고객 수백만 명의 민감한 정보가 유출되더라도 기업들은 유출 정보가 누구 것인지 특정하기 어렵다는 이유로 홈페이지에만 피해사실을 개괄적으로 게시하는 경우가 적지 않다.
이처럼 정보를 유출 당한 소비자가 이 같은 사실을 통지 받지 못해 제때 대응하지 못하는 사태를 막기 위해 기업의 개별통지를 의무화하는 법안이 발의되기도 했다.
실제로 올해 발생한 개인정보 유출사고에서 루이비통, 디올, 아디다스 등은 해킹 피해 사실을 홈페이지 게시에만 그친 것으로 확인됐다. GS리테일과 까르띠에, 머스트잇은 개별 고객에게 이메일이나 문자메시지 등으로 유출 사실을 알렸다.
루이비통코리아는 7월 3일 지난달 8일 발생한 사고를 7월 2일에 인지했다며 홈페이지를 통해 유출 사실을 공지했다.
지난 5월 아디다스는 홈페이지 공지를 통해 “일부 고객 데이터가 권한 없는 제3자에게 유출됐다”고 밝혔으며 이름, 이메일, 전화번호, 성별, 생년월일 등이 포함됐다고 그룹 차원의 글로벌 홈페이지에 사고 내용을 공지했다.
디올은 지난 1월 발생한 유출 사고를 네 달이 지난 5월 13일 인지 후 홈페이지에 공지했다. 고객 이름, 휴대전화 번호, 이메일, 주소, 구매 데이터 등이 포함됐다. 같은 그룹 계열사인 티파니도 4월 개인정보 유출 사실을 알렸다. 머스트잇은 지난달 25일 한국인터넷진흥원으로부터 회원번호, 아이디, 이름, 생년월일, 이메일, 주소 등 최대 9개 항목의 개인정보 침해 정황을 통보받았다.
까르띠에는 6월3일 가입 고객에게 이메일로 이름, 이메일, 국가 등 정보가 유출 됐다는 사실을 안내했다.
국내 유통기업 중에선 GS리테일 홈쇼핑사인 GS샵에서 지난해 6월부터 올해 2월까지 약 158만 건의 개인정보가 유출됐으며 이름, 성별, 생년월일, 주소, 이메일, 개인통관고유부호 등 10개 항목이 포함됐다. GS리테일은 개인정보 유출 해당 고객에게 개별 문자 통지를 진행했다.
유출 피해를 입은 정보 주체조차 이를 인지하지 못한 채 지나치는 사례가 이어지면서 개별 통지 의무를 법으로 명시해야 한다는 목소리가 높아지고 있다.
국회 및 유통업계에 따르면 국회는 최근 정보주체를 특정하기 어려운 경우에도 일정 규모 이상의 개인정보 유출이 발생했을 경우 문자·이메일·푸시 알림 등을 통한 개별 통지를 의무화하는 내용을 골자로 한 개정안을 잇달아 발의했다.
인요한(국민의힘) 의원을 비롯한 13인과 최민희(더불어민주당) 의원 외 11인은 지난 6월과 이달 9일 각각 개인정보보호법 개정안을 발의했다.
개정안은 일정 규모 이상의 개인정보 유출이 발생할 경우 정보주체를 특정하기 어렵더라도 문자·이메일·푸시 알림 등을 통해 개별 통지를 의무화해야 한다는 내용을 담고 있다. 기존처럼 홈페이지 공지만으로는 소비자 보호 측면에서 한계가 있다는 판단에서다.
법안이 통과되면 수백만 명 단위의 고객 정보를 보유한 이커머스 플랫폼, 멤버십 운영 유통업체들의 개인정보 유출 후 대응 방식 변경은 불가피할 것으로 관측된다. 피해자 보호를 위한 실질적인 조치가 강화되는 동시에 기업의 사전 보안관리 책임도 무거워질 수밖에 없다.
현행 개인정보보호법 제34조는 개인정보 유출 시 ▲유출 항목 ▲시점 ▲대응 조치 등 법정 고지사항을 정보주체에게 개별 통지하도록 규정하고 있지만 예외적으로 정보주체를 특정할 수 없을 경우 홈페이지 공지로 대체할 수 있도록 허용하고 있다. 다만 해당 조항은 기업들에게 ‘면책 수단’처럼 작용한다는 비판도 나온다.
일부 전문가들과 업계에서는 강화된 규제가 자칫 기업 활동을 위축시키고 산업 전반에 부담으로 작용할 수 있다는 우려를 내비치고 있다.
임종인 고려대학교 정보보호대학원 명예교수는 “AI 등 관련 산업이 발전하기 위해선 대규모 데이터를 학습에 활용할 수 있어야 하는데 한국은 세계에서 가장 강한 개인정보 보호법을 갖고 있어 데이터 활용이 어렵다”며 “정보의 활용을 과도하게 제한하고 책임을 강화하면 산업 발전에 걸림돌이 될 수 있다”고 지적했다.
이어 “미국은 연방 차원의 개인정보보호법도 없고 중국은 프라이버시 개념 자체가 약한 데 비해 한국은 형사처벌까지 가능한 강한 규제를 두고 있다”며 “보호와 활용 간 균형을 맞추지 않으면 기업들의 활동이 위축되고 AI 등 관련 산업 생태계도 위축될 수밖에 없다”고 덧붙였다.
업계는 개정안에 대해 비용 및 물리적 측면에서 우려하는 분위기다. 유출 사실을 인지한 뒤 유출 대상자를 특정하지 못하더라도 수십만~수백만 명에게 개별 통지를 해야 하는 만큼 물리적·경제적 부담이 상당하다는 것이다.
업계 관계자는 “현재도 개인정보보호 전담 인력을 두고 관리하는 등 유출 사고가 발생하지 않도록 보안에 힘쓰고 있는 상황인데, 규제가 강해지면 업체 입장에선 부담이 될 수 밖에 없다”며 “의무 통보 방식이 강화될수록 관련 비용과 부담도 커질 수밖에 없어 여러 방면에서 감당이 쉽지 않을 것으로 보인다”고 말했다.
[소비자가만드는신문=이정민 기자]
