티몬과 위메프 사태로 개인정보 유출에 대한 우려가 커지고 있다. 정부가 적극적인 모니터링을 약속했지만 소비자들의 불안을 잠재우기에는 역부족으로 보인다. 이런 우려는 정부가 추진하고 있는 ‘마이데이터 사업’에까지 불똥이 튀는 모양새다. “민감한 개인 쇼핑정보 유출이 우려된다”며 사업 중단을 요구하는 소비자·시민단체와 기업들의 목소리가 커지고 있다.

31일 유통업계 등에서는 티몬·위메프 두 회사 모두 누적된 적자로 소위 ‘티메프 파산 시나리오’까지 나오고 있다.

이런 소식이 알려지면서 티몬과 위메프 회원들 사이에서 “파산할 경우 내 개인정보는 어찌 되는 거냐” “기업이 어려워지면 개인정보 보호에 소홀해져 해킹의 위험이 높아질 수 있다” 등의 우려가 나온다. 실제로 사회관계망서비스(SNS) 커뮤니티 등에는 회원을 탈퇴한 사례나 방법을 공유하는 글이 많아지고 있다.

◆SNS 중심으로 탈퇴 분위기 확산 = 문제는 소비자가 탈퇴해도 개인정보 보호가 완벽하게 이뤄지지는 않을 수 있다는 점이다. 기업은 원칙적으로 개인정보 이용 목적을 달성한 뒤 해당 정보를 지체 없이 파기해야 한다. 하지만 보존의 필요성이 있는 경우 관련 법령에 따라 일정 기간 정보를 보유할 수 있다.

위메프는 개인정보 처리방침에서 로그인 이력과 대금결제, 국세 증빙자료 등의 회원 정보는 3개월에서 10년까지 보유하고 이용한다고 공지했다. 티몬도 웹사이트 방문기록과 대금결제 등의 고객 정보를 3개월에서 5년까지 보유한다고 밝히고 있다.

개인정보보호위원회는 이번 사태 관련 모니터링을 강화하겠다는 입장이다. 개인정보보호위원회는 지난 26일 “큐텐테크놀로지로부터 개인정보 처리실태를 확인했다”며 “향후에도 관계사들의 개인정보 처리실태를 적극적으로 지도·감독하고 지속적으로 모니터링하겠다”고 밝혔다.

전문가들도 티몬과 위메프 내부에서의 유출 가능성은 낮게 보고 있다. 다만, 경영난으로 보안에 대한 투자가 줄어들면 해킹 공격에 취약해질 있다는 점에는 대체로 동의하는 분위기다.

이 때문에 정부가 적극적인 지도·감독을 약속했지만 개인정보 유출 우려감을 잠재우기에는 역부족으로 보인다. 실제 파산한 기업들에서 개인정보가 유출되거나 불법 매매한 사례를 찾는 것이 그리 어렵지 않다는 것이 전문가들의 지적이다.

◆잇단 유출 사고에 불안감 커져 = 특히 최근 발생한 개인정보 유출 관련 사건들이 소비자들의 우려감 확산에 기름을 부었다.

지난해 법원은 북한의 해킹 공격으로 인해 1014기가바이트(GB) 분량의 개인정보를 유출했다. 법원의 정보에는 기본정보 외에도 여권·금융·재판 등 많은 정보가 총망라돼 있다.

인천시교육청에서는 학생·교직원 등 11만명의 계정이 해킹된 것으로 의심돼 개인정보보호위원회가 조사중이다. ‘정부24’의 경우 두 차례에 걸쳐 타인의 민원서류가 발급되는 등 시스템 오류로 1200건 이상 개인정보가 유출됐다.

기업에 대한 해킹도 잇따르고 있다. 대전 빵집 성심당의 온라인 쇼핑몰 해킹을 수사하고 있는 경찰은 개인정보 유출 정황을 확인했다. 유출 규모는 아직 파악되지 않았지만 관계기관들이 2차 피해가 없도록 조치한 것으로 알려졌다.

뿐만 아니라 고객 정보 관련 법적 절차를 지키지 않은 사례도 드러났다. 개인정보보호위원회는 한국 고객의 정보를 중국 판매업체 18만여 곳에 넘긴 중국 이커머스 알리익스프레스(알리)에 대해 19억여원의 과징금을 부과했다. 알리는 대량의 국내 고객 정보를 해외로 넘기면서 소비자들에게 이에 대한 명확한 고지도 하지 않은 것으로 나타났다.

◆클릭 한번에 30여가지 개인 쇼핑정보 이동 = 티몬·위메프 사태로 촉발된 개인정보 유출 우려는 정부가 추진 중인 ‘마이데이터 사업’ 중단을 요구하는 목소리에도 힘을 실어주고 있다.

마이데이터는 흩어져 있는 개인정보를 소비자 동의를 받아 업체 서비스나 앱에 모아 사업적으로 이용하는 제도다. 마이데이터가 시행되면 소비자는 개인정보를 보유한 기업이나 기관에 자신의 정보를 원하는 다른 곳으로 옮기도록 요구할 수 있다.

지난 2022년 금융권에 도입됐으며 여러 금융 마이데이터 업체들이 운영 중이다. 이들은 은행이나 증권 등에 걸친 예금·투자·대출 정보를 소비자 동의를 받고 신용정보조회나 금융상품 추천 등에 이용하고 있다.

개인정보보호위원회는 내년 3월 시행을 목표로 ‘마이데이터’를 유통·의료분야로 확대하기 위해 개인정보보호법 시행령 개정안을 추진 중이다. 주문상품과 수량, 지불수단과 금액, 배송지, 포인트 정보 등 30여가지 정보가 대상이다.

문제는 무분별한 개인정보 유통을 조장하고 해킹 등 위험 노출 가능성이 크다는 우려가 좀처럼 가라앉지 않고 있다는 대목이다. 여기에 유통업계는 산업경쟁력 저하 등을 이유로 반대하고 있다.

박성호 한국인터넷기업협회장은 지난 29일 열린 ‘마이데이터 제도와 국내 유통산업의 미래’ 세미나에서 “유통분야 마이데이터로 인해 국내 데이터의 해외 유출, 국내 유통산업경쟁력 저하 등 다양한 문제점이 제기되고 있으며, 시민사회 단체에서도 반대 성명문을 발표했다”며 “사업자와 소비자 모두 반대하는 이번 유통 분야 마이데이터 제도는 재검토가 필요하다”고 주장했다.

◆“‘커피쿠폰’ 제공하며 정보제공 유도할 것” = 실제로 한국소비자연맹, 경제정의실천시민연합, 소비자시민모임 등 5개 소비자·시민단체는 최근 성명을 내 “소비자가 무심코 정보제공에 동의하는 순간, 자신의 모든 쇼핑 구매내역과 배송정보, 지불방법, 멤버십 정보까지 한꺼번에 전 세계의 사업자들이 가져다 상업적으로 사용할 수 있게 된다”면서 “특히 해킹과 보이스피싱 등의 위험에 노출될 수 있다”고 우려했다.

이들은 또 “마이데이터의 본질은 정보주체의 권리 강화와 함께 데이터의 이동활성화, 경쟁촉진, 혁신을 목표로 하고 있다”며 “취지를 소비자가 이해하지 못한 상태에서 사업이 본격화되면 소비자는 서비스 이용을 위해 수동적으로 약관에 동의하고, 정보이동 이후에는 자신의 정보가 어떻게 사용되고 있는지 알 수 없는 등 정보 주체로서 역할을 할 수 없게 되는 문제가 있다”고 지적했다.

즉 개인정보보호법 전송요구권이 정보주체가 자신의 정보를 통제할 수 있도록 하고, 소비자 피해 예방, 시장 작동을 위해 엄격한 적용이 필요하다는 지적이다.

소비자·시민단체들에 따르면 마이데이터 사업을 공격적으로 진행하는 나라는 없다. 이 사업을 앞서 도입한 EU 등 선진국들도 금융, 의료, 에너지 중심으로 일부 분야에만 적용하고 있다.

소비자·시민단체들은 “이대로 마이데이터 사업이 시작된다면 사업자들은 소비자의 개인정보를 상업적으로 활용하기 위해 ‘커피쿠폰’등을 제공하면서 정보제공을 유도할 것”이라며 “안전과 통제장치 없이 이처럼 무차별적으로 개인정보 상품화를 추진하는 마이데이터 사업에 다시 한 번 심각한 우려를 표하며 전면적 재검토를 요청한다”고 강조했다.

이들은 이 상태로 사업이 시행될 경우 소비자 대상으로 마이데이터의 실상을 알리고 거부 캠페인을 진행할 예정이다.

◆“영업비밀 경쟁사에 넘길수도” = 우려는 학계에서도 꾸준히 제기되고 있다.

정신동 한국외대 법학전문대학원 교수는 개인정보보호법학회, 한국인터넷기업협회 등이 주최한 토론회에서 “정보주체가 수많은 클릭 버튼을 누르면서 정보전송에 포괄적으로 동의할 경우, 숨기고 싶은 구매 이력 등 민감한 정보가 유출될 가능성이 굉장히 높다”면서 “정보주체가 개별적으로 인지하지 못한 정보를 포괄적으로 전송했을 때 발생할 수 있는 문제를 시간을 갖고 논의를 해봤으면 좋겠다”고 말했다.

이어 정 교수는 “기업의 영업비밀에 해당하거나 그 경계에 위치한 정보가 전송 대상이 될 수 있으므로 상당히 신중할 필요가 있다”면서 “반드시 영업비밀에 해당하지 않더라도 전송 대상이 단순한 개인정보의 집합이 아니라 데이터 세트로서 기업 노하우가 반영된 것이라면 이를 무한정 전송요구권 대상으로 규율하는 것은 문제가 있다”고 지적했다.

토론회에서는 마이데이터 확대를 위한 개인정보보호법 시행령으로 국내 기업이 역차별을 받을 수 있다는 전망도 나왔다.

전응준 변호사는 “현재 법리에 따르면 아마존, 이베이, 알리익스프레스, 테무 등 외국사업자에도 전송요구권 규정이 적용된다”며 “한국 정보주체의 개인정보가 외국사업자에게 이동되는 결과가 발생할 수 있다”고 말했다.

◆우려감 해소한 대책 마련 중 = 한편 개인정보보호위원회는 지난달 열린 사업설명회에서 “정보주체가 제대로 알지 못하는 상태에서 개인정보가 전송되는 것이 아니냐는 우려가 있다”면서 “부당한 전송을 유도·유인하는 행위를 방지하는 가이드라인과 알기쉬운 표준동의 절차 안내 등을 통해 정보주체의 진정한 의사에 따라 전송이 이루어질 수 있도록 할 계획”이라고 밝혔다.

이어 “이해관계자와의 충분한 소통을 통해 건전한 데이터 생태계를 저해하거나 프라이버시를 침해하지 않도록 면밀하고 신중하게 제도를 마련할 것”이라며 “사후 관리·감독도 강화하는 등 안전한 마이데이터 활용체계를 마련해 나간다는 방침”이라고 강조했다. 특히 “국민이 안전하고 편리하게 마이데이터 서비스의 혜택을 누릴 수 있도록 최선을 다하겠다”고 밝혔다.

이상민 개인정보보호위원회 범정부 마이데이터 추진단장은 31일 내일신문과 통화에서 “유통분야 마이데이터 관련해 우려가 큰 부분을 알고 있다”면서 “업계와 논의를 진행하고 있다”고 말했다. 이어 “전송 대상 항목 등 구체적인 부분은 논의를 통해 연말에 나올 고시에 반영할 계획”이라고 덧붙였다..

장세풍 기자 spjang@naeil.com