"개인정보보호법"에 대한 통합검색 결과
통합검색(17)
정치(1)
검색결과 총 17건
대륜, ‘SKT 해킹’ 공동소송 2차 접수…“손해배상 인정 가능성 충분” SK텔레콤(SKT) 유심 정보 해킹 사태와 관련해 법무법인 대륜이 피해자들을 대리해 2차 형사 고소·고발과 민사소송을 제기하는 등 본격적인 법적 대응에 나서고 있다. 대륜은 지난달 1일에 이어 이달 5일 2차 자체 모집을 통해 확보한 피해자 43명을 대리해 유영상 SK텔레콤 대표이사와 보안 책임 관련자들을 서울 남대문경찰서에 형사 고소·고발했다. 내용은 1차와 동일한 업무상배임 및 업무방해 등 혐의로, 통신사로서 정보보호 의무를 소홀히 했다는 점이 핵심이다. 이어 12일 대륜은 피해자 331명을 대리해 서울중앙지방법원에 2차 민사상 손해배상 청구 소장을 접수했다. 이로써 지난달 27일 접수된 1차 민사 소송 참여 인원을 포함해 현재까지 총 580명이 대륜을 통해 민사상 책임을 묻는 절차에 함께하게 됐다. 민사소송 청구 금액은 1인당 100만 원이다. 이번 사태를 두고 유심 정보 비암호화, 서버 로그 미보존, 보안 투자 부족 등 SK텔레콤의 보안 관리 부실이 사고를 키웠다는 지적이 이어지는 가운데, SK텔레콤 침해사고 민관합동조사단의 최종 조사 결과 발표를 앞두고 징계 처분 수위에 관심이 쏠리고 있다. 최근 조사단의 추가 조사 결과, 단말기고유식별번호(IMEI) 등 민감 정보 29만여 건이 해킹 서버에 저장된 정황이 확인되며 사태가 일파만파 확산하고 있다. 대륜은 이번 집단 소송을 서울중앙지검장 출신 조영곤 변호사, 대법원 재판연구관 출신 여상원 변호사를 중심으로 구성된 '특별수행본부(특수부)'가 주도하는 체계를 마련하고 법적 대응에 나서고 있다. 여 변호사는 “엄청난 피해자가 발생했고, 피해를 처리하는 과정에서 SK텔레콤이 해킹 사실을 은폐하는 데 급급하면서 발생한 직접 피해와 추가 피해, 피해자들이 입은 자신의 정보 노출에 대한 불안감을 적극 주장할 계획”이라고 설명했다. 이번 소송을 둘러싼 일부 회의적인 시각에 대해서도 여 변호사는 반박했다. 개인정보 침해 사고와 관련해 징벌적 손해배상이 인정된 선례가 없다는 이유로, 무조건 승소 가능성을 부정하는 것은 옳지 않다는 것이다. 여 변호사는 “이번 사건은 SK텔레콤의 중대한 과실이 객관적으로 드러난 이례적 사례”라며 “추후 발표될 민관합동조사단의 조사결과가 입증자료 등으로 활용된다면 손해배상 책임이 인정될 수 있다”고 말했다. 조영곤 변호사는 "민감 정보가 해킹 서버에 저장된 것은 대량 해킹의 근거 자료로 볼 수 있다"며 "이번 사건으로 유출된 것으로 보인 IMEI, ICCID 등은 금융사기·명의도용·사생활 침해로 이어질 수 있어 유출 자체만으로도 심각한 위험을 초래할뿐만 아니라 개인의 정신적 피해까지 유발하게 된다"고 밝혔다. 그러면서 "헌법과 개인정보보호법은 피해 발생 가능성 자체의 예방 책임이 사업자에게 있음을 명확하게 하고 있다"며 "그동안 집단소송에서 피해자들이 불리했던 이유는 기술 정보의 비대칭, 사법부의 소극성, 입증 책임 구조에 있었다. 대륜은 이번 사안을 국민 전체의 권익을 지키기 위한 공익 소송으로 인식하고 있는 만큼, 기업에 실질적 책임을 묻고 피해자들이 권리를 회복할 수 있도록 철저히 대응하겠다"고 덧붙였다. 대륜은 앞으로도 피해자 모집을 이어가며 순차적으로 추가 소장 접수에 나설 예정이다. 또 조사단의 최종 발표에 따른 SK텔레콤의 고의·중과실 여부에 대한 증거 확보 등 후속 절차도 병행할 계획이다.
2025.06.13
'이선균 수사 정보 유출' 경찰관·검찰수사관 불구속 기소 마약 투약 혐의로 수사받던 중 숨진 배우 이선균(48)씨의 수사 정보를 유출한 경찰관과 검찰 수사관이 재판에 넘겨졌다. 인천지검 형사6부(최종필 부장검사)는 공무상비밀누설 등 혐의로 30대 A 전 경위와 인천지검 소속 40대 검찰 수사관 B씨를 불구속 기소했다고 5일 밝혔다. A 전 경위로부터 수사 대상자 실명 등 개인정보를 받아 다른 기자에게 제공한 30대 기자 C씨 역시 개인정보 보호법 위반 혐의로 재판에 넘겨졌다. A 전 경위는 2023년 10월 이씨 마약 의혹 사건의 수사 진행 상황을 담은 자료(수사진행 보고서)를 사진으로 찍어 전송하는 방식 등으로 C씨 등 기자 2명에게 유출한 혐의를 받고 있다. 이 보고서는 인천경찰청 마약범죄수사계가 2023년 10월 18일 작성한 것이다. 여기에는 이씨의 마약 사건과 관련한 대상자 이름과 전과, 신분, 직업 등 인적 사항이 담겼다. 자료를 C씨로부터 전달받은 한 연예 매체는 이씨 사망 이튿날인 2023년 12월 28일 이 보고서 편집본 사진과 내용을 보도했다. B씨는 이씨가 마약 혐의로 경찰의 수사를 받고 있다는 정보와 수사 진행 상황을 2차례 지역신문 기자에게 알려준 혐의를 받고 있다. 해당 신문은 2023년 10월 19일 '톱스타 L씨, 마약 혐의로 내사 중'이라는 제목의 기사로 이 사건을 단독 보도했다. 수사 정보 유출 사건으로 A 전 경위는 파면됐고, B씨는 직무에서 배제돼 징계 관련 절차를 밟고 있는 것으로 전해졌다. 검찰은 A 전 경위와 B씨로부터 개인정보를 제공받기만 한 기자 3명은 불기소 처분했다. 개인정보 보호법 71조에 따르면 개인정보를 제공받은 자를 처벌하려면 '영리 또는 부정한 목적'이 인정돼야 한다고 검찰은 설명했다. 앞서 사건을 수사한 경기남부경찰청은 A 전 경위와 B씨의 구속영장을 신청했으나 법원은 "주요 증거가 이미 수집됐다"며 기각했다. 한편 배우 이선균씨는 2023년 10월 14일 형사 입건돼 2개월간 3차례에 걸쳐 경찰 소환 조사를 받았고, 3번째 조사 나흘 뒤인 12월 26일 서울 종로구 와룡공원 인근에서 숨진 채 발견됐다. 검찰 관계자는 "공무원의 비밀엄수 의무 위반이나 무분별한 개인정보 유출·제공 범행이 없도록 엄정 대응하겠다"고 말했다.
2025.06.05
SK텔레콤 개인정보 유출 고소ㆍ고발인 조사 시작, 법무법인(유한) 대륜 - 경찰 출석 SK텔레콤의 대규모 개인정보 유출 사건과 관련한 첫 고발인 조사가 5월 21일 오후 3시 서울 남대문경찰서에서 실시됐다. 이는 법무법인(유한) 대륜이 같은 달 1일 SK텔레콤을 상대로 제기한 형사 고소·고발에 따른 절차로, 경찰의 공식 수사가 본격화됐다. 고소ㆍ고발인 조사는 손계준, 천정민 변호사 법무법인(유한) 대륜 소속 변호사가 동행했다. 법무법인(유한)대륜 측은 전날인 20일, 고소·고발 보충 이유서를 추가 제출한 바 있으며, 조사는 약 1시간 가량 진행되었다. “SKT, 통신망에 대한 신뢰 저버려” 엄정한 수사 촉구 손계준 변호사는 조사에 앞서 "이번 유심정보 유출 사건은 SKT가 스스로 인정한 것처럼 국내 통신 역사상 최악의 보안 사고"라며 "기간통신사업자로서의 사회적 책임을 방기하고 국민의 통신망에 대한 신뢰를 무너뜨렸다"고 지적했다. 이어 "철저한 수사를 통해 사실관계를 명확히 밝히고, 반드시 책임을 물어야 한다"고 강조했다. “정보보호 투자비, KT의 절반 수준” 업무상 배임 혐의 적용 송계준 변호사는 "SKT는 다른 사업자들이 정보보호투자비를 늘려온 것과는 반대로 지속적으로 감액하였고, 2024년 기준 2개 통신사들의 가입자 1인당 정보보호 투자비의 평균인 5,751원에도 미치지 못하는 3,531원으로" 평균액에서 SKT 가입자 1인당 2,220원의 투자 차액을 배임액으로 산정할 경우 총 540억 원에 달하는 부당이익을 얻은 셈"이라고 주장했다. 또한 "SKT는 4월 18일 해킹사실을 확인했음에도 불구하고 당국에는 20일에야 보고했다"며, 정보통신망법 위반과 함께 위계에 의한 공무집행방해 혐의를 적용했다고 밝혔다. 악성코드를 막기 위한 백신 등 보안프로그램도 설치하지 않았다는 지적도 이어졌다. 집단 손배소 준비, 손해배상 1인 100만원 청구 예정 법무법인(유한) 대륜은 형사 고발과 함께 손해배상 소송도 병행하고 있다. 현재 고발인은 14명이 추가될 예정이다. 민사손해배상소송의 원고는 약 220명이다. 1인당 100만 원 수준의 손해배상 청구를 추진 중이다. 한편, SK그룹 최태원 회장은 이번 고발 대상에는 포함되지 않았다. 이에 대해 법무법인(유한)대륜의 천정민 변호사는 "형법상 법인은 범죄능력이 없으며, 대표이사에게 책임이 귀속된다"며 “추가 고발 계획은 아직 명확하지 않다”고 설명했다. 1시간 가량 조사를 마치고 나온 법무법인(유한) 대륜의 손계준, 천정민 변호사는 “이번 사건을 계기로 개인정보 보호 법제와 제도의 근본적인 개선이 필요하다”며 “피해자들의 집단소송을 통해 실질적인 피해 구제와 책임자 처벌을 병행해 나갈 것”이라고 밝혔다.
2025.05.21
개인정보유출배상보험 가입률 10% 이하…의무대상은 더 줄어 SKT 해킹 사태로 개인정보의 중요성이 강조되고 있지만 개인정보가 유출된 정보주체의 피해를 구제하는 의무 보험인 '개인정보유출 배상보험'의 가입률은 10%도 채 안 된다. 20일 손해보험업계에 따르면 지난해 말 기준 개인정보유출 배상책임보험을 취급하는 15개사(메리츠·한화·롯데·MG·흥국·삼성·현대·KB·DB·서울보증·AIG·라이나·농협·신한EZ·하나)의 가입 현황을 집계한 결과 7769건으로 집계됐다. 개인정보보호위원회는 개인정보 유출에 따른 손해배상책임 이행시 자금조달이 어려운 사업체를 위해 2020년부터 개인정보 손해배상 책임보험 가입을 의무화했다. 가입 대상은 전년도 매출액 등이 10억원 이상에 정보 주체 수가 1만명 이상인 곳이다. 개보위는 대상 기업을 약 8만3천개∼38만개로 추정하지만 실제 지난해 말 기준 가입률은 2.0∼9.4% 수준에 그친다. 해킹사고가 일어난 SKT도 10억원 한도의 책임보험을 들어 보상 체계가 취약하다는 지적이 있었다. 개인정보위는 3월 의무대상 기업의 기준을 '매출액 1500억원 이상이면서 관리하는 정보주체 수 100만명 이상'으로 조정하기로 해 의무 가입대상이 더욱 축소됐다. 개인정보위는 기존 의무 대상 범위가 너무 넓어 실질적인 점검·관리가 어렵다는 이유로 의무대상을 조정한다고 밝혔다. 이 기준에 따르면 의무 가입 대상은 불과 200곳 정도로 줄어들게 된다. 개인정보보호법 상 의무보험 가입 제도의 목적은 개인정보 유출 사고 발생시 배상능력이 부족한 기업으로부터 피해자를 보호하는 것이다. 배상 능력이 충분한 기업에만 보험 가입 의무를 부여하고, 매출 1500억원 미만의 기업에 보험 가입 의무를 제외하는 것은 개인정보보호법 제정 목적과도 어긋난다. 김규동 보험연구원 연구위원은 "규모가 큰 기업보다 중소·영세업체들의 보안 역량이 더욱 취약한데 보험 가입 의무사항을 면제해버리면 개인정보 보호나 보안 리스크에 업체들의 인식이 소홀해질 수 있어 우려된다"고 말했다. 또 "보험에 가입하지 않아도 사전적으로 예방을 잘할 수 있도록 강한 규제가 있다면 상관이 없을 것"이라면서 "현 상황에서는 의무 대상을 축소할 것이 아니라 의무 가입 대상을 효과적으로 관리하는 방식을 찾는 것이 더 낫다"고 덧붙였다. 개인정보위 관계자는 이에 대해 "현재 폭넓게 의견 수렴을 하는 단계"라며 "중소기업에는 의무는 면하되 자발적으로 가입할 수 있는 인센티브를 줄 것"이라고 강조했다. 최근 벌어진 SKT 해킹 사태와 법인보험대리점(GA)과 디올, 알바몬 등 각종 개인정보 유출 사고가 속출하고 있어 기업들의 보험 수요는 늘어나고 있다.
2025.05.20
테무, 韓이용자에 고지 없이 개인정보 해외로 넘겨…과징금 13억원 국내 이용자에게 알리지 않은 채 중국과 싱가포르 등에 이들의 개인정보를 넘긴 중국의 온라인 유통업체 테무가 과징금 13억6천여만원을 문다. 개인정보보호위원회는 15일 C커머스(중국 전자상거래업체) 테무에 개인정보보호법 위반을 이유로 과징금과 개인정보 보호 관리체계 개선 권고 등을 전날 전체회의에서 의결했다고 밝혔다. 개인정보위는 지난해 4월 테무를 비롯해 알리익스프레스 등 C커머스에 대한 개인정보보호법 위반 여부 조사에 착수했다. 알리는 지난해 7월 개인정보 국외 이전 위반 등을 근거로 과징금 19억7800만원이 부과됐다. 테무는 과징금 산정 기준이 되는 매출액을 제때 제출하지 않아 처분이 늦어졌다. 김해숙 개인정보위 조사1과장은 브리핑에서 "테무의 자료가 불충분해 추가 확인이 필요했고, 올해 입점 판매자 정보(수집)에 대한 이슈가 발생하면서 이를 함께 처분하려고 하다 보니 시간이 더 걸렸다"며 "테무의 조사 협조가 충분치 않아 (과징금 처분에) 가중처벌을 했다"고 설명했다. 조사 결과 테무는 상품 배송을 위해 한국과 중국, 싱가포르, 일본 등 다수 사업자에게 개인정보 처리를 위탁하거나 보관하도록 했다. 이 과정에서 이러한 점을 개인정보처리방침(처리방침)에 공개하거나 이용자에게 알리는 절차는 없었다. 또 개인정보 처리업무를 위탁한 수탁사에 대해 개인정보 안전관리 방안 교육과 개인정보 처리현황 점검 등의 관리·감독을 실시하지 않았다. 계약 이행을 위해 국외 사업자에게 개인정보 처리 위탁 또는 보관 등이 필요할 경우 처리방침에 이를 공개하거나 이용자에게 이메일 등으로 알려야 함에도 테무는 이를 준수하지 않았다. 테무는 2023년 말 기준 하루 평균 290만명의 한국 이용자가 테무 서비스를 이용하고 있음에도 국내 대리인을 지정하지 않았다. 또한 회원 탈퇴 절차를 7단계로 복잡하게 만들어 이용자의 권리행사를 어렵게 만들기도 했다. 개인정보위 조사 과정에서 테무는 처리방침을 개정해 국외 이전 사실과 수탁자, 국내 대리인을 공개하고 회원 탈퇴 절차를 일부 개선하는 등 자진 시정조치했다고 밝혔다. 테무는 올해 2월부터 한국에서 직접 상품을 판매·배송할 수 있는 '로컬 투 로컬' 서비스를 위해 한국 판매자를 시범 모집하면서 이들의 신분증과 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리한 사실도 드러났다. 개인정보위는 테무가 이번 조사 과정에서 해당 정보를 모두 파기했고, 현재 다른 방식으로 신원 확인을 하고 있다고 밝혔다. 개인정보위는 테무에 대해 개인정보의 국외 이전 및 주민등록번호 처리 제한 규정 위반으로 과징금 13억6900만원을, 개인정보 처리업무 위탁과 국내 대리인 지정 관련 규정 위반으로 과태료 1760만원을 부과했다. 또 ▲ 국외 이전을 포함한 개인정보 처리위탁 현황과 개인정보 처리 흐름을 투명하게 공개 ▲ 수탁자에 대한 관리·감독 실시 ▲ 충분한 정보주체의 권리 보장 등을 시정명령·개선권고했다. 올해 10월 시행 예정인 국내 대리인 개정 규정에 따라 테무의 국내 법인을 국내 대리인으로 지정하도록 권고했다. 개인정보위는 중국 사업자의 국내 진출이 증가함에 따라 한중 인터넷협력센터 및 중국 현지 기업 간담회를 통해 국내 개인정보보호법에 대한 안내를 강화할 계획이다. 테무 관계자는 "개인정보위 조사에 전적으로 협조해 왔으며 그 결정을 존중한다"며 "필요한 조치를 취하고 변경 사항을 적용했으며, 앞으로도 합리적인 가격의 고품질 제품을 제공하고 현지 판매자를 지원하는 데 집중하겠다"고 밝혔다.
2025.05.15
개인정보위 "SKT, 정보유출 가능성 있는 모든 이용자에 통지해야" 개인정보보호위원회는 2일 긴급 전체회의에서 "SKT가 유심정보 유출이 확인된 이용자는 물론 SKT 망을 사용하는 알뜰폰 이용자를 포함해 유출 가능성이 있는 모든 이용자에 대해 신속히 유출 사실을 통지해야 한다"고 밝혔다. 개인정보위는 "SKT가 고객의 유심정보가 유출된 정황을 인지하고 유출 신고는 했으나 홈페이지에 고객의 일부 정보가 유출된 것으로 추정된다는 내용의 전체 공지만 했을 뿐, 현재까지 개인정보보호법(이하 보호법)에 따른 법정사항을 포함해 정보주체에게 유출 사실을 개별 통지하지 않은 사실을 확인했다"고 밝혔다. 이에 따라 SKT는 이용자에게 ▲ 유출된 개인정보 항목 ▲ 유출된 시점과 그 경위 ▲ 유출 피해 최소화 방법 ▲ 개인정보처리자의 대응 조치 및 피해 구제절차 ▲ 피해신고 접수 부서 및 연락처 등을 통지해야 한다. 개인정보위는 SKT측이 유심유출 사고 이후 전체 이용자에게 개별 문자 발송을 했지만, 본 사고에 대한 사과문과 유심보호서비스, 유심교체에 관한 내용만 기재돼 있는 것을 확인했다고 설명했다. 개인정보위로도 민원 접수가 급증하고 있다고 덧붙였다. 개인정보위는 "보호법상 사업자는 개인정보 유출 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하도록 규정하고 있지만 SKT가 피해방지 대책으로 마련한 유심보호서비스 및 유심교체는 유심 물량 부족, 서비스 처리지연 등으로 원활하게 이뤄지지 않아 국민적 혼란과 불만이 가중되고 있다"고 지적했다. 이어 "서비스 가입이나 유심교체가 모바일이나 현장방문을 통해서만 가능해 고령층·장애인 등 취약계층이 접근하기 어려운 문제가 발생하는 등 유출 피해 방지대책이 미흡한 것으로 확인됐다"고 덧붙였다. 개인정보위는 SKT에 유출 사실 이용자 통지 외에 고령자·장애인 등 취약계층에 대한 별도의 보호 대책과 SKT 전체 이용자의 2차 피해 예방을 위한 충실한 지원 대책을 마련하라고 촉구했다. 이어 이용자의 개인정보와 관련해 급증하는 민원에 성실히 대응하기 위해 전담 대응팀을 확대해 사태가 완전히 해결될 때까지 운영하라고 요청했다. 개인정보위는 SKT에 7일 이내에 조치 결과를 제출토록 했다. 이후에도 이행 상황을 지속 점검해 국민 불편과 불안을 해소할 방침이다. 개인정보위는 "현재 SKT 개인정보 처리와 관련된 개별시스템들에 대한 전수조사를 신속히 추진하고 있다"면서 "이를 통해 정확한 유출 경위 및 추가 유출 사실이 없는지 확인할 계획"이라고 강조했다. 또 "사업자의 안전조치 의무 준수 여부 등 보호법상 위반사항을 중점 조사해 위반사항에 대해 엄정히 처분하고 재발 방지에 최선을 다하겠다"고 전했다.
2025.05.02
![30일 서울 시내 한 SK텔레콤 인증 대리점에 유심 재고 소진과 유심보호 서비스 가입 안내문이 동시에 붙어있다. SK텔레콤은 해킹 사태 여파로 29일에도 3만명 넘는 가입자가 다른 통신사로 번호 이동하며 유심 무상교체가 시작된 이후 이틀간 7만명 넘는 이탈 흐름이 이어졌다. [사진=연합뉴스]](/_next/image?url=https%3A%2F%2Fd2n8o1kxb7aqru.cloudfront.net%2Fupload%2F2025-04-30%2F2a1f9300-9d19-4036-a3cf-fa4f99081699.webp&w=3840&q=100)
"SKT는 과연?"... '집단소송' 부른 해외 통신사들 결말전 세계를 강타한 통신사 및 금융기관 대상 해킹 사건들이 기업 보안의 허점을 드러내며 거대한 법적 파장을 불러왔다. 국내에서 일어난 SK텔레콤 사건과 더불어 해외에서는 T-모바일, 옵투스 등 해외 주요 기업들은 수천만 명의 개인정보 유출로 소비자들의 집단소송에 직면한 바 있다. 그 결과 막대한 합의금과 강도 높은 규제 압박을 받아야 했는데 이들의 사례는 보안 부실이 초래할 수 있는 재정 손실과 평판 위기를 명확히 보여주는 동시에, 향후 유사 사건에 대한 법적 기준과 대응 전략 마련에 중요한 선례가 될 것으로 보인다. 30일 업계에 따르면, 최근 SK텔레콤의 USIM 정보 유출 사태로 인해 통신사 보안 문제에 대한 관심이 높아진 가운데 해외 사례에서 배워야 할 점들이 부각되고 있다. 미국과 호주에서는 대형 개인정보 유출 사건이 발생할 때마다 소비자들이 집단소송을 통해 기업의 책임을 강하게 추궁했고 정부 당국 역시 기업에 고액의 벌금과 제도 개선을 요구했다. T-모바일, 7600만 명 정보 유출 사건 2021년 8월 미국 T-모바일은 해커 존 빈스가 시험용 서버의 취약점을 노려 시스템에 침투하면서 총 7천660만 명의 고객 정보가 유출됐다. 이름, 생년월일, 사회보장번호, 운전면허번호는 물론 단말기 식별 정보까지 포함된 이 유출은 T-모바일의 반복된 보안 실패로 비판을 받았다. 사건 직후 수십 건의 소송이 제기되어 연방 법원 집단소송으로 통합됐고, 2022년 7월 T-모바일은 소비자들과 총 3억5천만 달러의 배상 합의를 체결했다. 이 합의금은 역대 최대급 규모로 평가되며 피해자에 대한 보상금과 신용 모니터링 서비스, 향후 보안 투자에 1억5천만 달러 추가 지출을 약속했다. T-모바일은 이후에도 각 주정부와의 협의를 통해 벌금 및 보안 감사 의무를 부과받으며 법적 대응을 이어가고 있다. 호주 옵투스, 980만 명 정보 유출 및 대규모 소송 진행 중 2022년 9월 호주 2위 통신사 옵투스는 인증 절차 없이 공개된 API 취약점을 통해 외부 해커가 고객 데이터베이스에 접속하여 총 980만 명의 개인 정보를 유출한 사건이 발생했다. 운전면허증 번호나 여권번호 등 민감정보까지 포함되었고 피해자 중 약 280만 명이 신원도용 위험에 노출된 것으로 확인됐다. 해커는 몸값 100만 달러를 요구하며 일부 데이터를 공개하기도 했다. 이 사건은 호주 인구의 절반에 가까운 피해 규모로 호주 사회에 큰 충격을 안겼으며, 2023년 4월 슬레이터앤고든 로펌이 집단소송을 제기해 약 10만 명 이상이 참여했다. 정부는 옵투스를 법적 책임 대상으로 지목하며 연방법원 제소, 벌금 부과 절차에 돌입했고 통신법상 의무 위반 혐의를 제기하고 있다. 지난해까지도 집단소송은 증거개시 절차를 포함해 본격적인 법정 다툼을 진행 중이다. 유출 피해 대응의 핵심… 선제적 보안 투자와 신속한 공개 위의 사건 모두에서 반복적으로 드러난 쟁점은 기업의 사전 보안 조치 부족과 해킹 후 대응의 적절성이다. T-모바일은 과거 해킹 전력에도 불구하고 취약점을 방치했고, 옵투스는 기본적인 인증 절차조차 없는 시스템 설정으로 정부의 질타를 받았다. 이들 기업은 피해 발생 이후 일정 수준의 책임을 인정하고 보안 강화를 약속했지만, 사후 대응의 시기와 방식에 따라 여론과 법적 책임의 강도는 달라졌다. 또한 이들 사건은 집단소송 제도의 실효성과 기업의 법적 책임 확립에 중요한 영향을 끼쳤다. T-모바일은 수억 달러 합의에 이르렀고, 옵투스는 아직도 법정 공방 중이다. 집단소송의 성패는 피해자 범위의 인정과 기업의 과실 입증, 그리고 실제 피해와 정신적 고통에 대한 배상 기준이 어떻게 적용되느냐에 달려 있다. SKT도 같은 실수를 되풀이하지 말아야 SK텔레콤 역시 USIM 정보 유출 사건과 관련한 집단소송이 본격화하고 있다. 경찰도 이번 사건을 정식 수사로 전환하며 대응에 나섰다. 복수의 집단소송 전문 로펌의 소송과 경찰 수사를 동시에 받게 되면서 SKT의 사법 리스크가 본격화됐다는 평가가 나온다. 이에 전문가들은 이번 쟁점이 해외 사례를 타산지석 삼아야 한다는 목소리가 높아지고 있다. 기업의 책임 회피보다는 조속한 공개와 보안 개선이 신뢰 회복의 관건으로 장기적으로는 개인정보 보호법과 집단소송제도 개정이 병행되는 것이 중요할 것으로 보인다. 이와 관련해 법무법인(유한) 대륜 김국일 경영총괄대표는 "현재 고객들의 문의가 지속적으로 들어오는 상황이다. 이미 개인정보가 탈취된 상황에서는 어떤 피해가 발생할지 예측하기 어려운 만큼, 피해 규모는 더욱 커질 것으로 보인다"며 "설령 피해가 발생하더라도 SKT로 인한 피해임을 피해자 측이 직접 입증해야 하고, 그 모든 과정을 거친 뒤에야 보상 절차가 가능할 것으로 판단된다"고 밝혔다. 그러면서 "피해자들이 정당한 보상을 받을 수 있도록 최선을 다해 지원하고 SK텔레콤에 대한 명확한 책임을 묻겠다"고 강조했다.
2025.04.30
딥시크, 신규 다운로드 재개…'한국 개인정보보허법 준수' 개인정보 수집 문제로 정부의 실태 점검을 받은 중국의 생성형 인공지능(AI) '딥시크'가 한국 정부의 시정권고를 일부 수용하고 신규 다운로드 서비스를 재개한 것으로 파악됐다. 딥시크는 28일(현지시간) 처리방침을 개정해 한국어판을 공개하고, 개인정보 정책을 일부 개정했다. 앞서 개인정보보호위원회는 23일 열린 제9회 전체회의에서 '딥시크 사전 실태점검 결과'를 심의·의결했다. 개인정보위 점검 결과 딥시크는 국외 이전에 대해 이용자 동의를 받거나 처리방침을 공개하지 않았고, 중국에 있는 틱톡 모기업인 바이트댄스의 자회사인 '볼케이노'로 국내 고객이 딥시크 채팅창에 입력한 프롬프트 정보를 넘겼던 사실이 확인됐다. 개인정보위는 딥시크에 국외 이전 시 합법적인 근거를 충실히 마련하는 것은 물론 프롬프트 정보 즉각 파기와 한국어 처리방침 공개, 아동 개인정보 수집 확인·파기 등을 시정권고한 바 있다. 딥시크는 이번에 개정된 처리방침에서 한국에 대한 별도의 부속 규정을 새로 마련하고 '한국 개인정보보호법을 준수해 개인정보를 처리한다'고 명시했다. 또 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전한다면서 '이용자가 개인정보 이전을 거부할 수 있다'고 밝혔다. 이용자 선택권 보장을 위한 '옵트아웃'(opt-out)' 기능도 마련했다고 알렸다. 옵트아웃은 생성형 인공지능(AI) 등에서 정보 주체가 명시적으로 거부 의사를 밝히면 이용자가 입력한 데이터를 삭제하고 AI 학습을 거부할 수 있는 기능이다. 이밖에도 '14세 미만의 아동을 대상으로 서비스를 제공하지 않으며 아동에게 적극적으로 정보를 수집하지 않는다'고 밝혔다. 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기하도록 권고한 부분에 대해 개인정보위 관계자는 "아직 확인은 안 된 상태"라고 전했다. 딥시크는 2월부터 국내 앱 마켓에서 잠정 중단했던 신규 다운로드 서비스도 재개한 사실이 확인됐다. 현재 구글 안드로이드 마켓과 애플 앱스토어 검색창에 '딥시크' 또는 영문명 'deepseek'를 넣으면 해당 앱이 노출되며 다운로드도 받을 수 있다. 딥시크 신규 서비스 재개 여부에 대해 "딥시크사(社)에서 자율적으로 결정한 것이고 재개 여부도 시정명령을 수용하고 이행이 어느 정도 됐다고 하면 사업자 측에서 자율적으로 결정할 수 있는 사항"이라며 구체적인 재개 시점을 언급하지 않았다.
2025.04.28
'청약플러스' LH 직원 실수로 1100명 개인정보 유출 한국토지주택공사(LH)가 운영하는 임대·분양 청약사이트 '청약 플러스'에서 직원의 실수로 고객 1100여명의 개인정보가 유출됐다. 24일 LH 대전충남지역본부에 따르면 LH는 전날 오후 7시께 충남 아산 탕정 2지구 7블록, 15블록 국민임대 예비 입주자모집 신청자 서류 제출대상자 명단을 공개하는 과정에서 실수로 입주 신청자의 개인정보가 담긴 파일이 올라갔다. 이 파일에는 입주 신청자의 이름과 휴대 전화번호, 청약 순위와 배점 등이 담겨 있어 신청자 1100여명의 개인정보가 유출됐다. LH는 그로부터 2시간 가량 지난 뒤 유출 사실을 인지하고 파일을 삭제했다. 피해 고객에게는 15시간이 지난 이날 낮에야 개인정보 유출 사실을 개별 문자메시지로 안내했다. 피해자들은 유출된 개인 정보 파일을 누구나 청약 홈페이지를 통해 다운받을 수 있어 막대한 피해가 예상됨에도 LH 측은 유출 내용과 경위, 피해 사안을 정확히 안내하지 않았다며 울분을 터뜨렸다. 한 임대주택 신청자는 "오늘에서야 안내 문자가 왔는데 정확한 피해 사실을 물어보려고 LH에 전화해도 연락이 닿질 않는다"며 "홈페이지에도 별도 공지가 없어 불안하고 답답하다"고 밝혔다. 이에 LH 관계자는 "개인정보 보호법상 72시간 내 피해자에게 사실을 알려야 해 조처에 나선 것"이라며 "유출 사실을 파악 후 즉각 해당 자료를 삭제했고, 상세한 경위를 파악한 뒤 고객에게 문자 메시지를 통보하게 됐다"고 해명했다. 또 "피해 고객과 원활히 응대할 수 있도록 조처하겠다. 불편을 끼쳐 죄송하다"며 "유사 사고 방지를 위한 재발 방지 대책 마련에도 최선을 다하겠다"고 덧붙였다.
2025.04.24
개인정보위 "딥시크, 개인정보 중국 등에 무단 이전" 개인정보 수집 논란으로 국내 서비스를 잠정 중단한 중국의 생성형 인공지능(AI) '딥시크(DeepSeek)'가 서비스 당시 중국과 미국 내 업체 여러 곳에 국내 이용자 정보를 무단 이전한 정황이 밝혀졌다. 개인정보보호위원회는 24일 정부서울청사에서 브리핑을 열고 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표했다. 개인정보위에 따르면 딥시크는 올해 1월 15일 국내 서비스를 개시한 때부터 서비스를 중단한 2월 15일까지 이용자 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 모두 4개 해외 업체로 이전했다. 이 과정에서 이용자로부터 국외 이전에 대한 동의를 받거나 개인정보 처리방침에 이를 공개하지 않았다. 중국어와 영어로 된 해당 처리방침에는 개인정보 파기 절차 및 방법, 안전조치 등 개인정보보호법상 요구 사항도 누락됐다. 딥시크는 이용자의 기기·네트워크·앱 정보 외에도 이용자가 프롬프트에 입력한 내용을 중국 내 업체 3곳 중 한 곳인 볼케이노에 전송했다. 이 업체는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스(Bytedance)'의 계열사다. 딥시크는 점검과정에서 빠뜨렸던 국외이전 관련 법정 사항을 새롭게 마련한 한국어 처리방침에 포함해 개인정보위에 제출했다. 딥시크는 이용자 동의 없이 볼케이노에 개인정보를 이전한 사실은 확인했지만 보안 취약점과 이용자 인터페이스(UI)·경험(UX) 등의 개선을 위해 볼케이노의 클라우드 서비스를 이용한 것이라고 설명했다. 개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크는 이달 10일부터 신규 이전을 차단했다. 개인정보위는 "볼케이노는 바이트댄스의 계열사이지만 별도 법인으로 바이트댄스와 무관하고, 처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있으며 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 (딥시크가) 소명했다"고 전했다. 또 딥시크는 AI 학습·개발에 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 이용했다. 그러면서도 이용자가 프롬프트에 입력한 내용을 AI 학습·개발에 사용하지 못하도록 거부할 수 있는 '옵트아웃(opt-out)' 기능은 없었다. 딥시크는 이를 개인정보위가 지적한 다음 개선했다. 당초 처리지침 상 수집정보로 기재했던 '키 입력 패턴·리듬' 정보에 대해서는 국내 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 실제 수집한 사실은 없다고 알렸다. 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 등을 시정 권고했다. 국내 대리인 지정과 개인정보 처리시스템 전반의 안전조치 향상 등도 개선 권고했다. 딥시크가 개인정보위의 시정 권고를 10일 내 수용하면 관련 법에 따라 시정명령을 받은 것으로 간주한다. 이럴 경우 시정 및 개선 권고에 대한 이행 결과는 60일 내 개인정보위에 보고해야 한다. 개인정보위는 딥시크가 잠정 중단했던 국내 앱 다운로드 서비스가 언제 재개될지에 대해서는 밝히지 않았다.
2025.04.24
