카카오부터 메타까지… 2024년 국내 IT 기업 개인정보 이슈 돌아보기
늘어나는 사용자에… 위험 커지는 개인정보 유출 사고
2024년이 얼마 남지 않았는데 여러분의 개인정보는 안녕하신가요?
개인정보 업계에서는 무소식이 희소식이건만, 올해도 여러 개인정보 이슈가 발생했습니다. 특히 사용자 데이터를 기반으로 빠르게 성장 중인 IT 기업이 도마 위에 올랐는데요.
카카오의 경우 개인정보 유출 사고로 역대 최대 과징금을 부과받았고요. 토스는 개인신용정보를 무단으로 활용해 금전적 제재를 받았습니다. 메타와 알리 익스프레스는 국내 사용자 정보를 충분한 고지 없이 외부에 제공한 정황이 포착되며 과징금을 부과받았습니다.
빅테크의 개인정보 문제가 드러남에 따라 정부에서 개선 권고, 시정 명령 등의 조처를 하고 있지만요. 이를 통해 우리가 얻을 수 있는 교훈은 정보주체 스스로 개인정보 보호의 중요성을 재확인해야 한다는 점이 아닐까 싶습니다.
올 한 해 국내 시장을 뜨겁게 달군 개인정보 이슈를 정리했습니다.
카카오, 국내 기업 역대 최대 과징금 부과
올해 가장 많은 과징금이 부과된 국내 기업은 카카오입니다. 지난 5월 카카오는 개인정보 유출 사고로 151억원의 과징금과 780만원의 과태료 처분을 받았습니다.
문제는 카카오톡의 오픈채팅방 기능에서 비롯됐습니다. 오픈채팅방 이용자에게는 임시 아이디가 부여되는데, 이 아이디가 카카오톡 회원의 고유 일련번호와 연결되어 있었고요. 일련번호가 암호화되지 않은 탓에 해커가 쉽게 확인할 수 있었습니다.
해커는 친구 추가 기능과 불법 해킹 프로그램을 사용하여 카카오톡 회원의 이름, 전화번호, 오픈채팅방에서 사용하는 닉네임을 알아냈고, 이를 불법으로 판매한 것으로 밝혀졌습니다.
카카오는 개인정보보호위원회 처분에 불복하며 소송을 예고했습니다. 카카오는 “회원 일련번호가 개인정보에 해당하지 않아 암호화 대상이 아니며, 유출 사실을 인지한 즉시 신고했다”는 주장을 펼치고 있습니다.
결국, 행정소송에서 카카오톡 회원의 일련번호를 개인정보로 판단할지 여부가 이 사건의 행방을 결정할 쟁점이 될 것으로 보입니다.
알리 익스프레스, 개인정보 어디에 제공?
올해 개인정보 문제로 여러 번 이슈가 된 기업으로는 알리 익스프레스가 있습니다. 이용자가 급증하면서 개인정보 문제가 제기됐는데요.
지난 7월 개인정보보호위원회는 알리 익스프레스에 과징금 19억7800만원과 과태료 780만원을 부과했습니다. 국내 800만 이용자의 개인정보를 고지 없이 중국 판매 업체에 넘겼기 때문인데요. 개인정보를 제공 받은 중국 업체가 18만여 개에 이른다고요.
쟁점은 개인정보 제3자 제공 및 국외 이전에 관한 내용입니다. 알리 익스프레스는 개인정보처리방침을 통해 개인정보를 다른 플랫폼에 공개 및 공유할 수 있도록 규정하고 있습니다. 이 규정은 ‘사전 동의가 있는 경우에 한하여 제3자에게 개인정보를 제공한다’고 명시하고 있는데요. 문제는 여기에 동의하지 않은 이용자는 알리 익스프레스에 가입할 수 없도록 해 사실상 동의를 강제하고 있다는 점입니다.
또한 ‘개인정보 국외이전’ 항목에 동의하지 않는다면 상품을 결제할 수 없도록 했는데요. 여기에 동의하는 순간 개인정보가 중국 판매업체에 제공될 수 있어 명확한 고지가 필요하지만 알리 익스프레스는 그러지 않았습니다.
알리 익스프레스가 밝힌 제3자는 알리바바 다모, 알리바바 클라우드, 중안보험, 캐세이 보험회사 등이지만, 그 외의 제3자 제공 기업을 명확히 공개하지 않아 소비자의 불안을 가중시켰습니다.
실제로 피해를 입은 사례가 나타나기도 했는데요. 주문하지도 않은 택배를 수십 개 받거나 택배가 집 근처 학교, 관공서로 배달돼 당사자의 이름, 연락처, 주소 등이 그대로 노출되는 사건이 발생하곤 했습니다.
경찰은 현재 해당 사건을 브러싱 스캠으로 보고 알리 익스프레스 고객센터를 상대로 주문자 정보를 확인해 줄 것을 요청하는 등 대응을 진행하고 있습니다.
토스, 60억원 금전적 제재
지난 10월 토스 운영사인 비바리퍼블리카가 개인신용정보법 개정 이후 첫 제재를 받았습니다. 고객의 개인신용정보를 동의 없이 사업적 목적으로 이용해 과징금 53억7400만원과 과태료 6억2800만원을 부과받았습니다.
금융감독원이 밝힌 문제는 크게 두 가지인데요. 하나는 전자영수증 거래 정보를 동의 없이 부당하게 이용한 것이고, 다른 하나는 개인신용정보 부당 이용 및 제공 · 활용 동의 절차가 부적절했던 점입니다.
우선 토스는 전자영수증 솔루션 업체에서 제공받은 거래 정보 약 3000만 건을 정보주체의 동의 없이 사업성 분석 목적으로 이용했습니다. 본래 토스가 보유한 정보를 제3자가 보유한 정보와 결합하려면 데이터 전문기관을 거쳐야 합니다. 하지만 토스는 이 절차 없이 보유한 회원 카드 거래내역과 제공받은 전자영수증 거래정보를 직접 결합해 이용해 문제가 됐습니다.
아울러 개인신용정보 제공 및 활용에 관하여 동의를 받을 때, ‘선택 동의 사항’을 ‘필수 동의 사항’으로 표시한 뒤 463만1801명의 동의를 받아냈습니다. 원래는 필수 동의 사항과 선택 동의 사항을 구분해야 하죠. 토스는 필수 동의 사항과 서비스 제공의 관련성도 설명하지 않았습니다.
메타, 민감 개인정보 광고주에 넘겨
페이스북 모회사 메타는 지난 4일 민감한 개인정보를 수집해 광고주에게 제공한 혐의로 216억원의 과징금을 부과받았습니다.
페이스북은 지난 2018년 7월부터 국내 이용자의 프로필 정보를 통해 98만명의 종교관, 정치관, 동성과의 결혼 여부 정보를 수집한 뒤 광고주에게 제공했고, 4000여 광고주가 이를 영업에 활용한 정황이 포착됐습니다.
개인정보보호법은 사상, 신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감 정보로 규정합니다. 당사자에게 별도 동의를 받아야만 예외적으로 활용할 수 있도록 했는데요. 메타는 데이터 정책에 이를 명확히 기재하지 않았고, 따로 동의를 받거나 추가적인 보호조치를 하지 않은 채 사용한 것으로 드러났습니다.
다만 메타는 이번 처분에 대한 승복 여부를 밝히지 않았는데요. 지난 13일 “개인정보보호위원회로부터 아직 공식 의결서를 전달받지 못했다”며 “의결서를 전달받는 대로 검토하고 해당 사안에 대해 결정할 예정”이라고 전했습니다.
글로벌 기업과의 소송이 늘어나는 가운데 최근 개인정보보호위원회가 내년 중 전담 송무팀 신설을 추진한다고 밝혔습니다.
현재 개인정보보호위원회는 구글, 메타, 카카오 등 약 20여 건의 빅테크 소송을 맡고 있는데요. 업무량에 비해 인력이 턱없이 부족하다는 지적이 꾸준히 나왔습니다. 일반 사무일과 소송 업무를 동시에 맡고 있기 때문이죠.
내년에 신설될 송무팀에는 다양한 분야의 전문가가 포함될 예정입니다. 기업 법률 전문가를 비롯해, 빅테크에 과징금을 부과하기에 앞서 정확한 매출액을 산정할 회계 전문가 등이 추가될 것으로 보입니다.
강화되는 개인정보보호법, 철저한 관리 필요
이처럼 국내외를 막론하고 개인정보 규제는 강화되는 추세입니다. 따라서 이 글을 읽는 독자 가운데 마케팅, 이벤트를 위해 고객의 개인정보를 수집할 일이 생긴다면 아래의 수칙을 꼭 확인해 보길 권합니다.
1️⃣ 개인정보 수집·이용 동의서 항목에 필수로 들어가야 하는 내용이 작성되었는가?
2️⃣ 개인정보를 제3자에게 제공 시 정보주체에게 적법하게 동의를 받았는가?
3️⃣ 개인정보를 암호화 및 마스킹 처리하여 보관하는가?
4️⃣ 필요 최소한의 인원만 개인정보를 취급하는가?
5️⃣ 개인정보 파기는 적절한 때에 이뤄지고 있는가?
개인정보 보호, 이제는 전문가뿐만 아니라 모두가 지켜야 하는 일입니다.
