2026.06.02 화요일
검색
'개인정보보호법' 검색결과
기간검색
-
~
검색영역
검색어
-
네이버 'AI 탭', 개인정보위 사전검토 통과…6월 정식 출시 청신호 [경제일보] 네이버의 검색 인공지능(AI) 에이전트 서비스 ‘AI 탭’이 6월 정식 출시를 앞두고 개인정보보호위원회의 사전적정성 검토를 통과했다. AI 검색 고도화의 핵심인 개인화 데이터 활용이 가능해지는 대신 이용자 통제권과 민감정보 보호 장치를 강화하는 조건이 붙었다. 개인정보위는 지난 27일 제10회 전체회의를 열고 네이버가 신청한 AI 탭 서비스의 사전적정성 검토 결과를 심의·의결했다고 31일 밝혔다. 사전적정성 검토제는 AI 등 신기술·신서비스 개발 단계에서 기존 법 해석이나 집행 사례만으로 개인정보보호법 준수 방안이 명확하지 않을 때 활용되는 제도다. 기업이 개인정보위와 협의해 보호 방안을 마련하고 이를 이행하면 사후에 불이익한 처분을 받지 않는다. AI 탭은 네이버 검색 화면에서 제공되는 대화형 AI 검색 서비스다. 기존 검색처럼 웹페이지 목록을 나열하는 방식이 아니라 검색 결과와 관련 정보를 요약·분석해 1대1 채팅 형태로 답변한다. 네이버는 지난 4월 네이버플러스 멤버십 이용자를 대상으로 AI 탭 베타 서비스를 시작했고 상반기 전체 이용자 확대를 예고한 바 있다. 이번 검토의 핵심은 개인화 검색에 필요한 데이터 활용 범위다. 네이버는 이용자의 검색 이용기록, 공개된 블로그·카페 활동기록, 쇼핑 이력 등 네이버 서비스 이용내역을 AI 탭의 맞춤형 답변 생성에 활용하고자 했다. 검색 의도와 이용자 맥락을 반영해야 더 정교한 답변이 가능하다는 판단에서다. 개인정보위는 서비스 운영 자체는 가능하다고 보면서도 세 가지 보호 장치를 요구했다. 먼저 개인화 답변을 원하지 않는 이용자에게 데이터 활용 거부 옵션의 존재와 의미를 알기 쉽게 안내하도록 했다. 또 이용자 피드백을 반영해 사후 통제권이 실질적으로 보장되도록 계속 보완하라고 주문했다. 데이터 활용의 투명성도 조건으로 제시됐다. 네이버는 개인정보 처리방침 등을 통해 AI 탭에 사용되는 맞춤 정보의 항목과 주요 내용을 공개해야 한다. 개인정보 오·남용과 유출을 막기 위한 기술적·관리적 안전조치도 추가로 마련해야 한다. 민감정보 보호 기준도 명확해졌다. 개인정보위는 네이버 서비스 이용내역을 분석하는 과정에서 사상·신념, 정치적 견해, 건강, 성생활 등 개인정보보호법상 민감정보가 추론되거나 AI 답변에 이용되지 않도록 요구했다. 고유식별정보와 계좌번호, 신용카드정보 등이 AI 에이전트 답변에 포함되지 않도록 하는 조치도 포함됐다. 이번 의결은 AI 검색 경쟁이 본격화되는 상황에서 개인정보 활용과 이용자 권리 보호의 기준을 제시했다는 점에서 의미가 있다. 네이버는 AI 탭을 쇼핑, 로컬, 블로그, 카페 등 자사 서비스와 연결해 검색에서 실행까지 이어지는 통합 에이전트로 키우겠다는 전략을 세우고 있다. 최근에는 AI 검색 생태계 강화를 위해 5년간 콘텐츠 분야에 1조원을 투자하겠다는 계획도 밝혔다. 다만 개인화 AI 검색이 정착하려면 편의성과 프라이버시 사이의 균형이 관건이다. 이용자는 더 정확하고 빠른 답변을 원하지만 자신의 검색·쇼핑·커뮤니티 활동 이력이 어디까지 활용되는지도 중요하게 본다. AI 탭의 성패는 기술 성능뿐 아니라 데이터 활용 방식에 대한 신뢰를 얼마나 확보하느냐에 달려 있다. 개인정보위는 AI 탭이 정식 출시되면 네이버가 협의사항을 실제 이행하고 있는지 점검할 계획이다. 향후 AI 서비스 전반에서 사전적정성 검토와 AI 특례 제도 등 혁신지원 체계도 정비해 나가겠다는 방침이다.2026-05-31 13:57:48
-
개보위, KT 제재 절차 착수…"사전통지서 발송, 오래 걸리지 않을 것" [경제일보] 개인정보보호위원회가 KT 개인정보 유출 사건에 대한 조사 절차를 마무리하고 처분 사전통지서를 발송했다. 쿠팡 대규모 개인정보 유출 사건도 의견서 검토 단계에 들어가면서 두 사건의 제재 수위가 조만간 결정될 전망이다. 송경희 개인정보보호위원회 위원장은 12일 ‘예방 중심 개인정보 관리체계 전환’ 정책브리핑에서 “KT에 대해서도 사전통지를 했고 현재 의견을 받는 단계”라며 “이미 조사가 마무리된 만큼 제재 결정까지 그렇게 오래 걸리지는 않을 것”이라고 밝혔다. 개인정보위의 조사 및 처분 절차에 따르면 조사관은 조사 결과보고서를 바탕으로 예정된 처분 내용을 당사자에게 사전통지한다. 이후 당사자에게 14일 이상의 의견 제출 기회를 부여한다. KT가 의견서를 제출하면 개인정보위는 이를 검토한 뒤 전체회의 의결을 거쳐 최종 제재 여부와 수위를 결정하게 된다. KT 사건은 팸토셀을 활용한 무단 소액결제 피해와 개인정보 유출 의혹이 맞물린 사안이다. 개인정보위는 불법 초소형 기지국인 팸토셀을 통한 무단 소액결제 사건과 관련해 KT의 개인정보 보호조치 적정성을 조사해왔다. 악성코드 ‘BPF도어’ 감염과 관련한 추가 조사도 진행한 바 있다. 송 위원장은 “팸토셀 문제로 소액결제 피해까지 발생했던 만큼 관심과 우려가 많은 사안이라는 것을 잘 알고 있다”며 “빨리 책임에 상응하는 적절한 처벌을 내리기 위해 노력하겠다”고 말했다. 쿠팡 대규모 개인정보 유출 사건 조사도 속도를 내고 있다. 개인정보위는 지난달 초 쿠팡 측에 처분 사전통지서를 발송했고 현재 쿠팡이 제출한 의견서를 검토 중이다. 업계에서는 쿠팡 측 의견서 분량이 방대해 검토에 시간이 걸릴 수 있지만 이르면 6월 중 제재 수위가 결정될 가능성이 있는 것으로 보고 있다. 송 위원장은 “사업자가 제출한 의견을 받아 검토 중이고 검토가 완료되면 개인정보위 전체회의에서 의결하도록 할 것”이라며 “지금 이 단계가 빠르게 진행되고 있다”고 설명했다. 다만 오는 9월 시행 예정인 징벌적 과징금 특례는 쿠팡과 KT 사건에 적용되기 어려울 전망이다. 개정 개인정보보호법은 고의·중과실로 대규모 개인정보 유출이 발생한 경우 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다. 하지만 법 시행 이후 발생한 사건부터 적용되는 만큼 현재 조사 중인 사건에 소급 적용하기는 어렵다. 송 위원장은 “법이라는 것은 감정만으로 되는 일이 아니기 때문에 철저하게 법 원칙에 따라 판단할 것”이라며 “잘못한 책임이 있다면 그에 상응하는 처분을 내리기 위해 개인정보위는 최선을 다하고 있다”고 말했다. 최근 결혼정보업체 듀오의 개인정보 유출 제재 수위 논란에 대해서도 설명했다. 듀오는 43만명의 개인정보가 유출됐지만 과징금 규모가 12억원 수준에 그쳐 처벌이 약하다는 지적을 받았다. 유출 정보에는 이름과 연락처뿐 아니라 신장 체중 혈액형 종교 혼인경력 학력 직장명 등 민감한 정보가 포함됐다. 송 위원장은 “현행 법 규정상 어쩔 수 없는 부분”이라며 “매출액 자체가 작은 기업의 경우 국민들이 느끼기에 사건의 심각성에 비해 제재 규모가 작다고 생각할 수 있을 것”이라고 말했다. 현행 개인정보보호법은 과징금을 매출액의 최대 3% 범위에서 부과하도록 하고 있다. 듀오는 중소기업 중 중기업에 해당해 관련 규정에 따라 일부 감경을 적용받았다. 개인정보위는 민감정보를 다루는 업종에 대한 점검도 강화한다. 결혼정보업체 상조회사 고객상담센터처럼 민감한 개인정보를 많이 처리하는 분야를 고위험 분야로 보고 실태점검을 확대할 방침이다. 송 위원장은 “국민들의 민감한 정보가 다크웹이나 사회관계망서비스상에 유통되고 있는지 계속 면밀하게 모니터링하고 있다”며 “결혼정보업체나 상조업체 상담센터처럼 민감한 정보를 많이 다루는 분야는 고위험 분야로 보고 실태점검을 실시해 안전관리 조치를 미리 할 수 있도록 만들 계획”이라고 밝혔다.2026-05-12 17:57:53
-
개보위, 중대 개인정보 유출 기업...9월부터 매출 최대 10% 과징금 [경제일보] 오는 9월부터 반복적이거나 중대한 개인정보 유출 사고를 낸 기업에는 매출액의 최대 10%까지 과징금이 부과된다. 정부는 주요 공공시스템과 대규모 개인정보 처리 시스템에 대한 직접 점검도 확대해 사후 제재 중심에서 예방 중심으로 개인정보 관리체계를 전환한다. 개인정보보호위원회는 12일 대통령 주재 국무회의에서 이 같은 내용의 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다. 핵심은 징벌적 과징금 도입이다. 오는 9월11일 시행되는 개정 개인정보보호법에 따라 반복적이거나 중대한 개인정보보호법 위반 행위에 대해서는 매출액의 최대 10%까지 과징금을 부과할 수 있다. 적용 대상은 고의 또는 중과실로 3년 내 반복된 위반 행위가 발생했거나 1000만명 이상 규모의 개인정보 유출 피해가 발생한 경우다. 대규모 유출 사고가 반복돼도 제재 수준이 기업 규모에 비해 낮다는 지적을 반영한 조치다. 과징금 산정 기준도 강화된다. 오는 19일 시행되는 개정 시행령에 따라 과징금 기준은 기존 ‘최근 3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘최근 3년 평균 매출액’ 가운데 더 높은 금액을 적용하는 방식으로 바뀐다. 매출이 급증한 기업이 낮은 평균 매출 기준을 적용받는 문제를 줄이려는 취지다. 조사와 처분의 실효성을 높이기 위한 제도도 도입된다. 개인정보위는 이행강제금과 신고포상금 제도를 마련하고 증거 은닉 행위에 대한 제재도 강화할 계획이다. 다만 개정법과 시행령은 시행 이후 발생한 사건부터 적용된다. 현재 조사 중인 쿠팡이나 KT 개인정보 유출 사건에는 소급 적용이 어려울 전망이다. 정부는 제재 강화와 함께 인센티브도 병행한다. 법정 기준을 넘어서는 보호조치와 보안 투자, 안전관리체계 운영 수준 등을 종합 평가해 과징금 감경 등 혜택을 제공한다. 오는 9월부터 시행되는 경영진의 개인정보 보호책임이 현장에서 이행될 수 있도록 기업의 개인정보 보호활동 공개도 유도할 방침이다. 위험도에 따른 차등 관리체계도 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야를 개인정보위가 직접 집중 관리한다. 올 하반기부터는 주요 공공시스템과 대규모 개인정보를 처리하는 약1700개 고위험 정보시스템을 정기 점검한다. 점검 대상은 공공기관에 그치지 않는다. 개인정보위는 클라우드 사업자 전문 수탁사 시스템 공급사 등 공급망 전반으로 점검 범위를 확대할 계획이다. 현재 상조회사와 고객상담센터 등에 대한 점검이 진행 중이며 초·중·고 에듀테크 업체도 추가 점검 대상에 포함된다. 서비스 설계 단계에서부터 개인정보 보호 요소를 반영하는 ‘개인정보 중심 설계’ 원칙도 제도화된다. 개인정보위는 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 중심 설계 원칙을 반영할 계획이다. 공공부문 보호 역량 강화도 추진된다. 개인정보위가 지난 3월 공공시스템을 긴급 점검한 결과 개인정보보호 전담 인력은 중앙부처 평균 1.1명, 기초지방정부 평균 0.3명 수준에 그쳤다. 정부는 공공부문 개인정보 보호 인력과 예산을 확충하고 전담 인력 처우 개선도 추진한다. 피해 구제 체계도 강화된다. 개인정보 유출 사고가 발생하면 기업과 기관의 손해배상 책임을 원칙으로 하고 입증 책임도 기업이 지도록 해 법정 손해배상 제도 활성화를 추진한다. 유출 피해자가 피해 사실과 손해를 모두 입증해야 하는 부담을 줄이겠다는 방향이다. 개인정보 침해 행위에 대한 감시도 넓어진다. 개인정보 수정, 동의 철회, 회원 탈퇴를 어렵게 만드는 다크패턴을 집중 점검하고 개인정보 침해신고센터 기능도 강화한다. 민감정보가 유출될 경우 SNS 등 온라인 공간에서 불법 유통 여부를 모니터링하고 탐지·삭제를 지원한다. 수사기관과의 협력도 강화된다. 개인정보 불법 유포자와 이용자에 대한 추적과 처벌을 확대해 유출 이후 2차 피해를 줄이겠다는 방침이다. 이번 계획은 개인정보 보호정책의 무게중심을 사후 처벌에서 사전 예방으로 옮기려는 시도다. 대규모 플랫폼과 전자상거래, 통신, 공공서비스에서 개인정보가 대량으로 처리되는 만큼 단순 과징금 부과만으로는 피해를 막기 어렵다는 판단이 깔려 있다. 다만 기업 입장에서는 규제 부담이 커질 수 있다. 특히 고의·중과실 여부와 반복 위반 판단 기준, 1000만명 이상 유출 사고의 책임 범위가 쟁점이 될 가능성이 있다. 개인정보 보호 투자와 경영진 책임을 강화하되, 기업이 예측 가능한 기준 아래 대응할 수 있도록 하위 기준을 명확히 정비하는 것이 관건이다. 송경희 개인정보위원장은 민간 분야 평가제도 도입과 관련해 “민간은 자발적으로 개인정보 보호를 유도할 수 있는 장치가 필요하다”며 “그간 ISMS-P 제도가 그 역할을 해왔다고 볼 수 있다”고 말했다. 송 위원장은 이어 “앞으로는 위험도에 따라 ISMS-P 체계를 차등 적용할 계획”이라며 “고위험 분야에는 강화된 인증 기준을 적용하고 보통인 경우에는 표준, 위험도가 낮은 분야에는 좀 더 간편화된 인증 기준을 적용할 것”이라고 밝혔다.2026-05-12 17:53:34
-
개인정보위 공공기관 본인전송 확대…'내 데이터' 주권 시대 연다 [경제일보] 개인정보보호위원회(이하 개인정보위)가 공공부문 마이데이터 확산을 위한 현장 점검에 나섰다. 국민의 개인정보 결정권을 강화하는 본인전송 제도가 오는 8월부터 공공 영역으로 확대 시행된다. 정보주체 즉 국민이 자신의 정보를 직접 통제하고 활용하는 데이터 주권 시대가 본격화하고 있다. 개인정보위는 29일 정부세종청사에서 간담회를 열었다. 행정안전부 보건복지부 건강보험공단 등 주요 공공기관 실무자들이 이 자리에 함께했다. 이번 간담회는 개인정보보호법 시행령 개정에 따라 새롭게 본인대상정보전송자가 되는 공공시스템운영기관의 준비 상황을 점검하기 위해 마련됐다. 본인전송 제도는 정보주체가 자신의 개인정보를 전송해달라고 요구할 수 있는 권리다. 기존에는 의료 통신 같은 일부 분야에만 적용됐다. 하지만 개정 시행령은 적용 범위를 대폭 넓혔다. 일정 규모 이상의 민간 사업자뿐 아니라 국민의 민감한 정보를 다루는 핵심 공공기관도 의무 대상에 포함시켰다. 이에 따라 해당 공공기관은 정보주체가 본인전송을 요구할 수 있는 방법과 절차를 마련해야 한다. 개인정보처리방침에 전송 대상 정보와 요구 방법 등을 명확히 기재해야 한다. 전송 대상은 정보주체의 동의나 법령에 따라 수집된 정보다. 다만 기관이 자체적으로 생성한 정보나 영업비밀 국가 산업기술 등은 제외된다. 개인정보위는 대리인이 자동화 도구 스크래핑을 이용해 본인전송을 요구할 경우를 대비한 안전장치도 구체화했다. 본인대상정보전송자와 대리인은 사전에 전송 범위와 목적 방식 등을 반드시 협의해야 한다. 대리인의 위임권 확인과 보안 조치 책임 소재 등도 사전 협의 대상이다. 무분별한 데이터 요청으로 인한 시스템 과부하와 보안 사고를 막기 위한 조치다. 개인정보위는 이날 간담회에서 나온 현장 의견을 수렴할 예정이다. 이를 반영한 '전 분야 마이데이터 제도 안내서' 최종본은 오는 6월 공개된다. 새로운 제도가 서류상 권리에 그치지 않고 국민이 체감하는 혁신 서비스로 이어질지 주목된다.2026-04-29 17:38:03
-
삼성전자 '노조 블랙리스트' 의혹…개인정보 유출에 수사 의뢰 [경제일보] 삼성전자 내부에서 임직원 개인정보를 활용해 노조 가입 여부를 정리한 '블랙리스트' 작성 시도가 있었다는 의혹이 제기되며 회사가 수사 의뢰에 나섰다. 13일 업계에 따르면 삼성전자는 지난 10일 사내 공지를 통해 특정 부서 단체 메신저 방에서 부서명, 성명, 사번, 노조 가입 여부 등이 포함된 명단이 공유된 사실을 확인했다고 밝혔다. 회사 측은 "업무와 무관한 목적으로 임직원 정보를 추출·공유한 행위는 명백한 범죄이자 심각한 인권 침해"라며 지난 9일 경기도 화성동탄경찰서에 개인정보보호법 위반 혐의로 형사 고소장을 제출한 것으로 전해졌다. 해당 명단은 일부 직원들이 노조 가입 사이트의 '사번 중복 확인' 기능을 활용해 특정 임직원의 노조 가입 여부를 확인한 뒤 작성·유포한 것으로 추정된다. 최근 사내 메신저를 중심으로 노조 미가입자 명단이 확산되면서 논란이 커진 상황이다. 특히 노조가 총파업 계획을 밝히는 과정에서 파업 미참여자를 관리하겠다는 취지의 발언이 나오면서 이번 명단 작성에 노조가 관여된 것 아니냐는 의혹도 제기되고 있다. 앞서 최승호 초기업노조 삼성전자 지부 위원장은 지난달 유튜브 방송에서 "파업에 참여하지 않고 근무하는 인원을 명단으로 관리하겠다"며 "향후 인사 조치 시 참고 대상이 될 수 있다"는 취지의 발언을 해 논란을 빚은 바 있다. 법조계에서는 이 같은 행위가 개인정보보호법 위반은 물론 업무방해 및 직장 내 괴롭힘 금지 규정 위반으로 이어질 수 있다고 보고 있다. 노조 가입 여부나 쟁의행위 참여는 개인의 자유 의사에 따른 영역인 만큼 특정인을 식별해 명단화하는 행위 자체가 심리적 압박과 불이익을 유도하는 수단으로 작용할 수 있다는 지적이다. 삼성전자는 관련 사실관계를 확인하는 한편 위법 행위에 대해서는 엄정 대응한다는 방침이다.2026-04-13 16:57:31
-
빔 소프트웨어, AI 시대 데이터 계층 보안 중심 '에이전트 커맨더' 공개 [경제일보] 글로벌 데이터 보호 및 복원력 솔루션 시장의 강자 빔 소프트웨어(지사장 홍성구)가 인공지능(AI) 확산으로 인해 복잡해진 기업의 데이터 보안 위협을 해결하기 위한 정면 돌파에 나섰다. 25일 서울 조선 팰리스 호텔에서 열린 미디어 간담회를 통해 기존의 경계 기반 보안 체계를 넘어 데이터 계층 자체에서 보안과 접근을 관리하는 새로운 패러다임을 제시했다. 존 제스터 빔 소프트웨어 최고매출책임자(CRO)는 이날 발표에서 AI 기술이 기업 현장에 빠르게 녹아들면서 데이터 리스크와 거버넌스 위기가 동시에 커지고 있다고 진단했다. 그는 기업이 직면한 3대 위기로 데이터의 위치를 파악하지 못하는 가시성 격차와 AI 결과물을 온전히 믿지 못하는 신뢰 격차 그리고 사고 발생 시 빠른 복구를 담보하지 못하는 회복력 격차를 꼽았다. 이러한 격차를 해소하기 위한 핵심 병기로 빔은 '에이전트 커맨더(Agent Commander)'를 전면에 내세웠다. 에이전트 커맨더는 빔이 지난해 인수한 시큐리티 AI의 데이터 제어 기술과 자사의 백업 인프라를 결합한 차세대 솔루션이다. AI 에이전트가 기계적인 속도로 데이터를 수정하거나 덮어쓰는 과정에서 발생할 수 있는 오작동과 민감 정보 유출을 실시간으로 감시하고 제어하는 것이 특징이다. 빔이 특히 한국 시장을 'AI 보안의 최전선'으로 규정한 점도 눈에 띈다. 한국은 전 세계에서 두 번째로 포괄적인 AI 기본법을 제정한 국가이자 금융과 통신 및 제조 산업 전반에서 AI 도입이 매우 공격적으로 이뤄지고 있기 때문이다. 이에 따라 빔은 지난해 국내 인력과 리소스를 40% 이상 확충하며 한국 대기업들의 AX(AI 전환) 과정을 밀착 지원하고 있다. 실제로 국내 보안 환경은 갈수록 악화하고 있다. 2025년 기준 국내 사이버 침해 사고는 전년 대비 26% 증가한 2383건에 달하며 이 중 60% 이상이 AI와 연루된 것으로 분석됐다. 해커들이 AI를 활용해 더욱 정밀하고 조직적인 공격을 감행함에 따라 기업들 역시 단순한 방어벽 구축이 아닌 '복원력' 중심의 전략 수정이 불가피해진 셈이다. 규제 대응 역시 국내 기업들에 큰 압박으로 작용하고 있다. 개인정보보호법에 따른 72시간 이내 통보 의무와 클라우드 보안인증(CSAP) 및 망 보안체계(N2SF) 준수 등 복합적인 요구를 충족해야 한다. 제스터 CRO는 빔의 솔루션이 서비스형 소프트웨어(SaaS)와 온프레미스 등 다양한 환경을 지원하며 기업이 규제 준수에 대한 자신감을 가질 수 있도록 돕는 파트너가 되겠다고 강조했다. 앞으로 빔은 삼성과 현대차 및 SK 등 국내 주요 대기업과 제조 현장을 우선적으로 공략하며 세력을 확장할 계획이다. 특히 공공기관과 금융권에서 추진 중인 대규모 차세대 프로젝트를 수주해 AI 데이터 거버넌스의 표준을 선점하겠다는 포석이다. 백업 전문 기업을 넘어 데이터 복원력 전문 기업으로 체질 개선에 성공한 빔의 행보가 국내 AI 보안 시장의 지형도를 어떻게 바꿀지 귀추가 주목된다. 한편 AI 시대의 보안은 사고를 완벽히 막는 것이 아니라 사고가 발생하더라도 얼마나 빨리 신뢰할 수 있는 데이터로 돌아가느냐에 성패가 달렸다. 빔은 데이터의 생성부터 이동과 사용 전 과정을 추적 가능한 형태로 시각화함으로써 기업이 AI의 잠재력을 리스크 없이 극대화할 수 있는 안전장치를 제공하겠다는 구상이다.2026-03-25 15:13:00
-
"털리면 회사 휘청"…유럽 뛰어넘는 '매출 10%' 징벌적 과징금 온다 [경제일보] 기업의 개인정보 유출 사고를 실무진의 실수나 IT 부서의 책임으로 꼬리 자르던 관행에 마침표가 찍힌다. 앞으로 중대한 개인정보 침해 사고를 낸 기업은 전체 매출액의 최대 10%에 달하는 징벌적 과징금을 물어야 하며 최고경영자(CEO)가 최종 책임자로 명시된다. 개인정보보호위원회는 이 같은 내용을 골자로 한 '개인정보 보호법' 개정안을 10일 공포하고 오는 9월11일부터 본격 시행한다고 9일 밝혔다. 공공 및 민간 주요 기관에 대한 정보보호 관리체계(ISMS-P) 인증 의무화 규정은 준비 기간을 고려해 2027년7월1일부터 적용된다. 이번 법 개정은 최근 수년간 끊이지 않고 발생한 대규모 개인정보 유출 사태를 근절하기 위한 정부의 초강수다. 기존 사후 처벌 위주의 솜방망이 제재에서 벗어나 기업의 지배구조(거버넌스) 자체를 '보안 우선'으로 뜯어고치겠다는 강력한 의지가 반영됐다. 가장 파장이 큰 변화는 징벌적 과징금 제도의 도입이다. 기존 법 체계에서는 과징금 상한선이 '전체 매출액의 3% 이하'였으나 이번 개정으로 '반복적이거나 중대한 위반행위'에 대해서는 상한선이 전체 매출액의 10%까지 대폭 상향됐다. 이는 글로벌 최고 수준의 개인정보 규제로 꼽히는 유럽연합(EU)의 일반개인정보보호법(GDPR) 과징금 상한선(전체 매출의 4%)을 훌쩍 뛰어넘는 강력한 제재다. 10% 과징금이 적용되는 '중대 위반'의 기준도 명확히 했다. 최근 3년간 고의 또는 중과실로 위반 행위를 반복한 경우나 1000만명 이상의 대규모 피해를 초래한 경우 그리고 시정명령을 불이행해 유출 사고가 발생한 경우 등이 이에 해당한다. 글로벌 빅테크는 물론 국내 대형 플랫폼과 통신사 등 국민 대다수를 회원으로 둔 기업들에게는 사활이 걸린 리스크가 생긴 셈이다. ◆ '유출 가능성'만 있어도 즉시 통지…랜섬웨어 피해도 포함 개인정보 유출에 대한 기업의 대응 매뉴얼도 전면 개편된다. 과거에는 기업이 내부 조사를 거쳐 '유출 사실이 확실히 확인된 후'에야 정보주체(이용자)에게 통지하는 경우가 많아 피해를 키운다는 지적이 잇따랐다. 앞으로는 '유출 등의 가능성이 있음을 알게 된 때' 즉시 이용자에게 알려야 한다. 사고 초기부터 이용자가 비밀번호를 변경하거나 2차 금융 사기에 대비할 수 있는 골든타임을 확보하기 위함이다. 또한 유출의 개념을 확장해 랜섬웨어 공격 등으로 인한 개인정보의 위조·변조·훼손도 신고 및 통지 대상으로 명문화했다. 데이터를 외부로 빼돌리지 않고 내부 서버를 암호화해버리는 최신 사이버 범죄 트렌드를 법망 안으로 끌어들인 것이다. 더불어 기업은 유출 통지 시 이용자에게 손해배상 청구나 분쟁조정 신청 등 구체적인 피해 구제 방법도 의무적으로 안내해야 한다. 내부 책임 구조의 변화는 기업 지배구조에 상당한 파장을 예고한다. 개정법은 CEO를 개인정보 처리 및 보호의 '최종 책임자'로 규정하고 관리·감독 의무를 법에 명시했다. 보안 사고 발생 시 경영진이 책임을 회피할 수 있는 퇴로를 원천 차단한 것이다. 최고개인정보책임자(CPO)의 위상도 대폭 강화된다. 일정 규모 이상의 기업은 CPO를 지정하거나 해임할 때 반드시 이사회 의결을 거치고 개인정보위에 신고해야 한다. CPO에게는 전문 인력 관리와 예산 확보 권한이 부여되며 관련 사항을 대표와 이사회에 직접 보고하도록 의무화했다. CPO가 경영진의 눈치를 보지 않고 독립적인 보안 통제 타워 역할을 수행할 수 있도록 제도적 방패막이를 쳐준 조치다. 산업계는 바짝 긴장하면서도 전사적인 보안 체계 재구축에 돌입할 전망이다. 징벌적 과징금이라는 거대한 '채찍'과 함께 사전 예방 투자에 대한 '당근'도 명확해졌기 때문이다. 개정안은 기업이 개인정보 보호를 위해 예산과 인력 및 설비를 선제적으로 투자하고 운영한 사실이 입증되면 고의·중과실이 아닌 이상 과징금을 필수적으로 감경해주도록 규정했다. 보안업계 전문가는 이번 개정안이 정보보안 시장의 퀀텀점프를 이끌 것으로 내다본다. 과징금 폭탄을 피하기 위해 대기업뿐만 아니라 중견기업들까지 보안 솔루션 도입과 인프라 확충에 지갑을 열 수밖에 없는 구조가 형성됐기 때문이다. 또한 2027년부터 주요 기관의 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 의무화됨에 따라 관련 컨설팅 및 시스템 통합(SI) 산업도 특수를 누릴 것으로 예상된다. 결국 다가오는 9월은 대한민국 산업계가 '데이터 수집을 통한 이윤 창출'에서 '안전한 데이터 관리를 통한 신뢰 확보'로 체질을 완전히 바꾸는 분수령이 될 전망이다.2026-03-09 18:38:31
-
배송지 정보만 '1.4억회' 털렸다…쿠팡, 사상 최대 유출 사고 확인 [이코노믹데일리] 과학기술정보통신부가 쿠팡 침해사고 조사 결과를 발표하며 이번 사고를 국내 전자상거래 플랫폼 사상 최대 규모의 개인정보 유출 사건으로 규정했다. 실제 유출된 계정은 3000만개가 넘었고 배송지 목록 페이지는 1.4억여회 조회된 것으로 확인됐다. 10일 과기정통부는 민관합동조사단 조사 결과를 공개했다. 조사단은 이번 사고가 정보통신망법상 중대한 침해사고에 해당한다고 판단하고 사고 원인 분석과 재발 방지 대책을 마련했다. 이번 쿠팡 개인정보 유출 사고는 지난해 11월 16일 이용자가 개인정보 유출 의심 이메일을 받았다는 신고로 드러났다. 쿠팡은 다음날 침해사고를 인지한 뒤 지난해 11월 19일 한국인터넷진흥원에 4536개 계정 정보 유출을 신고했다. 반면 현장 조사 결과 실제 유출 규모는 3000만개 이상으로 파악됐다. 조사 결과 공격자는 쿠팡의 이용자 인증 체계를 악용해 내정보 수정, 배송지 목록, 주문 목록 페이지 등에 접근해 대규모 정보를 유출한 것으로 확인됐다. 내정보 수정 페이지에서는 성명과 이메일이 포함된 3367만여건의 정보가 유출됐고 배송지 목록 페이지는 1억4800만회 이상 조회돼 성명, 전화번호, 주소, 공동현관 비밀번호 등이 노출된 것으로 나타났다. 또한 주문 목록 페이지를 통해 최근 주문 상품 정보도 유출된 것으로 조사됐다. 배송지 정보에는 계정 소유자 외 가족이나 지인 등 제3자의 개인정보도 다수 포함돼 피해 범위가 더 클 가능성이 제기된다. 개인정보보호위원회는 개인정보보호법 위반 여부와 정확한 유출 규모를 조사 중이며 경찰청도 관련 수사를 진행하고 있다. 과기정통부는 이번 사고를 계기로 대형 플랫폼의 인증 체계와 정보보호 관리 전반을 강화하겠다고 설명했다.2026-02-10 17:23:23
-
SKT, '1348억원 과징금' 불복 소송 제기... "피해 구제 노력 감안해야" [이코노믹데일리] 사상 최대 규모인 1348억원의 개인정보 유출 과징금 처분을 받은 SK텔레콤이 결국 정부를 상대로 법적 대응에 나섰다. 해킹 사고 수습을 위해 1조원 넘는 비용을 투입했음에도 불구하고 천문학적인 과징금이 부과된 것은 '비례의 원칙'에 어긋난다는 판단에서다. 19일 법조계와 통신 업계에 따르면 SK텔레콤은 이날 오후 서울행정법원에 개인정보보호위원회를 상대로 과징금 부과 처분 취소 소송을 제기했다. 행정소송 제기 기한인 20일을 하루 앞두고 내린 결정이다. SK텔레콤은 앞서 부과된 과징금을 전액 납부한 상태에서 법리 다툼을 이어가게 됐다. ◆ 쟁점은 '비례의 원칙'과 '매출액 기준' 이번 소송의 핵심은 과징금 산정 기준의 적절성이다. 개인정보위는 지난해 8월 SK텔레콤 해킹 사고로 2324만명의 정보가 유출된 건에 대해 '매우 중대 위반 행위'를 적용했다. 특히 개정된 개인정보보호법에 따라 위반 행위와 관련된 매출액이 아닌 '전체 매출액'을 기준으로 과징금을 산정해 1347억9100만원이라는 역대 최대 금액을 매겼다. 이는 2022년 구글과 메타가 이용자 동의 없이 정보를 수집해 맞춤형 광고에 활용했다가 받은 과징금 합계(1000억원)를 웃도는 수준이다. SK텔레콤 측은 소송 과정에서 형평성 문제를 집중 거론할 전망이다. 구글이나 메타는 영리 목적으로 고의적으로 정보를 활용했지만 SK텔레콤은 해킹 공격을 당한 '피해자' 입장이 강하다는 논리다. 또한 사고 직후 유심 무상 교체와 고객 보상 프로그램, 보안 혁신 등에 총 1조2000억원을 투입하며 사태 수습에 나선 점이 과징금 감경 사유로 충분히 반영되지 않았다고 주장할 것으로 보인다. 유출된 정보로 인한 직접적인 금융 피해가 확인되지 않았다는 점도 주요 방어 논리다. SK텔레콤이 정부와의 전면전을 택한 배경에는 실적 악화가 자리 잡고 있다. 지난해 2분기와 3분기 SK텔레콤은 해킹 사고 관련 충당금과 보상 비용, 그리고 이번 과징금 납부로 인해 영업이익이 전년 대비 급감하는 '어닝 쇼크'를 겪었다. 경영진 입장에서는 주주 가치 제고와 배임 이슈 해소를 위해서라도 법원의 판단을 구해 과징금 규모를 줄여야 하는 상황이다. 향후 통신업계에 미칠 파장도 고려된 것으로 풀이된다. 현재 KT 역시 펨토셀 해킹 사고로 인한 개인정보 유출 건으로 개인정보위의 제재 절차를 밟고 있다. SK텔레콤이 이번 처분을 그대로 수용할 경우 향후 발생하는 보안 사고에서도 '전체 매출액 기반의 고강도 과징금'이 업계 표준으로 굳어질 수 있다는 위기감이 작용한 것으로 분석된다. ◆ 치열한 법리 공방 예고... KT 제재 수위에도 영향 법조계에서는 이번 소송이 개인정보보호법 개정 이후 기업의 보안 책임 범위와 과징금 산정 기준을 확립하는 중요한 판례가 될 것으로 보고 있다. 개인정보위는 SK텔레콤이 암호화 키 관리 소홀 등 기본적인 안전조치 의무를 위반했고 유출 통지를 지연해 혼란을 키웠다는 입장을 고수하고 있어 치열한 공방이 예상된다. 업계 관계자는 "SK텔레콤은 해킹 방어의 기술적 한계와 사후 구제 노력을 강조하며 과징금 감액을 시도할 것"이라며 "이번 소송 결과는 현재 조사가 진행 중인 KT 등 다른 기업들의 제재 수위 결정에도 상당한 영향을 미칠 전망"이라고 말했다.2026-01-19 17:49:39
-
실적 쇼크 부른 '역대 최대 과징금'... SKT, 20일 결단 내리나 [이코노믹데일리] 사상 최대 규모인 1348억원의 과징금 처분을 받은 SK텔레콤이 개인정보보호위원회를 상대로 행정소송을 제기할지 여부가 20일 판가름 난다. 업계에서는 SK텔레콤이 막대한 재무적 타격을 입은 만큼 법적 대응을 통해 과징금 규모를 줄이고 경영상 배임 이슈를 해소하려 할 것으로 보고 있다. 19일 법조계와 통신 업계에 따르면 SK텔레콤의 행정소송 제기 기한은 오는 20일이다. 행정소송법상 처분 송달일로부터 90일 이내에 소를 제기해야 한다. SK텔레콤 측은 "아직 결정된 바 없다"며 신중한 입장을 고수하고 있지만 내부적으로는 대형 로펌을 선임해 소송 실익을 검토해 온 것으로 알려졌다. 이번 사안의 핵심 쟁점은 '비례의 원칙'과 '기술적 과실' 여부다. SK텔레콤은 과징금 규모가 형평성에 어긋난다고 주장한다. 과거 고객 동의 없는 개인정보 활용으로 제재받은 구글의 과징금은 692억원이었고 유사한 유출 사고를 겪은 LG유플러스는 68억원에 그쳤다. 반면 SK텔레콤은 개정된 개인정보보호법에 따라 '관련 매출'이 아닌 '전체 매출' 기준으로 과징금이 산정돼 1000억원을 훌쩍 넘겼다. 반면 개보위는 SK텔레콤의 과실이 '매우 중대'하다고 판단했다. 조사 결과 SK텔레콤은 유심(USIM) 암호화 키를 암호화하지 않고 평문으로 저장했으며 관리자 인증 절차 없이도 개인정보 조회가 가능하도록 시스템을 방치한 것으로 드러났다. 또한 유출 사실 인지 후 법정 기한 내 통지하지 않아 사회적 혼란을 키웠다는 점도 가중 처벌의 근거가 됐다. 소송이 진행될 경우 SK텔레콤은 고의적인 지연 신고가 아니었으며 보안 시스템 미비가 '중과실'에 해당하지 않는다는 점을 입증하는 데 주력할 것으로 보인다. ◆ 실적 반토막 낸 과징금... KT 등 업계 파장 주목 SK텔레콤이 소송에 나설 수밖에 없는 배경에는 실적 악화가 있다. 지난해 해킹 사고 수습을 위해 유심 무상 교체와 5000억원 규모의 고객 보상 패키지를 집행하면서 2분기와 3분기 영업이익이 곤두박질쳤다. 특히 3분기에는 별도 기준 522억원의 영업적자를 기록했다. 주주 가치 제고와 경영진의 책임론을 불식시키기 위해서라도 법원의 판단을 구하는 절차가 불가피하다는 분석이다. 이번 소송은 향후 통신업계 제재의 '가늠자'가 될 전망이다. KT 역시 최근 펨토셀 해킹으로 인한 정보 유출로 개보위의 처분을 앞두고 있다. SK텔레콤의 법적 대응 결과가 과징금 산정 기준과 감경 요소에 대한 판례로 작용할 가능성이 크다. 업계 관계자는 "이번 사건은 데이터 경제 시대에 기업의 보안 책임 범위를 묻는 중요한 선례가 될 것"이라며 "SK텔레콤이 소송을 제기한다면 기술적 쟁점과 법리적 해석을 두고 개보위와 치열한 공방이 예상된다"고 전망했다.2026-01-19 14:25:00
-
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.2025-12-30 00:07:28
-
우리·롯데 이어 신한까지...연이은 유출 사고에 카드업계 내부통제 '빨간불' [이코노믹데일리] 국내 카드업계 1위인 신한카드에서 19만명의 가맹점주 개인정보가 유출되는 사고가 발생하면서 7개 전업카드사(삼성카드·신한카드·KB국민카드·현대카드·하나카드·우리카드·롯데카드)에 대한 금융 소비자들의 불안감이 커지고 있다. 29일 업계에 따르면 최근 신한카드는 자사 가맹점 대표자의 휴대전화번호·생년월일·성명 등 개인정보 약 19만건이 유출된 사실을 확인하고 개인정보보호위원회에 신고했다. 세부 유출 사항은 △휴대전화번호 18만1585건 △휴대전화번호·성명 8120건 △휴대전화번호·성명·생년·성별 2310건 등이다. 이번 사고는 신한카드 내부 직원이 가맹점주 정보를 신규 카드 모집에 이용할 목적으로 유출해 발생한 것으로 밝혀졌다. 특히 유출 기간은 지난 2022년 3월부터 올해 5월까지로 3년에 달하는 기간 동안 지속적으로 정보 유출이 이뤄졌다. 다만 신한카드는 유출된 정보는 가맹점 대표자 정보로 주민등록번호·카드번호 등 신용정보는 유출되지 않았으며 외부 유출로 인한 피해는 없었다고 설명했다. 이에 금융위원회는 긴급 대책회의를 소집해 사고 경위 파악·신용 정보 유출 가능성에 대한 검사 등을 논의했다. 금융위는 신한카드의 신용 정보 유출 여부·내부통제 시스템을 점검하기 위해 현장 검사에 착수하고 신용정보 유출 확인 시 조치에 나설 계획이다. 업계는 이번에 발생한 신한카드 정보 유출 사고가 유출 정보의 종류·방식의 차이가 있으나 내부 영업 직원이 고객 모집을 위해 정보를 빼돌렸다는 점에서 우리카드의 가맹점주 정보 유출 사고와 비슷한 사례로 보고 있다. 우리카드는 지난해 4월 우리카드 인천영업센터에서 신규 카드발급 마케팅을 위해 약 13만명의 개인정보를 무단 조회·활용한 사실이 밝혀졌다. 이에 개인정보보호위원회는 지난 3월 우리카드에 개인정보보호법 위반으로 134억원 규모 과징금을 부과했다. 개인정보보호법상 정보 유출 사고 과징금은 매출액의 3% 이내로 신한카드도 사태 심각성에 따라 수백억원대 과징금이 부과될 수 있을 것으로 예측된다. 올해 롯데카드에서는 외부 공격자 해킹으로 인해 약 297만명 고객의 정보가 유출되는 사고가 발생했다. 해킹 원인은 자주 사용하지 않던 결제망 서버의 패치 누락으로 △카드번호 △CVC △비밀번호 등의 민감 정보가 유출됐다. 이처럼 카드업계에서는 우리카드가 가맹점주 개인정보를 무단 활용해 과징금이 부과된 데 이어 롯데카드에서 대규모 해킹 사고가 발생하는 등 보안·내부 통제 우려가 확산되고 있다. 금융 당국에서도 카드업계의 정보 유출 사고에 관해 보안 관리를 지적하고 내부 통제 강화를 주문했다. 이억원 금융위원장은 여신전문금융사 간담회에서 "최근 카드사의 고객정보 유출 사고는 소비자 보호에 대한 안일한 인식을 보여준 것으로 재발 방지를 위한 뼈를 깎는 노력이 필요하다"고 지적한 바 있다. 금융감독원에서도 금융사의 정보 보안 투자·리스크 관리 및 내부통제 기준 강화 등의 법안 마련에 나섰다. 당국에서 소비자 보호를 재차 강조하며 조직 개편에도 이를 반영하는 만큼 카드업계의 내부통제 관리 주목도는 더욱 높아질 전망이다. 서지용 상명대 교수는 "고객 데이터를 많이 보유한 카드사에서 유출 사고가 계속 발생하면 카드업계 전체의 신뢰성이 떨어질 수 있다"며 "영업소 직원의 일탈·해킹 등으로 인해 사고가 발생한 만큼 내부 감사·컴플라이언스 오피서 확대·보안 고도화 등을 통해 내부적인 자정 노력에 적극적으로 나서야 한다"고 말했다.2025-12-29 17:07:00
-
배경훈 부총리 "쿠팡 3000만 정보 유출은 명백한 불법... 영업정지까지 검토" [이코노믹데일리] 정부가 사상 초유의 개인정보 유출 사태를 일으킨 쿠팡을 향해 "단 하나의 의혹도 남기지 않겠다"며 사실상 전면전을 선포했다. 29일 배경훈 부총리 겸 과학기술정보통신부 장관은 '쿠팡 사태 범정부TF' 회의를 주재하고 이번 사태를 단순한 보안 사고가 아닌 기업의 사회적 책임 방기이자 중대한 법령 위반으로 규정하며 강도 높은 대응을 예고했다. 배 부총리는 이날 회의에서 "국민의 신뢰 위에서 성장해 온 기업이 책임을 회피하는 행태는 결코 정당화될 수 없다"며 강한 어조로 비판했다. 그는 특히 "쿠팡이 국내 고객 정보 3000만 건 이상을 유출한 것은 명백한 국내법 위반 사항"이라고 지적하며 "정부는 쿠팡의 법령 위반 사실이 확인될 경우 다른 기업과 동일한 잣대로 법과 원칙에 따라 엄정하게 조치할 것"이라고 강조했다. 이는 쿠팡이 외국계 기업(미국 상장사)이라는 점을 내세워 국내 규제를 회피하려 한다는 일각의 우려를 불식시키기 위한 발언으로 해석된다. 이번 범정부 TF는 배 부총리를 팀장으로 개인정보보호위원회와 경찰청 및 고용노동부, 공정거래위원회, 국세청, 국토교통부, 국가정보원, 금융위원회, 방송미디어통신위원회, 외교부, 중소벤처기업부 등 11개 주요 부처가 참여하는 매머드급으로 꾸려졌다. 정부가 개별 기업의 이슈에 대응하기 위해 이처럼 대규모 연합 전선을 구축한 것은 매우 이례적인 일이다. 정부는 이번 사태를 디지털 플랫폼 시대의 개인정보 보호와 노동자 안전 및 공정한 시장 질서 확립을 위한 시금석으로 삼겠다는 각오다. TF는 조사와 처벌 및 제도 개선 등 전방위적인 압박에 나선다. 우선 과기정통부와 경찰청 및 개인정보위 등 조사기관들은 역할을 분담해 신속한 진상 규명에 착수한다. 과기정통부는 기술적인 해킹 사고 원인과 쿠팡의 보안 시스템 취약점을 집중 분석하고 개인정보위는 정확한 유출 규모와 개인정보보호법 위반 여부를 따진다. 경찰청은 압수물 분석과 국제 공조를 통해 피의자 검거에 주력하며 금융위는 유출된 정보를 악용한 부정 결제 가능성과 고금리 대출 유도 관행 등을 들여다볼 계획이다. 가장 눈에 띄는 대목은 '영업정지' 가능성이다. 공정거래위원회는 정보 도용 여부와 소비자의 재산상 손해 발생 우려 등을 종합적으로 고려해 쿠팡에 대한 영업정지 처분까지 검토하고 있다. 또한 공정위와 방송미디어통신위원회는 쿠팡의 복잡한 회원 탈퇴 절차가 전자상거래법 및 전기통신사업법상 금지 행위에 해당하는지도 조사 중이다. 이용자가 서비스를 해지하려 할 때 의도적으로 절차를 까다롭게 만드는 이른바 '다크 패턴' 여부를 가려내겠다는 것이다. 노동 환경 개선을 위한 압박도 병행된다. 고용노동부는 쿠팡의 야간 노동 실태와 근로자 건강권 보호 조치가 적절했는지 현장 점검을 실시한다. 국토교통부는 쿠팡 배송 종사자 보호를 위해 국회 을지로위원회와 협력해 근로 여건 개선을 위한 제도적 장치를 조속히 마련하기로 합의했다. 배 부총리는 "이번 사안은 개인정보 문제를 넘어 국민의 안전과 권익 그리고 기업의 사회적 책임 전반과 직결된 사안"이라며 "범정부가 하나의 팀(One Team)으로 움직여 국민이 안심할 수 있도록 끝까지 철저히 대응하겠다"고 거듭 강조했다. 정부의 이러한 고강도 대응 기조에 따라 쿠팡은 창사 이래 최대의 사법 리스크와 경영 위기에 직면하게 될 전망이다.2025-12-29 16:18:34
-
로저스 "입점업체 피해 땐 보상"…정부, 제재 카드 '만지작' [이코노믹데일리] 해럴드 로저스 쿠팡 대표가 이번 개인정보 유출로 입점업체 피해가 확인될 경우 보상하겠다고 말했으나 이렇다 할 계획을 내놓지는 않았다. 청문회에서는 패스키에 이어 2단계 인증까지 보안 관련 질의가 쏟아졌다. 아울러 이번 사고가 SFC에 공시 의무가 있는 중대 사고는 아니라고 선을 그었다. 정부는 침해 원인을 '퇴사자의 악의적 보복'으로 추정했으며 영업정지 검토와 민관합동조사단 운영 방식도 쟁점으로 떠올랐다. 17일 국회 과학기술정보방송통신위원회가 쿠팡 개인정보 유출 사태를 놓고 청문회를 연 가운데 해롤드 로저스 쿠팡 임시대표는 입점업체 피해가 확인되면 보상안을 마련하겠다고 말했다. 로저스 대표는 "실제 피해가 있는 부분이 드러난다면 책임감 있는 보상안을 내놓겠다"고 말했다. 다만 "해당 내용과 관련해서는 내부적으로 검토해야 한다"고 덧붙였다. '2단계 인증', '패스키' 공방…언어장벽 탓에 맹탕 질의도 이해민 조국혁신당 의원은 이날 청문회에서 쿠팡이 로그인 과정에서 2단계 인증을 제공하는지 따져 물었다. 이에 로저스 대표는 "다중인증(MFA)을 도입하고 있는 것으로 안다"고 답했다. 이 의원은 쿠팡이 2021년 5월 판매자 2단계 인증 미제공으로 과태료 360만원 처분을 받았던 사례를 언급하며 "기본 로그인에 2단계 인증을 적용하지 않는 것은 이용자 불안을 키운다"고 지적했다. 이어 개인정보보호법 시행령 고시 위반 소지도 거론했다. 로저스 대표는 화면에 제시된 한국어 규정 내용을 정확히 알기 어렵다며 영문 제공을 요청했다. 앞서 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 글로벌 보안 표준인 '패스키'가 대만에만 도입된 점을 지적하자 "다국적 기업에서는 새 기능 적용 시 작은 시장부터 도입하는 경우가 흔하다"며 "한국에는 내년 상반기 도입 예정"이라고 해명한 바 있다. 이날 청문회는 비슷한 대화가 끊임없이 오갔다. 로저스 대표는 언어 장벽을 이유로 의원 질문에 상반되는 답을 내놨다. 과방위 의원들은 통역에 수 차례 "쓸데없는 관용어구를 빼 달라", "핵심만 통역해달라"고 부탁했으나 로저스 대표는 여러 차례 질의를 끊고 "제가 한 말이 제대로 통역된 것이 맞느냐"고 확인하며 시간이 지체됐다. 이에 이훈기 더불어민주당 의원은 "의미있는 답변을 얻을 수 없어 해럴드 로저스 대표에게는 질문하지 않겠다"고 발언하기도 했다. 'SEC 공시 의무 없었다' 주장…퇴사자, 마스터키 약 1년 탈취 로저스 대표는 "SEC 규정상 이번 사고는 중대 사고가 아니어서 공시 의무가 없었다"며 "현재 유출된 데이터 유형을 봤을 때 미국 개인정보 보호법하에서 신고해야 하는 것은 아니다"라고 말했다. 이어 "데이터 민감성 정도를 고려했을 때 미국 내에서는 개인정보보호법 위반이 되지 않는다"고도 했다. 유출 정보가 중국 등으로 유통됐다는 주장에 대해서는 "확인된 바가 없다"고 밝혔다. 다만 쿠팡이 미국 증권거래위원회 제출 자료에서 '사업 운영에 대한 중대한 차질은 발생하지 않았다'고 기재한 대목이 도마에 올랐다. 캘리포니아 소비자 프라이버시 법(CCPA), 미국 연방정부 및 연방거래위원회(FTC) 표준에 따르면 이름과 주소는 개인 식별 정보의 최우선 수준으로 명시하고 개데이터 침해 사고 시 개인을 구별하거나 추적할 수 있는지가 핵심이다. 이를 두고 로저스 대표는 "'중대한 차질이 발생하지 않았다'는 표현은 서비스 운영에 있어 중단 등 중대한 차질이 빚어질 수 있는가와 관련한 설명"이라고 해명했다. "퇴사 직원 보복 추정"…쿠팡, 영업정지 가능성 거론도 배경훈 부총리 겸 과학기술정보통신부 장관은 침해 사고 배경과 관련해 사고를 일으킨 것으로 지목된 중국 국적 퇴사자의 범행 의도를 묻는 질의에 "퇴사를 당하면서 악의적인 보복을 했던 것으로 추정한다"고 답했다. 다만 해당 직원의 퇴사 과정을 놓고 로저스 임시대표는 "아는 바가 없다"고 답했다. 불분명한 퇴사 과정과 달리 보안 허점이 있던 기간은 확실했다. 해당 퇴사자는 11개월간 쿠팡 마스터키를 탈취한 것으로 드러났다. 매티스는 마스터키가 11개월 동안 탈취된 게 맞냐는 질문에 "그렇다"고 답했다. 이어 "전 직원이 키(Key)를 탈취했다"며 "해당 직원은 올해 1월 1일이나 지난해 12월 말에 퇴사한 것으로 알고 있다"고 말했다. 아울러 매티스는 "올해 11월 19일에 해당 서명키를 폐기했다"며 "시간으로는 대략 새벽 1시 정도"라고 덧붙였다. 국정원의 민관합동조사 참여 요청을 두고 배 부총리는 "부처 안에서만 결정할 사안이 아니라 관계기관과 협의해야 한다"며 "필요하면 국정원도 적극적으로 참여시킬 것"이라고 밝혔다. 이어 "국정원 요구를 거부했다는 건 사실이 아니다"라며 "저희 측 답이 늦어 오해가 있었던 것 같다"고도 했다. 쿠팡 영업정지 여부도 거론됐다. 배 부총리는 청문회에서 영업정지 관련 논의 상황을 묻는 질의에 "공정거래위원회에 전달했다"고 답했다. 다만 "지금 해결해야 할 것은 민관합동조사 결과를 빨리 마무리 짓고 발표하는 것"이라며 "공정위도 조사 결과에 따라 판단할 것"이라고 말했다. 추가 질의에는 "적극적으로 논의하겠다"며 공정위와 현장 조사도 언급했다.2025-12-17 19:25:17
-
정무위, 김범석 쿠팡 의장 고발…과방위 "박대준 반드시 출석해야" [이코노믹데일리] 국회 정무위원회가 쿠팡Inc 김범석 의장을 고발하기로 했다. 국회 증언·감정법 위반 혐의다. 17일 국회 정무위원회는 전체회의를 열고 "김범석 증인은 정무위 국정감사에 정당한 이유 없이 두 차례 불출석했다"며 김 의장 고발 안건을 가결했다. 아울러 중대한 개인정보 유출 사고를 일으킨 기업의 경우 최대 전체 매출액 중 10%를 과징금을 부과할 수 있는 개인정보보호법 개정안을 처리했다. 이날 개인정보 대거 유출 관련 쿠팡 청문회를 개최한 과학기술정보방송통신위원회 역시 불출석 사유서를 낸 증인 3명을 고발하겠다고 밝혔다. 최민희 과방위원장은 "핵심 증인이 출석하지 않은 점에 여야 막론하고 과방위원 모두 매우 심각하게 생각하고 있다"며 고발 조치하겠다는 뜻을 전했다. 이어 최 위원장은 "박대준 전 대표는 이날 반드시 증인으로 출석해야 한다"며 민병기 쿠팡 부사장에 박 전 대표에 연락을 취하라고 요구했다. 이는 이날 오전 모 언론사에서 박 전 대표와 더불어민주당 김병기 원내대표가 국정감사 전 비밀 회동을 가졌다는 기사를 낸 것에 따른 조치다. 이에 민 부사장이 "전화를 받지 않아 문자를 남겨뒀다"고 답하자 "주소지를 알고 있지 않느냐"며 해당 주소지로 보좌관을 보내겠다는 뜻을 비쳤다. 이후 최 위원장이 "박 전 대표가 해외에 있다는 제보가 들어왔는데 맞느냐"고 묻자 민 부사장은 "한동안 연락을 하지 않아 정확한 소재지를 모른다"며 "어디에 있는지 파악해보도록 노력하겠다"고 답했다. 이어 이상휘 국민의힘 위원이 "해당 식사 자리가 기억이 나느냐, 무엇을 먹었느냐"는 말에 민 부사장은 "하루에도 세 끼를 먹는 게 식사라 잘 기억이 나지 않는다"면서도 "런치 세트를 먹은 것으로 안다"고 답해 에둘러 식사 자리를 가졌다는 사실을 인정했다.2025-12-17 13:41:56
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 젠슨 황의 말 한마디에 춤추는 한국 경제의 빛과 그림자](https://image.ajunews.com/content/image/2026/06/02/20260602105044276558_518_323.png)