개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 10일 제26회 전체회의에서 ‘2025년 상반기 중 이행 기간(’24.10월~’25.6월 중 의결)이 도래한 108건의 시정명령(권고), 개선권고, 공표명령 등 내용에 대한 이행실태를 점검한 결과, 103건(약 95.3%)이 이행되거나 이행계획이 제출됐다고 밝혔다.
108건을 구체적으로 보면, 보호법 상 안전조치 의무가 62건(58.3%), 개인정보 파기가 22건(20.3%), 합법처리 근거가 13건(14.8%) 이다.
■ 합법처리근거(동의 등) 관련
이번 이행점검에는 '메타(Meta)처분 건'도 포함됐다. 메타는 이용자의 적법한 동의 없이 종교·정치관, 동성애 등 민감정보를 수집·생성하고 이를 맞춤형(타겟팅) 서비스·광고 등에 활용했다.이에, 개인정보위는 시정명령 처분을 내렸고, 메타는 민감정보 기반 맞춤형 광고 타겟팅 옵션을 삭제했다.
또 정보주체의 개인정보 수집·이용 동의 위반으로 처분(’24.12월)을 받은 12개 손해보험사의 경우, 보험료 계산 시 상품소개·혜택안내 미동의자에 대한 동의 재유도 팝업 화면 삭제 등 동의 절차를 개선하고, 보험료 계산을 중단하거나 미계약한 경우는 개인정보 자동 파기 조치도 병행했다.
올 6월 안전조치 의무 소홀로 개인정보가 유출돼 과징금, 시정명령 등 처분을 받은 대학 2곳에 대한 시정조치는 이행된 것으로 확인됐다. 전북대의 경우, 주요 정보시스템 대상 모의해킹 훈련 및 취약점 점검·조치, 사이버 위협 탐지·대응 시스템 적용, 보안관제 플랫폼 구축 등의 안전조치를 강화했다. 이화여대는 학사행정 시스템 인증 강화, 24시간 원격 보안관제 시스템 도입, 모의해킹 실시 및 취약점 조치 등 보안을 강화했다.
아울러, 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform) 등 클라우드 사업자에 대한 사전 실태점검 결과 이루어진 개선 권고도 모두 이행된 것으로 밝혀졌다. 해당 사업자는 이용사업자가 보호법 상 안전조치 의무 준수할 수 있도록 클라우드 서비스 내 추가 설정 및 별도 솔루션 구독 내용 등이 담긴 ‘이용사업자용 가이드라인’을 마련했다.
■ 개인정보 파기 관련
보유기간이 경과된 비회원의 개인정보를 파기하지 않아 대규모 개인정보 유출에 영향을 끼쳐 올해 3월 처분받은 모두투어도 개인정보위의 시정조치에 대해 ERP(전사적 자원관리) 시스템의 정기점검 시 파기 사항을 추가해 개인정보가 자동 파기될 수 있도록 조치했다. 또 모두투어는 파기현황 점검과 함께 개인정보 보호책임자(CPO) 내부 결재 체계 마련 등 개인정보 파기 프로세스를 개선한 것으로 확인됐다.
관련기사
- 개보위도 디지털 포렌식 센터 만들었다2025.12.10
- 개보위 "과징금·손해배상제 개선"2025.12.04
- 개보위 2026년 예산 729억...개인정보 침해방지 77억2025.12.03
- 2조원 규모 국가 GPU 확충 닻 올렸다…'AI 고속도로' 시동2026.03.12
작년 11월까지 실시된 소셜로그인 서비스에 대한 사전 실태점검과 관련하여, 올해 2월에 개선권고 받은 소셜로그인 5개 사업자도 적극적인 개선 노력이 확인됐다. 주요 내용으로는 이용자가 소셜로그인 계정을 탈퇴(연동 해지)하거나 소셜로그인 이용사업자의 웹·앱 탈퇴 시 해당 정보주체의 개인정보가 적시에 파기될 수 있도록 소셜로그인 이용사업자는 소셜탈퇴 및 연동 해지 방법·기능(Callback URL, 토큰만료 API 등)을 개발자 문서 등에 안내하는 등의 조치를 했다.
향후, 개인정보위는 시정조치 점검 중인 피심인(3개, 5건)에 대한 이행 여부를 추가 확인 및 이행 독려를 철저히 하는 한편, 시정명령 유형화·구체화, 이행점검 체계 강화 등 시정명령 실효성 제고를 위한 제도개선도 병행할 예정이다.
