개인정보위, '25년 하반기 시정명령 등 이행점검 결과 발표

개인정보위, '25년 하반기 시정명령 등 이행점검 결과 발표

- 안전조치 향상, 취급자 관리·감독 강화, 주민등록번호 처리제한 등 95% 이행

- 에스케이텔레콤 자체 전수점검 및 유심 인증키, 중요정보 암호화 완료 확인, 인크루트 인증체계 강화 등 안전조치 강화 이행

- 월드코인·TFH 아동연령 확인 절차 도입 확인, 실제 운영과정 지속 모니터링

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 대규모 개인정보 처리자, 해외사업자, 집중관리시스템을 보유한 공공기관 등을 대상으로 개인정보 보호법 위반으로 처분한 시정명령(권고), 개선권고 사항에 대해 해당 기관들이 적극적으로 이행 계획을 수립·이행한 사실을 확인하였다.

개인정보위는 5월 13일(수) 제9회 전체회의에서 '25년 하반기 처분 중 이행 기간('25.7월~'25.12월 중 의결)이 도래한 222건*의 시정명령(권고), 개선권고, 공표명령 등 내용에 대한 이행실태를 점검한 결과, 211건(약 95.0%)이 이행되거나 이행계획이 제출됐다고 보고하였다.(기업·기관별 점검 결과 붙임 참고)

• 보호법 상 안전조치 의무(79.9%), 취급자 관리·감독(5.3%), 주민번호 처리제한(3.3%) 순

<대규모 개인정보 유출 관련>

개인정보위는 작년 대규모 개인정보 유출 사고가 발생한 에스케이텔레콤인크루트에 대해 현장점검을 통해 구체적인 재발방지 대책 수립·이행 여부를 면밀히 검증하였다.

※ 2025년 조사·처분 중 유출 규모 1위 : 에스케이텔레콤(약 2,300만건), 2위 : 인크루트(약 720만건)

에스케이텔레콤은 이동통신망 내 개인정보처리시스템 식별 및 전수점검, 방화벽 정책 개선, 유심 인증키 및 중요정보 암호화 등 안전조치 강화 및 개인정보보호책임자(CPO)가 IT·인프라 등 영역 제한 없이 개인정보 자산을 관리·감독 할 수 있도록 조직을 재정비한 것으로 확인되었다. 다만, 이행계획으로 제출한 실시간 감시·차단 EDR(Endpoint Detection & Response) 설치, 인증범위 확대 등은 차기 이행점검 시 개인정보위가 추가 확인하여 이행 여부를 검토할 예정이다.

한편, 인크루트는 추가 인증체계 마련, 비정상 트래픽 탐지 정책 개선 등 보안을 강화하였다.

<공공기관 집중관리시스템 및 해외사업자 주민등록번호 처리 관련>

개인정보위는 지난해 11월 공공기관 집중관리시스템에 대한 3년에 걸친 전수점검을 마무리하였으며, 점검 결과 시정권고를 받은 38개 기관 중 33개 기관이 이행 및 계획 제출을 완료하였다.

경찰청 등은 인사 시스템 인사정보와 개인정보처리시스템을 연계하여 소속 부서 현행화 등 접근권한 관리를 강화하였고, 국민연금공단 등은 시스템 이용 기관의 개인정보취급자 접속기록 조회가 가능하도록 시스템을 개선하였다. 한국장애인고용공단 등은 이상행위에 대한 실시간 소명 및 책임자 결재 절차를 마련하는 등 사전·사후 안전조치를 강화하였다. 개인정보위는 향후 이행 계획을 제출한 5개 기관에 대해 이행여부를 연말까지 지속적으로 확인할 예정이다.

아울러, 쿠카엔터테인먼트(Qookka Entertainment) 등 해외 사업자는 향후 법적 근거 없이 주민등록번호를 처리하지 않도록 내부관리 계획 내 주민등록번호 처리 제한 및 수집 금지 체크리스트를 반영하고, 임직원 대상 관련 교육을 실시한 것으로 확인하였다.

<슈퍼앱 서비스 관련>

지난해 7월, 사전 실태점검 결과 개선권고를 받은 슈퍼앱 서비스 사업자* 모두 개선권고 사항을 이행한 것으로 확인되었다. 사업자들은 정보주체 고지 등 관행적인 필수 동의 대체 방안을 마련하는 한편, 이용자 권리 강화를 위해 슈퍼앱 내 서비스별 탈퇴·삭제가 가능하도록 변경하고 개인정보 처리정지·삭제 요구 절차를 개인정보 처리방침에 알기 쉽게 안내하도록 조치하였다.

• 네이버, 카카오, 쿠팡, 우아한형제들, 당근마켓

한편, 월드코인·티에프에이치(TFH)에 대해서는 지난해 하반기 점검에 이어 추가 점검을 통해 아동연령 확인절차 도입, 개인정보 수집 동의 개선 등 시정조치를 이행하였으며, 실제 서비스 운영과정에 대해서는 지속적으로 모니터링할 계획이다.

향후, 개인정보위는 시정조치 점검 중인 피심인(7개)*에 대한 이행 여부를 추가 확인 및 이행 독려를 철저히 하는 한편, 실질적 개인정보 보호 수준 제고를 위해 구체적 시정명령·개선권고 및 이행점검을 활성화 해 나갈 예정이다.

• 공공기관 집중관리시스템 안전조치 의무 관련(5개 기관), 개인정보 보호 교육 계획 수립 및 실시(솔파스튜디오), 인증 범위 확대 등 이행 계획 제출(에스케이텔레콤)

• 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

• 담당자 : 조사총괄과 지한구(02-2100-3093)