건설 분야 개인정보 보호법 위반 사례 및 제재 현황
2025년을 기준으로 최근 개인정보위원회가 건설사를 대상으로 부과한 과태료, 행정처분 사례, 위반 유형, 법령 근거 및 제재 수준 등을 관련 기사의 출처를 명시함
건설 분야 개인정보 보호법 위반 사례 및 제재 현황
건설사 개인정보 위반 사례 요약표
| 사례 (발생 시기) | 위반 행위 유형 | 관련 법령 조항 | 제재 조치 |
|---|---|---|---|
| 대방건설 (2023년 4월) | 개인정보처리시스템 안전조치 의무 소홀로 주민등록번호 등 유출 | 개인정보보호법 제29조, 제34조 등 | 과징금 4,875만원 부과 (개인정보위, 개인정보보호법 위반 4개 사업자 제재) |
| 모델하우스 분양 현장 (2017년) | 미동의 개인정보 수집 및 무단 마케팅 활용 | 개인정보보호법 제15조, 제17조 | 과태료 부과 및 시정명령 (현장 단속 시 즉각 조치) ([모델하우스 개인정보 유출 첫 단속, 아파트 마케팅 초비상 |
| CCTV 설치 운영 (2021~2024년) | 영상정보처리기기 설치규정 위반 – 안내판 미설치, 사생활침해 우려 장소 설치 등 | 개인정보보호법 제25조 | 과태료 부과 (예: 안내판 미설치 100만원, 화장실 설치 500만원) (CCTV 개인정보 보호 위반 사업자 행정처분 - 정보통신신문); 개선명령·경고(2023년 법 개정 후 우선 조치) (['CCTV 운영하며 안내판 미설치' 소상공인에 과태료 대신 경고 |
| 수현㈜ (2023년 4월) | 선택적 동의 거부자를 대상 서비스 제공 거부 | 개인정보보호법 제22조 제4항(추정) | 시정명령 등 행정처분 (※서비스 제공 방식 개선) |
주: 위 사례 중 대방건설·수현㈜ 등은 개인정보보호위원회 전체회의 의결(2023.4.26)에 따른 것이며, 모델하우스·CCTV 사례는 업계 전반의 위반 관행에 대한 조치 사례를 나타냄.
주요 사례별 위반 내용 및 법령 조항
1. 대방건설: 안전조치 의무 위반으로 인한 개인정보 유출
대형 건설사인 대방건설(주)은 사내 개인정보처리시스템에 대한 안전성 확보 조치를 소홀히 한 결과, 주민등록번호가 포함된 고객 개인정보가 유출되는 사고가 발생함. 이는 개인정보 보호법 제29조(안전조치 의무) 위반에 해당하며, 특히 주민등록번호와 같은 고유식별정보의 관리 소홀은 encryption 등 특별한 안전조치를 요구하는 법령을 위반한 것임 . 또한 유출사고 발생 시 정보주체 통지 지연이나 미흡은 법 제34조(개인정보 유출 통지 의무) 위반에 해당할 수 있음.
개인정보보호위원회(이하 개인정보위)는 2023년 4월 전체회의를 통해 이 건에 대해 과징금 4,875만원을 부과함 . 과징금은 위반행위로 인한 경제적 이익 환수 및 제재를 위한 것으로, 일반 과태료보다 제재 수위가 높은 행정처분임.
해당 사건은 개인정보 유출 신고를 통해 조사가 이루어졌으며, 개인정보위는 “개인정보 처리 전 과정에서 어느 하나라도 소홀히 해서는 안 된다”고 강조하면서 재발 방지를 주문함
이번 사례에서 보듯이, 안전조치 의무를 위반하여 대량의 개인정보가 유출될 경우 수천만원대의 과징금 등 강력한 제재가 뒤따르게 됨. 이는 건설사를 포함한 기업들이 기술적·관리적 보호조치(예: 접속권한 통제, 암호화, 접근기록 관리 등)를 철저히 이행할 법적 의무가 있음을 보여줌. 특히 주민등록번호와 같은 민감정보를 보유할 경우 개인정보보호법 제24조의2에 따라 암호화 등 추가적 보호조치를 취해야 하며, 이를 소홀히 하면 과징금 부과 등의 중대한 처분을 받을 수 있음
2. 모델하우스 개인정보 무단 수집 및 마케팅 활용 사례
아파트 분양 모델하우스 현장에서의 개인정보 수집·이용 관행도 개인정보위의 주요 단속 대상임. 2017년 개인정보위는 전국의 아파트 모델하우스 방문객 개인정보 수집 실태를 처음으로 단속하여, 다수의 건설사들이 방문객 동의 없이 전화번호, 주소 등 개인정보를 수집하여 분양 마케팅에 활용한 사실을 적발함. 이는 개인정보 보호법 제15조(개인정보의 수집·이용 조건) 및 제17조(제3자 제공 시 동의 등) 위반으로, 정보주체 동의 없이 개인정보를 수집하거나 제3자(분양대행사 등)에 제공한 행위에 해당함.
개인정보위는 현장에서 적발된 상당수 건설사에 대해 즉각 과태료 부과 또는 시정 요구 등의 처분을 내렸음 . 한 예로, 모 대형건설사는 고객 동의 없이 연락처 정보를 수집한 사실이 드러나 과태료 처분을 받았음 . 이 과태료는 개인정보 보호법 제63조 등에 따른 행정처분으로, 구체적인 금액은 공개되지 않았으나 동종 사례에서 수백만원 수준으로 부과된 것으로 알려짐
당시 업계 상황을 보면, 한 건설사 관계자가 “모델하우스에서 고객 동의 없이 개인정보를 수집해 분양 마케팅에 활용하는 관행상, 개인정보보호법을 지키는 사업장은 하나도 없다고 해도 과언이 아니다”라고 말할 정도로 위반이 만연했음. 이처럼 건설사들의 분양 마케팅 목적 개인정보 활용은 광범위하게 이루어져 왔으며, 개인정보위 단속 이후 상당한 경각심이 일었음. 적발된 다른 사례로는, 어느 건설사에 개인정보위가 개선권고를 내린 경우도 있음. 예컨대 “개인정보가 담긴 서류의 폐기 시점을 계약 개시일 기준 3개월 또는 6개월 등 구체적인 기간으로 명시하라”는 권고를 받은 사례가 있는데 , 이는 개인정보 보호법 제21조(개인정보의 파기) 준수를 위한 조치입니다. 즉, 수집한 개인정보를 목적 달성 후 지체 없이 파기하고 보유기간을 명확히 규정하도록 요구한 것임. 당시 다수 건설사는 모델하우스 접수 개인정보를 별다른 파기 기준 없이 보유하고 있었는데, 개인정보위의 시정조치로 이러한 관행을 개선하도록 하였음
이 사례를 통해 마케팅 목적 개인정보 처리의 법적 한계를 알 수 있음. 당사자 동의 없이 개인정보를 수집하거나 제3자에게 제공하는 행위는 엄격히 금지되며, 위반 시 과태료 부과 및 업무 개선 명령이 내려짐. 또한 개인정보를 수집했다면 필요한 기간만 보유하고 지체 없이 파기해야 하며, 이를 소홀히 하면 법 제21조 위반으로 제재를 받을 수 음. 건설사는 분양 홍보나 고객 관리 목적이라도 반드시 사전에 명시적인 동의를 받고 최소한의 정보만 수집해야 하며, 수집 목적을 벗어난 마케팅 활용을 해서는 안 됨. 최근에는 이러한 규제를 우회하기 위해 분양권 양도 알선 브로커들이 개입하는 경우도 있으나, 이 역시 개인정보 불법유통에 해당하여 적발 시 형사처벌이나 제재 대상이 됨. 개인정보위는 이러한 분양대행사의 위법 행위에도 주목하고 있으나, 2020년대 들어 해당 분야에서의 적발·과태료 처분 사례는 많지 않은 실정임 . 이에 국회에서는 분양대행사에 대한 관리·처벌을 강화하는 법안 논의가 이루어지는 등 제도개선 움직임도 있음
3. 영상정보(CCTV) 관리 위반: 안내판 미설치 등
건설 현장이나 건설회사 운영 건물에서의 CCTV 설치·운영 역시 개인정보 보호법의 적용을 받습니다. 법 제25조는 공개된 장소에 CCTV를 설치·운영할 경우 정보주체가 쉽게 인식할 수 있도록 안내 표지판을 설치해야 하고, 화장실·탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소에는 CCTV를 설치하지 못하도록 규정하고 있음.
과거에는 이러한 규정 위반 시 즉각 과태료가 부과되었는데, 2021년 개인정보위 전체회의에서 실제 여러 위반 사례가 제재되었음. 예를 들어 화장실 등 사생활 보호가 필요한 공간에 CCTV를 설치·운영한 2개 사업자에게는 각각 500만원씩 총 1,000만원의 과태료가 부과되었고, 공개된 장소에 CCTV를 설치하면서 법정 안내판을 설치하지 않은 7개 사업자에게도 각각 100만원씩 총 700만원의 과태료가 부과된 바 있음. 이처럼 CCTV 안내 의무를 소홀히 하거나 설치가 금지된 장소에 운영한 경우, 수백만 원대의 과태료 처분이 내려지는 것이 일반적이었음.
위반 내용에 따라 시정명령(안내판 내용 보완 등)과 과태료 처분이 병행되었으며, 안내판은 있었지만 기재사항 일부를 누락한 14개 사업자에 대해서는 우선 시정명령만 내려지기도 했음 . 이는 대부분 경미한 위반에 해당하여, 사업자들에게 개선 기회를 부여한 사례임
2023년 9월 법 개정으로 이 분야 제재 절차에 일부 변화가 생겼음. 개정된 개인정보보호법에 따르면, 이전까지는 CCTV 안내판 미설치 시 즉시 과태료를 부과하던 것을 완화하여, 우선 시정명령이나 경고 조치를 하고 이를 이행하지 않을 경우에만 과태료를 부과하도록 바뀌었음 ('CCTV 운영하며 안내판 미설치' 소상공인에 과태료 대신 경고 | 연합뉴스).
개인정보위는 2024년 1월 제2회 전체회의에서 이 개정 법령을 처음 적용하여, 안내판을 설치하지 않은 15개 사업자 및 개인에 대해 과태료를 대신하여 시정명령 또는 경고를 의결했음 (개인정보위 “CCTV 안내판 미설치, 과태료 대신 시정명령 먼저” ). 특히 조사 과정에서 안내판을 자진 시정한 12개 업체에는 경고만 주고, 나머지에도 우선 시정명령을 내려 자율적으로 바로잡을 기회를 부여한 것임 . 개인정보위는 “경미한 실수에 대해서는 자진 시정 기회를 제공하고, 악의적으로 시정하지 않는 경우에만 과태료를 부과함으로써 소상공인과 개인에게 불필요한 부담을 덜겠다”는 취지로 배경을 설명함 .
다만 법 위반의 정도가 중대한 경우에는 여전히 바로 과태료 등 처분이 가능함. 예컨대 사무실에 근로자 동의 없이 몰래 CCTV를 설치해 직원들을 감시하는 행위는 근로자의 사생활을 심각하게 침해하는 것으로 판단되어 500만원 이상의 과태료 처분 사례가 있으며 (근로자 동의없이 사무실CCTV 설치…공유차업체에 과태료 500만원), 이는 경미한 안내판 누락과는 구별됩니다. 건설사라도 현장 안전관리 목적이라 하더라도 작업장 내 휴게실, 탈의실 등 사적 공간에 CCTV를 달아 놓으면 안 되며, 부득이 공개 구역에 설치할 경우에도 반드시 규격에 맞는 안내판을 세워야 함. 안내판에는 설치 목적 및 장소, 촬영 범위와 시간, 관리책임자 연락처를 명기해야 하며 , 이러한 사항을 빠뜨린 경우에도 법 위반이 됨
정리하면, CCTV와 같은 개인영상정보 처리와 관련해서 건설업체들은 법령을 준수하지 않을 시 최대 수백만원의 과태료를 물게 될 수 있음. 최근 법 개정으로 경미한 위반에 대한 제재는 한층 유연해졌지만 , 근로자·입주민의 프라이버시를 침해하는 중대한 위반(불법 촬영 등)에는 엄중한 처벌이 따른다는 점이 강조됨
4. 수현㈜: 선택적 동의 거부자에 대한 서비스 제공 거부
중견 기업 수현㈜의 사례는 마케팅 등 “선택적 동의”에 동의하지 않은 경우 서비스 이용을 제한한 행위로, 개인정보보호법 제22조 제4항의 이른바 “동의 강요 금지” 규정을 위반한 경우임. 해당 회사는 자사 온라인 서비스에서 이용자가 선택사항 동의를 하지 않았다는 이유만으로 회원가입 또는 서비스 제공을 거부한 것으로 드러났음 (개인정보위, 개인정보보호법 위반 4개 사업자 제재). 개인정보 보호법 상 필수적 동의 항목과 선택적(임의) 동의 항목은 구분하여야 하며, 이용자가 선택적 동의를 거부했다는 이유로 서비스 제공을 거절하는 것은 금지됨. 이는 2020년 개정된 법률 조항으로, 정보주체가 필요 최소한이 아닌 개인정보 제공에 동의하지 않았다고 불이익을 받지 않도록 보호하는 취지임.
개인정보위는 2023년 4월 회의에서 수현㈜의 이 행위를 위법으로 판단하고 시정조치를 내렸음 . 수현㈜에 대해서는 과태료보다 시정명령 위주의 처분이 이루어진 것으로 보이며, 해당 서비스 정책을 즉시 개선하여 선택 동의를 거부해도 정상적으로 서비스 이용이 가능하도록 조치하도록 명령받았음. 위반 행위 자체에 대한 직접적인 과태료 액수는 공개되지 않았으나, 동종 사례에 비추어보면 수백만원 수준의 과태료 처분 가능성도 있음. 예컨대 2021년 샤넬코리아가 오프라인 매장에서 고객들에게 제품 대기표를 발급하면서 과도한 개인정보(주소, 생년월일 등)를 요구하고 이를 동의 없이 마케팅에 활용한 건에 대해 과태료 360만원이 부과된 사례가 있으며 ([THINK ENGLISH] 대기하던 고객들에 과도한 개인정보 요구한 샤넬 ...), 이러한 과다 수집 및 동의 강요 행위는 비교적 경미한 편이라 하더라도 금전적 제재로 이어질 수 있음
수현㈜ 사례를 통해 알 수 있듯, 이용자의 동의권 보장은 개인정보 보호의 핵심 원칙임. 건설업에서도 분양 신청이나 계약 과정에서 필수적 정보와 선택적 정보를 구분하고, 선택 사항에 동의하지 않았다는 이유로 거래나 서비스를 거부해서는 안 됨. 만약 이를 어길 경우 개인정보위 조사 시 시정명령, 과태료 등이 부과될 수 있으며, 기업 평판에도 악영향을 미치게 됨. 특히 온라인 플랫폼을 운영하는 건설 관련 서비스 (예: 아파트 입주예약 시스템 등)에서도 필요 이상으로 광범위한 동의를 요구하는 관행을 지양해야 함. 법적으로 정보주체 권리를 부당하게 제한하는 약관이나 동의서는 무효로 간주될 수 있고, 행정처분뿐 아니라 추후 민사상 손해배상 청구로 이어질 수도 있음
종합 분석: 건설업계 개인정보 보호 동향과 시사점
건설업계 전반에 걸쳐 개인정보 보호 법규 준수에 대한 요구와 감시가 꾸준히 강화되는 추세임. 2022년 출범한 윤석열 정부 이후 개인정보위는 불법적인 개인정보 수집·이용 행위에 엄정 대응하여 2년 6개월간 총 1,552억 원의 과징금·과태료를 부과했다고 밝혔음
과징금 부과의 대부분은 글로벌 IT기업 등에 대한 것이었지만, 오프라인 산업 분야인 건설사들에 대해서도 맞춤형 단속과 제재가 이루어지고 있음. 앞서 살펴본 대방건설 사례처럼 건설사에서 대규모 개인정보 유출 사고가 발생하면 예외 없이 조사와 제재가 뒤따르며, 모델하우스 분양 현장에서의 불법적인 개인정보 수집·마케팅 역시 초기에 집중 단속되어 시정된 바 있음.
건설사들은 분양, 시공, 입주 관리 등 다양한 업무에서 개인정보를 다루기 때문에, 준수해야 할 법적 의무도 다양함. CCTV를 통한 현장 모니터링, 고객 명부 관리, 계약서류 보관, 분양 광고 마케팅 등 각각에 해당 법 규정이 적용되며, 위반 시 제재 수준도 상이함. 자료 유출이나 체계적인 불법 활용처럼 중대한 위반의 경우 수천만원에서 수억원대 과징금까지 부과될 수 있는 반면, 단순 절차 미준수나 경미한 위반은 시정명령이나 경고로 마무리되기도 함 . 예를 들어 CCTV 안내판 누락은 법 개정으로 1차 적발 시 시정기회가 주어지지만 , 개인정보를 고의로 빼돌려 부당이득을 취한 경우에는 형사처벌까지 검토되는 등 차이가 있음
건설업계에서는 이러한 흐름에 대응하여 자발적인 개인정보 보호 조치를 강화하는 추세입니다. 일부 대형 건설사는 내부 정보보호 조직을 신설하거나, ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 취득하는 등 선제적으로 관리체계를 구축하고 있습니다 (우리카드, 가맹점주 개인정보 마케팅 활용…과징금 134억 부과). 예컨대 GS건설은 2023년에 ISMS-P 인증을 획득하여 법정 기준에 부합하는 보안·보호 조치를 운영하고 있음을 입증하였음 (우리카드, 가맹점주 개인정보 마케팅 활용…과징금 134억 부과). 이는 기업 스스로 개인정보 보호 수준을 증명함으로써 규제 대응력을 높이고, 고객 신뢰를 제고하려는 움직임으로 볼 수 있음
그럼에도 불구하고 여전히 현장 관행과 법 규정 사이의 간극이 존재하는 부분도 있음. 분양 현장에서의 개인정보 처리는 과거보다 개선되었지만, 여전히 분양권 양도 알선 등을 매개로 개인정보가 거래되는 사례가 나타나 업계의 주의가 요구됨. 또한 하도급 근로자의 정보관리, 아파트 입주민 개인정보 처리(예: 입주자대표회의의 CCTV 운영이나 민원 처리 과정) 등에서도 법규 위반 소지가 없는지 점검이 필요함. 실제로 2023년 한 아파트 입주자대표회의가 입주민 개인정보를 부적절하게 공개하여 과태료 처분을 받은 사례도 보도된 바 있으며, 공공부문에서도 도로공사 서비스 자회사 등이 개인정보 관리를 소홀히 했다가 수천만원의 과태료를 받은 사례가 있음 (개인정보위, '정보관리 위반' 공공기관 7곳 과태료 3천240만원 - 연합뉴스).
종합적으로, 2025년 현재 건설사를 대상으로 한 개인정보위의 제재 동향은 “전반적 감시 강화, 위반 양태에 따른 차등 제재”로 요약될 수 있음. 개인정보 보호법 위반에 대해 행정처분(시정명령)부터 과태료 및 과징금까지 폭넓은 수단이 활용되고 있으며, 위반 유형별로 처벌 수위가 달라지고 있음. 대규모 유출이나 동의 없는 상업적 활용에는 높은 과징금이 부과되어 타산업과 동일하게 엄중히 제재하고 있으며, 경미한 절차적 위반은 먼저 자율 시정을 유도하는 추세임. 하지만 경미한 사안이라도 반복 적발되거나 시정명령을 이행하지 않으면 곧바로 금전적 제재로 이어질 수 있으므로, 안심해서는 안 됨.
결론적으로, 건설사는 개인정보 처리 단계(수집 → 이용 → 보관 → 파기에 이르는 전 생애주기)마다 관련 법령을 철저히 준수해야 함.
△수집단계에서는 최소한의 정보만 동의 하에 수집하고 (불필요한 주민번호 수집 금지 등),
△이용·제공단계에서는 목적 범위 내 활용 및 제3자 제공 시 별도 동의를 확보하며,
△저장단계에서는 접근권한 통제와 암호화 등 안전조치를 적용하고,
△파기단계에서는 보유기간 경과 즉시 완전 파기를 해야 함.
이러한 규정을 어길 시 개인정보위 조사 대상이 될 수 있으며, 그 결과는 앞서 살펴본 사례들처럼 과태료부터 억대 과징금까지 막대한 경제적 손실과 기업 이미지 훼손으로 이어질 수 있음
향후 개인정보위는 AI, 드론 등 신기술 환경에서의 개인정보 처리 이슈까지 규율 체계를 정비해나갈 계획을 밝히고 있으며 모든 산업 분야에 걸쳐 개인정보 침해에 대한 법 집행을 강화하고 있음.
건설업 역시 예외가 아니므로, 자율적인 개인정보 보호체계 확립과 임직원 교육을 통해 위법사항이 발생하지 않도록 지속적인 점검과 개선 노력이 요구됨. 이는 단순히 규제를 피하기 위한 것이 아니라, 고객과 국민의 신뢰를 지키고 향상된 데이터 시대 경쟁력을 확보하는 길임을 인식해야 할 것임
참고자료: 국내 개인정보보호위원회 보도자료 및 언론보도 모음 (개인정보위, 개인정보보호법 위반 4개 사업자 제재) (모델하우스 개인정보 유출 첫 단속, 아파트 마케팅 초비상 | 한국경제) (CCTV 개인정보 보호 위반 사업자 행정처분 - 정보통신신문) ('CCTV 운영하며 안내판 미설치' 소상공인에 과태료 대신 경고 | 연합뉴스) 등.