본문
개인정보보호위원회(“개인정보위”)는 2026. 4. 6. 배달 플랫폼 고객센터 상담사의 고객정보 무단조회·보복범죄 악용 사건을 계기로, 개인정보 보호법 제63조의2에 따른 사전 실태점검을 배달·홈쇼핑·온라인쇼핑· 렌탈·유선통신 5개 분야 개인정보처리자 및 수탁사(고객센터)를 대상으로 실시한다고 밝혔습니다.
이번 점검은 상담사의 접근권한 최소부여, 업무변경 시 권한 변경·말소, 계정공유, 접속기록 보관·관리, 수탁사 교육·관리감독 등 안전조치의무(법 제29조) 이행 전반을 집중 확인하며, 미비점 발견 시 시정권고 등 후속조치가 예정되어 있습니다.
고객센터를 외부에 위탁해 운영하는 기업은 위탁자(개인정보처리자)와 수탁자 모두에 대한 관리책임 구조를 재점검하고, 과거 집행례 대비 강화된 수탁사 관리감독 기준에 맞추어 사전 대비가 필요합니다.
1. 배경 및 점검 개요
2. 법적 프레임워크
3. 실태 점검 확장 가능성
4. 시사점
1. 배경 및 점검 개요
이번 사전 실태점검의 직접적 계기는 배달 플랫폼 고객센터 상담사가 업무 과정에서 취득한 고객 주소정보를 무단으로 조회하여 개인적 보복범죄에 악용한 사건입니다. 개인정보위는 해당 사건이 개별 상담사의 일탈에 그치지 않고, 고객센터 운영 전반의 접근권한 통제 및 수탁사 관리감독 체계의 구조적 미비를 시사한다고 판단한 것으로 보입니다.
점검 대상은 고객센터 업무 수행 과정에서 고객의 주소 등 민감정보에 해당할 여지가 있는 위치·생활정보를 일상적으로 취급하는 5개 분야, 즉 ①배달, ②홈쇼핑, ③온라인쇼핑, ④렌탈, ⑤유선통신입니다. 이들 업종은 상담업무의 상당 부분을 외부 콜센터 업체에 위탁하는 구조가 일반적이며, 수탁사 직원이 실질적으로 고객정보에 접근하는 최전선 취급자라는 공통점이 있습니다.
이번 점검은 개인정보 보호법 제63조의2(사전 실태점검)에 근거한 것으로, 위반 사실이 적발된 후 제재하는 사후 조사가 아니라 법 위반 우려가 있는 사항을 사전에 발굴·개선하는 예방적 감독 수단입니다. 개인정보위는 점검 결과에 따라 시정권고 등 필요한 조치를 할 수 있으며, 점검 과정에서 법 위반 사실이 구체적으로 확인될 경우 별도의 조사·처분 절차로 전환될 가능성을 배제할 수 없습니다.
[점검 항목 및 실무상 확인 포인트]
2. 법적 프레임워크
이번 점검 항목은 모두 개인정보 보호법상 위탁자의 안전조치의무 및 수탁자 관리감독의무에서 파생됩니다. 관련 의무 구조는 다음과 같이 정리할 수 있습니다.
위탁자와 수탁자의 책임 관계에 특히 유의할 필요가 있습니다. 판례 및 개인정보위 실무상, 수탁사 직원의 위법행위에 대한 책임은 원칙적으로 위탁자(개인정보처리자)에게 귀속되며, 위탁자가 법 제26조의 관리감독의무를 다하였음을 증명하지 못하면 위탁자 자체에 대한 제재가 부과될 수 있습니다. 이번 점검이 개인정보처리자와 수탁사를 병행 대상으로 삼은 것도 이러한 구조를 전제로 한 것으로 해석됩니다.
3. 실태 점검 확장 가능성
이번 점검은 5개 분야로 명시되었으나, 고객센터를 통한 개인정보 처리 구조는 해당 업종에 국한되지 않습니다. 유사한 리스크 구조를 가진 산업군에서도 향후 점검 범위가 확장될 가능성이 있으며, 선제적 자가진단이 필요합니다.
특히 금융 분야의 경우 전자금융감독규정과 개인정보 보호법이 중첩 적용되는 구조이며, 이미 금융보안원의 취약점 점검 및 금융감독원의 내부통제 검사가 병행 운영되고 있어, 개인정보위의 추가 점검이 이루어질 경우 삼중 규제 부담이 발생할 수 있습니다. 플랫폼 사업자의 경우 통신판매중개와 결합된 고객센터 운영이 일반적이어서, 이번 5개 분야 중 '온라인쇼핑' 및 '유선통신' 분류의 해석에 따라 사실상 점검 대상에 포함될 여지가 큽니다.
4. 시사점
[체크리스트]
화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.
- 관련 분야
- #정보보호센터
