메타·알리익스프레스·SKT, 개인정보위 시정조치 이행

(사진제공=개인정보보)

개인정보보호위원회는 글로벌 기업과 주요 공공기관 등을 대상으로 한 시정조치 이행 실태 점검 결과 대다수 기관과 기업이 개인정보위의 처분을 적극 이행했거나 이행계획을 제출한 것으로 나타났다고 24일 밝혔다.

개인정보위는 23일 열린 전체회의에서 2024년 하반기 중 시정명령 및 개선권고를 받은 총 160건을 점검한 결과 153건이 이행 완료되었거나 이행계획이 제출된 상태라고 발표했다. 이번 점검에는 글로벌 플랫폼 사업자인메타(Meta)와 알리익스프레스(AliExpress)도 포함됐다.

동의 없는 개인정보 제3자 제공에 따른 처분 의 효력이 재개된 메타는 제3자에게 제공한 개인정보의 삭제를 요구하는 절차를 마련했으며 추후 제3자 앱에 삭제 완료 여부를 확인한다는 계획을 제출했다.

개인정보의 국외 이전 위반으로 처분을 받은 알리익스프레스는 개인정보 보호 조치 강화를 위해 개인정보 처리방침에 판매·배송 업체 정보를 개인정보 처리방침에 명시하고 이용자 불만을 국내 대리인을 통해 3일 이내 본사에 전달하며 판매자 계정 접속기록을 1년간 보관하는 등 후속 조치를 이행했다.

인공지능 응용서비스를 제공하는 국내 기업들도 시정조치를 이행한 것으로 확인됐다. 통화녹음 및 요약 기능을 제공하는 SKT의 ‘에이닷’은 통화 안내 팝업 강화, 통화 요약 보관기간 단축(1년→6개월), 요약 제외 기능 마련 등 이용자 신뢰 확보에 주력했다. 생성형 AI 기반 얼굴 이미지 서비스를 제공하는 ‘스노우’는 사진 서버 전송 여부를 개인정보 처리방침에 명시하고 외부 개발도구 사용 시 보안 조치를 강화했다.

주요 공공시스템에 대한 안전조치 10대 과제 실태점검과 관련해 지난해 9월 개선권고를 받은 31개 기관 중 30개 기관에서 이행 및 계획 제출을 완료해 적극적인 개선노력이 확인됐다.

한국부동산원 등은 시스템 접근권한 부여를 엄격화하여 일정기간 미접속 시 시스템 접근권한을 자동으로 휴면 또는 말소하도록 시스템 기능을 개선했고 광주광역시 등은 시스템 접속기록 관리를 강화하여 업무시간 외 파일 다운로드 등 비정상적 행위에 대한 사후 보고 절차를 마련했다. 경상북도 등은 개인정보 보호 업무 관련 조직 및 인력을 보강했다.

환자정보 유출사고가 발생하여 처분을 받은 병원 등 의료기관의 경우 보조저장매체 반출입 통제 시스템 도입, 업무취급자 계정 발급 절차 강화, 개인정보 접속기록 관리 시스템 도입 등 물리적·기술적 안전조치를 강화했다.

앞으로 개인정보위는 시정조치를 미이행한 피심인(6개) 에 대한 이행 여부 추가 확인 및 이행 독려를 철저히 하는 한편, 점검 결과와 우수 사례를 지속 공유하여 개인정보 보호에 대한 인식을 제고해 나갈 계획이다.