개인정보 보호위원회

최근 행정처분

민원 접수 숫자 및 처분 사례 건수 등 (‘22/23년 기준)

 • (민원 접수) ‘22/23년 기준 ICO에 접수된 민원 건수는 총 33,753건으로 전년(36,343건)에 비해 7.13% 감소

   - 토지 및 부동산 서비스(12.14%), 금융·보험·신용(11.04%), 보건 (10.52%), 일반 비즈니스(10.33%) 분야의 민원이 전체 제기된 개인정보보호 민원의 약 절반가량을 차지

   - 그 뒤를 지방정부(8.62%), 온라인 기술 및 통신(7.6%), 소매 및 제조(6.84%), 중앙정부(6.18%) 분야의 민원이 이음

 • (행정처분 사례) ‘22/23년 기준 ICO의 행정 과징금 부과 건수 및 과징금 총합에 대해서는 ’21/22년 연례보고서에서와같이 명시되어 있지 않음

개인정보보호 위반 사항에 대한 ICO의 최근 행정처분 사례는 다음과 같음

아동 개인정보보호를 위한 충분한 조치를 취하지 않고 아동 개인정보를 무단 활용한 TikTok Information Technologies UK Limited 및 TikTok Inc(이하 TikTok)에 과징금 부과 ('23.4.)

 • (사건 개요) TikTok은 13세 미만 이동이 TikTok 플랫폼 서비스를 이용할 때 부모로부터 적절한 동의를 얻지 않았으며, 아동 정보 처리 목적을 충분히 설명하지 않고, 합법적·공정·투명한 방식으로 개인정보를 처리하지 않음

   - ’22년 9월, ICO는 TikTok이 ‘18년~’20년동안 UK GDPR 미준수 관행으로 인해 아동의 개인정보를 보호하지 않은 혐의로 2,700만 파운드의 과징금을 부과할 수 있다는 의향서를 TikTok에 전달한 바 있음

   - ICO는 TikTok이 자사 서비스 방침이 13세 미만 아동의 계정 생성을 금지하고 있음에도 불구하고 ‘20년 최대 140만 명 영국 아동에게 서비스를 제공한 것으로 추정

   - 조사 결과 ICO는 TikTok이 내부적으로 13세 미만 아동의 플랫폼 사용 문제를 인지하고 있었음에도 플랫폼을 사용하는 아동 사용자를 제거하기 위한 조치를 취하지 않았다는 사실을 확인

   - UK GDPR은 13세 미만의 아동에게 정보사회 서비스(information society services)를 제공할 때 컨트롤러가 보호자의 동의를 얻을 것을 규정하고 있으나, TikTok은 해당 아동을 대신하여 부모의 동의를 받는 데 충분한 조치를 취하지 않음

   - 또한, TikTok은 플랫폼을 사용하는 사람들에게 개인정보가 어떻게 수집, 사용, 공유되는지에 대한 적절한 정보를 이해하기 쉬운 방식으로 제공하지 않은 것으로 확인

 • (조치 내용) ICO는 TikTok에 대해 UK GDPR 제5조제1항제a호, 제12조, 제13조 위반을 이유로 1,270만 파운드의 과징금 부과

사이버공격을 받아 개인정보 침해를 초래한 interserve Group Limited에 과징금 부과 ('22.10.)

 • (사건 개요) 건설회사 Interserve의 직원이 원격 근무 중 피싱 이메일을 열람한 후 첨부파일을 네트워크 시스템 내에 설치하여 사이버공격을 당함으로써 회사가 보유한 다수 정보주체의 개인정보가 침해

   - Interserve는 회사 이메일 계정을 통해 긴급 메일을 수신하였고 이를 전달받은 회사 직원이 원격에서 첨부파일을 열어 봄

   - 파일은 악성 코드를 포함하고 있었으나 해당 직원은 이와 같은 사실을 알지 못하고 재택근무 중에 회사 시스템 내에 파일을 설치 

   - 사이버공격자는 악성 사이트에 대한 접근 제한 조치를 갖춘 Interserve의 시스템을 우회하여 해당 직원의 시스템 접근 권한을 통해 회사 시스템에 접근할 수 있었고, 사이버공격을 통해 서버 손상과 함께 283개의 시스템 및 16개의 계정에 피해를 입힘

   - 이후 사이버공격자는 안티 바이러스 솔루션을 제거한 다음 총 11만 3,000명의 개인정보를 보유한 인사 관리 시스템을 파괴

   - Interserve는 사이버공격이 끝난 다음 ICO에 해당 사실을 통보했고 ICO는 조사에 착수

   - 조사 결과 Interserve는 ‘16년 보안 정책을 수립한 이래 정책을 최신화하지 않았으며, 직원에 대한 적절하고 효과적인 정보보호 교육을 시행하지 않은 것으로 드러남

   - 또한 취약점 감시와 적절한 침투 테스트를 수행하지 않았고 오래된 프로토콜을 사용하고 있었다는 사실을 발견

   - 게다가, 초기 공격에 대한 효과적이고 시기적절한 조사를 수행하지 않았고 계정 접근 권한을 효과적으로 관리하지 못한 것으로 나타남

   - ICO는 최종적으로 Interserve의 대응에 대해 적절한 수준의 보안을 보장하는 기술적 및 관리적 조치가 미흡했다고 판단하고 Interserve가 무단·불법처리, 우발적 손실, 파괴로부터 개인정보를 적절히 보호하지 못했다고 결론

 • (조치 내용) ICO는 Interserve에 대해 UK GDPR 제5조 제32조 위반을 이유로 440만 파운드의 과징금 부과

1) https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/

2) https://ico.org.uk/action-weve-taken/enforcement/interserve-group-limited/