카톡·네이버·구팡 등 5대 슈퍼앱 실태점검⋯CPO 중심 개인정보 통제 권고

▲고학수 개인정보보호위원회 위원장이 7월 23일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제16회 개인정보보호위원회 전체회의에서 모두말씀을 하고 있다. (사진제공=개인정보보호위원회)

개인정보보호위원회가 국내 대표 슈퍼앱 5개 서비스를 대상으로 개인정보 관리 실태를 점검한 결과 개인정보 이전·공유 지점에 대한 내부통제 체계가 미흡한 것으로 나타났다. 위원회는 응용프로그램인터페이스(API) 및 데이터 웨어하우스(DW)를 통한 개인정보 이전 시 개인정보보호 담당부서(CPO) 참여를 의무화하고 서비스 탈퇴 등 이용자의 자기결정권 보장을 위한 절차도 개선할 것을 권고했다.

개인정보위는 23일 제16회 전체회의에서 카카오톡, 네이버, 쿠팡, 배달의민족, 당근 등 주요 슈퍼앱 5개를 대상으로 실시한 사전 실태점검 결과를 심의·의결했다. 이번 조사는 월간 이용자 수(MAU) 기준 상위 앱 중 여러 기능을 백화점식으로 제공하고 계열사 간 개인정보 연계 가능성이 높은 앱을 중심으로 이뤄졌다.

전승재 개인정보보호위원회 조사3팀장은 24일 정부서울청사에서 열린 브리핑에서 "슈퍼앱은 복수의 사업자가 연계된 구조로 이용자의 개인정보가 명확한 설명이나 통제 없이 이전·공유될 우려가 있다"며 "인공지능(AI) 학습 등에 활용될 수 있는 민감한 데이터가 집중되는 만큼 개인정보에 대한 안전한 관리 요구가 더욱 커지고 있다"며 실태점검 배경에 대해 설명했다.

개인정보위는 슈퍼앱 내 각 서비스 간 API 연동이나 DW 기반 분석 과정에서 개인정보가 내부 또는 계열사 간 이전되는 사례에 대해 최고개인정보보호책임자(CPO) 부서의 통제를 강화할 것을 주문했다. 일부 사업자의 경우 개인정보 이전 경로 생성이나 분석용 DB 접근권한 설정을 사업부서 단독으로 결정하는 관행이 확인됐다.

전승재 팀장은 "API 등 개인정보의 외부 이전 경로 생성·배포, DW 등 개인정보처리시스템에 접근 권한 부여등 중요사항에 대해서는 소관 사업부서 자체적으로 수행할 것이 아니라 반드시 개인정보 보호담당부서 참여하에 결정될 수 있도록 내부통제를 강화할 것과 보호법에 명시된 대로 DW 접속기록을 2년간 관리·점검할 것을 개선권고 했다"고 설명했다.

정보주체 권리보호 측면에서도 개선 요구가 나왔다. 개인정보위는 대부분의 슈퍼앱 사업자들이 서비스 계약 이행에 필요한 개인정보 수집·이용을 ‘필수 동의’로 처리하고 있으나 이는 법적으로 동의 없이도 가능한 사안이라고 지적했다. 불필요한 동의 항목이 많을 경우 오히려 사용자가 실질적으로 동의 여부를 판단하기 어렵다는 점에서 필수사항은 고지로 갈음하고 선택 동의 항목만 별도로 받는 방식으로 전환할 것을 권고했다.

서비스 내 개별 기능에 대해 선택적 탈퇴나 정보 삭제를 요청할 수 있는 기능이 부족하다는 점도 지적됐다. 일부 앱은 전체 회원 탈퇴 외에는 개별 서비스 탈퇴가 불가능하거나 고객센터에 별도 요청을 해야만 정보 삭제가 가능한 경우도 있었다. 전 팀장은 "이용자 본인의 정보가 처리되는 범위를 결정할 수 있는 개인정보 자기결정권 보장을 위해 서비스 이용약관 등에 슈퍼앱의 서비스 목록을 명확히 안내하고 개별 서비스를 탈퇴하는 기능을 마련하며 개인정보 처리정지·삭제 요구 절차를 알기 쉬운 방법으로 안내하도록 개선 권고했다"고 했다.

이번 실태점검은 법 위반에 따른 시정명령이 아닌 개선권고 조치로 이뤄졌으며 5개 사업자 대부분이 권고안을 수용하고 자발적 이행에 대한 공감대가 형성됐다는 것이 개인정보위의 설명이다.

개인정보위는 이번 점검이 국민 대다수가 이용하는 슈퍼앱의 개인정보처리 과정 전반을 선제적으로 살펴봄으로써 국민생활 밀접서비스에서 발생할 수 있는 개인정보 자기결정권 침해 위험을 사전에 차단하는 동시에 IT 기업 전반의 책임성 강화를 위한 내부 통제 기준을 제시했다는 데 의의가 있다고 강조했다.