안녕하십니까? 개인정보보호위원회 조사조정국장입니다.
위원회 전체회의에서 의결 및 보고된 3개 안건에 대해서 일괄적으로 보고드리고 질문받을 수 있도록 하겠습니다.
먼저, 월드코인 관련입니다.
개인정보보호위원회는 월드코인 재단과 TFH에 대하여 총 11억 400만 원의 과징금과 시정명령 및 개선권고를 부과하기로 의결하였습니다.
위원회는 금년 2월부터 민원 제기와 언론 보도 등에 따라 조사에 착수하였고, 조사 결과 월드코인 재단과 업무를 위탁받은 TFH가 합법 근거 없이 국내 정보주체의 홍채정보 등 개인정보를 수집하고, 이를 국외로 이전하면서 보호법상의 의무를 준수하지 않은 것을 확인하였습니다.
참고로, 월드코인과 홍채 인증에 대해 그 절차에 대해 잠깐 말씀드리면 스마트폰에 월드앱을 설치하면 월드 아이디가 발급이 됩니다. 그리고 그 홍채·얼굴 촬영을 통한 홍채 생성 등을 통해 사람임을 인증하는 그 절차로 진행되게 됩니다.
금년 9월 기준으로 국내에서는 약 9만 3,400여 명이 월드앱을 다운로드받았으며, 이 중 약 2만 9,900여 명이 홍채 인증을 한 것으로 확인되었습니다.
조사 결과에 대해서 구체적으로 말씀드리도록 하겠습니다.
민감정보 처리 제한 의무 위반입니다.
먼저, 월드코인 재단은 생체인식 기기인 Orb를 통해 정보주체의 홍채를 촬영한 후 이를 활용하여 홍채코드를 생성하면서 국내 정보주체에게 보호법에서 정한 고지사항을 제대로 알리지 않은 사실이 있었습니다.
특히, 홍채코드는 그 자체로 개인을 유일하게 식별할 수 있고 변경이 불가능한 민감정보로서, 우리 보호법상 처리를 위해서는 별도로 동의를 받고 안전성 확보조치 등을 하여야 하나 이를 위반한 것으로 판단하였습니다.
다음, 국외 이전 의무 위반 관련하여 월드코인 재단과 TFH가 홍채코드를 비롯해 국내 정보주체로부터 수집한 개인정보를 국외로 이전하면서 보호법에서 정한 고지사항을 정보주체에게 충실히 알리지 않은 사항도 확인되었습니다.
아울러, 당초 월드코인 재단은 홍채코드의 삭제 및 처리정지 등을 요구할 수 있는 방법과 절차 등을 마련하지 않았고, TFH는 월드앱 가입 시 만 14세 미만 아동의 연령 확인 절차가 미흡하였습니다. 다만, 이 부분들은 조사 과정에서 그 사업자가 개선한 것을 확인하였습니다.
이런 조사 결과에 따라 개인정보보호위원회는 월드코인 재단의 민감정보 처리와 국외 이전 관련 의무 위반, 그리고 TFH의 국외 이전 관련 의무 위반에 대하여 각각 7억 2,500만 원과 3억 7,900만 원의 과징금을 부과하기로 의결하였습니다.
또한, 월드코인 재단에는 민감정보 처리 시 별도 동의를 충실히 받을 것, 홍채정보 등 개인정보가 최초 수집 목적 외에 사용되지 않도록 할 것, 정보주체의 요청에 따른 삭제 기능을 실효적으로 제공할 것을, TFH에는 월드앱 내 연령 확인 절차를 도입할 것, 그리고 양사에 공통적으로 개인정보 국외 이전 시 법정 고지사항을 충실히 알릴 것을 내용으로 하는 시정명령과 개선권고를 함께 부과하기로 하였습니다.
참고로, 조사 및 심의 과정에서 월드코인 측은 홍채코드로는 중복 가입 여부에 대한 확인만 가능하고, 특정 개인에 대한 식별은 곤란하여 익명정보에 해당한다는 점, 그리고 홍채코드 처리과정에 다양한 최신 기술을 적용해 보안성을 강화하고 있다는 점을 설명하였습니다.
이에 대해 개인정보보호위원회는 월드코인 측이 정보주체로부터 직접 홍채 이미지를 촬영한 후 이를 활용해 홍채코드를 생성하고 있는 점, 홍채 관련 정보는 일신전속적·변경불가능한 것으로 개인별 홍채코드 역시 유일하게 하나만 존재하는 점, 그 결과 특정 개인에게 귀속되어 식별자로서 기능이 가능하고 실제로도 내부적으로 월드 아이디와 연계되어 있는 것으로 확인되는 점 등을 종합 고려해 보호법 위반이 있다고 판단하였습니다.
다만, 앞서 말씀드린 시정명령 등을 통해 일정 조건, 예를 들어 충분히 고지 후 동의를 획득하고 삭제기능에 대한 보장을 강화하고 최초 수집 목적, 월드 아이디 인증을 위한 신원 증명, 사람임을 증명하는 최초 수집 목적 외 이용 제한 등의 일정 조건 등을 부과한 후 이를 준수하는 범위에서 처리 자체는 금지하지 않았습니다.
AI·디지털 경제 시대에 인간의 고유한 속성인 바이오 등 민감정보의 이용과 개인 데이터의 국외 이전 또한 계속 증가하고 있어 개인정보가 안전하게 보호되며 활용되기 위해서는 처리자(사업자)의 보호법상 의무와 책임에 대한 인식 및 준수가 그 어느 때보다 강하게 요구되는 시점입니다.
위원회는 앞으로도 신기술·신서비스에 대하여 선택권이라든지 개인정보 자기결정권이라든지 개인정보 주체의 권리가 충실히 보장되며 활성화될 수 있도록 지속적으로 점검해 나갈 계획입니다.
다음으로, 개인정보 보호법규를 위반한 한국사회복지협의회와 테크랩스에 대한 조사·처분 결과에 대하여 보고드리도록 하겠습니다.
첫 번째, 한국사회복지협의회 관련입니다.
금년 1월 한국사회복지협의회가 운영하는 '사회복지 자원봉사 정보관리시스템' 홈페이지에서 회원 약 135만 명의 개인정보가 유출되는 사고가 있었습니다.
위원회가 금번 유출 사고에 대해 조사한 결과 확인된 주요 위반사항은 다음과 같습니다.
먼저, 한국사회복지협의회는 '비밀번호'와 같은 주요 데이터를 변경하는 기능을 구현하면서 소스코드에 대한 점검을 소홀히 하였고, 또 해커가 2024년 1월 6일부터 7일 동안 약 2,000만 회 이상의 접속을 시도하였으나, 개인정보 유출 시도를 적기에 탐지·차단하지 못하는 등 안전조치 의무 위반 사실을 확인하였습니다.
아울러, 한국사회복지협의회는 시스템 홈페이지를 운영하면서 회원가입 시 주민번호를 대체할 수 있는 수단을 제공하지 않은 사실도 확인하였습니다.
이에 따라 공공기관의 개인정보 유출 시에도 원칙적으로 과징금을 적용하게 되는 개정보호법을 적용하여 한국사회복지협의회에 4억 8,300만 원의 과징금을 부과하고 시스템 전반에 걸친 개인정보 보호 실태 점검·개선과 취급자에 대한 교육 실시를 개선권고하였습니다.
또한, 유출에 책임이 있는 자에 대한 징계를 권고하는 한편, 처분 등을 받은 사실을 공표하도록 명령하였습니다.
아울러, 개인정보보호위원회는 그 주무부처에 관련 사실을 알리고 산하 공공기관에 대한 관리·감독 및 지원을 요청하는 협조를 구할 계획입니다.
다음, ㈜테크랩스 관련입니다.
테크랩스는 국내와 대만 이용자 대상 3개의 데이팅 앱 서비스를 운영하는 기업으로 자사 데이팅 앱 서비스에 가입된 회원의 프로필 사진을 이용해 타국에서 운영되는 자사의 또 다른 앱 서비스에서 허위계정을 생성하고 직원을 동원해 활동하였다는 신고에 따라 조사에 착수하였습니다.
조사 결과, 테크랩스는 3개의 데이팅 앱 서비스에서 약 270여 개의 허위계정을 생성·운영한 사실을 확인하였습니다.
개인정보보호위원회는 이처럼 데이팅 앱에 업로드한 프로필 사진을 무단으로 이용한 행위는 정보주체가 동의한 이용 범위를 벗어난 목적 외 이용으로 정보주체의 권리나 이익, 사생활에 미칠 영향이 상당한 '매우 중대한 위반'에 해당한다고 판단하여 과징금 2억 2,400만 원을 부과하고 경찰에 고발하는 한편, 처분받은 사실을 홈페이지 등에 공표하도록 명령하였습니다.
앞으로도 개인정보보호위원회는 일반 국민들의 개인정보를 대규모로 보유·운용하는 공공기관 및 기업들의 개인정보 관리에 대한 경각심을 높이는 한편, 사업자가 정보주체로부터 수집 시 동의받은 목적 외로 개인정보를 이용하지 않도록 개인정보 보호법규 위반에 대해서는 엄정 조사·처분할 계획입니다.
마지막으로, 금년 상반기에 이행기한이 도래한 시정명령 이행점검 결과에 대해서 브리핑하도록 하겠습니다.
개인정보보호위원회는 금년 상반기에 이행기간이 도래한 44개의 시정명령 및 개선권고에 대해 이행실태를 점검하였고, 이 중 41개가 완료되었다고 확인하였습니다.
주요 사례를 몇 가지 말씀드리면 우선 인공지능 사업자, 특히 대규모 언어모델 사업자의 경우 데이터 학습 이용과 관련해 개인정보보호위원회의 개선 의견에 따라 공개된 데이터 내의 개인정보 제거를 위하여 개인정보보호위원회와 한국인터넷진흥원이 제공하는 개인정보 노출 페이지는 삭제하고, 주민번호 등이 포함되지 않도록 필터링하며, 이용자에 대한 안내를 강화하여 주민번호 등이 데이터 학습 시에 인적 검토가 이루어지는 사실을 명확하게 고지하고, 거부 설정 기능을 제공하기로 하였습니다.
또한, 개인정보 침해 예방 및 대응을 위하여 개인정보 처리방침을 보완하는 한편, 부적절한 답변에 대해서는 신고 기능을 도입하였습니다.
또한, 주요한 시스템을 운영하는 18개 정부기관에 대하여 지난 12월 개선권고한 총 10개 과제에 대해서도 이들 기관 모두 이행하거나 이행 계획 제출을 완료하였습니다.
국토부, 교육부, 농식품부 등은 시스템 접근 권한 부여를 엄격히 하여 비공무원의 계정 발급 시 절차 등을 강화하였고, 개인정보취급자의 특이사항 모니터링을 강화한 바 있습니다.
위원회는 앞으로 시정명령 등을 미이행한 3개 피심인에 대해서는 이행을 독촉하고 과태료를 부과할 방침입니다. 또한, 주기적인 이행점검을 통하여 시정명령 등의 이행력을 확보하고 개인정보 보호 수준을 지속적으로 고도화해 나갈 계획입니다.
이상 브리핑 마치도록 하겠습니다. 감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 기존에 4만 여명의 수집된 홍채 정보는 어떻게 지금 된 건지 궁금한데요. 어떻게 처리가 됐고 저장 위치는 어디에 있고 지금 그게 좀 궁금하고요.
그리고 지금 위원회에서 얘기한 부분이 홍채 정보 등 개인정보가 최초 수집 목적 이외에 사용되지 않도록 보장하라, 이렇게 했는데 그에 대한 대책은 어떻게 한다고 하는지, 기업에서는요. 궁금합니다.
<답변> 지금 두 가지 질문해 주셨는데요. 기존에 수집한 홍채 정보 관련된 내용과 최초 수집 목적 외 이용하지 못하도록 한 개선권고에 대한 대책 등의 질문하셨는데, 먼저 기존에 수집한 홍채 정보의 원본 정보는 모두 파기한 것으로 확인을 하였습니다. 그리고 앞으로도 삭제 기능을 충실히 보장하도록 해서 정보주체의 요청이 있을 때에는 모두 삭제나 파기가 가능하도록 할 계획입니다.
그리고 말씀드린 대로 최초 수집목적 외에 이용하지 못하도록 저희가 개선권고한 내용이고요. 이 개선권고에 대해서는 저희가 일정한 기한을 제공하면 그 기한에 맞춰서 사업자 측에서 관련된 대책이나 계획을 제출할 계획이고, 그 내용의 적절성에 대해서는 위원회가 다시 한번 검토하는 그런 기회를 가질 계획입니다.
<질문> 지금 개인정보보호법에서 생체 정보에 대한 조항은 없잖아요. 그런데 이 홍채 정보도 그럼 개인정보인 건가요? 그리고 생체 정보에 대한 처분이 처음 내려진 것 같은데 이게 처음이 맞는 건지도.
<답변> 처음일 것 같지는 않고요. 민감 정보의 일종으로 생체인식 정보가 저희 시행령에 관련된 규정이 있고 그 시행령 관련 규정을 봤을 때 생체인식 정보, 민감정보인 생체인식 정보라고 파악하게 된 건입니다.
그리고 저희가 최초인지에 대해서는 지금 당장은 말씀드리기 조금 곤란할 것 같습니다. 확인을 해봐야 될 것 같습니다.
<질문> 오늘 과징금 산정 과정에 있어서 지금 월드코인 재단과 TFH 쪽 부과 기준이 궁금한데요. 정률인지, 정액인지 포함해서 산정 과정 어떻게 되었는지 설명 부탁드립니다.
추가적으로, 한 가지 더 있는데 그리고 그 데이팅 앱 테크랩스 관련해서 경찰 고발 대상이 테크랩스 법인만인지 아니면 관계자도 있는지도 답변 부탁드립니다.
<답변> 두 가지 질문 주셨는데, 월드코인 관계자에 대한 과징금 산정 과정하고 테크랩스 고발 건에 대해서 질문 주셨는데 먼저 뒤에 거부터 말씀드리면 테크랩스 고발에 대해서는 일단 처리자인 그 법인을 고발한 사안이고요. 그 관계자에 대한 실제 조사라든지 수사, 이런 거는 그 수사기관에서 판단하게 될 것 같습니다.
그리고 과징금 산정 기준은 브리핑했듯이 저희가 2개 사업자에 대해서 처분을 하였고, 하나는 월드코인 재단, 그리고 또 하나는 TFH가 되겠습니다. 월드코인 재단, 두 군데 다 매출 자료를 저희 쪽에 제출하였고요. 일단 그 정률 과징금 대상으로 파악했고, 다만 기자님들 잘 아시겠지만 아직 사업 초기고 그 매출이 크지 않아서 과징금 수준은 지금 보도자료에 있는 대로 나오게 되었다는 점을 말씀드리겠습니다.
참고로, 정률 과징금으로 접근은 했으나 관련 매출... 월드 재단 같은 경우에는 관련 매출 산정이 곤란하여서 결과적으로 정액 과징금을 부과하게 되었습니다.
<질문> 테크랩스 고발 혐의가 뭐예요? 사기죄인가요? 아니면 다른...
<답변> 저희 목적 외 이용에 대해서도 벌칙 조항이 있었고요. 그리고 또 금지행위 위반 가능성도 있다, 라고 보아서 그 목적 외 이용 제한 18조 위반 및 저희 금지행위 50조?
<답변> (관계자) ***
<답변> 59조, 두 개에 의해서 고발하게 되었습니다.
<질문> ***
<답변> 그렇습니다.
<답변> (사회자) 그러면 더 이상 질문이 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사합니다.
<답변> 감사합니다.
<끝>