.jpg)
.gif)
개인정보위, ‘눈속임 설계’ 등 앱 3대 분야 개인정보 실태점검 결과 발표
‘눈속임 설계’, ‘국외이전’, ‘아동·청소년’ 등 모바일 앱 3대 취약 분야
11개 눈속임 설계 유형 제시, 개인정보 국외이전 증가 추세, 일부 해외 앱 연령기준 오류
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 △눈속임 설계(다크패턴) △국외이전 △아동·청소년 개인정보 보호 등 모바일 애플리케이션 상 3대 취약 분야에 대한 개인정보 실태점검을 실시하고 그 결과를 1월 10일, 2024년 제1회 전체회의에서 보고했다.
[이미지=gettyimagesbank]
우선 개인정보위는 온라인 쇼핑, 예약, 누리소통망(SNS), 게임·콘텐츠 등 일상생활과 밀접하고 비용 결제 등으로 연결돼 눈속임 설계가 많이 발생하는 4개 부문에 대해 집중 점검했다. 그 결과 눈속임 설계는 가입 단계 외에도 이용·탈퇴 등 개인정보를 처리하는 모든 단계에서 일어나고 있는 것을 확인했다.
특히 ①개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침, 이용약관 전문으로 동의받거나 ②마케팅 정보 제공, 개인정보 공유와 같은 선택 동의 사항에 대해 사전에 설정해 놓고 이용자가 개인정보 설정 화면에 들어가서 확인해야만 수정할 수 있는 경우 ③가입 시 이용자 본인이 입력한 개인정보에 대한 사후관리가 곤란(개인정보 확인·수정 불가)한 경우 등 이용자의 개인정보 보호와 관련한 11개의 대표적인 눈속임 설계 유형을 발견했다.
프라이버시 눈속임 설계 유형은 △가입 단계에서 ①포괄 동의 또는 동의 간주 ②부적절한 기본 설정 ③오해 유도 문구 사용 ④현저히 균형감을 잃은 표현 및 가독성 저해 ⑤정보 숨김(감추기) △이용 단계에서 ⑥개인정보 사후관리 불가(개인정보 확인·수정 곤란) ⑦선택 동의 추가 강요(일부 사실상 강제) ⑧지속·반복적 동의 요구 ⑨맞춤형 광고를 위한 쿠키 강요 △탈퇴 단계에서 ⑩탈퇴 방해(해지 방어) ⑪감정에 호소 등이 있다.
▲단계별 프라이버시 다크패턴 유형(종합)[자료=개인정보위]
개인정보를 국외이전하는 국내 앱 서비스는 증가한 것으로 나타났다. 조사에 따르면 2022년 696개에서 2023년 769개로 조사돼 한 해 동안 70여 개가 늘어났다. 주로 미국, 일본, 싱가포르 등으로 개인정보가 이전되고 있으며, 특히 클라우드 서비스 이용 영향 등으로 인해 아마존 웹서비스(AWS), Google LLC·Cloud, Zendesk 등으로 많이 이전됐다. 이전 국가별로 살펴보면 △미국(24.2%) △일본(12.2%) △싱가포르(7.5%) △독일(6.0%) △중국(3.1%) 등이며, 이전 받는 자로 확인했을 때는 △AWS(16.6%) △Google(9.6%) △Zendesk(5.8%) 등이었다.
개인정보를 국외이전하는 목적으로 고객 서비스(CS) 상담·민원 처리 등 ‘처리위탁’ 유형은 줄고, 광고(마케팅)·통계 분석 등을 위한 ‘정보제공’ 유형이 크게 늘어난 것을 확인했다. 2022년에는 처리위탁 66.6%, 단순보관 21.9%, 정보제공 11.5%이었다면, 2023년에는 처리위탁 55.6%, 정보제공 32.0%, 단순보관 12.4% 등으로 변화됐다.
아동·청소년이 많이 이용하는 게임, 동영상, 누리소통망(SNS) 앱(20개)을 중심으로 ‘개인정보 보호법’ 및 2022년 7월에 발표한 ‘아동·청소년 개인정보 보호 가이드라인’ 준수 여부에 대한 집중 점검도 실시됐다.
점검 결과 14세 미만 연령확인 절차는 대부분 마련하고 있으나 아동이 연령을 허위로 기입하는 것을 막기 위한 방지 조치는 미흡했다. 특히 아동이 연령확인 절차에서 14세 이상으로 선택하고 성인용 앱에 가입할 경우 검증하기 곤란하는 경우 등이 있었으며, 일부 해외 앱은 아동 연령 기준을 13세 미만 등으로 설정한 것으로 확인됐다.
또한 아동·청소년 개인정보 보호 가이드라인 상 아동·청소년 대상 알기 쉬운 개인정보 처리방침 제공, 높은 수준의 개인정보 보호를 기본값으로 설정, 어린이용 처리방침 마련·운영, 아동·청소년 자기게시물 접근배제 요청 절차 지원 등 각종 권리행사 절차 안내 등을 권고 중이나, 일부 사업자를 제외하고 전반적으로 미흡한 것으로 확인됐다.
개인정보위는 이번 실태점검 결과를 토대로 주요 앱 운영 사업자에게 앱 서비스 개발·운영 시 올바른 개인정보 수집·이용에 관한 사항과 이용자가 유의할 사항을 정리해 안내할 계획이다. 이와 별도로 개인정보 보호법 상 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 조사에 착수하는 한편, 경미한 사안은 계도 조치하되 관계기관과 협력해 신속한 개선을 유도할 예정이다.
[김영명 기자(boan@boannews.com)]
‘눈속임 설계’, ‘국외이전’, ‘아동·청소년’ 등 모바일 앱 3대 취약 분야
11개 눈속임 설계 유형 제시, 개인정보 국외이전 증가 추세, 일부 해외 앱 연령기준 오류
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 △눈속임 설계(다크패턴) △국외이전 △아동·청소년 개인정보 보호 등 모바일 애플리케이션 상 3대 취약 분야에 대한 개인정보 실태점검을 실시하고 그 결과를 1월 10일, 2024년 제1회 전체회의에서 보고했다.
[이미지=gettyimagesbank]
우선 개인정보위는 온라인 쇼핑, 예약, 누리소통망(SNS), 게임·콘텐츠 등 일상생활과 밀접하고 비용 결제 등으로 연결돼 눈속임 설계가 많이 발생하는 4개 부문에 대해 집중 점검했다. 그 결과 눈속임 설계는 가입 단계 외에도 이용·탈퇴 등 개인정보를 처리하는 모든 단계에서 일어나고 있는 것을 확인했다.
특히 ①개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침, 이용약관 전문으로 동의받거나 ②마케팅 정보 제공, 개인정보 공유와 같은 선택 동의 사항에 대해 사전에 설정해 놓고 이용자가 개인정보 설정 화면에 들어가서 확인해야만 수정할 수 있는 경우 ③가입 시 이용자 본인이 입력한 개인정보에 대한 사후관리가 곤란(개인정보 확인·수정 불가)한 경우 등 이용자의 개인정보 보호와 관련한 11개의 대표적인 눈속임 설계 유형을 발견했다.
프라이버시 눈속임 설계 유형은 △가입 단계에서 ①포괄 동의 또는 동의 간주 ②부적절한 기본 설정 ③오해 유도 문구 사용 ④현저히 균형감을 잃은 표현 및 가독성 저해 ⑤정보 숨김(감추기) △이용 단계에서 ⑥개인정보 사후관리 불가(개인정보 확인·수정 곤란) ⑦선택 동의 추가 강요(일부 사실상 강제) ⑧지속·반복적 동의 요구 ⑨맞춤형 광고를 위한 쿠키 강요 △탈퇴 단계에서 ⑩탈퇴 방해(해지 방어) ⑪감정에 호소 등이 있다.
▲단계별 프라이버시 다크패턴 유형(종합)[자료=개인정보위]
개인정보를 국외이전하는 국내 앱 서비스는 증가한 것으로 나타났다. 조사에 따르면 2022년 696개에서 2023년 769개로 조사돼 한 해 동안 70여 개가 늘어났다. 주로 미국, 일본, 싱가포르 등으로 개인정보가 이전되고 있으며, 특히 클라우드 서비스 이용 영향 등으로 인해 아마존 웹서비스(AWS), Google LLC·Cloud, Zendesk 등으로 많이 이전됐다. 이전 국가별로 살펴보면 △미국(24.2%) △일본(12.2%) △싱가포르(7.5%) △독일(6.0%) △중국(3.1%) 등이며, 이전 받는 자로 확인했을 때는 △AWS(16.6%) △Google(9.6%) △Zendesk(5.8%) 등이었다.
개인정보를 국외이전하는 목적으로 고객 서비스(CS) 상담·민원 처리 등 ‘처리위탁’ 유형은 줄고, 광고(마케팅)·통계 분석 등을 위한 ‘정보제공’ 유형이 크게 늘어난 것을 확인했다. 2022년에는 처리위탁 66.6%, 단순보관 21.9%, 정보제공 11.5%이었다면, 2023년에는 처리위탁 55.6%, 정보제공 32.0%, 단순보관 12.4% 등으로 변화됐다.
아동·청소년이 많이 이용하는 게임, 동영상, 누리소통망(SNS) 앱(20개)을 중심으로 ‘개인정보 보호법’ 및 2022년 7월에 발표한 ‘아동·청소년 개인정보 보호 가이드라인’ 준수 여부에 대한 집중 점검도 실시됐다.
점검 결과 14세 미만 연령확인 절차는 대부분 마련하고 있으나 아동이 연령을 허위로 기입하는 것을 막기 위한 방지 조치는 미흡했다. 특히 아동이 연령확인 절차에서 14세 이상으로 선택하고 성인용 앱에 가입할 경우 검증하기 곤란하는 경우 등이 있었으며, 일부 해외 앱은 아동 연령 기준을 13세 미만 등으로 설정한 것으로 확인됐다.
또한 아동·청소년 개인정보 보호 가이드라인 상 아동·청소년 대상 알기 쉬운 개인정보 처리방침 제공, 높은 수준의 개인정보 보호를 기본값으로 설정, 어린이용 처리방침 마련·운영, 아동·청소년 자기게시물 접근배제 요청 절차 지원 등 각종 권리행사 절차 안내 등을 권고 중이나, 일부 사업자를 제외하고 전반적으로 미흡한 것으로 확인됐다.
개인정보위는 이번 실태점검 결과를 토대로 주요 앱 운영 사업자에게 앱 서비스 개발·운영 시 올바른 개인정보 수집·이용에 관한 사항과 이용자가 유의할 사항을 정리해 안내할 계획이다. 이와 별도로 개인정보 보호법 상 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 조사에 착수하는 한편, 경미한 사안은 계도 조치하되 관계기관과 협력해 신속한 개선을 유도할 예정이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)