"개인정보위"에 대한 통합검색 결과
통합검색(5)
정치(0)
검색결과 총 5건
메타, 개인정보 넘겨 과징금 폭탄…직접 삭제 나서 메타가 과거 이용자 동의를 받지 않고 제3자에게 330만명이 넘는 이들의 개인정보를 넘겨 과징금 67억원을 부과받은 뒤로 직접 해당 정보 삭제에 나선다. 개인정보보호위원회는 '2024년 하반기 시정명령 등 이행점검 결과'를 전날 전체회의에서 보고했다고 24일 밝혔다. 점검 결과에 따르면 개인정보위가 작년 하반기에 처분한 사례 가운데 이행 기간이 작년 말까지 도래했던 시정명령과 시정권고, 개선권고 160건 중 95.6%(153건)가 이행됐거나 이행계획이 제출된 것으로 집계됐다. 여기에 포함된 메타는 지난달 개인정보위의 최종 승소로 동의 없는 개인정보 제3자 제공에 따른 처분의 효력이 재개됐다. 2020년 11월 메타(당시 페이스북)는 이용자 동의 없이 제3자에게 회원 개인정보를 제공한 사실이 확인돼 개인정보위로부터 과징금 67억원과 함께 시정명령과 공표 처분을 받았다. 개인정보위는 메타가 넘긴 개인정보가 국내 페이스북 이용자 1800만명 중 최소 330만명 이상이었다고 밝혔다. 메타는 해당 처분을 취소해달라고 소송했지만 2023년 10월 1심과 작년 9월 2심에 이어 지난달 대법원도 개인정보위 처분이 적법하다고 판단해 최종 기각했다. 이번 이행점검에서 메타는 당시 제3자에게 제공했던 개인정보의 삭제를 요구하는 절차를 마련했으며, 제3자 앱에 삭제 완료 여부도 확인한다는 계획을 제출했다. 지난해 7월 개인정보의 국외 이전 위반 등으로 과징금 19억원을 부과받은 알리 익스프레스는 개인정보 처리방침에 판매·배송 업체를 구체적으로 공개하고 이용자 불만 접수 시 3일 내 본사에 전달하며 판매자 계정 접속기록을 1년간 보관하는 등 보호조치를 강화하기로 했다. SK텔레콤의 인공지능(AI) 개인비서 '에이닷'은 통화녹음 관련 안내 강화, 통화 요약 보관 기간 단축(1년→6개월), 통화 요약을 제외할 수 있는 기능 마련 등을 추진하기로 했다. 생성형 AI 기반 얼굴 이미지 생성 서비스를 제공하는 '스노우'는 서버에 사진을 전송하는 기능을 개인정보 처리방침에 공개하고, 외부 개발도구 사용 관련 보안을 강화했다. 개인정보위는 주요 공공시스템에 대한 안전조치 10대 과제 실태점검과 관련, 지난해 9월 개선권고를 받은 31개 기관 중 30개 기관이 이행·계획 제출을 완료했다고 밝혔다. 개인정보위는 시정 조치를 이행하지 않은 6곳에 대한 이행 여부를 확인하고, 점검 결과와 우수 사례를 공유해 개인정보 보호에 대한 인식을 높일 계획이다.
23시간 전
개인정보위 "딥시크, 개인정보 중국 등에 무단 이전" 개인정보 수집 논란으로 국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) '딥시크(DeepSeek)'가 서비스 당시 중국과 미국 내 업체 여러 곳에 국내 이용자 정보를 무단 이전한 정황이 밝혀졌다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다. 개인정보위에 따르면 딥시크는 올해 1월 15일 국내 서비스를 개시한 때부터 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 이 업체는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스(Bytedance)'의 계열사다. 딥시크는 점검과정에서 빠뜨렸던 국외이전 관련 법정 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다. 딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인했지만 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 설명했다. 개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이달 10일부터 신규 이전을 차단했다. 개인정보위는 "볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다"고 전했다. 또 딥시크는 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다. 그러면서도 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능은 없었다. 딥시크는 이를 개인정보위가 지적한 다음 개선했다. 당초 처리지침 상 수집정보로 기재했던 '키 입력 패턴·리듬' 정보에 대해서는 국내 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없다고 알렸다. 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이럴 경우 시정 및 개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다. 개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 밝히지 않았다.
2025.04.24
개인정보 유출 신고 2배 증가… 절반 이상 차지한 항목?개인정보 유출 사고가 여전히 심각한 사회적 문제로 떠오르는 가운데, 지난해 공공기관의 개인정보 유출 신고 건수가 전년 대비 2배 이상 증가한 것으로 나타났다. 특히 해킹으로 인한 유출 비중이 절반 이상을 차지하며 사이버 보안의 취약점이 다시 한번 드러났다. 21일 업계에 따르면, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 발표했다. 이 보고서는 지난 1년간 접수된 개인정보 유출 사고를 분석해 원인별 예방 대책을 제시했다. 보고서에 따르면, 2023년 개인정보 유출 신고 건수는 총 307건으로 전년(318건)과 유사한 수준을 유지했다. 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실(30%·91건)과 시스템 오류(7%·23건)가 뒤를 이었다. 특히 해킹 사고는 전년(151건) 대비 13.2% 증가해 개인정보 보호의 필요성이 더욱 강조됐다. 해킹 유형별로 살펴보면, 관리자 페이지의 비정상적인 접속(23건)이 가장 많이 발생했다. 이어 ▲SQL 인젝션(17건) ▲악성 코드 삽입(13건) ▲크리덴셜스터핑(9건) 순으로 나타났다. SQL 인젝션은 악의적인 명령어를 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜스터핑은 탈취한 계정 정보를 이용해 다른 웹사이트에 무단 로그인하는 기법이다. 이밖에도 원인이 명확하지 않은 해킹 사고(87건)도 전체 해킹 건수의 절반 이상을 차지했다. 업무 과실로 인한 개인정보 유출 사례는 ▲게시판이나 단체 채팅방에 개인정보 파일을 게시한 경우(27건) ▲이메일 동보 발송 시 개인정보가 포함된 경우(10건) ▲이메일·공문에 개인정보 파일을 잘못 첨부한 사례(7건) 등이 주를 이뤘다. 시스템 오류로 인한 유출 사고 중에서는 ▲소스코드 적용 오류(14건) ▲API 연동 오류(8건) 등이 많았다. 기관 유형별로는 공공기관이 전체 유출 신고의 34%(104건)를 차지하며, 2023년(41건) 대비 2배 이상 증가했다. 개인정보위는 이러한 증가 원인으로 2023년 9월 개정된 개인정보보호법을 꼽았다. 개정된 법안에 따르면 기존에는 1000명 이상의 개인정보가 유출된 경우에만 신고 의무가 있었으나, 이제는 민감 정보나 고유식별정보가 1건 이상 유출되더라도 반드시 신고해야 한다. 실제로 공공기관의 유출 신고 104건 중 68%(71건)는 1000건 미만의 개인정보 유출 사례였다. 공공기관 유형별로는 ▲중앙행정기관 및 지방자치단체(42%) ▲대학교 및 교육청(41%) ▲공공기관 및 특수법인(17%) 순으로 집계됐다. 반면, 민간기업의 유출 신고 건수는 전체의 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업(60%)의 비율이 가장 높았으며, 이어 ▲해외 사업자(12%) ▲협·단체(12%) ▲중견기업(11%) ▲대기업(5%) 순이었다. 한편, 개인정보위 관계자는 “개인정보 입력 페이지에서 비정상적인 아이디·비밀번호 대입 행위를 탐지·차단하는 조치를 마련하고, 웹 방화벽(WAF) 등의 보안 솔루션을 적극 도입해야 한다”고 강조했다. 또한, 보안 취약점을 사전에 점검하고 정기적인 보안 업데이트를 수행하는 것이 중요하다고 덧붙였다.
2025.03.21
딥시크, '틱톡' 모회사에 이용자 데이터 유출 정황…내 정보도? 국내 서비스가 잠정 중단된 중국의 생성형 인공지능(AI) 딥시크가 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스'에 이용자 관련 데이터를 넘긴 정황이 파악됐다. 구체적으로 딥시크가 바이트댄스에 전송한 데이터의 내용이나 양, 목적 등이 밝혀지지는 않았다. 18일 개인정보보호위원회에 따르면 개인정보위는 딥시크 서비스가 출시된 이후로 딥시크 본사에 개인정보 수집·처리 방식에 관한 공식 질의를 보냈고, 딥시크 서비스에 대한 자체 분석에도 착수했다. 이 과정에서 딥시크가 제3자인 바이트댄스에 이용자 입력 정보를 전송했다는 사실을 확인했다. 개인정보위 관계자는 "딥시크가 (바이트댄스와) 통신하는 사실을 확인했다"며 "다만 어떤 정보가 얼마나 넘어갔는지는 아직 확인하지는 못했다"고 덧붙였다. 국내 개인정보보호법상 사업자가 제3자에게 이용자 관련 정보를 제공할 경우 정보 제공자인 이용자에게 이런 사실을 구체적으로 알리고 동의를 받아야 한다. 개인정보위는 딥시크의 개인정보 처리방침이 이러한 내용을 준수하지 않는 등 여러 가지 미흡한 점을 확인했다. 딥시크는 10일 국내 대리인을 지정한 데 이어 글로벌 서비스 출시 과정에서 국내 개인정보보호법에 대해 일부 소홀했음을 인정했다. 또 향후 개인정보위에 적극 협력하겠다는 의사도 전해왔다. 개인정보위는 딥시크가 관련 서비스를 시정하기까지 상당한 시일이 걸릴 것으로 파악, 추가적인 우려가 확산하지 않게 하기 위해 딥시크 국내 서비스를 잠정 중단할 것을 권고해 딥시크는 이를 수용했다. 이에 대해 일각에서는 바이트댄스에 전송한 데이터가 개인정보보호법상 민감한 개인정보에 해당하는 게 아닌지 의문을 갖는 목소리가 나온다. 한편 딥시크의 잠정 서비스 중단에 따라 딥시크 앱의 신규 다운로드는 15일부터 제한됐다. 개인정보위는 딥시크 서비스 중단 기간 동안 딥시크의 개인정보 처리 실태를 면밀하게 점검할 계획이다. 또 이같은 점검 과정에서 딥시크 서비스가 국내 개인정보보호법에서 요구하는 요건을 갖추도록 개선을 적극 유도할 방침이다. 점검 최종 결과 발표 때는 해외 AI 개발사가 국내 서비스 출시 전 점검해야 할 사항을 가이드 형태로 제시할 계획이다. 생성형 AI 등 AI 서비스가 대중화된 만큼 AI 활용과 개인정보 보호가 균형을 이룰 수 있도록 개인정보보호법상 AI 특례 신설, 해외 사업자 대상 집행력 강화 등을 담아 법 개정에도 나설 것으로 보인다. 개인정보위는 딥시크 앱을 기존에 앱을 내려받았거나 웹을 통한 딥시크 활용에는 제한이 없는 만큼 서비스를 이용할 때 유의를 당부했다. 남 국장은 "이미 다운로드받아서 사용하시는 분이나 인터넷을 통해 이용하시는 분은 (개인정보 유출) 위험성이 있으니 신중한 이용을 당부드린다"며 "자체적으로 삭제하고 이용하지 않는 방법도 있다"고 당부했다.
2025.02.18
'개인정보 유출 논란' 딥시크, 국내 서비스 잠정 중단 개인정보 유출 논란이 불거진 중국 생성형 인공지능(AI) 애플리케이션 '딥시크'의 국내 사용이 잠정적으로 중단됐다. 개인정보보호위원회(이하 개인정보위)는 17일 '딥시크' 앱에 대한 국내 서비스를 지난 15일 오후 6시부터 잠정 중단했다고 밝혔다. 잠정 중단 기간 동안 '딥시크' 앱의 신규 다운로드가 불가능하다. 개인정보위는 국내 개인정보보호법에 따른 '딥시크' 측의 개선·보안이 이뤄진 후 서비스를 재개할 예정이라고 설명했다. 다만 기존에 내려받은 '딥시크' 앱과 PC 버전은 그대로 이용이 가능한 상태다. 남석 개인정보위 조사조정국 국장은 "기존 앱을 다운로드해 이용하는 경우에는 사업자 측면에서 할 수 있는 마땅한 조치가 없다"며 "기존 이용자들을 대상으로 실태 점검 과정에서도 필요한 조치가 있는지 살펴볼 것"이라고 밝혔다. 개인정보위에 따르면 '딥시크'는 지난 14일 글로벌 서비스 출시 과정에서 국내 개인정보보호법에 대한 고려가 일부 소홀했으며 앞으로 이와 관련해 적극 협력하겠다는 의사를 표명했다. 이와 관련해 '딥시크'는 지난 10일 국내 대리인을 지정하기도 했다. 개인정보위는 '딥시크'가 과도한 개인정보를 요구하고 해당 정보를 중국 내 서버에 보관하는 등 개인정보 처리방침상 미흡한 부분이 확인됐다며 이에 대한 해명을 요구하는 공식 질의서를 보낸 바 있다. 이와 함께 국내 전문가들과 함께 '딥시크'에 대한 자체 분석에도 착수했다. '딥시크' 서비스 개선까지는 상당한 시일이 소요될 것으로 예상되고 있다. 개인정보위는 "추가적인 우려가 확산하지 않도록 우선 잠정 중단 후 개선·보완하도록 '딥시크'에 권고했으며 이들이 이를 수용했다"고 전했다.
2025.02.17
