김태현 경실련 사회정책팀 국장


하나, 혹시 중요한 전화인가 싶어 받았더니 스팸전화다. 카드 사용 실적을 들먹이며 속사포처럼 새로운 보험 상품을 소개하는 텔레마케터의 목소리를 들으며 이 상품을 놓치면 엄청나게 아까울 것 같은 생각이 잠시 스쳐 지나가지만 이내 정신을 추스르고 전화를 끊었다. 하지만 기분은 영 찜찜하다.

두울, 번호이동으로 통신사에 가입절차를 밟는다. 깨알같이 많은 내용이 적힌 약관이 제시되지만 꼼꼼히 읽어볼 여유가 없다. 영업사원이 설명하는 속도만큼이나 빠르게 해당 정보를 적고 표시해 놓은 곳에 사인하기 급하다. 얼핏 사인하는 란에 내 정보를 활용하는데 동의한다는 내용도 포함돼 있지만 자세한 내용을 살피진 않는다. 어차피 서비스를 이용하려면 어쩔 수 없다는 체념이기도 하다.

아마도 누구나 한번쯤은 겪어 봤을 상황이다. 회원가입을 하지 않은 회사로부터 시도 때도 없이 걸려오는 스팸전화나 광고문자 그리고 광고메일, 지겹지만 수신거부도 쉽지 않다. 전화사기와 같이 보이스 피싱 범죄 등 각종 범죄에 노출될 위험도 도사리고 있다.

얼마 전 개인정보의 유출, 노출로 인한 피해가 가시화됐다. 옥션을 통해 천만명이 넘는 사람들의 개인정보가 유출됐다는 엄청난 뉴스의 충격이 채 가시기도 전에 LG텔레콤을 통한 실시간 정보유출에 이어 하나로텔레콤이 고객 600만 명의 개인정보 8500만 건을 전국 1000여 개 전화마케팅 업체에 제공한 사실이 드러났다.

하지만 안타깝게도 개인정보의 유출, 판매, 불법 사용은 새삼스러운 일이 아니다. 개인정보가 가장 많이 집적되어 있는 통신사들이 개인정보 유출의 진원지가 되고 있다는 사실은 공공연한 비밀에 속한다. 금융사기, 카드사기 등 온갖 전화사기, 각종 텔레마케팅, 스팸 메일 발송, 스팸 문자 발송 등 이미 온라인과 오프라인에서는 개인정보를 이용해 돈을 벌수 있는 시장이 만들어져 있고 적발되더라도 솜방망이 처벌로 인해 이의 확대 재생산을 제어하지 못하고 있다.

지난 3월과 4월, 경실련에서는 약 2개월 동안 63개 온라인 업체의 회원가입절차를 샅샅이 조사하고 개인정보 활용절차의 위반여부를 판단했다. 이들 중 뮤직온과 LG파워콤은 별도의 동의절차 없이 단순 고지만 하고 개인정보를 제공하고 있었다. 나머지 업체는 이용약관 속에 은근슬쩍 포함시켜 놓은 뒤 일괄적으로 동의하도록 하는 편법을 쓰거나 동의하지 않으면 회원가입이 불가능하도록 했다. 결국 가입을 하려면 어떤 경우라도 개인정보 활용에 동의하지 않을 권리는 없다는 것이다.

H몰은 이용약관에 계열사인 현대홈쇼핑의 정보활용 동의사항을 포함시켜 H몰에 회원으로 가입하면 동시에 현대홈쇼핑도 개인정보를 공유할 수 있게 했다. 동부생명 삼성증권 옥션 롯데닷컴 등도 계열사가 개인정보를 공유할 수 있는 약관 동의조항을 두고 있고, 롯데닷컴의 경우 회원가입 때 20개 계열사에 일괄 가입되도록 했다.

이처럼 이용자의 동의를 구하지 않거나 형식적인 동의 절차만 거친 경우에 별도의 동의절차를 구한 것으로 간주할 수 있을지 의문이 든다. 현행 정보통신망법에 따르면 고객 동의 없이 '제3자'에게 고객 개인정보를 넘기거나 약관에 명기된 개인정보의 활용 목적 이외로 이용하면 불법이다. 만일 이를 위반했을 때에는 5년 이하의 징역 또는 5천만원이하의 벌금에 처할 수 있는 중대한 위반행위로 다루고 있다. 그런데 지금과 같은 ‘동의’ 방식이라면 개인의 선택권을 부여하지 않는 강요된 선택인데 이것을 과연 ‘동의’라 할 수 있겠는가.

그러나 동의절차에 문제가 없다고 해도 분명히 할 것이 또 하나 있다. 모호한 ‘업무위탁’의 범위로 인해 이를 명분으로 사업자들이 무분별하게 개인정보를 이용할 여지를 만들고 있다는 사실이다.

우선, 물품배송이나 AS 등 서비스계약 이행을 위해 꼭 필요한 범위 내에서 업무위탁을 하는 경우가 있다. 이는 소비자의 동의 없이도 위탁자에게 개인정보를 제공할 수 있는 사항이긴 하다. 문제는 단순 서비스를 넘어 ‘전산시스템이나 홈페이지 운영 및 관리, 요금청구, 고객상담’ 등도 꼭 필요한 서비스로 명시하고 있다는데 있다.

‘고객상담’이라는 추상적인 표현만을 갖고 업무위탁의 정당성을 부여받을 수 있는 꼭 필요한 정보인지는 따져볼 필요가 있다. 물론, 업무와 관련한 업무위탁을 법이 허용하고 있는 것은 사실이나 현재와 같이 신상품 소개, 고객유치, 금융상품 소개, 마케팅 활동, 이벤트 등 광고성 정보와 같이 업무와의 관련 여부가 불명확한 것까지 포함하고 있는 것은 문제가 있다. 그런데 실제 많은 인터넷 사업자들은 이러한 업무위탁을 명분으로 자신들이 수집한 개인정보를 제공하고 있다.

또 현재는 별도동의 절차만 거치면 제3자에게 개인정보를 제공하는데 따르는 아무런 규제가 없다. 그러다보니 제3자에게 제공하는 범위를 포함해 개인정보를 제공하여 활용하는 범위도 실로 다양하다. 신세계 몰은 신세계포인트 카드번호와 거래정보를 제휴사에게 제공하고 있고 인터파크 등은 보험계약 내용 및 사고관련 정보, 거래실적, 직업, 보험계약번호 등의 내용을 조회하여 상업적으로 이용하고 있다.

LG파워콤과 동부화재는 ‘회사와 계약한 영업조직’이나 ‘○○○개 대리점, 보험대리점’등 추상적으로 명시했다. 동부생명도 제3자 제공을 ‘금융상품 소개 등 마케팅 활동’이나 ‘당사와 계약한 보험 영업조직’ 등과 같이 추상적으로 표현하여 누구에게 어떤 정보를 제공하는지 불명확했다. 뮤직온은 아시아나항공과 하이테트 정보통신 제휴사 회원가입과 서비스가입을 위해 개인정보를 제공하고 1,160개 유통망 대리점에 고객편의를 위해 개인정보를 위탁 제공하는 것으로 명시돼 있다.

지금과 같이 개인정보가 제3자에게 무분별하게 제공되고 상업적으로 활용되고 있는 것은 업체들의 개인정보 보호에 대한 무지와 상술, 관리감독을 소홀히 한 정부의 직무유기가 빚은 합작품이다. 구글 등 해외 서비스에는 이름, 아이디, 암호, 이메일 주소 정도만 입력하면 웬만큼 다 가입할 수 있음에도 우리나라에서만 유독 공공기관, 민간업체를 막론하고 주민번호를 비롯한 온갖 개인정보를 필수적으로 입력하게 하는 것은 문제다.

이제 개인정보는 안전하게 관리하기 이전에 주민번호의 수집 자체를 제한해야 하고 서비스에 필수적인 항목만 반드시 입력하게 하고 상업적으로 활용할 항목은 입력하지 않아도 서비스 이용이 가능하도록 해야 한다. 아울러 개인정보의 수집과 저장, 활용, 폐기 등 기업이나 공공부문에서 이뤄지는 각 행위에 대해 절차와 범위, 책임, 처벌을 명확하게 하고 개인정보보호의 근간을 바로 세우는 기본법 제정으로 근본대책을 마련하는 것이 앞으로 우리사회에 남은 과제라 할 것이다.