[파이낸셜뉴스] 지난해 고객 개인정보를 해외로 옮긴 국내 애플리케이션 업체가 전년 대비 10% 이상 늘어난 것으로 조사됐다.
개인정보보호위원회는 이같은 내용이 담긴 '모바일 앱 3대 취약 분야 개인정보 실태점검' 결과를 주제로 제1회 전체회의를 개최했다고 11일 밝혔다.
769개 모바일 앱, 해외로 고객정보 옮겨
개인정보위원회가 국내 주요 앱 3600여개를 대상으로 조사한 실태점검 결과, 개인정보를 국외 이전한 국내 앱 서비스는 2022년 696개에서 2023년 769개로 한 해 동안 73개(10.4%p)가 늘었다.
이전 국가는 미국이 24.2%로 가장 많았다. 다음으로 일본(12.2%), 싱가포르(7.5%), 독일(6.0%), 중국(3.1%) 등의 순이었다. 이전 받는 업체는 아마존 웹서비스(AWS)가 16.6%, 구글(9.6%), 젠데스크(5.8%) 등 글로벌 주요 정보통신(IT)업체 비중이 높았다. 개인정보위는 "주로 미국, 일본, 싱가포르 등으로 개인정보가 이전되고 있다"며 "클라우드 서비스 이용 영향으로 아마존 웹서비스, 구글 LLC·Cloud 등으로 많이 이전됐다"고 전했다.
개인정보를 국외 이전한 목적은 다소 변화가 있었다. 2022년에는 고객 서비스(CS) 상담이나 민원 처리 등 '처리위탁'이 66.6%로 가장 많았고 단순보관(21.9%), 정보제공(11.5%) 등의 순이었다면 지난해에는 광고(마케팅)·통계 분석 등을 위한 '정보제공' 목적이 3배 가까이 늘었다. 지난해 개인정보 국외이전 목적은 처리위탁 55.6%, 단순보관 12.4%로 각각 11%p, 9.5%p 줄어든 반면 정보제공은 32%로 20.5%p가 늘었다.
이와 함께 개인정보위는 모바일 앱의 개인정보 눈속임 설계가 많이 일어나는 4개 부문에 대한 집중 점검도 진행했다. 그 결과, 온라인 쇼핑, 예약, 누리소통망(SNS), 게임·콘텐츠 등 일상생활과 밀접하고 비용 결제 등으로 연결된 눈속임 설계는 개인정보 처리 모든 단계에서 일어나고 있음이 확인됐다.
대표적인 사례로는 △개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침, 이용약관 전문으로 동의받거나 △마케팅 정보 제공, 개인정보 공유와 같은 선택 동의 사항에 대해 사전에 미리 설정해 놓고 이용자가 개인정보 설정 화면에 들어가서 확인해야만 수정할 수 있는 경우 △가입 시 이용자 본인이 입력한 개인정보에 대한 사후관리가 곤란(개인정보 확인·수정 불가)한 경우 등이 있었다.
지속·반복적 동의 요구, 맞춤형 광고를 위한 쿠키 강요를 비롯해 탈퇴 단계에선 탈퇴 방해(해지 방어), 감정에 호소하는 사례도 많았다.
개인정보위는 아동·청소년이 많이 이용하는 게임, 동영상, 누리소통망(SNS) 앱(20개)을 중심으로 아동·청소년 개인정보 보호 가이드라인이 잘 지켜지고 있는지 여부도 함께 점검했다.
점검 결과, 14세 미만 연령확인 절차는 대부분 마련하고 있으나 아동이 연령을 허위기입하는 것을 막기 위한 방지 조치는 미흡했고 일부 해외 앱은 아동 연령 기준을 13세 미만 등으로 설정한 것이 확인됐다.
아동·청소년이 알기 쉬운 개인정보 처리방침을 제공하고 높은 수준의 개인정보 보호를 기본값으로 설정, 각종 권리행사 절차 안내 등을 골자로 한 가이드라인이 권고 중이나, 일부 사업자를 제외하고 전반적으로 미흡했다.
개인정보보호법 준수 비율은 개선
한편, 개인정보위가 이용률이 높은 상위 5000개 모바일 앱을 대상으로 '개인정보 보호법' 준수사항을 점검한 결과, 미준수 비율이 2022년 80.2%에서 약 10.7%p가 개선된 것으로 나타났다. 다만 그럼에도 미준수 비율은 10개 중 7곳 정도인 69.5%에 달했다.
이번 점검은 국내 이용률 상위 5000개 스마트폰 앱 서비스를 대상으로 개인정보 보호법에 따른 39개 항목으로 진행됐다. 점검 항목 중 한 개라도 지키지 않으면 미준수로 분류된다.
개인정보위에 따르면 개인정보 처리방침 공개는 확실하게 정착됐으며, 개인정보 수집·이용 시에 개별·구체적으로 동의를 받는 등 대다수 앱에서 사전동의 절차도 준수하고 있었다. 정보주체의 권리(자기결정권) 보장을 위한 열람 요구 등의 절차 고지와 동의 철회 고지도 대체로 지켜지는 것으로 나타났다. 다만 일부 앱의 경우 개인정보 처리방침 내용 중 제3자 제공 고지, 파기 절차 안내가 충분치 않았고, 동의 항목 중 일부 항목을 미고지하거나 개인정보 처리방침으로 포괄 동의를 받는 사례도 다수 발견됐다.
개인정보위는 "실태점검 결과 확인된 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 필요하면 조사에 착수한다는 방침"이라며 "다만 유관기관과의 협력 등을 통해 자발적 개선이 이뤄지도록 계도도 진행할 것"이라고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지