최근 행정처분
민원 접수 숫자 및 처분 사례 건수 등 (‘22/23년 기준)
• (민원 접수) ‘22/23년 기준 ICO에 접수된 민원 건수는 총 33,753건으로 전년(36,343건)에 비해 7.13% 감소
- 토지 및 부동산 서비스(12.14%), 금융·보험·신용(11.04%), 보건 (10.52%), 일반 비즈니스(10.33%) 분야의 민원이 전체 제기된 개인정보보호 민원의 약 절반가량을 차지
- 그 뒤를 지방정부(8.62%), 온라인 기술 및 통신(7.6%), 소매 및 제조(6.84%), 중앙정부(6.18%) 분야의 민원이 이음
• (행정처분 사례) ‘22/23년 기준 ICO의 행정 과징금 부과 건수 및 과징금 총합에 대해서는 ’21/22년 연례보고서에서와같이 명시되어 있지 않음
개인정보보호 위반 사항에 대한 ICO의 최근 행정처분 사례는 다음과 같음
대상 | 처분일시 | 위반사항 개요 | 처분내역 |
TikTok 1) | ‘23.4. | 아동 개인정보 무단 활용, 투명성 위반 | 과징금 1,270만 파운드 부과 |
Interserve 2) | ‘22.10. | 사이버공격에 대한 허술한 보안 대응으로 개인정보 침해 초래 | 과징금 440만 파운드 부과 |
아동 개인정보보호를 위한 충분한 조치를 취하지 않고 아동 개인정보를 무단 활용한 TikTok Information Technologies UK Limited 및 TikTok Inc(이하 TikTok)에 과징금 부과 ('23.4.)
• (사건 개요) TikTok은 13세 미만 이동이 TikTok 플랫폼 서비스를 이용할 때 부모로부터 적절한 동의를 얻지 않았으며, 아동 정보 처리 목적을 충분히 설명하지 않고, 합법적·공정·투명한 방식으로 개인정보를 처리하지 않음
- ’22년 9월, ICO는 TikTok이 ‘18년~’20년동안 UK GDPR 미준수 관행으로 인해 아동의 개인정보를 보호하지 않은 혐의로 2,700만 파운드의 과징금을 부과할 수 있다는 의향서를 TikTok에 전달한 바 있음
- ICO는 TikTok이 자사 서비스 방침이 13세 미만 아동의 계정 생성을 금지하고 있음에도 불구하고 ‘20년 최대 140만 명 영국 아동에게 서비스를 제공한 것으로 추정
- 조사 결과 ICO는 TikTok이 내부적으로 13세 미만 아동의 플랫폼 사용 문제를 인지하고 있었음에도 플랫폼을 사용하는 아동 사용자를 제거하기 위한 조치를 취하지 않았다는 사실을 확인
- UK GDPR은 13세 미만의 아동에게 정보사회 서비스(information society services)를 제공할 때 컨트롤러가 보호자의 동의를 얻을 것을 규정하고 있으나, TikTok은 해당 아동을 대신하여 부모의 동의를 받는 데 충분한 조치를 취하지 않음
- 또한, TikTok은 플랫폼을 사용하는 사람들에게 개인정보가 어떻게 수집, 사용, 공유되는지에 대한 적절한 정보를 이해하기 쉬운 방식으로 제공하지 않은 것으로 확인
• (조치 내용) ICO는 TikTok에 대해 UK GDPR 제5조제1항제a호, 제12조, 제13조 위반을 이유로 1,270만 파운드의 과징금 부과
사이버공격을 받아 개인정보 침해를 초래한 interserve Group Limited에 과징금 부과 ('22.10.)
• (사건 개요) 건설회사 Interserve의 직원이 원격 근무 중 피싱 이메일을 열람한 후 첨부파일을 네트워크 시스템 내에 설치하여 사이버공격을 당함으로써 회사가 보유한 다수 정보주체의 개인정보가 침해
- Interserve는 회사 이메일 계정을 통해 긴급 메일을 수신하였고 이를 전달받은 회사 직원이 원격에서 첨부파일을 열어 봄
- 파일은 악성 코드를 포함하고 있었으나 해당 직원은 이와 같은 사실을 알지 못하고 재택근무 중에 회사 시스템 내에 파일을 설치
- 사이버공격자는 악성 사이트에 대한 접근 제한 조치를 갖춘 Interserve의 시스템을 우회하여 해당 직원의 시스템 접근 권한을 통해 회사 시스템에 접근할 수 있었고, 사이버공격을 통해 서버 손상과 함께 283개의 시스템 및 16개의 계정에 피해를 입힘
- 이후 사이버공격자는 안티 바이러스 솔루션을 제거한 다음 총 11만 3,000명의 개인정보를 보유한 인사 관리 시스템을 파괴
- Interserve는 사이버공격이 끝난 다음 ICO에 해당 사실을 통보했고 ICO는 조사에 착수
- 조사 결과 Interserve는 ‘16년 보안 정책을 수립한 이래 정책을 최신화하지 않았으며, 직원에 대한 적절하고 효과적인 정보보호 교육을 시행하지 않은 것으로 드러남
- 또한 취약점 감시와 적절한 침투 테스트를 수행하지 않았고 오래된 프로토콜을 사용하고 있었다는 사실을 발견
- 게다가, 초기 공격에 대한 효과적이고 시기적절한 조사를 수행하지 않았고 계정 접근 권한을 효과적으로 관리하지 못한 것으로 나타남
- ICO는 최종적으로 Interserve의 대응에 대해 적절한 수준의 보안을 보장하는 기술적 및 관리적 조치가 미흡했다고 판단하고 Interserve가 무단·불법처리, 우발적 손실, 파괴로부터 개인정보를 적절히 보호하지 못했다고 결론
• (조치 내용) ICO는 Interserve에 대해 UK GDPR 제5조 제32조 위반을 이유로 440만 파운드의 과징금 부과
1) https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/
2) https://ico.org.uk/action-weve-taken/enforcement/interserve-group-limited/