개인정보위는 13일 전체회의를 열고 ‘2025년 하반기 시정명령 및 개선권고 이행점검 결과’를 보고했다고 14일 밝혔다.
개인정보위가 지난해 하반기 기업·기관 93곳에 내린 시정명령·개선권고·공표명령 등은 총 222건이다. 이 가운데 211건은 이행이 완료됐거나 이행계획이 제출됐다. 이행률은 95.0%다.
주요 점검 대상에는 SK텔레콤과 인크루트, 경찰청·국민연금공단·한국장애인고용공단 등 공공기관, 네이버·카카오·쿠팡·우아한형제들·당근마켓 등 플랫폼 사업자, 쿠카엔터테인먼트·엘리베이트홍콩홀딩스 등 해외 사업자가 포함됐다.
SK텔레콤은 지난해 해킹 공격으로 고객 2300만여명의 개인정보가 유출된 뒤 개인정보위로부터 시정명령과 개선권고를 받았다. 당시 개인정보위는 SK텔레콤에 3개월 안에 재발 방지 대책을 수립해 보고하고, 개인정보보호책임자(CPO) 역할을 강화하라고 요구했다. 개인정보 처리 위탁 관리·감독 강화와 사고가 발생한 이동통신 네트워크·시스템의 ISMS-P 인증 취득도 주문했다.
점검 결과 SK텔레콤은 이동통신망 내 개인정보 처리 시스템을 전수 점검하고 방화벽 정책을 개선했다. 이상 행위 탐지도 강화했다. 유심 인증키와 중요정보를 암호화하는 등 안전조치도 보완했다.
조직 체계도 손봤다. CPO가 IT와 인프라 영역까지 제한 없이 개인정보 자산을 관리·감독할 수 있도록 권한을 넓혔다. 개인정보 수탁업체에 대한 정기 진단 체계와 점검 체크리스트도 새로 마련했다.
다만 일부 과제는 아직 남아 있다. SK텔레콤이 이행 계획으로 제출한 실시간 감시·차단 EDR 설치와 ISMS-P 인증 범위 확대 등은 진행 중이다. 개인정보위는 차기 점검에서 해당 조치의 완료 여부를 추가로 확인할 방침이다. EDR은 PC와 서버 등 단말에서 발생하는 이상 행위를 탐지하고 대응하는 보안 체계다.
인크루트도 보안 체계를 개선했다. 인크루트는 지난해 초 해킹 공격으로 약 720만건의 개인정보 유출 사고를 겪었다. 이후 서버 접속 시 추가 인증 체계를 도입하고 물리적 망 분리 환경을 구축했다. 비정상 트래픽 탐지 정책을 강화하고 CPO 조직의 독립성도 높였다.
공공기관과 플랫폼 사업자에 대한 조치도 이뤄졌다. 공공기관 집중관리시스템의 경우 38개 기관 중 33개 기관이 시정권고를 이행했거나 이행계획을 제출했다. 경찰청 등은 인사 시스템과 개인정보 처리 시스템을 연동해 접근권한 관리를 강화했다. 국민연금공단 등은 개인정보 취급자의 접속 기록 조회 기능을 개선했다. 한국장애인고용공단 등은 이상 행위에 대한 실시간 소명과 책임자 결재 절차를 마련했다.
네이버, 카카오, 쿠팡, 우아한형제들, 당근마켓 등 이른바 ‘슈퍼앱’ 사업자들도 개인정보 처리 구조를 손봤다. 이용자가 서비스별로 탈퇴하거나 정보를 삭제할 수 있도록 기능을 개선했다. 개인정보 처리정지와 삭제 요구 절차도 개인정보 처리방침에 쉽게 안내하도록 했다.
해외 사업자에 대한 개선도 확인됐다. 쿠카엔터테인먼트 등은 법적 근거 없이 주민등록번호를 처리하지 않도록 내부 지침을 고치고 관련 교육을 실시했다. 월드코인과 툴스포휴머니티(TFH)는 아동 연령 확인 절차를 새로 도입하고 개인정보 수집 동의 절차를 개선한 것으로 나타났다.
개인정보위는 올해 말까지 추가 이행점검을 이어갈 계획이다. 예산이나 시간 부족 등을 이유로 아직 완료되지 않은 시정조치가 실제로 이행되는지 살펴보겠다는 방침이다.
