개인정보위 제2회 전체회의 결과

<양청삼 개인정보보호위원회 조사조정국장>
안녕하십니까? 조사조정국장 양청삼입니다.

오늘 오전 제2회 개인정보보호위원회에서 의결한 메타의 개인정보보호 법규 위반 행위에 대한 처분 내용을 말씀드리겠습니다.

이번 처분은 메타가 페이스북과 인스타그램 서비스 가입 및 타사 행태정보 수집 전에 이용자가 메타의 페이스북 및 인스타그램 서비스를 가입하고 이용할 때 타사 행태정보 제공을 거부할 수 있는 선택권을 부여하지 않는 행위에 대한 제재입니다.

위원회는 그간 주요 맞춤형 광고 플랫폼의 행태정보 수집·이용 실태에 대해서 계속적으로 점검하여 왔으며, 지난해 9월에는 메타가 적법한 동의 없이 이용자의 타사 행태정보를 수집·이용하는 행위에 대해 처분한 바가 있습니다.

이번 조사 처분은 메타가 작년 한국의 페이스북 및 인스타그램 이용자를 대상으로 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의 방식을 변경하려다 논란이 되자 철회한 것과 관련된 사안입니다.

당시 메타는 해당 동의 화면은 철회하였으나, 여전히 페이스북 및 인스타그램에 가입 시 타사 행태정보의 제공을 거부할 수 없도록 운영하고 있습니다.

위원회는 이와 관련하여 페이스북 및 인스타그램 이용자가 다른 사업자의 웹사이트 및 앱을 방문·사용한 온라인 활동 기록인 타사 행태정보가 페이스북 및 인스타그램 서비스 제공에 필요한 최소한의 개인정보인지 여부에 대해 중점적으로 조사하였습니다.

조사 결과 이용자의 타사 행태정보는 페이스북 및 인스타그램 서비스에 필요한 최소한의 개인정보가 아니며, 이를 제공하지 않으면 서비스를 가입하여 이용할 수 없도록 한 메타의 법 위반 사실을 확인하였습니다.

먼저, 페이스북과 인스타그램을 이용하는 이유에 대한 설문 결과에서도 알 수 있듯이 페이스북과 인스타그램 서비스 이용자는 친구의 소식을 알고 소통하기 위해 SNS 서비스를 이용하는 것이며, 맞춤형 광고를 보기 위한 목적으로 서비스를 이용한다고 보기는 어렵다고 판단하였습니다.

또한, 메타는 맞춤형 광고를 위해 이용자 식별 기반의 타사 행태정보 외에도 페이스북 및 인스타그램 서비스 내에서 이용자로부터 이미 광범위한 개인정보를 수집하고 있고, 이와 관련해서는 보도자료 8쪽 참고 2의 표를 참고하여 주시기 바랍니다.

메타와 유사한 광고 플랫폼들이 다른 웹 또는 앱에서의 활동 기록을 이용자 계정과 결합하지 않고도 사용한 기기를 식별하는 등 메타와 다른 방법을 통해 맞춤형 광고를 제공하고 있다는 점과 실제로 메타 서비스 이용 중에 타사 행태정보 제공을 거부하는 설정을 하더라도 메타 서비스를 문제없이 이용 가능하며, 메타의 실명 기반의 타사 행태정보 수집을 이용자가 예상하기 어렵고 사생활의 비밀과 자유를 심각하게 침해하는 결과를 초래할 수 있다는 점 등을 종합적으로 고려하여 메타의 맞춤형 광고를 위한 이용자 식별 기반의 타사 행태정보는 보호법 제39조3의 3항에 따른 필요한 최소한의 정보가 아니라고 판단하였습니다.

우리 위원회는 메타의 이러한 위법 행위에 대해 다음과 같이 처분을 의결하였습니다.

맞춤형 광고를 위한 개인정보 제공 거부 시 서비스를 이용할 수 없도록 한 행위에 대해 이용자가 이용자의 타사 행태정보에 대한 제공을 거부하더라도 페이스북 및 인스타그램 서비스를 가입하고 이용할 수 있도록 할 것을 시정명령 하였습니다. 이와 함께 메타에게 660만 원의 과태료를 부과하였습니다.

이번 처분은 맞춤형 광고 자체나 플랫폼의 행태정보 수집 행위에 대한 원칙적 금지를 의미하는 것은 아닙니다. 다만, 플랫폼 이용자의 타사 행태정보는 반드시 필요한 최소한의 개인정보가 아니므로 수집 전에 이용자에게 이에 대한 선택권을 부여함으로써 타사 행태정보 수집·이용을 거부하더라도 서비스를 계속 이용할 수 있도록 하게 하자는 취지입니다.

이번 처분을 통해 글로벌 플랫폼 사업자의 과도한 개인정보 수집 및 처리 관행이 시정되고 정보 주체의 개인정보 자기결정권이 더욱 충실히 보장되는 계기가 되기를 기대합니다.

이와 함께 아마 같이 배부해 드린 질의·답변 자료가 있는데 이 중에서 주요한 포인트들에 대해서만 추가적으로 설명드리도록 하겠습니다.

지난해 9월 14일 메타에 대해서 처분을 한 바가 있는데 이것과 오늘 처분의 차이와 관련하여 지난 9월, 지난해 9월 14일의 처분은 메타가 적법한 동의 없이 이용자의 타사 행태정보를 수집·이용한 행위에 대한 처분이고, 이번 처분은 메타가 이용자의 타사 행태정보가 페이스북 및 인스타그램 서비스에 필요한 최소한의 개인정보가 아님에도 이를 제공하지 않으면 서비스를 가입하고 이용할 수 없도록 한 행위에 대한 제재 처분입니다.

두 번째로, 사업자의 타사 행태정보를 수집·이용하는 행위 자체가 문제가 되는 것인지에 대한 질문이 있을 수 있습니다.

이번 처분은 맞춤형 광고 자체나 플랫폼의 행태정보 수집 행위에 대한 금지를 의미하는 것은 아닙니다. 다만, 맞춤형 광고를 위한 이용자 식별 기반의 타사 행태정보가 SNS 서비스에 있어 필요한 최소한의 개인정보가 아니므로 수집을 위해서는 이용자에게 선택권을 부여할 사항이며, 이에 대한 제공 거부를 이유로 서비스 가입·이용을 제한하는 것은 위법하고 이에 대한 시정을 요구하는 것입니다.

세 번째로, 맞춤형 광고 자체에 대해서 이용자의 선택권을 보장해야 하는 게 아닌가 하는 의문이 있을 수 있습니다.

이번 처분은 맞춤형 광고 자체가 선택 동의 사항인지를 판단하는 것은 아니며, 맞춤형 광고 등을 위해 이용자 계정을 기반으로 타사 행태정보를 수집하는 것이 이용자에게 선택권을 부여해야 할 사항임을 명확히 하고자 하는 것입니다.

따라서 맞춤형 광고 및 자사 서비스 내에서의 행태정보 수집·처리 또는 브라우저 쿠키 등을 토대로 이용자 식별 없이 수집하는 행태정보의 활용과 관련해서는 현 단계에서는 제재 처분의 대상이 되지는 않습니다.

다만, 보호법상 개인정보의 최소 수집 원칙, 사생활 침해 최소화 원칙, 정보 주체 관점에서의 예측 가능성 등을 고려하여 향후 맞춤형 광고 가이드라인 개정과 보호법, 지금 현재 법사위에 계류가 돼 있는데요. 보호법 개정안 통과 이후에 관련 정책들을 구체적으로 마련해 나갈 생각입니다.

그리고 메타가 오늘 회의 등을 통해서 조사 과정에서 메타의 입장과 저희들의 조사 결과 의견에 대해서 간단히 말씀드리도록 하겠습니다.

메타는 조사 과정에서 세 가지의 주요 주장을 했는데 첫 번째, 타사 행태정보 수집에 동의를 받아야 할 주체는 플랫폼이 아니고 사업자란 주장을 지난 9월 14일 처분에 이어 지속적으로 반복하고 있습니다.

위원회에서는 검토 결과 타사 행태정보의 수집이 목적과 수단 등을 종합적으로 고려할 때 지난 처분에서 플랫폼이 동의를 받을 주체임을 명확히 하였고, 이는 해외 처분 사례에서도 이용자의 타사 행태정보 수집 주체는 플랫폼이라는 점을 명확히 하고 있습니다.

두 번째, 메타는 맞춤형 광고의 제공은 이용자에게 무료서비스 제공을 위한 재원을 마련함에 있어 본질적 기능이며, 타사 행태정보는 이를 위해 반드시 필요하다는 주장을 하고 있습니다.

검토 결과 본질적 기능인지 여부에 대한 판단은 사업자의 필요나 주장에 의한 것이 아닌 이용자의 합리적 기대 가능성을 우선적으로 고려하여야 하고, 사업자가 필요하다는 이유로 과도한 개인정보 처리가 정당화될 수 없다고 보았습니다.

세 번째로, 메타는 행태정보의 수집이 어렵게 되면 사업자는 유료서비스로 전환할 수 있고 이용자는 오히려 무관하거나 침해적인 광고를 접할 우려가 있다는 주장을 하였습니다.

저희 위원회에서는 다른 맞춤형 광고 사업자들의 사례라든지 이미 메타가 자사 서비스 내에서 광범위한 개인정보를 수집하여 맞춤형 광고를 제공하고 있음을 볼 때 침해적인 광고를 접할 우려 등등의 주장은 근거 없다고 보았습니다.

그리고 3쪽으로 넘어가서, '과태료 금액이 적은데 왜 과징금이 아닌가?'라는 의문이 있을 수 있겠습니다.

오늘 처분의 제재 근거가 된 보호법 제39조의3 제3항을 위반한 행위는 보호법에 따르면 동법 제39조의15에서 정한 과징금 부과 대상이 아닙니다. 과태료밖에 제재 규정이 없어서 과태료를 부과하는 것이고 이와 함께 시정명령을 부과하는 것이고, 시정명령에 따라서 글로벌... 메타는 서비스 가입 및 타사 행태정보 수집 전에 이용자에게 이용자의 타사 행태정보 수집을 이용자 계정과 결합할 것인지 여부에 대한 선택권을 부여해야 된다는 점에서 우리가 메타의 서비스를 이용하는 이용자 관점에서는 굉장히 의미 있는 결정이고 그리고 유럽을 제외한 다른 해외 각국의 어떤, 비교해 볼 적에 우리나라 결정이 상당히 의미 있는 결정이라고 보겠습니다.

이상 메타와 관련된 브리핑을 마치겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 법상 과징금이 아니라 과태료만 부과된다고 말씀하셨는데 제가 봤을 때는 너무 적어요, 이게 1,000만 원 단위도 아니고 100만 원 단위라서. 물론 또 중소기업도 아니고 하나는 글로벌 기업이고 하나는 대기업이잖아요.

그래서 특히 메타 같은 경우에는 계속 개인정보위에서 계속, 건은 다르겠지만 계속 제재가 되고 있는데, 참고자료를 보면 계속 입장도 같은 입장을 계속 반복하는 것 같고, 의미 있는 제재라고 하셨지만 몇 백만 원 수준으로는 사실 선뜻 납득하기에는 어렵... 공감이 되기는 어려워서, 그리고 메타도 반성의 여지가 없는 것 같고. 제가 봤을 때는. 혹시 여기에 대해서는 어떻게 생각하시는지가 첫 번째 질문이고요.

두 번째 질문은 관계없는 질문일 수 있는데, 이번 브리핑과. LG유플러스 사태 보면 점점 사건이 커지는 것 같아요. 예를 들면 해킹도, 해킹인지 아닌지도 아직도 모르겠고 18만 건이었다가 늘어났다고 하고 알뜰폰까지 터졌다 하고 디도스 공격에도 지금, 그래서 물론 조사 중이시겠지만 계속 사건이 확대되고 있기 때문에 한번, 지금 중간 과정이 어떤지 한번 조사... 어떤지 궁금해서 질문드립니다.

<답변> 일단 LG유플러스 건은 우리 메타 건하고 카카오모빌리티 건을 다 한 다음에, 그다음에 종합적으로 추후에 기타 관심 사건들에 대한 질의·응답을 받는 것으로 하겠고요.

일단은 저희들도 지난해 9월 14일 메타에 대한 처분에 적법한 동의를 받지 않았다는 처분에 대한 제재를 하면서 308억 원의 일단 과징금을 부과한 바가 있고요.

그런데 이제 이번에 위반행위가 된 39조의3 제3항의 위반에 대해서는 보호법이 과징금 부과 대상으로는 삼고 있지 않고, 과태료 부과 대상으로만 삼고 있어서 일단 금액으로는 660만 원의 과태료가 부과됐는데, 저희들은 의미가 있다고 보는 것은 시정명령 자체가 메타의 비즈니스 모델을 바꾸는 것이어서 상당한 의미가 있는 것으로 보여지고요.

물론, 이에 대해서 메타는 우리 행정청의 제재 처분에 대해서 소송으로 갈 수도 있고 아니면 이행할 수도 있는데 그것은 메타가 결정할 문제라고 보고 있습니다.

<질문> 작년 9월 메타에 대한 디지털 광고 행태정보 수집에 대한 처분에 있어서 의결서가 몇 개월 이후에 나온 것으로 알고 있는데 그 이후에 혹시 메타나 구글이 항소, 그 처분에 대한 항소를 했는지 궁금합니다.

<답변> 아직 정확하게 저희가 두 피심인이 소를 제기했다, 라는, 만약 소를 제기하게 되면 행정청에 대한 소송이니까 저희들한테 송달이 되는데요. 아직 송달받은 바는 없고, 송달받은 바는 없습니다. 그냥 아직까지는 그런 상태고요.

구글의 경우에는 시정명령의 이행과 관련해서 실무적으로 개인정보보호위원회와 논의를 하고 있어서 나중에 소 제기 여부에 대해서는 저희들은 그것까지는 확정할 수는 없으나, 일단은 위원회의 어떤 시정명령에 대한 이행 방안에 관련해서 구체적으로 논의하고 있고 메타는 아직 그런 움직임은 없습니다.

<질문> 아까 회의 과정에서 메타 측에서 법원에서 따질 부분이 있는데 그 부분을 지켜보면서 이번 제재해 달라, 이렇게 이야기를 했었는데요. 그 부분은 어떤 내용인지.

<답변> 메타의 그 9월 14일, 지난해 9월 14일 우리 제재에 대해서 피심인 쪽에서 아까 우리 전체회의 회의장에서 소 제기를 염두에 두고 있다, 라는 발언이 있었고, 거기에서는 기본적으로 메타 입장은 가장 그 소 제기와 관련해서 영향을 받으니 이번에 제재 처분을 좀 늦춰달라는 그런 취지의 의견을 피력했는데요.

그 주장의 핵심은 동의를 받아야 되는 주체는 메타나, 플랫폼사업자로서의 메타가 아닌, 그러니까 실제 다른 웹·앱, 그러니까 거기는 광고주일 수도 있고, 또 메타의 페이스북 로그인이라든지 '좋아요' 버튼 등 소셜 플러그인을 설치한 사업자가 될 텐데요. 이 사업자들이 동의를 받아야 될 주체다, 라는 주장을 계속적으로 반복하고 있습니다.

저희들은 타사의 행태정보 수집의 목적, 주로 맞춤형 광고와 맞춤형 콘텐츠를 제공하기 위한 목적으로 타사 행태정보가 수집이 되고 있고, 그리고 타사 행태정보를 수집하기 위한 SDK라든지 각종 행태정보 수집 도구도 메타와 같은 플랫폼사업자를 통해서 그게 배포가 되고 있고 일부 사업자들이 그 설치 과정에서 보조적인 역할을 수행한다 하더라도 이용자가 다른 웹·앱을 방문했을 적에 그 행태정보가 사업자들한테, 다른 웹·앱의 사업자들한테는 전혀 전송되거나 저장되지가 않고 방문한 순간 그리고 여러 가지 행위를 하는 이벤트 시점에서 바로 메타와 같은 플랫폼사업자들한테 제공된다는 이 전체적인 정보처리 과정 등을 보았을 적에 목적과 수단을 전체적으로 고려했을 적에는 저희들은 플랫폼사업자가 39조3항의 1항에 따른 동의 의무의 주체이자 그리고 39조3항의 3항에 따른 어떤 타사 행태정보 수집의 주체이고 서비스 제공자라고 저희들은 보고 있습니다. 그래서 메타의 주장은 이유가 없다고 저희들은 판단했고, 오늘 그에 따라 위원회에서 처분이 있게 된 것입니다.


<양청삼 개인정보보호위원회 조사조정국장>
오늘 회의에서 카카오모빌리티에 대해 600만 원의 과태료 부과 및 시정명령과 개선 권고를 처분하였습니다.

조사 결과 카카오모빌리티는 자율주행 택시 호출 서비스를 위한 개인정보 제3자 제공 추가 동의를 받는 과정에서 기존 택시 호출 서비스 선택 시 제3자 제공 동의 알림창이 나타나도록 구성하고 개인정보를 제공받는 자의 이용목적을 '서비스 내 이용자 식별, 탑승 관리 및 운영 전반'으로 기재한 사실을 확인하였습니다.

이용자 입장에서는 기존 택시 호출 서비스 이용에 필요한 제공 동의로 오인했을 소지가 클 뿐만 아니라 해당 고지 문구로 이용자가 제공 동의를 받으면... 이용자의 제공 동의를 받으면 자율주행 택시 호출 서비스 이용 여부와는 관련이 없이 기존 택시 호출 서비스를 이용하는 이용자의 개인정보가 제3자에게 제공되어도 법적으로 문제가 되지 않는 상황이 발생하여 이용자인 정보 주체의 자기결정권이 침해될 현실적 우려가 있으므로 '개인정보를 제공받는 자의 이용 목적'을 명확히 알리고 동의를 받아야 한다는 개인정보보호법 제17조 제2항을 위반하였다고 판단하였습니다.

또한, 카카오모빌리티는 자율주행 택시 호출 서비스를 위한 제3자 제공 동의를 필수 동의 사항으로 구성하고 기존 이용자가 제3자 제공에 추가 동의하지 않거나 '나중에 하기'를 선택하여 제공 결정... 동의 결정을 보류하는 경우 기존 택시 호출 서비스 제공 자체를 거부한 사실이 있습니다.

이용자 입장에서는 아직 시행되지도 않은 자율주행 택시 호출 서비스를 위한 제3자 제공 동의가 필수 동의 사항이라고 보기 어려움에도 제공 동의를 하지 않았다는 이유로 기존 택시 호출 서비스 제공을 거부한 행위는 개인정보보호법 제22조 제5항을 위반한 것이라고 판단하였습니다.

마지막으로, 카카오모빌리티가 자율주행 택시 호출 서비스 개시 전에 이용자에게 미리 제3자 제공 동의를 요구한 행위에 대해서는 서비스가 개시되고 개인정보가 실제로 필요한 시점에 개인정보 제3자 제공 동의를 받도록 개선 권고하였습니다.

개인정보처리자는 신규 서비스 도입 또는 기존 서비스 개선 과정에서 개인정보 수집·이용·제공 동의를 받는 경우 정보 주체가 개인정보 이용 목적을 쉽고 명확하게, 정보 주체에게 개인정보 이용 목적을 쉽고 명확하게 알리고 동의 화면을 세심하게 설계하여야 하며, 특히 이용자들이 선택적 동의 사항을 동의하지 아니한다는 이유로 서비스 제공을 거부하지 않도록 각별히 유의할 필요가 있다고 생각합니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 아까 구글과 또 시정명령에 대한 이행 여부를 의논 중에 있다고 하셨는데 이번에 카카오모빌리티 개선 권고도, 개선 권고에 대한 카카오모빌리티의 입장 그리고 혹시 이행, 이것을 이행할 의지가 있는지 여부 그런 것들이 궁금합니다.

<답변> 아까 카카오 쪽에서는 조사 과정에서는 저희 일단은 동의, 제3자 동의 목적과 관련해서는 통상의 관행에 비추어 피심인들은 카카오모빌리티 자체는 적절하게 동의 문구를 기재했다, 라고 주장을 하고 있는데 저희들은 부족하다고 보았고요.

그리고 카카오는 자율주행 택시를 위한 제3자 개인정보 제공을 필수 동의 사항이라고 보았는데 저희들은, 자율주행 택시는 일단은 정의상 기사가 없지 않습니까? 자율주행 택시기 때문에.

그리고 카카오T의 모빌리티의 기존 택시 서비스들은 블랙이든 블루든 어쨌든 그 유형에 상관없이 택시 기사가 있는 것이고, 탑승지와 도착지 정보는 사실 택시 기사에게 전송되는 반면, 자율주행 서비스 목적을 위한 개인정보 제공은 택시 기사가 없기 때문에 택시 기사에게 제공되는 건 아니고 자율주행 택시를 운영하는 회사로 제공이 됨에 따라서 실제로는 유형이 굉장히 다름에도 불구하고 기존 택시 호출서비스 이용자한테 필수 동의로 받는 것은 그것은 부당하다고 보았고, 그래서 그 부분에서 제재를 하는 것이고, 그렇습니다.

그런 주장들을 카카오는 필수 동의 사항이라고 본 것이고 저희들은 이것은 기존 호출, 택시 호출서비스 이용자들 관점에서는 선택적인 동의 사항으로 해야 된다고 저희들은 판단한 것입니다.

<질문> 그래서 회원 몇 명 정도의 정보가 자율주행 택시 서비스에 넘어간 것인지 그 규모와요. 어떠, 어떠한 정보가 포함돼 있는지 같이 말씀 부탁드립니다.

<답변> 일단은 제공이 예정된 정보는 탑승지, 도착지 그리고 아마 휴대전화 번호 정도일 것으로 보여지고요. 제3자, 아까 자율주행 택시 운영사에게 실제로 넘어가는 정보는 아직 확인되진 않았습니다.

그래서 그 부분에서는 확인되지 않았고, 그리고 동의를 한 인원은 우리가 전체 550만 명... 550만 명 정도 되는데 조사 과정에서 카카오모빌리티는 이게 동의 행위 자체를 완전히 무효화해서 원상복구를 해놓은 상태여서 550만 명에 대한 동의를 받은 것은, 동의와 관련해서는 관련 기록이라든지 이런 부분들을 전부 삭제하고 기존 서비스 이용에 아무 문제가 없도록 이렇게 한, 조치한 상태입니다.

다만, 이번 조사 처분은 일단 제3자에게 실제로 제공은 되지 않았다, 라는 사실을 전제로 판단한 것이고, 추후라도 혹시 이게 자율주행 택시 서비스 이용자한테 또는 제3자에게 관련 내용들이 정보가 제공되었다는 사실이 확인되면 추가적으로 제재할 가능성은 있습니다.

<답변> (사회자) 또 다른 질문 있으신가요? 없으시면 아까 모두에 말씀하신 국장님, LG유플 관련해서는 하실 말씀이.

<답변> 일단 저는 지금 실제 우리 조사2과에서 조사를 맡고 있고 지금 현장의 통상의 조사에서는 보통 많은 큰 사건이라도 조사관이 복수로 투입되기는 힘든데 우리 위원회 조사관도 복수로 투입돼 있고, 그리고 KISA에서도 복수로 돼 있어서 실제로 DB 유출 원인 및 규모를 구체적으로 파악하기 위해서 현장에 거의 상주하다시피 하면서 DB를 하나하나 확인하고 있는 과정입니다.

그래서 조만간 결과가 도출될 수 있기를 기대하고 있고, 아직 구체적인 사항들은 우리가 중간에 우리가 추가적으로 해지 고객에 대한 유출 확인이라든지 중요사항들은 알려드리고 있는데 지금 그 외에 추가적으로 더 밝힐 사항은 아직은 없습니다.

<질문> 원인 파악이 오래 걸리는 것 아니에요?

<답변> 지금 원인 파악이 상당 지금 조금, 그러니까 어려움이 있습니다. 그게 시점과 관련해서도 그렇고, 그래서 일단 저희들은 어떤 선입견도 배제하고 LG유플러스에서 그리고 유출 항목과 관련된 데이터 필드들이 있는데 그와 유사한 구조의 DB들을 하나하나 전부 확인하고 있습니다. 그래서 일단 조사 결과를 한번 지켜봐야 될 것 같고요.

그리고 원인 규명과 관련해서는 저희들 과기정통부라든지 지금 그쪽에 합동수사반... 이렇게 조사반이 있고 경찰청하고도 중간중간에 관련 내용들을 지금 공유하고 있는 상황입니다.

<질문> 언제쯤 예상하시는지? 결과를.

<답변> 그것은, 죄송합니다.

<질문> 데이터 유출 건수 관련해서요. 그게 초반에 18만 건 나왔다가 또 추가로 발견하시고 이렇게 됐는데, 저쪽 해커 측에서 얘기한 것은 3,000만 건이라고 알고 있거든요. 그래서 지금 추가적으로 더 알려진 부분이 있는지 확인되시는 부분 있는지, 어떻게 조사하고 계시는지 궁금해요.

<답변> 그 부분에 대해서는 혹시 2과장님이 말씀하실 게 있으면.

<답변> (진성철 조사2과장) 조사2과장입니다. 당초 해커, 판매자죠. 판매자가 해킹포럼이라는 사이트에 LG 고객 2,000만 건 이상을 보유했다고 주장했고요. 그리고 어떤 특정 언론사에서는 판매자와 접촉했더니 한 3,000만 건 이상 정도를 갖고 있다고 나와 있는데요.

일단 저희가 파악한 규모 자체는 한 60만 건 정도가 LG 측에 전달돼 있고요. 그래서 현재는 60만 건을 가지고 그 고객 중에서 LG 고객이 몇 명 있는지를 찾아냈던 것입니다. 그래서 최종적으로는 현재 29만 명 정도가 유출된 것으로 확인되고 있습니다.

<질문> ***

<답변> (진성철 조사2과장) 그것도 포함돼 있는 것으로 확인되고 있습니다. 그래서 조금 더 자세한 내용들은 저희가 조사가 완료되는 대로 상세하게 보고드리겠습니다.

<질문> 이 60만 건이라는 것은 어떤 데이터인데요? 그러니까 지금 LG유플러스 이용자들의 데이터다, 라고 딱 짚어서 나온 게 29만 건이고 그럼 60만 건은 어떤 데이터를 가지고 60만 건이라고 하신 거죠?

<답변> (진성철 조사2과장) 그 판매자가 어떠한 경로를 통해서 LG 측에 전달됐습니다. 그래서 그 60만 건에 대한 부분들을 중복에 대한 데이터도 있고 해서 중복을 다 제거하고 나니까 한 29만 건 정도가 포함된 것으로 나와 있습니다.

<질문> 더 늘어날 가능성은 있을까요?

<답변> (진성철 조사2과장) 그 규모 자체에 대해서는 지금 LG 쪽에서 주장하는 것이고요. 저희 쪽 조사 과정에서 규모가 늘어날 수도 있고 아니면 현재의 규모로 확정될 수도 있고 그렇습니다.

<끝>