#1. 개인정보보호위원회는 지난 5월22일 개인정보보호 법규를 위반한 ㈜카카오에 151억원의 과징금과 780만원의 과태료를 부과했다. 카카오는 오픈채팅을 익명채팅으로 홍보하고 일반채팅과 오픈채팅 이용자에게 동일한 회원일련번호를 부여했다. 이에따라 오픈채팅에서 익명 아이디를 사용하더라도 공개된 API를 이용하면 이용자 정보 추출이 가능했다. 개인정보위는 카카오가 오픈채팅 서비스 설계·구현 과정에서의 과실과 카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 개인정보가 해커에게 공개·유출됐고, 이는 개인정보보호법의 안전조치 의무를 위반한 것이라고 판단했다.
#2. 개인정보위는 앞서 지난 5월8일에는 대규모 개인정보 유출사고로 관리부실이 적발된 골프존에 75억400만원의 과징금과 540만원의 과태료 그리고 시정명령·공표명령 처분을 내렸다. 골프존은 지난해 11월 랜섬웨어 공격을 받았고, 해커는 서버관리자를 비롯한 골프존 임직원의 가상사설망(VPN) 계정정보를 탈취해 회사 내부 업무망 파일서버에 접속한 뒤 파일을 외부로 반출, 다크웹에 공개했다. 이 사건으로 골프존에선 221만명 이상의 회원과 임직원의 이름·전화번호·이메일·생년월일·아이디 등 개인정보가 유출됐고, 유출 피해를 입은 회원 수는 전체 고객의 약 44%인 것으로 추산됐다. 5831명은 주민등록번호, 1647명은 계좌번호가 유출되는 피해를 입은 것으로 파악됐다.
차건상 건양대학교 교수는 한국인터넷진흥원(KISA) 경기정보보호지원센터가 27일 개최한 ‘개인정보보호법 개정 사항 및 최근 이슈’ 세미나에서, 이러한 사례를 소개했다. 그러면서 “지난해 9월 강화된 개정 개인정보보호법이 시행돼 기업 입장에서는 과징금 상한이 올라가고 대상도 확대됐다”며, “기업 차원에서의 개인정보보호 대책이 필수적”이라고 강조했다.
개정된 개인정보보호법은 개인정보 전송 요구권, 자동화된 결정에 대한 거부 및 설명 요구권 등을 규정해 정보주체의 개인정보 통제를 강화했다. 또, 이동형 영상처리 기기의 운영기준을 마련했으며, 온오프라인 개인정보처리자에 대한 규제를 일원화했다. 자동화된 의사결정에 대해서는 국민이 거부하거나 설명을 요구할 수 있는 권리가 신설됐으며, 개인정보 침해로 인한 분쟁이 발생한 경우 현재는 공공기관으로 한정하고 있는 분쟁조정 참여 의무를 모든 개인정보처리자로 확대하는 등 분쟁조정제도도 강화했다.
이와더불어 개인정보 이전 요건을 확대해 국제기준에 부합하도록 하는 한편, 개인에 대한 과도한 형벌 규정을 경제제재 중심으로 전환해 과징금 상한액을 상향하고 과징금 액수산정 시 위반행위와 관련 없는 매출액은 제외하도록 했다.
개인정보보호 이슈…ESG경영, AI기술, 자율주행차, 서드파티 쿠키
지난해 국내외 개인정보보호 이슈는 ▲생성형 AI 대두 및 개인정보보호 관련 대응 ▲마이데이터 도입 확대 ▲개인정보보호 강화 기술(PET) ▲개인영상 정보 보호 및 활용 ▲개인정보 역외이전 및 국가 간 교류 ▲개인정보 보호법령 제개정 ▲플랫폼 규제 등이었다.
올해는 개인정보보호 분야에서 ▲ESG 경영과 개인정보보호·데이터보안 ▲개인정보 유출위험 완화 AI기술 ▲자동차 산업의 개인정보 과다 수집 ▲서드파티 쿠키 퇴출 등이 이슈로 꼽혔다.
차 교수에 따르면, 올해 개인정보보호와 기업의 ESG 성과 간의 상관관계가 주목 받을 전망이다. 위에서 언급한 카카오와 골프존의 사례처럼, 기업의 개인정보 침해는 막대한 금전적 과징금을 초래할 뿐만 아니라 소비자 신뢰와 기업 평판을 잃는 요인이 된다. 잃었던 신뢰와 평판은 빠르게 회복하기 어려운 만큼 기업의 개인정보보호는 ESG 관점에서도 중요하게 다뤄질 전망이다.
개인정보 유출 위험을 완화하는 AI기술의 중요성은 더 커질 것으로 보인다. 개인정보보호를 위협하는 요소는 계속 증가할 것으로 예상되며, 해커와 같은 인간 뿐만 아니라 개인정보가 포함된 자료를 무분별하게 학습하는 AI 등의 기술도 모두 포함된다.
자동차 산업에서의 개인정보보호는 자율주행 자동차 등에서 불거졌다. 테슬라 자동차의 안팎 카메라 8대로 거리가 촬영되면서 불특정 다수의 얼굴 등이 동의없이 포착되고, 원본 그대로 미국 본사로 전송되는 등 개인정보 유출·사생활 침해와 관련해 논란이 되는 것이다.
차 교수는 개정된 개인정보보호법에 따라 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기(자동차 등)를 이용해 개인의 영상정보를 활용하는 행위는 원칙적으로 제한하고 있다며 주의를 당부했다.
서드파티 쿠키는 웹사이트를 방문할 때 해당 사이트가 아닌 다른 사이트에서 생성한 쿠키를 말한다. 이 쿠키는 주로 광고회사에 의해 사용된다. 사용자의 웹브라우징, 서핑행동을 추적해 맞춤형 광고를 제공하는데 목적을 두고 있다. 애플과 모질라는 서드파티 쿠키 지원을 중단했으며, 구글은 서드파티 쿠키 차단을 예고하고 있다.
그러나 영국 경쟁시장청은 구글의 쿠키지원 중단이 디지털 광고 부문에서 경쟁을 심각하게 저해할 수 있다고 우려를 표명해 향후 쟁점이 될 전망이다. 중기이코노미 채민선 기자
<저작권자 ⓒ 중기이코노미. 무단전재 및 재배포 금지>