마이데이터, 국민 66.8% ‘잘 모른다’고 응답...충분히 인지하지 못해
2021년 상반기 공공기관 개인정보 유출 14만 4천건...업무 과실 8만 건, 해킹 6만 4천건
아동 개인정보보호 시책 마련 및 관리 필요...아동 정보 수집 및 맞춤형 광고 실태 조사해야
[보안뉴스 김경애 기자] 2022년 국정감사가 오는 10월 4일부터 24일까지 진행된다. 올해 개인정보보호위원회 국정감사 주요 이슈는 △마이데이터 사업 △공공기관 개인정보 유출 △지방자치단체 개인정보보호 △개인정보 수집과 맞춤형 광고로부터의 아동 보호 강화 총 4가지다. 이에 <보안뉴스>는 미리보는 2022년 국정감사 시리즈 첫 번째로 개인정보보호 분야 주요 이슈를 살펴본다.
[이미지=utoimage]
1. 마이데이터 사업
마이데이터는 정보주체가 본인의 정보를 적극적으로 관리·통제하고 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 것이다. 개인정보 전송 요구권을 기반으로 정보 주체가 원하는 서비스를 제공받기 위해 정보제공자에게 데이터의 이동을 요구하는 것이다. 우리나라는 행정·공공기관에 산재돼 있는 최소한의 개인정보를 한 번에 모아 간편하게 서비스를 신청할 수 있는 ‘공공 마이데이터 서비스’를 2021년 2월부터 시작했다.
4차산업혁명위원회에서 마이데이터에 대해 알고 있는지를 물어본 결과 ‘들어본 적이 있음’ 35.5%, ‘어느 정도 알고 있음’ 35%, ‘매우 잘 알고 있다’ 3.7%라고 응답했다. 또 다른 연구에서도 조사대상자의 66.8%가 아직 마이데이터에 대해 ‘잘 모른다’고 응답해 국민들이 아직 마이데이터를 충분히 인지하지 못한 것으로 조사됐다. 또한, 마이데이터를 활용한 금융서비스를 이용하기 위해 금융정보를 제공할 의향을 물었을 때 그리 높지 않은 것으로 나타났다.
마이데이터 서비스의 운영원칙은 ‘개인정보 자기결정권 보장’과 ‘고객 이익 우선’이다. 그러나 2022년 6월 토스(toss)에서 ‘내 보험 서비스’ 이용 고객의 개인정보를 보험설계사에게 판매하는 사건이 일어났다. 토스는 ‘제3자 정보제공 동의’를 받았지만 국민은 돈을 주고 자신의 정보가 판매될 수 있다는 사실을 인지하지 못했거나 토스의 제3자 정보제공 동의 의미를 명확히 인식하지 못했을 가능성이 있다. 문제는 데이터 판매가 합법일지라도 아직 사회적 합의가 충분히 이루어지지 않아 개인정보 판매에 대한 불안감과 우려가 있기 때문이다.
2. 공공기관 개인정보 유출
개인정보보호위원회에 따르면 2021년 상반기 공공기관 개인정보 유출 건수는 14만4000건, ‘업무 과실’ 8만 건(55.6%), ‘해킹’ 6만4000건(44.4%)이다. 2019~2021년 상반기까지 정부·지자체에서 개인정보를 유출해 징계를 받은 공무원 및 공무직 등은 141명(공무원 133명, 공무직 등 기타 직군은 8명)이다. 최근 2022년 1월에도 지자체 공무원이 돈을 받고 흥신소에 신변 보호 여성의 개인정보를 유출해 여성의 가족이 살해된 사건이 발생한 바 있다.
‘2021년 개인정보보호실태조사’에 따르면, 정보 주체가 지난 1년간 개인정보 유출을 겪은 비율도 전체의 24.8%에 달했다.
개인정보보호위원회는 2022년 2월 총 795개 공공기관을 대상으로 ‘2021년 개인정보 관리수준진단’을 실시한 결과 개인정보 관리체계(93점), 보호대책(90점), 침해대책(82점)으로 침해대책 분야가 미흡했다. 침해대책 분야 중 개인정보 유출 사고의 주요 원인이 되는 ‘개인정보처리시스템의 접근권한 관리 및 접속기록 점검’은 71점으로 가장 미흡했다.
공무원은 민간과 달리 업무 특성상 광범위하게 국민의 개인정보에 접근할 수 있는 만큼 민간에 비해 높은 수준의 법령 준수 의무와 책임감이 요구된다. 정보 접근기록 보관, 접근통제 등 개인정보 안전성 확보조치가 고려돼야 한다.
개인정보처리시스템의 접속기록은 유출사고 예방과 사고 발생 시 사고 원인을 규명하는데 도움이 된다. 공무원의 개인정보 접근에 대한 점검은 ‘개인정보의 안전성 확보조치 기준(고시 제2021-2호)’ 법률로 상향규정해 법적 안정성을 제고하고 체계적으로 점검해야 한다.
한편, ‘2021 개인정보보호실태조사’에 따르면 개인정보 보호담당자(CPO)를 제외한 전담 인원이 공공기관은 평균 0.5명이고, 업무경력도 짧아 전문성 확보가 어렵다. 개인정보 유출 등을 막기 위한 근본적인 대안이 필요하다.
3. 지방자치단체 개인정보보호
지방자치단체가 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 개인정보보호위원회의 의결내용과 다르게 개인정보를 제공해 심의·의결제도의 효과 저하가 우려되고 있다.
2021년 공공기관 개인정보 관리수준 진단 결과, 중앙행정기관 35개(73%), 광역자치단체 12개(71%)가 양호등급을 받았다. 그러나 기초자치단체는 양호등급이 106개(47%)에 불과해 개인정보 관리수준이 상대적으로 미흡했다.
외부전문가로 구성된 진단위원회가 기관별(중앙행정기관 48개, 지자체 243개, 중앙공공기관 350개, 지방공기업 154개)로 현장 점검한 결과 공공기관의 개인정보 관리수준은 전년도에 비해 평균 84.3점에서 87.4점으로 전반적으로 향상됐다.
그러나 중앙행정기관을 제외하고 특히 기초자치단체의 양호등급은 전체 226개 중 절반도 미치지 못해 개인정보 관리수준이 낮은 것으로 나타났다.
[자료=개인정보보호위원회]
지방자치단체는 민원 업무가 많아 주민의 개인정보를 취급할 일이 많기 때문에 지자체의 개인정보보호 수준 향상과 책임성 강화를 위한 논의가 필요하다.
지방자치단체 가운데 ‘개인정보보호 조례’를 운영하는 지자체는 243개 중 23개(9%)에 불과하다. 다른 지자체가 개인정보보호위원회에 심의·의결을 신청해 허용된 사안에 대해 동일하게 준용할 수 있음에도 의결내용과 다르게 적용하는 지자체가 있어 의결내용의 활용도를 높이는 방안 등을 고려할 필요가 있다.
개인정보보호위원회 운영에 대한 인지도 조사 결과 기초자치단체의 경우 개인정보보호위원회가 어떤 업무를 하는지 구체적으로 알고 있는 비중이 상대적으로 낮았다(중앙행정기관 64.7%, 광역지자체 52.9%, 기초지자체 37.7%).
4. 개인정보 수집과 맞춤형 광고로부터의 아동 보호 강화
아동의 스마트폰 및 인터넷 이용 시간과 온라인에서의 활동이 증가함에 따라 개인정보를 이용하려는 상업적 접근이 증가하고 있다. 아동 대상 앱의 수는 앱 마켓의 7~8%를 차지하고 있으며, 아동의 개인정보, 행태정보 등이 수집되고 제3자에게 제공되고 있다. 수집된 정보는 맞춤형 광고에 이용되고 있다. 아동 대상 앱을 통한 광고 지출이 다른 앱보다 3배 많다.
우리나라의 경우 만 14세 미만 아동의 개인정보 수집 및 이용은 법정대리인이 통제하도록 하고 있다. 정보통신서비스 제공자는 법정대리인의 동의를 받고, 이를 확인(개인정보 보호법 제39조의3 제4항)해야 한다. 만 14세 미만의 아동에게 개인정보 처리 및 고지는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 한다.
그러나 국제 인권단체 Human Rights Watch의 조사에 따르면 EBS 사이트에서도 24개의 광고 추적기가 아동의 검색 정보, 행태정보 등을 수집하고 이를 15개 광고회사에 전송하고 있어 아동이 필수로 참여해야 하는 온라인상 교육에서도 많은 정보가 수집되는 것으로 보인다.
이에 따라 첫째, 아동의 개인정보보호 시책을 구체적으로 마련하고 관리해야 한다. 법정대리인의 동의 제도와 아동의 눈높이에 맞춘 고지제도의 운영 현황을 조사해야 한다. 또한, 아동 특성에 대한 이해에 기반해 아동의 이익을 최우선으로 고려한 추가적인 개선방안을 모색해야 한다.
둘째, 아동 정보 수집과 아동 대상 맞춤형 광고 실태를 조사하고, 학교 교육과정에서 사용되는 앱은 개인정보 활용 동의 선택 여지가 적은 만큼 최소 수집의 원칙 등에 따른 개인정보 수집 여부, 제3자에게 제공하는 정보 유형 및 내용 등을 검토해야 한다. 아동 대상 맞춤형 광고 현황 및 기업의 자율규제 상황 등을 조사하고 개선방안을 마련해야 한다.
[김경애 기자(boan3@boannews.com)]
2021년 상반기 공공기관 개인정보 유출 14만 4천건...업무 과실 8만 건, 해킹 6만 4천건
아동 개인정보보호 시책 마련 및 관리 필요...아동 정보 수집 및 맞춤형 광고 실태 조사해야
[보안뉴스 김경애 기자] 2022년 국정감사가 오는 10월 4일부터 24일까지 진행된다. 올해 개인정보보호위원회 국정감사 주요 이슈는 △마이데이터 사업 △공공기관 개인정보 유출 △지방자치단체 개인정보보호 △개인정보 수집과 맞춤형 광고로부터의 아동 보호 강화 총 4가지다. 이에 <보안뉴스>는 미리보는 2022년 국정감사 시리즈 첫 번째로 개인정보보호 분야 주요 이슈를 살펴본다.
[이미지=utoimage]
1. 마이데이터 사업
마이데이터는 정보주체가 본인의 정보를 적극적으로 관리·통제하고 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 것이다. 개인정보 전송 요구권을 기반으로 정보 주체가 원하는 서비스를 제공받기 위해 정보제공자에게 데이터의 이동을 요구하는 것이다. 우리나라는 행정·공공기관에 산재돼 있는 최소한의 개인정보를 한 번에 모아 간편하게 서비스를 신청할 수 있는 ‘공공 마이데이터 서비스’를 2021년 2월부터 시작했다.
4차산업혁명위원회에서 마이데이터에 대해 알고 있는지를 물어본 결과 ‘들어본 적이 있음’ 35.5%, ‘어느 정도 알고 있음’ 35%, ‘매우 잘 알고 있다’ 3.7%라고 응답했다. 또 다른 연구에서도 조사대상자의 66.8%가 아직 마이데이터에 대해 ‘잘 모른다’고 응답해 국민들이 아직 마이데이터를 충분히 인지하지 못한 것으로 조사됐다. 또한, 마이데이터를 활용한 금융서비스를 이용하기 위해 금융정보를 제공할 의향을 물었을 때 그리 높지 않은 것으로 나타났다.
마이데이터 서비스의 운영원칙은 ‘개인정보 자기결정권 보장’과 ‘고객 이익 우선’이다. 그러나 2022년 6월 토스(toss)에서 ‘내 보험 서비스’ 이용 고객의 개인정보를 보험설계사에게 판매하는 사건이 일어났다. 토스는 ‘제3자 정보제공 동의’를 받았지만 국민은 돈을 주고 자신의 정보가 판매될 수 있다는 사실을 인지하지 못했거나 토스의 제3자 정보제공 동의 의미를 명확히 인식하지 못했을 가능성이 있다. 문제는 데이터 판매가 합법일지라도 아직 사회적 합의가 충분히 이루어지지 않아 개인정보 판매에 대한 불안감과 우려가 있기 때문이다.
2. 공공기관 개인정보 유출
개인정보보호위원회에 따르면 2021년 상반기 공공기관 개인정보 유출 건수는 14만4000건, ‘업무 과실’ 8만 건(55.6%), ‘해킹’ 6만4000건(44.4%)이다. 2019~2021년 상반기까지 정부·지자체에서 개인정보를 유출해 징계를 받은 공무원 및 공무직 등은 141명(공무원 133명, 공무직 등 기타 직군은 8명)이다. 최근 2022년 1월에도 지자체 공무원이 돈을 받고 흥신소에 신변 보호 여성의 개인정보를 유출해 여성의 가족이 살해된 사건이 발생한 바 있다.
‘2021년 개인정보보호실태조사’에 따르면, 정보 주체가 지난 1년간 개인정보 유출을 겪은 비율도 전체의 24.8%에 달했다.
개인정보보호위원회는 2022년 2월 총 795개 공공기관을 대상으로 ‘2021년 개인정보 관리수준진단’을 실시한 결과 개인정보 관리체계(93점), 보호대책(90점), 침해대책(82점)으로 침해대책 분야가 미흡했다. 침해대책 분야 중 개인정보 유출 사고의 주요 원인이 되는 ‘개인정보처리시스템의 접근권한 관리 및 접속기록 점검’은 71점으로 가장 미흡했다.
공무원은 민간과 달리 업무 특성상 광범위하게 국민의 개인정보에 접근할 수 있는 만큼 민간에 비해 높은 수준의 법령 준수 의무와 책임감이 요구된다. 정보 접근기록 보관, 접근통제 등 개인정보 안전성 확보조치가 고려돼야 한다.
개인정보처리시스템의 접속기록은 유출사고 예방과 사고 발생 시 사고 원인을 규명하는데 도움이 된다. 공무원의 개인정보 접근에 대한 점검은 ‘개인정보의 안전성 확보조치 기준(고시 제2021-2호)’ 법률로 상향규정해 법적 안정성을 제고하고 체계적으로 점검해야 한다.
한편, ‘2021 개인정보보호실태조사’에 따르면 개인정보 보호담당자(CPO)를 제외한 전담 인원이 공공기관은 평균 0.5명이고, 업무경력도 짧아 전문성 확보가 어렵다. 개인정보 유출 등을 막기 위한 근본적인 대안이 필요하다.
3. 지방자치단체 개인정보보호
지방자치단체가 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 개인정보보호위원회의 의결내용과 다르게 개인정보를 제공해 심의·의결제도의 효과 저하가 우려되고 있다.
2021년 공공기관 개인정보 관리수준 진단 결과, 중앙행정기관 35개(73%), 광역자치단체 12개(71%)가 양호등급을 받았다. 그러나 기초자치단체는 양호등급이 106개(47%)에 불과해 개인정보 관리수준이 상대적으로 미흡했다.
외부전문가로 구성된 진단위원회가 기관별(중앙행정기관 48개, 지자체 243개, 중앙공공기관 350개, 지방공기업 154개)로 현장 점검한 결과 공공기관의 개인정보 관리수준은 전년도에 비해 평균 84.3점에서 87.4점으로 전반적으로 향상됐다.
그러나 중앙행정기관을 제외하고 특히 기초자치단체의 양호등급은 전체 226개 중 절반도 미치지 못해 개인정보 관리수준이 낮은 것으로 나타났다.
[자료=개인정보보호위원회]
지방자치단체는 민원 업무가 많아 주민의 개인정보를 취급할 일이 많기 때문에 지자체의 개인정보보호 수준 향상과 책임성 강화를 위한 논의가 필요하다.
지방자치단체 가운데 ‘개인정보보호 조례’를 운영하는 지자체는 243개 중 23개(9%)에 불과하다. 다른 지자체가 개인정보보호위원회에 심의·의결을 신청해 허용된 사안에 대해 동일하게 준용할 수 있음에도 의결내용과 다르게 적용하는 지자체가 있어 의결내용의 활용도를 높이는 방안 등을 고려할 필요가 있다.
개인정보보호위원회 운영에 대한 인지도 조사 결과 기초자치단체의 경우 개인정보보호위원회가 어떤 업무를 하는지 구체적으로 알고 있는 비중이 상대적으로 낮았다(중앙행정기관 64.7%, 광역지자체 52.9%, 기초지자체 37.7%).
4. 개인정보 수집과 맞춤형 광고로부터의 아동 보호 강화
아동의 스마트폰 및 인터넷 이용 시간과 온라인에서의 활동이 증가함에 따라 개인정보를 이용하려는 상업적 접근이 증가하고 있다. 아동 대상 앱의 수는 앱 마켓의 7~8%를 차지하고 있으며, 아동의 개인정보, 행태정보 등이 수집되고 제3자에게 제공되고 있다. 수집된 정보는 맞춤형 광고에 이용되고 있다. 아동 대상 앱을 통한 광고 지출이 다른 앱보다 3배 많다.
우리나라의 경우 만 14세 미만 아동의 개인정보 수집 및 이용은 법정대리인이 통제하도록 하고 있다. 정보통신서비스 제공자는 법정대리인의 동의를 받고, 이를 확인(개인정보 보호법 제39조의3 제4항)해야 한다. 만 14세 미만의 아동에게 개인정보 처리 및 고지는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 한다.
그러나 국제 인권단체 Human Rights Watch의 조사에 따르면 EBS 사이트에서도 24개의 광고 추적기가 아동의 검색 정보, 행태정보 등을 수집하고 이를 15개 광고회사에 전송하고 있어 아동이 필수로 참여해야 하는 온라인상 교육에서도 많은 정보가 수집되는 것으로 보인다.
이에 따라 첫째, 아동의 개인정보보호 시책을 구체적으로 마련하고 관리해야 한다. 법정대리인의 동의 제도와 아동의 눈높이에 맞춘 고지제도의 운영 현황을 조사해야 한다. 또한, 아동 특성에 대한 이해에 기반해 아동의 이익을 최우선으로 고려한 추가적인 개선방안을 모색해야 한다.
둘째, 아동 정보 수집과 아동 대상 맞춤형 광고 실태를 조사하고, 학교 교육과정에서 사용되는 앱은 개인정보 활용 동의 선택 여지가 적은 만큼 최소 수집의 원칙 등에 따른 개인정보 수집 여부, 제3자에게 제공하는 정보 유형 및 내용 등을 검토해야 한다. 아동 대상 맞춤형 광고 현황 및 기업의 자율규제 상황 등을 조사하고 개선방안을 마련해야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
