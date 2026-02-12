개인정보위, 식음료 10개 사업자에 총 15억6600만원 과징금
버거킹, 9억 과징금…법정대리인 동의 없이 아동 개인정보 수집
“법정대리인 동의 위반은 중대한 권리 침해… 매출액 기준 산정”
마케팅 미동의자에게도 광고 발송한 메가커피 6억 과징금
캐치테이블·야놀자 등 플랫폼 사업자, 허술한 API 설계로 유출 위험 방치
개인정보보호위원회가 아동 개인정보를 무단 수집한 버거킹과 마케팅 동의를 강요한 메가커피 등에 거액의 과징금을 부과했다. 개인정보보호위원회는 전날 전체회의를 열고, 개인정보 보호법을 위반한 식음료 분야 10개 사업자에 대해 총 15억6600만원의 과징금과 1억1130만원의 과태료를 부과하기로 의결했다고 12일 밝혔다.
◆버거킹 9억·메가커피 6억 과징금…아동 정보 무단 수집에 광고 강요까지
가장 무거운 처분을 받은 곳은 버거킹 운영사인 비케이알이다. 버거킹은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용해 9억2400만원의 과징금을 물게 됐다. 메가MGC커피는 마케팅에 동의하지 않은 회원에게도 자동으로 동의 처리가 되도록 시스템을 설정해 광고 메시지를 발송해오다 6억4200만 원의 과징금을 부과받았다.
◆버거킹 과징금 왜 높나…“매출 규모와 위반 엄중함 반영”
이정은 개인정보위 조사2과장은 12일 서울 종로구 정부서울청사에서 브리핑을 통해 버거킹에 고액의 과징금이 부과된 배경을 상세히 설명했다.
이 과장은 “버거킹은 앱 회원가입 과정에서 생년월일을 수집하며 만 14세 미만 아동의 정보를 법정대리인 동의 없이 수집한 사실이 확인됐다”며 “아동의 개인정보를 무단 수집한 행위는 법적으로 매우 중대한 권리 침해에 해당하기에 과태료가 아닌 과징금 부과 대상으로 분류했다”고 강조했다.
9억 원이 넘는 고액의 과징금이 책정된 배경에 대해서는 “과징금 산정의 기초가 되는 기업 전체 매출액 규모가 크고, 위반 행위의 엄중함이 반영된 결과”라고 설명했다. 아울러 “기본적으로 과징금 산정은 매출액을 기준으로 한다”며 “버거킹과 메가커피의 매출 규모 차이가 있고, 위반 행위와 관련된 매출 산정 과정이 반영되어 금액이 크게 부과된 것”이라고 덧붙였다.
◆투썸플레이스, 주문시 번호 입력 강제해 결제 막아
유명 프랜차이즈와 플랫폼의 관리 소홀도 심각했다. 투썸플레이스는 매장 주문 시 휴대전화 번호를 입력하지 않으면 결제가 불가능하도록 강제해 제재를 받았고, 빽다방(더본코리아)은 여러 동의 사항을 하나로 묶어 포괄적으로 동의받는 꼼수를 부리다 적발됐다.
캐치테이블(와드)과 테이블링, 야놀자에프앤비솔루션 등 예약 플랫폼들은 시스템 설계 미흡으로 예약 고객의 정보가 외부에 노출될 수 있는 위험을 방치했다. 스타벅스(에스씨케이컴퍼니), 맥도날드, 이디야 등 대부분의 사업자가 보관 기간이 지난 개인정보를 파기하지 않고 보유해왔던 것으로 확인됐다.
◆개인정보위, 일상 밀접 분야 상시 모니터링…3개월 후 이행 점검
개인정보위는 이번 처분에 이어 사후 관리도 강화할 방침이다. 시정명령을 받은 사업자들은 3개월 이내에 이행 내역을 제출해야 하며, 위원회는 이를 토대로 후속 점검을 진행한다.
이정은 과장은 “과징금 부과와 함께 시정명령을 내렸으며, 3개월 후에 이행 내역을 제출받을 예정”이라며 “이행 결과를 토대로 제대로 조치가 이뤄졌는지 후속 점검을 진행하겠다”고 말했다.
향후 조사 계획에 대해 이 과장은 “식음료 외에도 국민 실생활과 밀접한 업종을 선정해 기획 조사를 진행하고 있다”며 “시의적절하게 이슈가 되는 분야를 발굴해 상시 점검과 사전 예방 활동을 이어갈 것”이라고 밝혔다.
◆개인정보위 “처리 목적 달성 후 즉시 파기가 보안 기본”
개인정보위는 이번 조사가 실생활과 밀접한 식음료 기업들의 관리 체계를 점검해 잠재적 침해 요인을 선제적으로 제거했다는 점에 의미가 크다고 설명했다. 특히 아동·청소년 정보는 특별한 보호가 필요하며, 서비스 설계 단계부터 프라이버시를 최우선으로 고려해야 한다고 강조했다.
개인정보위 관계자는 “목적을 달성한 개인정보를 즉시 파기하지 않는 행위는 대규모 유출 사고의 핵심 변수가 된다”며 “앞으로도 국민 실생활과 직결된 분야를 중심으로 상시 점검과 예방 활동을 강화할 방침”이라고 말했다.
