개인정보위, 작년 하반기 시정조치 95% 이행 확인
개인정보보호위원회(이하 개인정보위)는 2025년 하반기 이행 기한이 도래한 시정명령·시정권고·개선권고 등 222건 가운데 211건이 이행됐거나 이행계획이 제출됐다고 14일 밝혔다. 전체 이행률은 95.0%다.
개인정보위는 13일 제9회 전체회의에서 2025년 7월부터 12월까지 의결한 시정명령·시정권고·개선권고·공표명령 등의 이행실태 점검 결과를 보고했다. 점검 대상은 93개 피심인의 222개 시정조치다.
시정 분야별로는 안전조치 의무 관련 조치가 175건으로 가장 많았다. 전체의 79.9%다. 개인정보취급자 관리·감독은 11건, 주민등록번호 처리 제한은 7건이었다. 유출 통지·신고 관련 조치는 4건이다.
개인정보위는 대규모 개인정보 유출 사고가 발생한 SK텔레콤과 인크루트에 대해 현장점검을 실시했다. 2025년 조사·처분 사건 가운데 유출 규모는 SK텔레콤이 약 2300만건으로 가장 컸고, 인크루트는 약 720만건이었다.
SK텔레콤은 이동통신망 내 개인정보처리시스템을 식별하고 전수점검했다. 방화벽 정책 개선, 유심 인증키 암호화, 중요정보 암호화 등 안전조치도 이행한 것으로 확인됐다. 개인정보보호책임자(CPO)가 IT·인프라 영역 제한 없이 개인정보 처리 자산을 관리·감독할 수 있도록 조직도 정비했다.
다만 개인정보위는 SK텔레콤이 이행계획으로 제출한 실시간 감시·차단 엔드포인트 탐지·대응(EDR) 설치, 정보보호·개인정보보호 관리체계(ISMS-P) 인증 범위 확대, 거버넌스 체계 정비 등은 차기 이행점검까지 계속 확인하기로 했다. EDR은 PC와 서버 같은 단말에서 이상행위를 탐지하고 대응하는 보안 체계다.
인크루트는 서버 접근 시 추가 인증체계를 마련했다. 물리적 망분리 환경 구축, 비정상 트래픽 모니터링 등 탐지 정책도 강화했다. 개인정보위는 지난달 17일 현장점검을 통해 인크루트가 제출한 자료와 이행 여부를 최종 확인했다.
공공기관 집중관리시스템 점검 결과도 공개됐다. 개인정보위는 지난해 11월 3년에 걸친 공공기관 집중관리시스템 전수점검을 마쳤다. 시정권고를 받은 38개 기관 가운데 33개 기관은 이행을 완료했거나 계획을 제출했다.
경찰청 등은 인사 시스템과 개인정보처리시스템을 연계해 소속 부서 정보를 현행화했다. 국민연금공단 등은 시스템 이용 기관이 소속 개인정보취급자의 접속기록을 조회할 수 있도록 기능을 개선했다. 한국장애인고용공단 등은 이상행위에 대한 실시간 소명 절차와 책임자 결재 절차를 마련했다. 개인정보위는 이행계획을 제출한 5개 기관의 이행 여부를 올해 말까지 확인할 계획이다.
해외사업자의 주민등록번호 처리 제한 관련 조치도 점검했다. 쿠카엔터테인먼트(Qookka Entertainment) 등 해외사업자는 법적 근거 없이 주민등록번호를 처리하지 않도록 내부관리 계획에 주민등록번호 처리 제한과 수집 금지 체크리스트를 반영했다. 임직원 대상 교육도 실시했다.
슈퍼앱 서비스 사업자도 개선권고 사항을 이행한 것으로 확인됐다. 대상은 네이버, 카카오, 쿠팡, 우아한형제들, 당근마켓이다. 이들 사업자는 관행적인 필수 동의 대신 정보주체 고지 등 대체 방안을 마련했다. 또 슈퍼앱 안에서 서비스별 탈퇴·삭제가 가능하도록 바꾸고, 개인정보 처리정지·삭제 요구 절차를 개인정보 처리방침에 안내했다.
월드코인과 티에프에이치(TFH)는 아동연령 확인 절차를 도입하고 개인정보 수집 동의를 개선했다. 개인정보위는 실제 서비스 운영 과정에서 시정조치가 제대로 작동하는지 계속 모니터링할 계획이다.
개인정보위는 현재 점검 중인 피심인 7개의 이행 여부도 추가 확인한다. 대상은 공공기관 집중관리시스템 안전조치 의무 관련 5개 기관, 개인정보 보호 교육 계획 수립과 실시가 필요한 솔파스튜디오, 인증 범위 확대 등 이행계획을 제출한 SK텔레콤이다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network


