개인정보보호 시정조치 95.3퍼센트 이행…글로벌 빅테크도 따랐다

국내 개인정보 규제의 실효성이 수치로 확인됐다. 개인정보보호위원회가 올해 상반기 이행 기한이 도래한 시정명령과 개선권고의 이행 상황을 점검한 결과, 전체의 95.3퍼센트가 이미 조치를 완료했거나 이행 계획을 제출한 것으로 집계됐다. 메타, 아마존웹서비스 등 글로벌 빅테크부터 국내 보험사, 대학, 여행사, 클라우드 사업자까지 개인정보 보호 체계를 손보면서, 규제 준수와 서비스 운영 방식 전반에 변화가 나타나는 흐름이다. 업계에서는 이번 결과가 국내 개인정보 거버넌스 강화 국면의 분기점이 될 수 있다는 평가가 나온다.

개인정보보호위원회는 10일 전체회의에서 올해 상반기 중 이행 기한이 도래한 총 108건의 시정명령·개선권고를 점검한 결과를 보고했다. 그 결과 103건이 이행 완료됐거나 이행 계획이 제출돼 95.3퍼센트의 이행률을 기록했다. 행정처분에 따른 후속 조치가 실제 내부 시스템과 프로세스 변경으로 이어졌는지 확인한 것으로, 제재 중심에서 사후 관리 중심으로 무게중심을 옮기려는 흐름과 맞닿아 있다.

글로벌 플랫폼 기업 가운데서는 메타에 대한 조치가 대표적이다. 메타는 인스타그램과 페이스북에서 이용자 동의 없이 종교, 정치 성향 등 민감정보를 수집·생성하고, 이를 맞춤형 서비스와 광고에 활용한 혐의로 개인정보위로부터 시정명령을 받은 바 있다. 개인정보위는 메타에 민감정보 기반 맞춤형 광고 타깃 설정을 중단할 것을 요구했고, 메타는 실제로 민감정보를 활용하는 광고 타깃팅 옵션을 삭제하는 방식으로 조치를 이행했다. 이용자 프로파일링과 타깃 광고의 경계선에 대한 글로벌 논쟁 속에서, 국내 규제 당국의 결정이 플랫폼 구조를 직접 바꾸는 사례가 된 셈이다.

국내 금융권에서도 정보수집 최소화와 동의 과정 투명성을 강화하는 방향의 조정이 이뤄졌다. 정보주체 동의 위반으로 처분을 받은 현대해상화재보험 등 12개 손해보험사는 보험료 계산 과정에서 상품 소개나 혜택 안내에 동의하지 않은 이용자에게 동의를 재유도하는 팝업 화면을 삭제하는 등 동의 절차를 크게 손봤다. 동시에 보험료 계산을 중단하거나 실제 계약이 체결되지 않은 경우에는 해당 개인정보를 자동으로 파기하는 조치를 병행했다. 형식적 동의 유도 관행을 줄이고, 목적이 사라진 정보는 신속히 삭제하는 방향으로 프로세스를 재설계한 것이다.

교육기관에 대한 제재 이행 점검 결과도 공개됐다. 올해 6월 안전조치 의무를 소홀히 해 개인정보 유출 사고를 일으켜 과징금과 시정명령을 받은 전북대와 이화여대는 정보보안 체계를 전면 손질한 것으로 확인됐다. 전북대는 주요 정보시스템을 대상으로 한 모의해킹 훈련과 취약점 점검·조치를 실시하고, 사이버 위협 탐지·대응 시스템과 보안관제 플랫폼을 구축했다. 이화여대는 학사행정 시스템 인증 절차를 강화하고 24시간 원격 보안관제 시스템을 도입했으며, 정기적인 모의해킹과 취약점 조치를 통해 기술적·관리적 보호조치를 보완했다. 교육기관의 정보 유출이 대규모 학사·인적 정보 노출로 이어질 수 있다는 점에서, 대학 대상 보안 투자가 구조화되는 신호로 읽힌다.

클라우드 인프라를 제공하는 글로벌·국내 사업자에도 요구사항이 강화됐다. 아마존웹서비스와 마이크로소프트 애저, 네이버클라우드 등은 개인정보위의 사전 실태점검 결과에 따라 받은 개선권고를 모두 이행한 것으로 나타났다. 이들 사업자는 클라우드 이용기업이 개인정보보호법상 안전조치 의무를 충족하도록 지원하는 것을 목표로, 서비스 내 보안 관련 추가 설정 방법과 별도 보안 솔루션 구독 옵션 등을 정리한 이용사업자용 가이드라인을 새로 마련했다. 클라우드 환경에서 개인정보 처리 책임이 이용사업자에게 있는 구조를 전제로, 인프라 제공자가 설정과 도구를 보다 명료하게 안내하는 방식으로 공동 책임 체계를 정교화했다고 볼 수 있다.

여행업계에서는 모두투어 사례가 주목됐다. 모두투어는 보유기간이 지난 비회원 개인정보를 파기하지 않고 장기간 쌓아두다 대규모 개인정보 유출로 이어진 사고로 올해 3월 처분을 받았다. 이후 개인정보위 시정조치에 따라 ERP 시스템 정기점검 시 개인정보 파기 항목을 필수 점검 대상에 포함해 자동 파기가 이뤄지도록 시스템을 개편했다. 여기에 더해 파기 현황을 상시 점검하고, 개인정보 보호책임자 내부 결재 체계를 마련하는 등 관리 책임을 명문화했다. 일회성 정리 작업이 아니라, 파기를 정기 운영 프로세스 안에 편입한 구조로 바꾼 셈이다.

소셜로그인 서비스에 대한 선제적 점검과 후속 조치도 진행됐다. 개인정보위는 작년 11월까지 네이버, 카카오, 구글, 메타, 애플 등 5개 주요 소셜로그인 사업자를 대상으로 사전 실태점검을 수행했고, 올해 2월 개선권고를 내렸다. 이후 이들 사업자는 이용자가 소셜로그인 계정을 탈퇴하거나 소셜로그인 연동을 해지할 때, 그리고 소셜로그인 기능을 도입한 웹·앱 서비스에서 탈퇴가 이뤄질 때 개인정보가 제때 파기되도록 연동 구조를 손질했다. 구체적으로는 소셜탈퇴와 연동 해지 절차, 콜백 URL, 토큰 만료 API 등 기술적 기능을 개발자 문서에 상세히 안내해 이용사업자가 계정 종료와 데이터 파기를 연동 구현하기 쉽게 만들었다. 계정 기반 생태계에서 발생하는 이중·삼중 보유 문제를 줄이려는 시도다.

개인정보위는 현재 진행 중인 피심인에 대해서도 시정조치 이행 여부를 추가로 확인하고, 이행을 독려하는 작업을 이어갈 계획이다. 동시에 시정명령 내용을 유형화하고 구체화해 기업들이 요구 사항을 보다 명확히 이해할 수 있도록 하고, 이행점검 체계를 강화하는 방향의 제도 개선도 추진한다는 방침이다. 규제 당국의 후속 점검 역량과 기업 현장의 실행력을 동시에 끌어올리려는 접근으로, 앞으로 발표될 신규 제재와 시정명령에서도 실행 가능성이 핵심 평가 기준으로 작용할 전망이다. 산업계는 이번 조치들이 실제 서비스 설계와 데이터 거버넌스 문화에 얼마나 깊게 뿌리내릴지 지켜보고 있다.