개인정보위, 상조서비스 개인정보 보호 취약요인 선제 점검

사전 실태점검을 통해 안전조치 강화 및 내부통제 개선 유도
개인정보처리시스템 안전조치, 개인정보 파기·분리 보관등 시정권고

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 상조 서비스 주요 사업자를 대상으로 개인정보 처리 사전 실태점검*을 실시한 결과, 보안취약점 조치 미흡,

장기 미사용 계정 관리 소홀 등 미흡사항을 발견하고 시정을 권고하기로 하였다. 개인정보위는 6월 24일(수) 제12회 전체회의에서 이 같은 내용을 심의·의결하였다.

사전 실태점검: 개인정 보호 취약요인을 사전 점검하여 침해 위험을 예방하는 제도로, 개인정보 보호법 위반사항 발견 시 시정권고, 그 외 개선이 필요한 사항은 개선권고 실시

상조 서비스는 회원 가입 후 일정 금액을 납입하면 장례 서비스를 제공하는 것으로, 최근에는 웨딩, 여행 등 생애주기 전반으로 서비스 범위를 확대하고 있다.

상조 서비스 제공 과정에서는 성명, 전화번호, 종교 등 다양한 개인정보가 처리되며, 장기간 회원 정보를 보유하는 특성이 있어 체계적인 개인정보 보호조치가 요구된다.

최근 보람상조그룹(2024년 6월), 교원라이프(2026년 1월) 등 상조업계에서 개인정보 유출 사고가 연이어 발생하였다.

이에 개인정보위는 선수금 규모 등을 고려해 상조 분야 주요 사업자 3개사*를 선정하여, 올해 1월에 사전 실태점검에 착수하였다.

이번 점검에서는 ▴개인정보처리시스템에 대한 안전조치 이행 여부, ▴개인정보 보관·파기 관리 실태, ▴개인정보 처리업무 수탁자에 대한 관리·감독 현황,

▴개인정보 보호책임자(CPO) 지정 여부, ▴내부통제 체계 운영 현황 등을 중점적으로 살펴보았다.

점검 결과, 일부 사업자에서 다음과 같은 개선 필요 사항이 확인되었다.

첫째, 개인정보처리시스템에 대한 안전조치가 미흡한 사례가 확인되었다. 보안취약점 점검 후 발견된 취약점을 적시에 조치하지 않거나,

장기간 미사용 계정의 접근권한을 회수하지 않는 등 접근권한 관리가 미흡한 사례가 있었으며, 접속기록 보관 시 필수 항목인 정보주체 정보를 포함하지 않은 사례도 확인되었다.

둘째, 보관기간이 경과한 개인정보를 파기하지 않거나 분리보관 의무를 준수하지 않은 사례가 확인되었다. 상조 서비스 해지 후 보유기간이 지난 개인정보를 계속 보관하거나,

별도 분리보관 없이 운영 데이터베이스에 저장·관리하는 사례가 있었다.

셋째, 개인정보 처리업무를 위탁받은 수탁자 중 일부에 대해 점검 및 교육을 실시하지 않는 등 수탁자 관리·감독이 미흡한 사례도 확인되었다.

개인정보위는 위 사항을 「개인정보 보호법」 위반으로 판단하고 해당 사업자에 시정권고를 하기로 의결하였다.

한편, 점검 과정에서 ▴내부 데이터베이스 서버 접근통제 미흡, ▴개인정보 전송구간 암호화 미적용, ▴개인정보 보호책임자 지정요건 미준수 등의 문제가 확인되었으나,

실태점검 기간 중에 관련 사항을 모두 개선·조치하였다.

이번 사전 실태점검은 국민 생활과 밀접한 상조서비스 분야의 개인정보 보호 취약요인을 선제적으로 점검하고 개선하였다는 데 의미가 있다.

특히 사업자들이 스스로 개인정보 처리 전반을 재점검하고, 개인정보 보호책임자(CPO)를 중심으로 내부통제 체계를 강화하는 계기가 되었다.

무엇보다 다수의 미흡 사항이 점검 과정에서 자율적으로 개선됨으로써 개인정보 침해 위험을 사전에 예방하는 효과를 거두었다.

개인정보위는 국민 생활과 밀접한 분야를 중심으로 사전 실태점검을 지속 확대하여 개인정보 침해 위험요인을 선제적으로 발굴·개선해 나갈 방침이다.

앞으로는 개인정보 처리 전 과정에서 위험요인을 미리 확인하고 개선하는 예방 중심의 개인정보 보호체계를 확산함으로써,

국민의 개인정보가 보다 안전하게 보호될 수 있도록 지속적으로 노력해 나갈 예정이다.

또한 이번 시정권고 사항에 대해서는 이행점검을 통해 개선 여부를 확인하고, 업계 전반의 개인정보 보호 수준을 향상 할 수 있도록 지원할 계획이다.