홈페이지를 운영하다 보면 어느 날 갑자기 한국인터넷진흥원(KISA)으로부터 이메일 공문을 받게 되는 경우가 있습니다. 처음 받으면 당황스럽기도 하고, 과태료를 내야 하는 건지 걱정이 앞서기도 합니다. 결론부터 말씀드리면 공문을 받았다고 해서 바로 제재를 받는 것은 아닙니다. 다만 기한 내에 개선하지 않으면 상황이 달라질 수 있습니다.
이 글에서는 KISA가 왜 이런 공문을 보내는지, 어떤 항목을 점검하는지, 그리고 홈페이지를 운영하는 입장에서 미리 챙겨두어야 할 것이 무엇인지를 정리했습니다.
KISA가 개인정보 모니터링을 하는 이유
한국인터넷진흥원은 매년 국내 온라인 서비스를 대상으로 개인정보 처리 실태를 모니터링합니다. 2011년 개인정보 보호법이 민간 사업자에게도 적용되기 시작하면서 시작된 활동인데, 법을 모르거나 무심코 지나쳤던 부분이 위반에 해당하는 사업자가 많았기 때문입니다.
점검 결과 미흡한 부분이 발견되면 개선 권고 공문을 보내고, 기한 내에 개선 계획서를 제출하도록 요청합니다. 공문 수령일로부터 보통 4주 이내에 개선을 마치고 회신하면 됩니다. 기한 내에 아무 조치도 하지 않으면 개인정보보호위원회의 현장 점검으로 이어질 수 있고, 그 단계에서는 과징금이나 과태료 부과로 이어질 수 있습니다.
예전에는 어떤 항목을 점검했나
초기에는 점검 범위가 매우 넓었습니다. 2021년 기준으로는 개인정보 보호법 22개 조항, 146개 항목에 대해 점검이 이루어졌습니다. 주요 지적 사항은 대부분 아래와 같은 내용들이었습니다.
- 개인정보처리방침이 없거나 내용이 법정 기재사항을 충족하지 못하는 경우
- 회원가입 시 주민등록번호를 수집하는 경우 (2012년 법 개정 이후 원칙적으로 금지)
- 필수 동의와 선택 동의를 구분하지 않고 일괄 동의를 받는 경우
- 개인정보 보유 기간을 명시하지 않거나 '회원 탈퇴 시까지'처럼 애매하게 쓴 경우
- 개인정보 처리를 외부 업체에 맡기면서 수탁 업체 정보를 공개하지 않은 경우
- 회원 탈퇴 후에도 개인정보를 삭제하지 않고 보관하는 경우
당시에는 웹사이트뿐 아니라 회원 정보를 수집하는 온라인 서비스 전반이 점검 대상이었습니다.
지금은 무엇을 점검하나
2022년부터 점검 항목이 크게 간소화되어 14개 조항, 36개 항목으로 줄었습니다. 점검 대상도 이용자 수 상위 앱 서비스 중심으로 구체화됐습니다. 하지만 점검 절차는 오히려 빨라졌습니다. 예전에는 사업자에게 먼저 실태점검서 제출을 요청하는 단계가 있었지만, 지금은 그 단계 없이 곧바로 원격 점검을 진행하는 방식으로 바뀌었습니다.
현재 점검 항목은 크게 네 가지 영역으로 나뉩니다.
| 영역 | 항목 수 | 주요 점검 내용 |
|---|---|---|
| 개인정보 수집 | 10개 | 동의 방식, 수집 항목의 적정성, 법정 고지 사항 포함 여부 |
| 개인정보 이용 및 제공 | 16개 | 제3자 제공 동의, 수탁 업체 공개, 국외 이전 고지 |
| 개인정보 보호조치 | 2개 | 암호화 적용 여부, 접근 통제 |
| 이용자의 권리 | 8개 | 열람·정정·삭제·처리정지 요구 방법 안내 |
지적을 가장 많이 받는 영역은 개인정보 이용 및 제공(78%), 개인정보 수집(71%) 순입니다. 화려한 기술적 문제가 아니라 동의 방식이나 처리방침 내용처럼 사이트를 처음 만들 때 흘려보내기 쉬운 부분에서 주로 걸립니다.
홈페이지 운영자라면 미리 챙겨야 할 것들
공문을 받기 전에 미리 점검해두면 좋을 항목들을 정리했습니다. 개인정보를 수집하는 홈페이지라면 규모와 상관없이 해당되는 내용입니다.
개인정보처리방침이 있는지, 내용이 맞는지
사이트 하단에 개인정보처리방침 링크가 있어야 합니다. 그런데 링크만 있고 내용이 법정 기재 사항을 제대로 담고 있지 않은 경우가 많습니다. 개인정보처리방침에는 수집 항목, 수집 목적, 보유 기간, 제3자 제공 여부, 수탁 업체 정보, 이용자 권리 행사 방법, 개인정보 보호책임자 정보가 포함되어야 합니다. 오래 전에 만들어놓고 그대로 방치한 경우 지금 기준에 맞지 않는 내용이 담겨 있을 수 있습니다.
동의 방식이 적법한지
회원가입 시 '모두 동의합니다' 체크박스 하나로 모든 항목을 일괄 동의받는 방식은 문제가 됩니다. 서비스 이용에 꼭 필요한 필수 항목과 선택 항목을 구분해서 따로 동의를 받아야 합니다. 선택 항목에 동의하지 않아도 서비스를 이용할 수 있어야 합니다.
주민등록번호를 수집하지 않는지
2012년 법 개정 이후 법령에 특별한 근거가 없는 한 주민등록번호 수집은 원칙적으로 금지되어 있습니다. 오래된 회원 DB에 주민번호가 그대로 남아 있거나, 회원가입 양식에 여전히 주민번호 입력란이 있다면 즉시 삭제해야 합니다.
외부 서비스 이용 시 처리방침에 반영되어 있는지
구글 애널리틱스, 카카오맵, 네이버 로그인 같은 외부 서비스를 쓰고 있다면 이 사실을 처리방침에 공개해야 합니다. 특히 AWS나 해외 서버를 이용하는 경우 개인정보 국외 이전에 해당할 수 있어 별도 고지가 필요합니다. 개발자에게 맡겨서 만든 사이트라면 어떤 외부 서비스가 연동되어 있는지 먼저 확인해볼 필요가 있습니다.
회원 탈퇴 후 개인정보를 삭제하는지
회원이 탈퇴하면 개인정보를 지체 없이 파기해야 합니다. 다만 전자상거래법 등 다른 법령에서 일정 기간 보관 의무를 정하는 경우에는 그 기간 동안 별도로 분리 보관해야 합니다. 탈퇴한 회원 정보가 그냥 DB에 남아 있는 채로 방치되는 경우가 많습니다.
이용자가 권리를 행사할 방법이 안내되어 있는지
이용자는 자신의 개인정보를 열람하거나 수정, 삭제, 처리 정지를 요구할 권리가 있습니다. 이 권리를 어떻게 행사할 수 있는지 처리방침에 안내되어 있어야 하고, 실제로 요청이 들어왔을 때 처리할 수 있는 담당자와 연락처가 있어야 합니다.
공문을 받았다면 어떻게 해야 하나
공문에는 첨부 파일 형태로 어떤 항목이 미흡한지 구체적으로 명시되어 있습니다. 당황하지 말고 첨부 파일을 꼼꼼히 읽어보면 무엇을 고쳐야 하는지 파악할 수 있습니다. 개선 후에는 이행 결과서와 소명서를 작성해서 공문에 안내된 이메일로 회신하면 됩니다. 내용이 어렵게 느껴진다면 처음부터 전문 업체에 컨설팅을 의뢰하는 것도 방법입니다.
핵심은 기한을 넘기지 않는 것입니다. 모르겠다고 방치하거나 답하지 않으면 현장 점검으로 이어지고, 그 단계에서는 훨씬 더 많은 것을 준비해야 합니다.
