[서울=뉴시스]윤정민 기자 = 지난해 대규모 개인정보 유출 사고로 홍역을 치렀던 SK텔레콤(SKT)이 보안 체계를 전면 개편했다. 유심 인증키를 암호화하고 보안 책임자의 권한을 대폭 늘리는 등 재발 방지 대책을 시행 중이다.

개인정보보호위원회는 13일 전체회의를 열고 '2025년 하반기 시정명령 및 개선권고 이행점검 결과'를 보고했다.

개인정보위가 지난해 하반기 기업·기관 93곳에 내린 시정명령·개선 권고·공표 명령 등은 총 222건이다. 이 중 211건(95%)이 이행됐거나 이행 계획이 제출된 것으로 나타났다.

◆개인정보위, SKT·인크루트 현장 점검…CPO 조직·보안체계 강화 확인

개인정보위는 지난해 대규모 개인정보 유출 사고가 발생했던 SK텔레콤과 인크루트에 대해 별도 현장점검을 실시해 재발 방지 대책 이행 여부를 직접 확인했다.

개인정보위는 지난해 8월 SK텔레콤 개인정보 유출 사고와 관련해 ▲3개월 내 재발 방지 대책 수립·보고 ▲개인정보보호책임자(CPO) 역할 강화 ▲개인정보 처리 위탁 관리·감독 강화 ▲사고가 발생한 이동통신 네트워크·시스템의 ISMS-P 인증 취득 등을 시정명령·개선 권고한 바 있다.

점검 결과 SK텔레콤은 이동통신망 내 개인정보 처리 시스템을 전수 점검하고 방화벽 정책 개선, 이상 행위 탐지 강화, 유심 인증키·중요정보 암호화 등 안전조치를 강화한 것으로 확인됐다.

특히 CPO가 IT·인프라 영역까지 제한 없이 개인정보 자산을 관리·감독할 수 있도록 조직 체계를 개편한 것으로 나타났다. 개인정보 수탁업체에 대한 정기 진단 체계와 점검 체크리스트도 새로 마련했다.

다만 SK텔레콤이 이행 계획으로 제출한 실시간 감시·차단 엔드포인트 탐지·대응(EDR) 설치, ISMS-P 인증 범위 확대 등은 아직 진행 중이다. 이에 개인정보위는 차기 점검 때 추가 확인할 예정이다.

지난해 초 해킹 공격으로 약 720만건의 개인정보 유출 사고를 낸 인크루트도 보안 체계를 대폭 손봤다. 인크루트는 서버 접속 시 추가 인증 체계를 도입하고 물리적 망 분리 환경을 구축했다. 또 비정상 트래픽 탐지 정책을 강화하고 CPO 조직 독립성도 강화한 것으로 확인됐다.

◆네이버·카카오·쿠팡 등 슈퍼앱, 서비스별 탈퇴 가능하게 개선

개인정보위는 공공기관 집중관리시스템과 해외 사업자, 슈퍼앱 서비스 등에 대한 시정조치 이행 여부도 점검했다.

공공기관 집중관리시스템의 경우 38개 기관 중 33개 기관이 시정 권고를 이행했거나 이행 계획을 제출했다.

경찰청 등은 인사 시스템과 개인정보 처리 시스템을 연동해 접근권한 관리를 강화했다. 국민연금공단 등은 개인정보 취급자의 접속 기록 조회 기능을 개선했다. 한국장애인고용공단 등은 이상 행위에 대한 실시간 소명, 책임자 결재 절차를 마련하는 등 사전·사후 안전조치를 강화했다.

쿠카엔터테인먼트 등 해외 사업자는 법적 근거 없이 주민등록번호를 처리하지 않도록 내부 지침을 개정하고 관련 교육을 실시한 것으로 나타났다.

네이버, 카카오, 쿠팡, 우아한형제들, 당근마켓 등 슈퍼앱 사업자들도 개인정보 처리 구조를 개선했다. 이용자가 서비스별로 탈퇴·삭제할 수 있도록 기능을 바꾸고 개인정보 처리 정지·삭제 요구 절차를 개인정보 처리 방침에 쉽게 안내하도록 조치했다.

불법 수집한 홍채 정보(민감정보)를 해외로 이전한 점 등을 이유로 정부 제재를 받은 월드코인과 TFH는 아동 연령 확인 절차를 새로 도입하고 개인정보 수집 동의 절차를 개선한 것으로 확인됐다.

개인정보위는 실질적 개인정보 보호 수준 제고를 위해 구체적 시정명령·개선 권고, 이행 점검을 활성화해 나갈 것이라고 말했다.


◎공감언론 뉴시스 alpaca@newsis.com