개인정보보호위원회가 카카오톡‧네이버‧쿠팡‧배달의민족‧당근 등 5개 슈퍼앱 사업자에 대한 사전 실태점검을 진행한 결과 개선 권고가 필요하다고 판단했다.
개인정보위는 24일 서울 종로구 정부서울청사에서 슈퍼앱 등 주요 앱 서비스에 대한 사전 실태점검 실시 결과를 브리핑했다. 이번 실태점검은 카카오톡, 네이버, 쿠팡, 배달의민족, 당근 등 5개 앱 서비스를 대상으로 진행됐다.
전승재 개인정보위 조사3팀장은 “이번 조사의 경우 월 방문자 수(MAU) 상위 5개 앱을 대상으로 했는데 단일 기능만 있는 앱스토어 등은 제외하고 여러 기능을 백화점식으로 제공하는 앱 중에서 선정하게 됐다”고 설명했다.
슈퍼앱은 하나의 앱에서 검색, 쇼핑, 금융‧결제, 기타 생활밀착형 기능 등 다양한 서비스를 제공하는 온라인 플랫폼이다. 슈퍼앱에서는 여러 사업자가 서로 연계돼 이용자의 개인정보가 충분한 설명이나 통제 없이 이전‧공유될 우려가 있다. 또 이용자가 자신의 개인정보 처리 흐름을 정확히 파악하기 어려울 수 있다는 지적도 있었다.
슈퍼앱과 같은 다기능 플랫폼에서 축적되는 데이터는 인공지능(AI) 학습 및 관련 서비스 개발에 핵심자원으로 활용될 가능성이 높다. 슈퍼앱에서 처리되는 개인정보 보호에 대한 안전한 관리의 요구가 커지고 있는 상황이라 사전 실태점검이 이뤄졌다.
개인정보위는 사전 실태점검 후 5개 앱 서비스 기업에게 2건의 개선 권고를 내렸다.
슈퍼앱은 응용 프로그램 인터페이스(API)와 데이터 분석저장소(DW) 등 두가지 방식으로 고객 개인정보를 처리자 간에 이전하거나 공유하고 있다. 이 과정에서 회원정보(성명‧전화번호 등)가 없더라도 이용자 구분을 위한 고유번호를 운영 서버의 데이터와 결합하면 개인 추적이 가능할 수 있다.
이에 개인정보위는 API 등 개인정보의 외부 이전 경로 생성‧배포, DW 등 개인정보처리시스템에 접근 권한 부여 등 중요사항에 대해서는 반드시 개인정보 보호담당부서가 참여해 결정될 수 있도록 내부통제를 강화할 것을 요구했다. 또 보호법에 따라 DW 접속기록을 2년간 관리, 점검할 것을 개선 권고했다.
또 사업자들은 계약 이행 등에 필요한 개인정보 수집‧이용‧제공의 근거를 대부분 ‘필수 동의’ 사항으로 명시하고 있다. 개인정보 보호법 상 정보주체 동의가 없어도 수집‧이용할 수 있다. 사용자 입장에서는 사실상 불필요한 절차이며 동의 항목이 너무 많을 경우 자칫 실제 동의가 필요한 항목을 제대로 확인하지 못할 소지가 있다.
이에 서비스 가입시 계약 이행 등 필수 사항은 개인정보처리방침 등을 통해 고지하고, 이용자의 동의가 필요한 항목에 대해서만 동의를 받아 처리하도록 개선 권고했다.
아울러 이용자 본인의 정보가 처리되는 범위를 결정할 수 있는 개인정보 자기결정권 보장을 위해 서비스 이용약관 등에 슈퍼앱의 서비스 목록을 명확히 안내하고, 개별 서비스를 탈퇴하는 기능을 마련, 개인정보 처리정지‧삭제요구 절차를 알기 쉬운 방법으로 안내하도록 개선을 제안했다.
전 팀장은 “사업자별로 이미 이행하거나 개선이 필요한 부분은 약간의 차이는 있다”며 “한국 선두 IT 기업들이기에 이행하는 쪽으로 협의를 하고 있으며 개선 권고에 대한 이행 내역을 일정 기간 내 제출 받을 것”이라고 말했다.
이어 “이번 개선 권고의 목적은 5개 사의 내부 통제 수준을 상향평준화시키는 데 있다”고 덧붙였다.
