개인정보위, "메타·보험사·대학까지 대부분 시정조치 이행"

[출처=연합뉴스]

개인정보보호위원회는 올해 상반기(2024년 10월~2025년 6월) 이행 기한이 도래한 시정명령 이행 실태를 점검한 결과, 전체 108건 가운데 103건이 이행을 마쳤거나 이행계획을 제출한 것으로 나타났다고 11일 밝혔다.
 
점검 대상은 개인정보 유출 방지를 위한 안전조치(해킹·사고를 막기 위한 기술·관리 보안조치), 개인정보 파기(보관기간이 끝난 정보 삭제), 합법처리 근거(동의 등 법적으로 허용된 처리 사유) 등과 관련된 시정명령·권고, 공표명령 등이다.
 
페이스북 운영사 ‘메타’는 이용자의 종교·정치 성향·성적 지향 등 민감정보(특히 사생활 침해 위험이 큰 정보)를 이용해 맞춤형 광고를 내보내던 옵션(타깃 광고 설정)을 삭제했다. 또 페이스북 계정과 연동된 외부 앱·웹사이트 목록을 이용자가 한눈에 보고 내려받을 수 있는 기능을 강화했다.
 
현대해상·악사·하나·엠지손해보험 등 12개 손해보험사는 온라인 자동차보험료 계산 과정에서 ‘상품 소개·혜택 안내’에 동의하지 않은 고객에게 동의를 재유도하던 팝업창을 없애고, 동의 화면을 더 명확하게 고쳤다. 아울러 보험료만 계산하다 중단했거나 실제 계약으로 이어지지 않은 경우에는 개인정보를 자동으로 파기하는 방식(배치 작업, 정기 일괄 삭제)을 도입했다.
 

올해 6월 개인정보 유출 사고로 과징금과 시정명령을 받은 전북대·이화여대도 정보시스템 모의해킹(모의 공격으로 취약점 점검)과 24시간 보안관제(실시간 이상 징후 감시) 시스템을 도입하는 등 보안 체계를 강화했다.
 
아마존 AWS, MS 애저, 네이버클라우드 등 주요 클라우드 사업자들은 고객사가 스스로 안전조치 의무를 지킬 수 있도록 추가 설정 항목과 별도 보안 솔루션 사용 방법을 정리한 ‘이용사업자용 가이드라인(설정·보안 체크리스트 안내 문서)’을 마련했다.
 
비회원 개인정보를 제때 지우지 않아 대규모 유출 피해를 키운 여행사 모두투어는 ERP(전사적 자원관리 시스템) 정기 점검 항목에 ‘개인정보 파기 여부’를 추가해 자동 삭제되도록 고쳤다. 또 개인정보 보호책임자(CPO) 승인 절차를 마련해 파기 과정을 상시 점검하도록 했다.
 
네이버·카카오·구글·메타·애플 등 소셜로그인(네이버·카카오 계정 등으로 다른 서비스에 로그인하는 방식) 5개 사업자는 이용자가 소셜 계정을 탈퇴하거나 연동을 해지할 때, 해당 서비스 내 개인정보가 지체없이 파기되도록 Callback URL(연동 종료 사실을 알려주는 전용 주소)·토큰 만료 API(연동 종료를 알려주는 기술 기능) 등을 개발자 문서에 구체적으로 안내했다.
 
개인정보위는 “아직 점검이 끝나지 않은 노원구, 컴티, 월드코인·TFH 등 3개 피심인 5건에 대해 후속 점검을 이어가는 한편, 시정명령 유형을 더 세분화하고 이행점검 체계를 강화해 재발 방지 효과를 높이겠다”고 밝혔다.