본문 바로가기 메인메뉴 바로가기

전자정부이 누리집은 대한민국 공식 전자정부 누리집입니다.

콘텐츠 영역

개인정보위 제16회 전체회의 결과

2025.07.24 개인정보보호위원회
글자크기 설정
목록
사전 실태점검 결과에 대해서 브리핑 시작하겠습니다.

개인정보보호위원회는 7월 23일 16회 전체회의를 열고 슈퍼앱 등 주요 서비스에 대한 사전 실태점검 결과를 심의·의결하였습니다.

참고로 사전 실태점검 제도는 개인정보 보호의 침해 위험을 사고가 나기 전에 선제적으로 예방·점검하는 제도로, 법위반사항이 발견이 되면 시정권고를 하고, 위반은 아니지만 단지 개선, 처리실태 개선이 필요하다고 판단될 때에는 행정지도 성격의 개선권고를 부과하게 됩니다. 이 건에 대해서는 개선권고만 부과가 됩니다.

슈퍼앱이란 하나의 앱에서 다양한 서비스를 백화점식으로 제공하는 온라인 플랫폼입니다. 슈퍼앱에서는 여러 사업자가 서로 연계되어 있어 이용자의 개인정보가 충분한 설명이나 통제 없이 이전·공유될 우려가 있으며, 이로 인해 이용자가 슈퍼앱 내에서 자신의 개인정보 처리 흐름을 정확하게 파악하기 어려울 수 있다는 우려가 제기되어 왔습니다.

또한, 슈퍼앱과 같은 집중형 플랫폼에서 축적되는 데이터는 향후 AI 학습이나 관련 서비스 개발에 핵심적인 데이터 리소스로 활용될 가능성이 높습니다. 따라서 슈퍼앱에서 처리되는 개인정보 보호에 대한 안전한 관리의 요구가 커지고 있는 상황입니다.

이에 따라 저희 개인정보위가 카카오톡, 네이버, 쿠팡, 배달의민족, 당근, 이상 5개 서비스에 대한 사전 실태점검을 실시하였고, 주요 점검 결과는 다음과 같습니다.

첫 번째로, 개인정보 이전·연계 지점에 대한 관리 강화를 개선권고 하였습니다.

슈퍼앱은 응용 프로그램 인터페이스, 이하 API 그리고 데이터 분석저장소, 통상 데이터 웨어하우스라고 칭하므로 이하 DW라고 약칭하겠습니다. 이상 크게 두 가지 방식으로 이용자 개인정보를 처리자 간에 이전하거나 공유하고 있습니다.

이와 관련하여 개인정보위는 API, DW 등 개인정보의 외부 이전 경로 생성·배포 그리고 DW 등 개인정보처리시스템에 대한 접근 권한 부여 등 주요 사항에 대해서는 소관 사업부서만 수행할 것이 아니라 반드시 개인정보 보호 담당부서에서 참여하에 결정될 수 있도록 내부통제를 강화할 것과 또한 보호법에 명시된 대로 DW 접속기록을 2년간 관리·점검할 것을 개선권고 하였습니다.

이에 대한 자세한 내용은 보도자료 4페이지 참고자료 그림을 보면서 부연 설명드리도록 하겠습니다.

그림을 보시면 슈퍼앱을 이용하는 이용자 단말기가 상단에 있고 이용자에게 A쇼핑과 B페이, 두 계열회사가 쇼핑과 결제 서비스를 제공하는 상황을 상정해 보았습니다.

이 경우에 거래내역 등 필요한 정보는 양 사의 각자 운영 DB에 기록이 됩니다. 이때 양 사 간 데이터 공유·전송이 필요할 수 있는데 '얼마를 결제했다.', '결제 결과가 어떻다.' 이런 필요한 데이터가 공유될 수가 있는데 그런 데이터 통신을 API 통신으로 하게 됩니다.

기술적으로는 API고 저희 법적으로는 개인정보가 이전되는 것이기 때문에 개인정보가 적법하게 이전될 수 있는 근거인 제3자 제공 동의를 받거나 또는 처리위탁 계약을 체결하는 등의 적법 근거를 갖추어야 합니다.

이 얘기는 무슨 얘기냐 하면 API를 생성할 때마다 개발의 필요에 따라서 생성이 되는데 이때 적법 근거가 있는지를 회사에서 검토를 해야 하고, 가능하면 사업부서만 그 검토를 수행하기보다는 개인정보 보호 부서, 즉 CPO 부서에서 참여하에 그 검토를 수행하는 것이 바람직하다고 이번에 개선권고를 하게 되었습니다.

다음 채널로 데이터 웨어하우스가 있는데 운영 DB에서 데이터 분석가들이 바로 통상 분석을 하지 않고 데이터 웨어하우스에 필요한 데이터를 복사를 해서 분석을 하게 됩니다. 즉, 복사 DB가 한 벌이 더 있다고 이해를 하시면 되겠습니다.

이 분석 DB에는 거래내역 같은 트랜잭션 데이터는 통상 복사가 되고 대신에 전화번호나 이름, 주소 같은 인적사항, 즉 외부식별자는 복사가 되지 않습니다. 대신에 내부에서만 쓰는 회원 고유번호 정도를 붙여 넣습니다.

이 DW에 기록된 정보는 그 자체로 개인을 식별하기는 어렵지만 다른 정보와 결합해서, 즉 운영 DB에 있는 회원 인적사항과 결합해서 개인을 알아볼 수 있는 정보로서 개인정보처리시스템에 해당할 소지가 있습니다. 개인정보처리시스템에 해당하는 경우에는 2년 동안 로그 보존을 해야 될 것을 저희가 개선권고를 하였습니다.

또한, 이 분석 데이터... 아니, 분석 DB, 데이터 웨어하우스에도 본사 인력, 이 서비스의 담당자뿐만 아니라 다른 서비스 인력이나 또는 계열사 인력한테 접근 권한을 부여할 수가 있습니다. 그런 방법으로 데이터 공유가 외부로 일어난 경우에도 마찬가지로 제3자 제공 동의+처리위탁 같은 적법 근거를 갖추어야 하고 그 적법 근거가 갖추어져 있는지, 접근 권한을 부여해도 되는지에 관한 검토를 사업부서와 병행해서 CPO 부서가 수행하도록 개선권고를 하였습니다.

2페이지로 돌아가겠습니다.

두 번째로, 개인정보 처리의 적법성 및 투명성 정보주체 권리보호 강화를 개선권고 하였습니다.

사업자들은 계약 이행 등에 필요한 개인정보 수집·이용·제공 근거를 대부분 '필수 동의' 사항으로 명시하고 있습니다. 그런데 보호법상 이런 경우는 정보주체의 동의가 없어도 수집을 할 수 있습니다.

심지어 이용자가 계약에 따른 서비스를 받기 위해 반드시 필요한 정보에 대해서 동의를 받도록 하는 것은 그렇게 의미가 없는 형식적 절차에 그칠 수가 있고, 자칫 동의 항목이 너무 많을 경우 이용자가 실제 동의가 필요한 항목이 무엇인지 제대로 확인하지 못할 소지가 있기 때문입니다.

이에 개인정보위는 불필요한 동의 관행을 줄임으로써 개인정보 처리의 투명성을 높이고 이용자의 실질적 선택권을 보장하기 위해 서비스 가입 시 계약 이행 등을 위한 필수사항은 고지를 하고 이용자의 동의가 필요한, 이른바 선택 동의가 필요한 사항에 대해서만 동의를 받아 처리하도록 개선권고 하였습니다.

아울러, 이용자 본인 정보가 처리되는 범위를 결정할 수 있는 개인정보 자기결정권 보장을 위해서 서비스 이용약관 등에 슈퍼앱의 서비스 목록을 명확히 안내하고, 개별 서비스에 대해서 개별 탈퇴를 할 수 있는 기능을 마련하거나 또는 기능이 아니더라도 개인정보 처리정지·삭제요구 절차를 안내하도록 개선권고 하였습니다.

이번 사전 실태점검의 의의에 대해서 말씀드리겠습니다.

이번 점검은 국민 대다수가 이용하는 슈퍼앱 서비스의 개인정보 처리 과정 전반을 선제적으로 살펴봄으로써 국민 생활 밀접 서비스에서 발생할 수 있는 개인정보 자기결정권 침해 위험을 사전에 차단하는 한편, 슈퍼앱 등을 통해 데이터를 활용하는 IT 기업 전반의 책임성 강화를 위한 내부 통제 기준을 제시했다는 데 의의가 있습니다.

향후 개인정보위는 이행점검 등 절차를 통해서 이번 개선권고 사항이 제대로 준수되고 있는지를 지속적으로 확인해 나갈 예정입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 어제 전체회의에서 사업자들이 따로 참석하지 않은 것으로 알고 있는데요. 이게 어디까지나 개선권고잖아요. 5개 사가 수용 의사를 위원회에서 밝혔는지, 밝혔다면 구체적으로 어떤 목표 기한과 어떤 내용을 제시했는지 궁금합니다.

<답변> 아까도 말씀드렸듯이 법위반사항에 대한 시정권고는 이번에 없고 행정지도 성격의 개선권고만 부과가 되게 됩니다. 사업자들과는 저희가 점검 과정에서부터, 현장이나 자료제출 과정에서부터 계속 소통을 해오고 있고 대부분 받아들여서 아마 이행하는 쪽으로 협의를 하고 있으며, 개선권고에 대한 이행 내역을 저희가 일정 기간 내에 제출을 받도록 되어 있습니다.

<질문> 이번에 그 5개 사 대상으로 점검하셨는데요. 이 회사들 선정기준이라고 해야 되나요, 어떻게 꼽게 됐는지 궁금합니다.

<답변> 좋은 질문해 주셨습니다. 기본적으로 월 순 방문자 수, MAU 상위 앱 5개를 대상으로 했는데, 다만 기능이 여러 개가 있지 않고 단일 기능만 있는 앱스토어 같은 그런 건 제외하고 여러 기능을 백화점식 제공하는 앱 중에서 5개를 선정했습니다.

여기서 또 저희가 봤던 게 관여하는 개인정보처리자가 1개 회사가 아니라 계열사가 함께 관여하는 앱을 대상으로 삼음으로써 그 계열사에 대한 데이터 공유 거버넌스가 적법하게 돼 있는지를 중점적으로 살펴보았습니다.

<질문> 혹시 이번 5개 사업자가 이번 개선권고 2건에 대해서 모두 지키지 않았는지, 동일하게 적용된 사안인지 궁금하고요. 혹시 동일하지 않다면 가장 부실했던 기업 어딘지 말씀해 주시면 감사하겠습니다.

<답변> 사업자별로 이행, 이미 이행하고 있는 부분과 그렇지 않아서 개선이 필요한 부분은 약간의 차이는 있는데 사업자마다 그게 내용이 조금씩 다르다 보니까 단순 비교해서 어디가 제일 떨어진다, 라고 얘기하기는 어렵습니다.

다만, 어쨌든 우리나라 선두 IT 기업들이고 기업 규모도 어느 정도 되고 인력도 보안 인력, 개인정보 보호 인력이 상당 부분 확충이 돼 있는 회사들이다 보니까는 전반적인 수준은 똑같다고 총평할 수 있을 것 같습니다.

<질문> (온라인 질의 대독) 문자 질문으로 들어왔습니다. '현재 5개 사 전부에 API 이전 경로 등을 생성·배포하거나 DW, 데이터 웨어하우스 접근 권한 설정 시에 CPO 부서가 아니라 ○○페이라든지 ○○쇼핑 같은 각 사업부서 단위에서 결정이 이루어지고 있다는 설명이십니까?'라는 그런 질문이 있었습니다.

<답변> 예, 맞습니다. 일부 사업자 같은 경우에는 CPO 부서의 검토가 없는 사례가 있어서 저희가 그 부분에 대해서 개선권고를 했습니다.

이번 개선권고 목적은 5개 사의 내부 통제 수준을 상향 평준화시키는 데 있었다, 라고 볼 수 있을 것 같고, 특정 회사가 완벽하고 특정 회사가 못 하고 그런 것보다는 각 사가 잘하는 부분이 있고 상대적으로 조금 모자라 보이는 부분이 있는데 그거를 전반적으로 상향 평준화시키는 차원에서 개선권고를 했습니다.

<질문> 슈퍼앱 관련 질문은 아니고요. 지금 위원회에서 사전 실태점검 제도를 활성화해서 조사를 선제적으로 하고 있는데요. 지금 별도로 조사 사전 실태점검하고 있는 분야가 있나요?

<답변> 진행 중인 사전 실태점검은 있습니다. 있는데,

<질문> 분야가 몇 곳이나 되고 어디인지 혹시 알 수 있을까요?

<답변> 조사 중인 사항은 코멘트가 조금 어렵습니다. 결과 발표를 기다려 주셔야 될 것 같습니다.

<질문> (온라인 질의 대독) 문자 질문이 하나 더 와서 제가 대독하겠습니다. 헤럴드경제 기자의 질문이신데요. 이번에 5개 사 서비스 모두 개별 서비스에 대한 탈퇴 기능은 없는지 궁금하다는 질문입니다.

<답변> 개별 서비스, 슈퍼앱이다 보니까 서비스 종료가 앱당 수십 개가 될 정도로 굉장히 많습니다. 저희가 살펴보니까 서비스를 이용할 때 해당 서비스 목적으로 개인정보, 어떤 개인정보를 어떻게 활용한다는 동의는 개별적으로 대부분 받고 있는데 그 동의 철회를 어떻게 할 수 있느냐를 저희가 점검했고요.

크게 두 가지로 나눌 수 있었습니다. 첫 번째 유형은 아예 이 기능은 안 쓰겠다, 이 기능만 탈퇴하는 일부 탈퇴 기능을 기능별로 따로 구현해 놓은 사례가 있었고, 그렇지 않고 회원 전체 탈퇴를 해야 하거나 또는 고객센터에 개별적으로 연락해서 '내 이용내역 지워주세요.'라고 별도로 요청해야 되는 사례가 있었습니다.

저희 법상 물론 기능으로 하면 소비자가 조금 더 편리하긴 하지만 그게 법상 의무화되어 있진 않다고 판단을 해서 이용자가 어떤 방법으로든 처리정지 요구권 등 권리를 행사할 수 있는 채널을 만들고 이용자한테 알리자, 라는 쪽으로 개선권고가 나갔습니다.

<질문> 여기 자료를 보면 여러 가지 개선권고 사항들이 적혀 있는데 혹시 이걸 언제까지 완료해야 된다는 그런 규정들이 있는지 궁금하고요. 또 개선을 못 하면 앞으로 어떤 제재 조치가 있는지에 대해서도 말씀 부탁드립니다.

<답변> 개선권고는 엄밀하게는 법적 강제성은 없는 행정지도 성격이기 때문에 직접적인 불이익은 없습니다. 다만, 저희가 협의가 된 부분에 대해서 사업자들이 자발적으로 어떻게 개선하겠다, 라는 공감대는 현재 있는 상황이고요. 기한 같은 경우에는 통상 180일 또는 90일 사이의 적정한 범위에서 협의해서 정하게 됩니다.

<답변> (사회자) 참고로 사전 실태점검 아까 질의를 주셨는데 그 부분 저희가 연수 업무계획에 분야에 대해서는 언급이 돼 있습니다. 그 내용을 참고하시면 될 것 같습니다.

<질문> (온라인 질의 대독) 그리고 이데일리 기자 또 질의를 주셨는데요. 사전 실태점검을 자주 하시는 건지, 또 혹시나 이번 슈퍼앱 같은 경우에 갑자기 사전 실태점검을 실시하게 된 경위가 있는 건지, 그 부분에 대한 질의를 주셨습니다.

<답변> 사전 실태점검 제도의 특징을 말씀드리면 이게 과징금·과태료가 나가지 않고 시정권고 또는 개선권고라는 서면상의 조치만 나가게 됩니다.

왜 그렇게 할 수 있느냐면 이게 사고가 나기 전에 선제적으로 예방하는 제도이기 때문이고요. 그래서 사업자, 개인정보처리자 입장에서도 조금 부담이 적고 수용성이 높고, 저희도 아직 사고는 나지 않았지만 뭔가 관찰이 필요한 분야에 대해서 선제적으로 볼 수 있다는 특징이 있어서 자주 활용을 하고 있습니다.

<답변> (서정아 대변인) 개인정보보호위원회 대변인입니다. 사전 실태점검 제도에 대해서 질문을 하시는 분들이, 기자님들이 계셔서 조금 더 부연 설명을 드리겠습니다. 사전 실태점검은 방금 조사3팀장님이 말씀드린 것처럼 저희가 특히 개인정보 처리의 흐름이 취약한 부분이 있어 보이거나 내지는 국민들의 관심이 있는 분야들을 대상으로 선정하고 있고요.

지난해부터 저희가 사전 실태점검을 본격적으로 실시했는데 지금 슈퍼앱 같은 경우는 금년도 저희 위원회 업무계획 발표를 할 때 이 분야에 대한 내용이 포함되어 있습니다. 그래서 다른 어떤 분야가 지금 진행되고 있는지에 대한 내용은 저희가 연초에 발표했던 업무계획 부분을 참고해 주시면 될 것 같습니다. 해당 내용들이 진행되고 있고요. 그 각각의 내용에 대해 구체적인 내용은 저희가 점검 결과가 나오면 그때 세부 사항을 보고드리도록 하겠습니다.

<답변> (사회자) 추가 질문 혹시 더 있으실까요? 없으시면 이상으로 금일 브리핑 마치도록 하겠습니다. 참석해 주셔서 감사드립니다.

<끝>
공공누리가 부착되지 않은 자료는 담당자와 협의한 후에 사용하여 주시기 바랍니다.
정책브리핑 공공누리 담당자 안내 닫기

이전다음기사

다음2025년 5월 경제활동인구조사 청년층 부가조사 결과

정책브리핑 게시물 운영원칙에 따라 다음과 같은 게시물은 삭제 또는 계정이 차단 될 수 있습니다.

  • 1. 타인의 메일주소, 전화번호, 주민등록번호 등의 개인정보 또는 해당 정보를 게재하는 경우
  • 2. 확인되지 않은 내용으로 타인의 명예를 훼손시키는 경우
  • 3. 공공질서 및 미풍양속에 위반되는 내용을 유포하거나 링크시키는 경우
  • 4. 욕설 및 비속어의 사용 및 특정 인종, 성별, 지역 또는 특정한 정치적 견해를 비하하는 용어를 게시하는 경우
  • 5. 불법복제, 바이러스, 해킹 등을 조장하는 내용인 경우
  • 6. 영리를 목적으로 하는 광고 또는 특정 개인(단체)의 홍보성 글인 경우
  • 7. 타인의 저작물(기사, 사진 등 링크)을 무단으로 게시하여 저작권 침해에 해당하는 글
  • 8. 범죄와 관련있거나 범죄를 유도하는 행위 및 관련 내용을 게시한 경우
  • 9. 공인이나 특정이슈와 관련된 당사자 및 당사자의 주변인, 지인 등을 가장 또는 사칭하여 글을 게시하는 경우
  • 10. 해당 기사나 게시글의 내용과 관련없는 특정 의견, 주장, 정보 등을 게시하는 경우
  • 11. 동일한 제목, 내용의 글 또는 일부분만 변경해서 글을 반복 게재하는 경우
  • 12. 기타 관계법령에 위배된다고 판단되는 경우
  • 13. 수사기관 등의 공식적인 요청이 있는 경우

히단 배너 영역

정책 NOW, MY 맞춤뉴스

정책 NOW

저출생 극복 나도 아이도 행복한 세상
정부정책 사실은 이렇습니다

MY 맞춤뉴스 AI 추천

My 맞춤뉴스 더보기

인기, 최신, 오늘의 영상 , 오늘의 사진

오늘의 멀티미디어

정책포커스