<김해숙 개인정보보호위원회 조사2과장>
안녕하십니까? 개인정보위원회 조사2과장 김해숙입니다.

오늘 제가 말씀드릴 내용은 저희가 지난 1년 동안 국내에서 많이 쓰고 있는 5,000개 앱에 대해서 개인정보 처리 실태를 먼저 점검했고 그 점검 결과를 보고를 드리... 말씀을 드리고요.

그 외에도 저희가 개인정보 국외 이전이라든지 아동·청소년 개인정보 처리 실태라든지 그다음에 개인정보 관련된 다크 패턴에 대해서도 저희가 추가로 조사한 부분이 있습니다. 그래서 이 내용을 같이 말씀을 드리겠습니다.

먼저, 5,000개 앱에 대해서 조사한 것은 실제 저희가 보호법상에서 개인정보 수집, 이용, 파기 등 각 절차별로 개인의 자기결정권 또는 개인의 정보주체의 권리 보장을 위해서 실제 법에서 많은 부분들을 저희가 요구하고 있는데 그것을 어떻게 지키고 있는지 저희가 온라인으로 점검한 내용입니다.

전체적으로 보자면 이 개인정보 처리에 관련해서 하고 있는 부분이 2022년에는 한 80% 정도가 미흡하다, 미흡하다, 라는 것은 법상에서 요구하고 있는 항목을 저희가 39개를 점검했는데 그중에 하나라도 제대로 안 지키고 있는 경우를 80% 정도였다, 라고 하게 되면 올해 같은 경우는 조금 개선이 돼서 69.5% 정도가 하나라도 미흡한 부분이 발견됐다, 라고 말씀드릴 수 있겠습니다.

대부분 일단 간략하게 말씀을 드리면 대부분이 개인정보 처리방침은 잘 공개를 하고 있었습니다. 그래서 처리방침에서 요구해야 되는, 처리방침에서 명시해야 되는 개인정보 수집항목이라든지 위탁에 관한 사항 이런 부분들은 잘 표현하고 있고 잘 지켜지고 있었지만 개인정보를 제3자 제공을 하는 경우 제3자 제공하고 있는 사업자가 누구냐에 대해서 제대로 명시하지 않거나, 제3자 제공할 경우에 필요한 보유기간이라든지 이용목적이라든지 이런 부분들이 조금 미흡하게 고지되는 경우가 있었고, 개인정보를 수집한 이후에 일정 기간이 지나면 파기하도록 하는 규정이 저희가 있는데 이 부분에 대해서 제대로 안내하지 않은 경우들, 이런 경우들이 처리방침에서 저희가 차지하는 문제점이고요.

국내는 개인정보 처리방침이라고 명확하게 고지를 많이 하고 있습니다. 그런데 해외 같은 경우는 개인정보 보호정책 또는 개인정보 취급방침 이렇게 조금 명칭을 다르게 하는 경우들이 있어서 이런 부분부터 차례대로 저희가 개선을 해나갈 예정입니다.

그다음에 저희가 본 것은 실제 개인정보 저희 보호법상에서는 개별적으로 구체적으로 이용자에게 알리고 동의를 받아라, 라고 얘기하고 있는데 대부분 동의 부분에 있어서는 잘 준수를 하고 있었습니다.

동의하지 않는 부분, 제대로 동의를 안 받는 경우가 10% 내외였기 때문에 잘 준수를 하고 있었지만 일부 앱 같은 경우를 항목을 일부 누락해서 미고지하는 거죠. 처리방침에서 수집·이용 항목 중에서 일부를 빼먹는다든지 아니면 제3자 제공의 동의를 받는다, 라고 해놓고는 제3자 제공 항목들이 일부 빠진다든지 이런 경우들이 일부 확인이 됐었고요.

외국 앱 같은, 해외 앱 같은 경우는 저희가 요구하고 있는 개별적인 구체적으로 동의를 받아라, 하는 부분에 있어서 개인정보 처리방침으로 그냥 일괄적으로 동의를 받아서 포괄 동의를 받는다, 라든지, 뒤에 저희가 다크웹에서 설명을 하겠지만 일부 같은 경우는 '이 회원에 가입하게 되면 개인정보 수집·이용에 동의한 것으로 간주합니다.'라고 해서 그냥 명시적으로만 표현하고 있지 구체적으로 설명하지 않는 경우들도 일부 확인이 되었습니다.

그다음에 저희가 또 하나 본 부분은 '정보주체의 권리 보장을 위해서 실제 열람 요구라든지 정정 요구라든지 이런 절차가 제대로 잘 표현이 되고 있고, 그것에 대해서 실제로 작동하고 있느냐?'라고 했는데 이런 절차들을 고지하는 부분은 대부분 양호했습니다. 다만, 이 부분을 조금 더 명시적으로 이용자가 잘 알 수 있도록, 잘 알고 그 부분을 지킬 수 있도록 하는 부분에 있어서는 조금 개선의 여지가 있는 것으로 확인이 되었습니다.

그래서 앞으로 저희가 할 일은 이런 보호법상에서 실제로 요구하고 있는 내용들이 잘 지켜지는 경우는 물론 저희가 홍보를 하겠지만 일부 경미하게 잘 안 지켜지고 있는 경우들은 관계기관하고 같이 개선을 유도할 계획이고요. 중요한 위반이 있다, 라고 확인되는 앱에 대해서는 추가 사실관계를 조사해서 저희가 처분을 할 수도 있는지 그 부분을 검토를 추가로 할 예정입니다.

그다음에 저희가 3대 취약 분야, 아까 말씀드렸듯이 다크 패턴, 개인정보 국외 이전 그다음에 아동·청소년 개인정보 처리 실태에 대해서 점검을 했는데 이 부분도 간략히 말씀을 드리겠습니다.

먼저, 다크 패턴 관련해서는 저희가 이게 그냥 한 것이 아니고 일상생활과 밀접하고 또 비용 지불이나 서비스 가입에 관련된 부분들이 큰 이 부분을 중심으로 해서 온라인 쇼핑 그다음에 서비스 예약 그다음에 SNS, 게임 콘텐츠 등 크게 4개 분야를 중점적으로 저희가 점검을 했고요. 관련해서는 약 11개의 개인정보보호 다크 패턴 유형을 저희가 발견했습니다.

대표적인 유형은 저희가 표로 보도자료에는 표현을 했는데, 포괄 동의 아까 말씀드렸던 처리방침으로 포괄 동의를 받거나 '동의합니다.'라고 해서 간주 동의를 하거나, 또는 기본설정이 개인정보 공유라든지 저희 연락처 공유라든지 프로필 공유라든지 또는 맞춤형 광고에 대해서 허용하는 것들을 개인정보 가입하는 단계라든지 서비스 가입 단계라든지 이 단계에서는 확인이 안 되고, 가입한 이후에 개인이 개별 설정에 들어가서 확인하지 않으면 알 수 없도록 이렇게 부적절하게 기본설정을 해놓은 경우들이 있어서 이 부분들은 저희가 개선을 유도할 계획입니다.

그런데 이 부분은 예전에 특정 업체에서, 내비게이션 업체에서 기본설정을 공개해놓으면서 조금 이슈가 됐었던 적이 있었는데요. 그것처럼 민감한 정보라든지 이런 게 기본으로 공개되는 것들을 막기 위해서 저희 법에도 추가적으로 그런 것을 사용자에게 알리고 동의 설정 방법들을 잘 할 수 있도록 유도해야 된다, 라는 항목이 있어서 그거 관련된 내용이라고 보시면 될 것 같고요.

그 외에도 맞춤형 광고에 관련된 쿠키 강요라든지 사후에 관리가 안 되는 경우들이 있었습니다. 내가 맨 처음에 동의를 한 항목이 뭐뭐였는지, 이 중에 동의를 철회를 할 수 있는지, 이렇게 개인정보를 수정할 수 있는 기능이 아예 없는 경우도 있었고, 메뉴 중에 탈퇴 메뉴가 없는 경우도 있었습니다. 앱 중에서 아예 탈퇴를 불가능하도록 해서 이런 부분들을 저희가 다크 패턴의 기본적인 유형으로 일단 파악을 했습니다.

그다음에 두 번째, 국외 이전 관련해서는 전반적으로는 국외 이전 항목들이 많이 늘어나고 있는 추세다, 라고 저희는 분석을 했는데, 아까 보셨던 5,000개 앱 중에서 국내 앱 3,600개를 대상으로 먼저 점검을 했고요. 그중에 ‘국외 이전을 한다.’라고 명시한 앱은 769개로 작년 2022년에 비해서 약 10% 정도 증가한 추세입니다.

그래서 이 개인정보를 국외 이전하는 경우는 대부분 미국, 일본, 싱가포르 등으로 많이 이전을 했고요. 이전받는 경우는 글로벌 업체들, 클라우드 업체들이 대부분 상위에 포함되어 있었습니다.

그런데 이렇게 이전을 하는 목적이 뭐냐, 라고 봤을 때는 예전에는, 작년 같은 경우는 고객 상담이라든지 민원 처리 등 이런 개인정보 처리 위탁을 하는 경우들이 많았는데, 작년에 확인을 해보니까 이 이외에도 마케팅이라든지 통계 분석 같은 이런 목적으로 해서 정보를 제공하는 유형이 크게 늘어난 것을 저희가 확인을 했고요.

관련해서 저희 보호법에서는 ‘여러 가지 항목들을 제대로 고지하고 이용자에게 알리고 동의를 받아라.’라고 되어 있습니다. 그런데 이 부분에 있어서는 이전 항목이라든지 국가, 언제 이전하는지, 목적이라든지 이런 걸 다 명시하도록 했는데 대부분 한 절반 정도는 작년보다 훨씬 더 잘 지키고 있는 것으로 확인을 했고, 그중에 저희가 작년에 신설한 내용이 이전을 거부하는 방법 또는 거부 절차에 대한 안내를 하도록 되어 있는데 이 부분은 저희가 신설이 2023년 9월이다 보니까 아직 제대로 지키고 있지 않은 업체들을 많이 확인을 했습니다.

마지막으로, 아동·청소년 개인정보 처리 실태 관련해서는 저희 법상으로는 14세 미만 아동의 개인정보를 수집하게 되면 법정대리인의 동의를 받아라, 라고 이야기를 하고 있고, 동의받는 방법에 대해서도 신용카드 인증이라든지 법정대리인의 휴대폰 인증이라든지 여러 가지를 규정하고 있는데, 이 부분은 대부분 준수를 하고 있었습니다.

다만, 어른들만 쓸 수 있다, 라고 한 앱에서 아동이 연령을 허위로 기재해서 가입을 한다든지 이런 거에 대해서 방지할 수 있는 대책들은 대부분 조금 미흡하다, 라고 저희가 확인을 했고요.

그다음에 아직 법정대리인 동의 방법에 대해서는 앱별로 상이하게 굉장히 다양한 방법들을 쓰고 있었습니다. 이메일 인증을 하는 경우도 있었고, 휴대폰 문자메시지 인증을 하는 경우도 있었고, 휴대폰 본인 인증을 하는 경우도 있었고, 특정 계정을 통해서만 인증이 가능하도록 하는 경우도 있었고 해서 다 방법은 아직 특별히 확정된 방법이 있지는 않은 것 같다, 라고 확인을 했습니다.

마지막으로, 아동·청소년 개인정보법 가이드라인을 저희가 2022년 7월에 발간을 했습니다. 그래서 이 아동·청소년이 이용하는 앱들이 이 가이드라인을 잘 준수하고 있느냐, 봤는데 대부분 일단 아동·청소년 대상으로 아동·청소년용 개인정보 처리방침을 제공한다든지 또는 아동을 보호하기 위해서 개인정보의 기본값 설정을 비공개를 한다든지 이런 설정이 잘 안 지켜지는 경우들을 저희가 확인했고요. 이런 부분들은 저희가 앞으로 개선을 유도해나갈 예정입니다.

이상입니다.


<전승재 개인정보보호위원회 조사3팀장>
안녕하십니까? 조사3팀장 전승재입니다.

EMR(Electronic Medical Record) 시스템 개선 권고와 관련해서 브리핑을 시작하겠습니다.

개인정보보호위원회는 어제 오후 전체회의에서 의료기관의 개인정보 보호조치 강화를 위한 개선사항을 의결했습니다.

먼저, 의료기관의 환자 개인정보 유출 사건의 후속으로서 저희 개인정보위원회는 보건복지부의 협조를 받아 작년 6월부터 9월까지 전자의무기록, 이하 EMR 시스템을 제공하는 상위 5개 사업자 7개 소프트웨어를 조사했습니다.

참고로 EMR 시스템은 병원 내 의료인을 위한 업무시스템입니다. 환자의 인적사항과 진단, 처방 정보 등이 기록되며 건강보험 청구시스템에도 연동되어 있습니다.

조사 결과, 일부 EMR 시스템이 환자 개인정보에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 점을 확인하고 조사 대상 사업자에게 개선을 권고했습니다.

나아가, 개인정보보호위원회는 조사와 병행해서 보건복지부와 긴밀한 협의를 거쳐 의료기관이 사용하는 EMR 시스템의 전반적인 개인정보 수준 향상을 위해 EMR 인증기준 등을 강화하기로 하였습니다.

이에 따라 보건복지부 등은 EMR 인증기준 등을 구체화하는 작업을 진행할 예정입니다. 특히, 권한 없는 자의 시스템 접근을 막고 개인정보 유출 사고 등 발생 시 책임추적성을 강화하는 것이 핵심 내용이 되겠습니다.

또한, 개인정보보호위원회는 의료기관의 환자 개인정보 관리책임도 강화하기 위해서 구체적인 방안을 마련해서 현장에 안내할 예정입니다.

이번 개선방안 마련을 통해 EMR 시스템 등을 사용 중인 전국 약 3만 7,000여 곳, 즉 대부분의 의료기관의 환자 개인정보 보호 수준이 크게 향상될 것으로 기대되며, 특히 대량의 환자 개인정보 다운로드를 통한 유출 사고를 통제할 수 있을 것으로 기대됩니다.

아울러, 의료기관의 개인정보 보호에 대한 국민적 신뢰가 향상되어 개인정보 유출 걱정 없이 의료서비스를 이용할 수 있는 환경이 조성될 것으로 기대됩니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 김해숙 과장님께 여쭤보고 싶은데요. 지난해 미준수 비율이 10%p 이상 개선됐는데 그 원인을 어떻게 분석하고 계시고, 또 개인정보 처리방침 평가제도를 활용해서 개선을 유도하겠다고 하셨는데 구체적으로 어떤 방안인지 궁금합니다.

<답변> (김해숙 조사2과장) 일단 저희가 개선이 조금, 작년보다 10% 정도 개선이 더 됐다, 라고 보는 부분은 일단 개인정보에 대한 업체들의 인식, 보호에 대한 인식 수준도 첫 번째 높아졌다, 라고 보고 있고요.

두 번째는 저희가 2022년에도 비슷한 점검을 해서 각 개별 업체들한테 일일이 개선 권고를 했었습니다. 안내를 하고 ‘이런 부분은 개선이 필요합니다.’라고 했는데 그 두 가지를 통해서 개선 효과가 나타난 것으로 저희는 파악하고 있고요.

실제 처리방침, 처리 실태를 점검한 기본적인 방향이 먼저 처리방침을 보고 그 처리 방침에 있는 내용대로 제대로 동의나 제공이나 이런 과정이 지켜지고 있느냐를 같이 봤기 때문에 실제 잘 안내하고 그 내용들이 지켜지도록 하는 첫 번째 방식이 처리방침평가제라서 저희 정책국의 자율보호정책과에서 추진하고 있는... 아직 확정은 되지 않았습니다.

그래서 이 부분에 대해서 처리방침평가제로서 평가... 처리방침 안에 내용들이 제대로 반영될 수 있도록 유도를 하는 것과 연계하겠다, 라는 의미입니다.

<질문> (온라인 질의 대독) 그럼 현장에 질문이 없으신 관계로 문자로 보내주신 질문을 대신 읽도록 하겠습니다.

먼저, 연합뉴스 기자님 질문입니다. 우선 첫 번째로, 앱 실태점검 자료에서 개인정보 국외 이전 증가로 인해 발생할 수 있을 것으로 예상되는 문제점과 해결책 질문드립니다.

그리고 두 번째로, 국외 이전 목적 중 두 번째로 많은 게 정보 제공인데 어디에, 어떤 업체에 어떤 목적으로 제공한다는 것인지 구체적인 설명 부탁드립니다, 라는 질문입니다. 답변 부탁드리겠습니다.

<답변> (김해숙 조사2과장) 먼저, 국외 이전 관련해서 국외 이전이 작년, 2022년보다 2023년에 10% 정도 늘어났다, 라고 저희가 말씀드렸는데 이거에 대해서 문제점이라고 하게 되면 개인정보가 국외로 이전되면서 우리 국내법으로서, 보호법으로서 우리 국민들의 개인정보 관련된 권리 보장이 혹시 제대로 안 되거나 안전조치 기준이 제대로 지켜지지 않거나 이런 것들이 문제로 저희가 생각할 수 있고요.

이 부분은 일단 저희 법상으로는 저희 법상에서 여러 가지 장치들을 일단 마련해놨습니다. 기본적으로 보시면 국가나 국제기구 간에는 우리 보호법에서 얘기하고 있는 안전조치나 권리구제 절차들이 우리와 동등한 수준으로 지켜지느냐에 대해서 동등성 인정제도라는 것을 저희가 마련하고 있는데 이걸 통해서 국가나 국제기구에서의 개인정보 이전에 대해서는 일단 1차적으로 정리... 뭔가 보호가 될 것 같고, 또는 개별 기업의 입장에서 보자면 저희 ISMS-P 같은 인증제도로 받았을 때 그걸 저희가 인정해줌으로써 기업이나 국가, 국제기구 입장에서 우리와 동등한 수준의 개인정보가 지켜질 수 있을 것이다, 라는 이런 제도를 통해서 조금 보완하려고 하고 있고요.

혹시 이럼에도 불구하고 사후적으로 문제가 있다, 라고 했을 경우에는 저희 보호법에 신설된 조항 중에 국외 이전 중지 명령이라는 제도가 있습니다. 그래서 이걸 통해서 문제가 있는 경우에는 국외 이전에 대해서 중지할 수 있도록 하는 사후적인 대응방안을 가지고 있어서 이걸 통해서 해결될 수 있지 않을까, 라고 저희는 생각을 하고 있습니다.

그다음에 두 번째는 국외 이전 중에서 정보 제공 목적이나 이런 걸 여쭤보셨는데요. 일단 ‘정보 제공’이라고 저희가 분류했을 때의 기준은 뭐냐 하면 통계 분석이라든지 마케팅 또는 광고 분석 또는 이런 거에 대한 효과를 추적하거나 하는 목적으로 개인정보를 국외로 제공하는 경우, 또는 기본적으로 해외 사업자가 국내 오픈마켓에 들어와 있는 경우들도 꽤 많습니다. 그러면 이 해외 사업자한테는 우리 국내 정보가 일단 이전되고 제공해야 되기 때문에 이런 경우들로 많이 이전을 하고 있고요.

어떤 업체냐, 라고 했을 때 그건 저희가 특정 업체는 말씀드리기는 어렵고, 아까 통계 분석이나 광고 같은 경우는 저희 SNS 중에서 광고들 요즘 많이 실리고 있는데 국외 SNS 같은 경우 거기에 광고 분석을 한... 본인들이 광고를 했을 때 광고 분석이나 이런 걸 하기 위해서 이전되는 경우들을 저희가 꽤 많이 확인을 했습니다.

<질문> (온라인 질의 대독) 그러면 또 다음, 한국일보 기자님께서 문자로 주신 질문을 대독해드리겠습니다. 주요 5,000개 앱에 대해서 실태조사를 했는데 개인정보 처리 미흡 비율이 2002년에 비해 2023년에 개선되었으나 여전히 69.5%라는 수치는 높은 것 같습니다. 앱 중에 제3자 제공 고지나 파기 절차 안내 등 개인정보 처리방침 내용을 지키지 않은 구체적인 사례나 예시가 있을지요? 사람들이 일반적으로 모바일 앱을 접할 땐 뭔가 방침을 어긴 건지 알아차리기 어렵다 보니 구체적 예시가 있으면 이해하기 쉬울 것 같습니다. 질문에 답변 부탁드립니다.

<답변> (김해숙 조사2과장) 저희가 예시를 정확하게 말씀드리기는 조금 어려워서, 개별 기업의 명칭을 말씀드리기는 조금 어려워서 이 부분은 어떻게 말씀드려야 될지 조금 고민이 되는데요. 일단 제3자 제공 미고지는 이런 내용입니다. 제3자한테 제공을 하고 있다, 예를 들면 오픈마켓 중에서 또는 쇼핑몰 중에서 본인들의 개인정보를 제3자 제공한다고 명시는 해놨지만 실제 그 제3자 제공을 하고 있는 업체가 누구인지 정확하게 표현을 하지 않는다든지, 그러면 그 업체가 어떤 목적으로 이 정보를 가져가서 쓰고 있는지 이런 걸 명시하도록 해놨는데 그런 게 잘 드러나지 않는 경우들을 저희가 제3자 제공 미고지로 봤고요.

파기도 비슷한 내용입니다. 실제 파기 절차를 안내해야 된다는 것은 언제, 개인정보를 수집한 이후에 일정 기간이 지나면, 목적을 다하면 파기한다, 또는 회원가입을, 회원을 탈퇴하면 파기한다, 이렇게는 되어 있는데 그때 그러면 어떻게 해서 어느 항목까지 파기를 하고 있는지 이런 부분들을 잘 표현하지 않은 경우를 저희가 파기 절차를 제대로 고지하지 않았다, 라고 표현하고 있습니다.

업체명은 저희가 말씀드리기 어려운 점 양해 부탁드립니다.

<답변> (사회자) 더 이상 질문이 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해주셔서 감사합니다.

<답변> (김해숙 조사2과장) 감사합니다.

<끝>