문하면 사고 예방뿐 아니라 고객 설명 책임도 강화할 수 있다. 향후 관건은 자문위원회 운영의 실효성이다. 회의체 신설에 그치지 않고 서비스 출시 전 개인정보 영향 검토, AI 학습 데이터 관리, 고객 동의 체계 개선, 유출 대응 모의훈련, 협력사·수탁사 관리까지 실제 업무 프로세스에 자문 결과가 반영돼야 한다. 김창오 KT 개인정보보호그룹장 상무는 “AI 시대에는 데이터 활용의 혁신만큼이나 개인정보 보호에 대한 고객 신뢰 확보가 무엇보다 중요하다”며 “외부 전문가들과의 긴밀한 협력을 통해 글로벌 수준의 개인정보보호 체계를 구축하고, 고객이 안심할 수 있는 데이터 신뢰 환경을 만들어 나가겠다”고 말했다.
2026-05-21 13:45:07
-
-
개보위, 중대 개인정보 유출 기업...9월부터 매출 최대 10% 과징금
[경제일보] 오는 9월부터 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에는 매출액의 최대 10%까지 과징금이 부과된다. 정부는 주요 공공시스템과 대규모 개인정보 처리 시스템에 대한 직접 점검도 확대해 사후 제재 중심에서 예방 중심으로 개인정보 관리체계를 전환한다. 개인정보보호위원회는 12일 대통령 주재 국무회의에서 이 같은 내용의 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다. 핵심은 징벌적 과징금 도입이다. 오는 9월11일 시행되는 개정 개인정보보호법에 따라 반복적이거나 중대한 개인정보보호법 위반 행위에 대해서는 매출액의 최대 10%까지 과징금을 부과할 수 있다. 적용 대상은 고의 또는 중과실로 3년 내 반복된 위반 행위가 발생했거나 1000만명 이상 규모의 개인정보 유출 피해가 발생한 경우다. 대규모 유출 사고가 반복돼도 제재 수준이 기업 규모에 비해 낮다는 지적을 반영한 조치다. 과징금 산정 기준도 강화된다. 오는 19일 시행되는 개정 시행령에 따라 과징금 기준은 기존 ‘최근 3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘최근 3년 평균 매출액’ 가운데 더 높은 금액을 적용하는 방식으로 바뀐다. 매출이 급증한 기업이 낮은 평균 매출 기준을 적용받는 문제를 줄이려는 취지다. 조사와 처분의 실효성을 높이기 위한 제도도 도입된다. 개인정보위는 이행강제금과 신고포상금 제도를 마련하고 증거 은닉 행위에 대한 제재도 강화할 계획이다. 다만 개정법과 시행령은 시행 이후 발생한 사건부터 적용된다. 현재 조사 중인 쿠팡이나 KT 개인정보 유출 사건에는 소급 적용이 어려울 전망이다. 정부는 제재 강화와 함께 인센티브도 병행한다. 법정 기준을 넘어서는 보호조치와 보안 투자, 안전관리체계 운영 수준 등을 종합 평가해 과징금 감경 등 혜택을 제공한다. 오는 9월부터 시행되는 경영진의 개인정보 보호책임이 현장에서 이행될 수 있도록 기업의 개인정보 보호활동 공개도 유도할 방침이다. 위험도에 따른 차등 관리체계도 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야를 개인정보위가 직접 집중 관리한다. 올 하반기부터는 주요 공공시스템과 대규모 개인정보를 처리하는 약1700개 고위험 정보시스템을 정기 점검한다. 점검 대상은 공공기관에 그치지 않는다. 개인정보위는 클라우드 사업자 전문 수탁사 시스템 공급사 등 공급망 전반으로 점검 범위를 확대할 계획이다. 현재 상조회사와 고객상담센터 등에 대한 점검이 진행 중이며 초·중·고 에듀테크 업체도 추가 점검 대상에 포함된다. 서비스 설계 단계에서부터 개인정보 보호 요소를 반영하는 ‘개인정보 중심 설계’ 원칙도 제도화된다. 개인정보위는 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 중심 설계 원칙을 반영할 계획이다. 공공부문 보호 역량 강화도 추진된다. 개인정보위가 지난 3월 공공시스템을 긴급 점검한 결과 개인정보보호 전담 인력은 중앙부처 평균 1.1명, 기초지방정부 평균 0.3명 수준에 그쳤다. 정부는 공공부문 개인정보 보호 인력과 예산을 확충하고 전담 인력 처우 개선도 추진한다. 피해 구제 체계도 강화된다. 개인정보 유출 사고가 발생하면 기업과 기관의 손해배상 책임을 원칙으로 하고 입증 책임도 기업이 지도록 해 법정 손해배상 제도 활성화를 추진한다. 유출 피해자가 피해 사실과 손해를 모두 입증해야 하는 부담을 줄이겠다는 방향이다. 개인정보 침해 행위에 대한 감시도 넓어진다. 개인정보 수정, 동의 철회, 회원 탈퇴를 어렵게 만드는 다크패턴을 집중 점검하고 개인정보 침해신고센터 기능도 강화한다. 민감정보가 유출될 경우 SNS 등 온라인 공간에서 불법 유통 여부를 모니터링하고 탐지·삭제를 지원한다. 수사기관과의 협력도 강화된다. 개인정보 불법 유포자와 이용자에 대한 추적과 처벌을 확대해 유출 이후 2차 피해를 줄이겠다는 방침이다. 이번 계획은 개인정보 보호정책의 무게중심을 사후 처벌에서 사전 예방으로 옮기려는 시도다. 대규모 플랫폼과 전자상거래, 통신, 공공서비스에서 개인정보가 대량으로 처리되는 만큼 단순 과징금 부과만으로는 피해를 막기 어렵다는 판단이 깔려 있다. 다만 기업 입장에서는 규제 부담이 커질 수 있다. 특히 고의·중과실 여부와 반복 위반 판단 기준, 1000만명 이상 유출 사고의 책임 범위가 쟁점이 될 가능성이 있다. 개인정보 보호 투자와 경영진 책임을 강화하되, 기업이 예측 가능한 기준 아래 대응할 수 있도록 하위 기준을 명확히 정비하는 것이 관건이다. 송경희 개인정보위원장은 민간 분야 평가제도 도입과 관련해 “민간은 자발적으로 개인정보 보호를 유도할 수 있는 장치가 필요하다”며 “그간 ISMS-P 제도가 그 역할을 해왔다고 볼 수 있다”고 말했다. 송 위원장은 이어 “앞으로는 위험도에 따라 ISMS-P 체계를 차등 적용할 계획”이라며 “고위험 분야에는 강화된 인증 기준을 적용하고 보통인 경우에는 표준, 위험도가 낮은 분야에는 좀 더 간편화된 인증 기준을 적용할 것”이라고 밝혔다.
2026-05-12 17:53:34
-
-
-