"카톡·네이버·쿠팡·배민·당근 5개사 딱 걸렸다" 개인정보 이전 개선권고

개인정보보호위원회가 카카오톡, 네이버, 쿠팡, 배달의민족, 당근 등 5개 슈퍼앱 서비스에 대한 사전실태점검을 실시, 개선권고 했다.

슈퍼앱은 하나의 앱에서 검색, 쇼핑, 금융·결제, 기타 생활밀착형 기능 등 다양한 서비스를 제공하는 온라인 플랫폼이다. 여러 사업자가 서로 연계돼 있는 만큼 이용자 개인정보가 충분한 설명, 통제 없이 이전·공유될 우려가 있다. 이로 인해 이용자가 슈퍼앱 내에서 자신의 개인정보 처리 흐름을 정확히 파악하기 어려울 수 있다는 우려가 제기돼 왔다.

또한, 슈퍼앱과 같은 다기능 플랫폼서 축적되는 데이터는 AI 학습 및 관련 서비스 개발에 핵심자원으로 활용될 가능성이 높다. 따라서 슈퍼앱에서 처리되는 개인정보 보호에 대한 안전한 관리의 요구가 커지고 있는 상황이다.

이에 따라 , 주요 점검 결과는 다음과 같다.

개선권고❶: 개인정보 이전·연계 지점 관리 강화 

슈퍼앱은 응용 프로그램 인터페이스(Application Programming Interface․이하 ‘API’)와 데이터 분석저장소(Data Warehouse 등, 이하 ‘DW’) 등 두가지 방식으로 고객 개인정보를 처리자 간에 이전하거나 공유하고 있다.

API는 서로 다른 서버 간 데이터를 주고받기 위해 일방이 호출하고 상대방이 응답하는 전송방식이다. 예를 들면 슈퍼앱 내 A쇼핑이 사용자 결제요청을 처리할 때 API를 통 B페이에 결제정보를 전송한다.

DW는 운영 서버(이용자측과 연동되어 직접 서비스를 제공하는 서버)와 구분되어 별도 구축된 분석용 데이터베이스다. 예를 들면 슈퍼앱 내 A쇼핑이 DW에 결제 내역 데이터가 저장되면, 데이터 분석가 등이 접속해 마케팅 대상 정보 추출 및 분석한다.

이와 관련, 개인정보위는 ▲API 등 개인정보의 외부 이전 경로 생성·배포, ▲DW 등 개인정보처리시스템에 접근 권한 부여 등 중요사항에 대해서는 소관 사업부서 자체적으로 수행할 것이 아니라 반드시 개인정보 보호담당부서 참여하에 결정될 수 있도록 내부통제를 강화할 것과 보호법에 명시된 대로 DW 접속기록을 2년간 관리·점검할 것을 개선권고 했다.

개선권고❷ 개인정보 처리의 적법성·투명성 및 정보주체 권리보호 강화 

사업자들은 계약 이행 등에 필요한 개인정보 수집·이용·제공의 근거를 대부분 ‘필수 동의’ 사항으로 명시하고 있다. 개인정보 보호법 상 이러한 경우는 정보주체 동의가 없어도 수집·이용할 수 있다. 

대신, 해당 내용은 반드시 보호법규에 맞추어 개인정보처리방침 등을 통해 고지해야 한다. 사용자가 계약에 따른 서비스를 받기 위해 반드시 필요한 개인정보에 대해 동의를 받는 것은 사실상 불필요한 절차인데다, 동의 항목이 너무 많을 경우 자칫 사용자가 실제 동의가 필요한 항목을 제대로 확인하지 못할 소지가 있기 때문이다.

이에 개인정보위는 불필요한 동의 관행을 줄임으로써 개인정보 처리의 투명성을 높이고, 사용자의 실질적인 선택권을 보장하기 위해 서비스 가입시 계약 이행 등 필수 사항은 개인정보처리방침 등을 통하여 고지하고, 이용자의 동의가 필요한 항목에 대해서만 동의를 받아 처리하도록 개선권고 했다.

아울러, 이용자 본인의 정보가 처리되는 범위를 결정할 수 있는 개인정보자기결정권 보장을 위하여 ▲서비스 이용약관 등에 슈퍼앱의 서비스 목록을 명확히 안내하고, ▲개별 서비스를 탈퇴하는 기능을 마련하며, ▲개인정보 처리정지·삭제요구 절차를 알기 쉬운 방법으로 안내하도록 개선 권고했다.

개인정보위는 "국민 대다수가 이용하는 슈퍼앱 서비스의 개인정보 처리 과정 전반을 선제적으로 살펴봄으로써, 국민 생활과 밀접한 서비스에서 발생할 수 있는 개인정보자기결정권 침해 위험을 사전에 차단하는 한편, 슈퍼앱 등을 통해 데이터를 활용하는 IT 기업 전반의 책임성 강화를 위한 내부통제 기준을 제시에 의의가 있다"며 "향후 개선권고 사항 준수를 지속적으로 확인해 나갈 계획"이라고 밝혔다.

Related Materials

• 세계 각국의 개인정보 유출에 대한 처벌 규정 - 세계법제정보센터, 2025년
• 정보보호 법제동향 (해외 주요국 EU, 미국, 일본 최근 입법동향), 2023년
• 유럽연합 국가, 신규 사이버보안법률 위반 시 높은 과징금 부과, 2023년
• 개인정보보호 월간동향분석, 2024년

개인정보위, 빅3 클라우드 사업자 ‘개선권고’

💡Editor Pick - AWS, Azure, 네이버클라우드 3개사 사전 실태점검 결과 발표 - 보호법상 안전조치기능 제공 현황 점검 - “추가설정 및 별도 솔루션 구독 필요 항목에 대해 가이드 안내” 개선 권고 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 12일 AWS, Azure, 네이버클라우드 3개 클라우드 서비스 제공 사업자(CSP)에게 개선 권고했다. 개인정보위가

The Tech EdgeCheifEditor

쿠가게임즈, 과징금 9천370만원 받아

💡Editor Pick - 쿠카게임즈, 이벤트 당첨자 대상으로 주민등록번호 41건 수집 - 적법 근거 없이 주민등록번호 처리 제한 규정 위반 - 잡보스, 적법 근거 없이 피고용자 575명 주민등록번호 수집...시정명령 개인정보 보호 법규를 위반한 쿠카게임즈가 과징금 9천 370만원, 잡보스가 시정명령을 받았다. 쿠카게임즈: 과징금 9천 370만원 부과, 시정명령 글로벌 게임회사인 쿠카게임즈는 모바일

The Tech EdgeCheifEditor

개인정보위, 온라인 사기 조회 ‘더치트’ 과태료 480만원 부과

💡Editor Pick - 더치트, 구분동의를 포괄 동의로 받고, 개인정보 처리방침 일부 누락 - 세무대행앱 3개사, 주민등록번호 입력 최소화 방안 마련 개선권고 온라인 사기 조회 서비스 더치트와 세무대행앱 3개사가 개인정보위로부터 과태료를 부과 받았다. < 더치트: 과태료, 시정명령, 결과공표, 개선권고 > 더치트는 중고거래 사기와 보이스피싱 등 온라인 사기 피해 사례를 등록·조회할 수 있는

The Tech EdgeCheifEditor