개인정보위, ‘2023년 개인정보보호 조사업무 추진방향’ 확정

‘정보주체 권리 보장 위한 선제적·예방적 점검으로 신뢰 가능한 디지털 생태계 조성’ 목표

[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 ‘위원회’)는 제1회 전체회의에서 ‘2023년 개인정보보호 조사업무 추진방향’을 확정했다. 위원회는 2023년 조사업무 기본 방향을 ‘정보주체의 권리 보장을 위한 선제적·예방적 점검을 통해 국민이 신뢰할 수 있는 디지털 생태계 조성’으로 정하고 이를 역점 추진할 계획이다.

[이미지=utoimage]

위원회는 지금까지의 유출·침해신고에 따른 사후적 조사와 처분에서 한발 더 나아가 디지털 전환 과정에서의 정보주체의 권리 보장에 초점을 맞춰 선제적·예방적 점검 활동을 강화해 나갈 방침이다.

2023년 중점 점검·조사 분야는 ①공공부문 주요 정보시스템 ②다크패턴, 애드눈속임 설계(다크패턴) 등 온라인 서비스 7개 분야 ③ 아동 개인정보, 국외 이전 등 개인정보 보호 취약 분야이며, 주요 추진 계획은 다음과 같다.

첫 번째로, ‘공공부문 주요 정보시스템’에서 공공부문 개인정보 유출 근절을 위해 지난해 7월 수립한 ‘공공부문 개인정보 유출 방지대책’ 후속조치의 일환으로 공공부문 주요 정보시스템을 중점 점검해 국민 신뢰를 제고한다. 국민의 민감한 개인정보를 대량으로 다루는 1,515개 집중관리 시스템 안전조치 강화 계획을 수립·시행하고, 관리가 어렵고 유출 시 파급효과가 큰 시스템부터 3년간 집중 점검한다.

두 번째로, ‘온라인 서비스 7개 분야’는 △다크패턴 △애드테크 △API 제공사업자 △비대면 플랫폼 △수퍼 앱 △스마트 기기 △대형수탁사·솔루션제공사 등 정보주체 권리 침해 우려가 있는 디지털 생태계 핵심 7개 분야에 대한 선제적 예방점검을 실시한다.

특히 최근 온라인 활동 증가와 함께 이용자의 비합리적 선택을 유도하는 다크패턴(눈속임 설계)에 대한 문제가 국제적으로 제기되는 점을 고려해 눈속임 설계를 선제적으로 점검한다. 경제협력개발기구(OECD)와 미국 연방거래위원회(FTC)는 눈속임 설계와 관련한 보고서를 공개했으며, 유럽연합 개인정보보호이사회(EU EDPB)는 눈속임 설계에 대한 사회 관계망 서비스(소셜미디어) 대상 안내서(가이드라인) 초안을 마련하기도 했다.

세 번째로, ‘개인정보 보호 취약 분야’에서는 개인정보 보호의 사각지대가 없도록 아동 개인정보와 국외 이전, 국내 대리인 운영에 대한 실태 파악을 추진한다. 위원회는 분야별 추진 계획에 따라 점검·조사에 착수해 법 위반 사업자는 엄정 제재하고, 법 적용이 불명확한 분야는 안내서(가이드라인)를 제공할 계획이다. 일부 계획은 이미 착수를 완료했다. 또한, 신속한 사건 처리와 조사 품질 향상을 위해 조사업무 절차 개선 및 개인정보 조사정보 통합시스템 구축도 병행 추진한다.

개인정보위의 분야별 세부 추진 방향으로는 첫 번째로 ‘공공부문 주요 정보시스템 실태점검 및 조사’에서 집중관리 시스템 안전조치 강화 계획을 수립·시행하고, 관리가 어렵고 유출 시 파급효과가 큰 시스템부터 3년간 집중 점검한다.

두 번째로 ‘온라인 서비스 7개 분야 실태점검 및 조사’에서는 국민생활과 밀접한 온라인 서비스 4대 분야(온라인 쇼핑몰, 온라인 예약, 커뮤니케이션, 콘텐츠 등) 중 이용률이 높은 100여개 서비스를 대상으로 우선 점검한다. ‘다크패턴’ 분야에서는 선정된 업체를 중심으로 회원 가입 단계, 회원 활동 단계, 동의 철회 및 회원 탈퇴 단계 등에 대한 이용자 권리 침해 여부를 점검한다. ‘애드테크’ 분야에서는 애드테크 산업 전반의 위협 요인 분석, 도출 및 조사를 진행한다. 세부적으로는 △광고 실시간 경매(RTB) 과정에서 공유되는 정보 및 관련 기술 현황 파악, 타사 쿠키 대체기술 등 기술분석 수행 △구글·메타 외 맞춤형 광고 사업자의 온라인 활동기록 수집 등 조사 △맞춤형 광고를 위해 개인정보를 애드테크 기업에 제공하는 사업자 점검 등이 있다.

‘API 서비스’에서는 널리 활용되는 API 활용 서비스 순서로 점검하며, 서로 다른 처리자 간 시스템 연계 시 제삼자 제공, 암호화 등을 중점 점검한다.

‘비대면 플랫폼 서비스’에서는 플랫폼 가입 시 개인정보 수집·활용 및 제삼자 제공 동의, 송·수신 정보 암호화 등 안전조치 의무 준수 여부 등 조사한다. 먼저 민감정보를 다루는 병의원 예약·진료를 조사한 뒤, 일상·가정에서 쉽게 접하는 교육(화상영어, 인터넷강의), 화상회의 등 순차로 조사할 계획이다.

‘수퍼앱’에서는 애플리케이션 내 서비스별 수집·이용·제공 동의 및 제공 절차, 신규서비스 추가 동의, 과도한 개인정보 수집·보유 등 조사한다. 이 조사는 가입자 규모, 월간 활성이용자 규모가 큰 상위 앱부터 우선 조사할 예정이다.

‘스마트기기’에서는 스마트폰, 스마트가전 등 스마트기기를 통해 처리되는 개인정보 현황 파악 및 대량·민감정보 처리 사업자 실태를 점검할 계획이다. 스마트폰에서는 ‘사용 APP 및 스마트 기기 처리정보(모든 스마트 기기 플랫폼 역할)’를, 웨어러블에서는 ‘심박수, 체지방, 칼로리, 운용량, 수면상태, 위치 등’을, 스마트TV에서는 ‘시청정보, OTT 계정정보 및 이용내역’을, 스마트 가전(냉장고, 세탁기, 에어컨 등)에서는 ‘움직임, 목소리, 전자제품 사용패턴 등’ 점검을 통해 개인정보 및 이용 현황을 파악하고 동의 여부와 서비스 연동 과정에서의 적법성 등을 점검한다.

‘대형 수탁사 및 솔루션 제공사업자’에서는 대형 수탁사와 솔루션 제공사업자의 안전조치 현황 등을 점검한다. 고객센터 수탁기업 등 대형 수탁사의 개인정보 관리 현황, 접근통제 등 안전조치, 위·수탁사 간 개인정보 보호책임 범위 등을, 쇼핑몰, 전자의무기록시스템(EMR) 등 솔루션 제공사업자의 보호법 준수에 필요한 보안 기능 제공 및 보안 취약점 등을 점검할 예정이다.

세 번째는 ‘개인정보 보호 취약 분야 실태점검 및 조사’를 진행한다. 먼저 ‘아동 콘텐츠 서비스’에서는 14세 미만 아동용 콘텐츠 서비스, 사이트·앱을 제공하는 국내외 사업자를 중심으로 조사 대상 선정하고, 법정대리인 동의 여부, 이해하기 쉬운 고지의무 이행 여부 등을 점검할 예정이다.

‘국외 이전 개인정보’에서는 이용자 수가 많은 5,000개 앱을 대상으로 이용자 동의 여부 등 절차의 적법성, 국외 이전된 개인정보의 안전관리 현황 등을 집중 점검할 예정이다. 앱 선별은 게임, 금융, 쇼핑, 교육, 소셜, 엔터테인먼트 등 이용률 순위를 고려해 선정한다.

‘국내 대리인 운영’에서는 글로벌 사업자의 국내 대리인 운영 실태를 점검하고, 그 결과를 반영하여 제도 개선 추진도 병행할 예정이다.

한편, 개인정보위는 2020년 출범 이후 행정안전부와 방송통신위에서 이관한 사건을 포함해 총 512건을 처분했으며, 과징금 1,168억원, 과태료 17억원을 부과했다. 세부적으로는 △과징금 41건 △과태료 290건 △시정명령 229건 △공표 99건 △고발 2건 △징계권고 13건 △기타 115건(시정권고 55건, 개선권고 18건, 경고 42건 등) 등이다.

개인정보위 고학수 위원장은 “위원회 출범 3년차를 맞아 그 동안의 사후적 조사·처분에서 나아가 디지털 전환 과정에서의 정보주체의 권리 보장에 초점을 맞춘 선제적·예방적 점검이 필요한 시점”이라며 “공공과 민간의 주요 개인정보처리자들도 위원회가 처음으로 공개하는 조사방향을 참고해 취약점을 사전에 점검하고 미흡 사항은 자율적으로 개선하기를 기대한다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
	챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
	챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
	챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
	챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
	보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
	기타(댓글로)