개인정보위, SKT·인크루트 등 지난해 하반기 시정조치 이행률 95% … 보안조치 강화 확인

개인정보보호위원회(개인정보위)가 지난해 개인정보 보호법 위반으로 시정명령이나 개선권고를 받은 기업·기관들에 대한 이행점검 결과, 전체의 95%가량이 조치를 완료했거나 이행계획을 제출한 것으로 나타났다. SK텔레콤(SKT)과 인크루트 등 대규모 개인정보 유출 사고 사업자들도 보안체계 강화에 나선 것으로 확인됐다.

개인정보위는 지난 13일 열린 제9회 전체회의에서 지난해 하반기 처분 대상 가운데 이행 기간이 도래한 시정명령·개선권고 222건에 대한 점검 결과를 보고했다고 14일 밝혔다.

점검 결과 전체의 약 95% 수준인 211건이 이미 이행됐거나 구체적인 이행계획이 제출됐다. 주요 위반 유형은 안전조치 의무 위반이 가장 많았으며, 개인정보 취급자 관리·감독, 주민등록번호 처리 제한 위반 등이 뒤를 이었다.

◇SKT·인크루트 재발방지 점검 … “암호화·탐지체계 강화”

개인정보위는 지난해 대규모 개인정보 유출 사고가 발생했던 SKT와 인크루트에 대해서는 현장점검을 통해 재발방지 대책 이행 여부를 집중 점검했다.

SKT는 지난해 약 2300만건 규모의 개인정보 유출 사고가 발생했던 사업자다. 개인정보위는 SKT가 이동통신망 내 개인정보처리시스템을 전수 점검하고 방화벽 정책 개선, 유심 인증키 및 중요정보 암호화 등 보안 조치를 강화한 것으로 확인됐다고 설명했다.

또한 개인정보보호책임자(CPO)가 IT·인프라 영역까지 포함해 개인정보 자산 전반을 관리·감독할 수 있도록 조직 체계도 개편한 것으로 파악됐다.

다만 SKT가 계획으로 제출한 실시간 탐지·차단 체계인 EDR(Endpoint Detection & Response) 구축과 인증 범위 확대 등 일부 항목은 향후 추가 점검을 통해 실제 이행 여부를 다시 확인할 예정이다.

약 720만건 규모의 개인정보 유출 사고가 발생했던 인크루트는 추가 인증체계 도입과 비정상 트래픽 탐지 정책 개선 등 보안 강화 조치를 시행한 것으로 조사됐다.

◇공공기관·해외사업자도 개선 … “주민번호 처리 제한 강화”

개인정보위는 지난해 마무리한 공공기관 집중관리시스템 전수점검 후속 조치 이행 상황도 함께 공개했다.

시정권고를 받은 38개 공공기관 가운데 33개 기관이 이행을 완료했거나 계획을 제출했다. 경찰청은 인사시스템과 

개인정보처리시스템을 연계해 접근권한 관리를 강화했고, 국민연금공단은 개인정보취급자 접속기록 조회 기능을 개선했다. 한국장애인고용공단 등은 이상행위 발생 시 실시간 소명 및 결재 절차를 도입했다.

해외사업자인 쿠카엔터테인먼트 등은 법적 근거 없이 주민등록번호를 처리하지 않도록 내부 관리계획과 임직원 교육 체계를 정비한 것으로 확인됐다.

◇네카오·쿠팡 등 슈퍼앱 개선 완료 … 월드코인 지속 모니터링

개인정보위는 지난해 사전 실태점검을 통해 개선권고를 받았던 네이버·카카오·쿠팡·우아한형제들·당근마켓 등 주요 슈퍼앱 사업자들도 권고 사항을 모두 이행했다고 밝혔다.

이들 사업자는 서비스별 탈퇴·삭제 기능을 강화하고 개인정보 처리정지 및 삭제 요구 절차를 개인정보 처리방침에 보다 쉽게 안내하도록 개선했다. 관행적으로 요구되던 필수 동의 절차 역시 일부 정비한 것으로 나타났다.

월드코인과 티에프에이치(TFH)에 대해서는 아동 연령 확인 절차 도입과 개인정보 수집 동의 개선 여부를 추가 점검한 결과 시정조치가 이행된 것으로 확인됐다. 다만 개인정보위는 실제 서비스 운영 과정에서 해당 조치가 제대로 작동하는지 지속적으로 모니터링할 계획이다.

개인정보위는 현재 추가 점검 대상 기관들에 대한 이행 여부를 계속 확인하는 한편, 향후에도 구체적인 시정명령과 사후 이행점검을 강화해 실질적인 개인정보 보호 수준을 높여 나가겠다고 밝혔다.