우선 OECD와 UN을 비롯 국제적인 개인정보보호 규범의 제1원칙은 '수집제한의 원칙'이라 한다. 개인이건, 기업이건, 국가건, 다른 사람의 개인정보를 수집하는 것은 원칙적으로 금지하고 있다.
지난 9일, 국내 유명 백화점 등이 보유한 650만 명의 개인정보가 시중에 유통되었다고 경찰 사이버수사대가 밝혔다. 경찰에 따르면 채모씨는 지난해 11월 중국 해커에게 70만 원을 주고 인터넷 회원의 아이디, 비밀번호, 이름, 주민번호, 이메일 등 개인정보를 구입해 인터넷 포털 카페 등을 통해 돈을 받고 되판 혐의를 받고 있단다.
평생 주민등록번호에 얽매여 살아가야 하는 한국인들의 개인정보가 놀라운(?) 중국 해커들의 돈벌이 수단으로 이용되고 있고, 유출된 개인정보 거래가 인터넷 포털사이트에서 버젓이 이뤄지고 있다는 것이다. 이에 경찰은 해당 업체 사이트가 해킹된 것으로 보고 있지만, 내부자에 의한 유출 가능성도 배제하지 않고 수사 중이라 한다.
특히 백화점에서 유출된 일부 개인정보 자료가 해당 백화점 회원들의 정보와 일치하는 것으로 확인됐다 한다. 하지만 국내 유명백화점 홈페이지 어디에도 회원정보가 유출되었다는 그 흔한 공지조차 보이질 않는다. 어떤 백화점의 고객정보가 유출되었는지 언론도 경찰도 업체명을 속시원히 밝히지 않고 있다. 개인정보보호보다 유명백화점이 더 소중한가 싶다.
개인정보 이용한 마케팅-고객관리 자체가 유출사고 위험 내포더 가관인 것은 백화점 업계가 이번 유명 백화점 개인정보유출 사건과 관련해 '아직 고객정보 유출에 따른 피해사례가 접수되지 않았다'고 밝힌 것이다.
유명 백화점 고객들이 자신들의 개인정보가 어디서 어떻게 유출되었는지조차 모르는 상황에서, 그리고 유출된 개인정보가 얼마나 많은 이들에게 넘어갔는지조차 모르는 상황에서 책임회피에만 급급해 보인다.
이에 그간 소중한 개인정보를 '고객(만족)과 더 나은 서비스를 위해'란 명분으로 무분별하게 대량수집해 온, 국내 유명 3대 백화점의 개인정보 취급방침을 살펴봤다. 결론부터 말하면, 시시콜콜한 개인정보까지 집어삼킨 백화점은 그 자체가 해커들의 먹잇감이다. 아무리 보안대책을 마련해 놓았다 해도.
무엇보다 백화점이 수집하는 개인정보의 항목들 중에는 이번에 대량 유출-유통된 성명-주민등록번호-이메일-아이디-비밀번호-이메일-주소-휴대전화 등을 비롯해 가족-기념일정보, 현금영수증 발급, 포인트클럽 가입시 자녀 성명 및 주민번호까지 무분별하게 수집하고 있다. 수집방법 또한 다양해 어떤 경로에서 개인정보가 유출될지 모를 일이다.
또한 백화점과 유통업계의 돈벌이 자산으로 이용되는 개인정보는 제휴행사 및 서비스 홍보를 위한 텔레마케팅 자료 등으로 이용돼 백화점 고객들의 개인정보가 관리자 이외의 사람들에게도 노출될 가능성이 크고, 패밀리사이트(계열사)에도 고객정보가 공유-제공돼 개인정보 유출 위험을 높이고 있다.
실제 지난해 9월 OK캐쉬백 콜센터에서 9개월간 아르바이트를 한 20대가 유명연예인을 비롯한 고객 2만 여 명의 개인정보를 모아 퇴사 후 돈벌이에 이용하다 경찰에 잡히기도 했었다. 당시 주민번호 등 고객정보가 유출되었다는 OK캐쉬백은 사실확인을 하고 있다는 말만 할 뿐, 회원들에게 어떤 사과-공지도 없었다.
개인정보 유출사고 책임-보상 조항 빼먹은 백화점도 있어관련해 현대백화점의 경우, 현대백화점그룹 계열사에서 운영하는 제휴사이트와 계열사인 현대쇼핑, 현대DSF, 현대홈쇼핑, 현대푸드시스템, 현대드림투어, 호털현대 등에서 수집된 개인정보를 공유하고 있다.
신세계 백화점의 경우, 회원들에게 사전에 동의를 구하지만 주민번호 등 주요한 개인정보를 씨티은행과 삼성카드 등에 제공하고 있다.
롯데백화점의 경우, 회원들의 개인정보를 제휴사에게 제공하거나 또는 제휴사와 공유할 수 있다고 되어 있을 뿐 어떤 제휴사에게 제공-공유하는지는 개인정보 취급방침 속에서 밝히지 않고 있다.
그리고 3대 백화점의 기계적인 '개인정보 취급을 위한 기술적-관리적 대책'은 별반 다르지 않다. 눈에 띄는 것은 현대백화점을 제외한 롯데-신세계백화점의 경우 '관리적 대책'에서 개인정보의 상실-유출-변조-훼손이 내부 관리자의 실수나 기술관리 상의 사고로 인해 유발될 경우 '백화점 측이 즉각 회원들에게 사실을 알리고 적절한 대책과 보상을 강구한다'고 되어 있다. 정말 회원들에게 재빨리 사실을 알리고 적절한 대책과 보상을 강구할지는 미덥지 않다.
그러면서 현대백화점은 개인들에게 개인정보 보호의 의무를 요구하고, 백화점 등 기업들에게는 너무나 관대한 정보통신망법을 열심히 지키라 한다. 개인정보 유출에 대한 책임과 보상 조항을 '관리적 대책'에서 빼먹은 채.
여하간 국내 인터넷 사용자의 20% 수준에 육박하는 유명백화점 개인정보유출사고의 주인공이 어떤 백화점인지 현재까지 알려지지 않았지만, 백화점업계가 그간 무분별 무차별적으로 벌여온 개인정보 수집과 이용을 중단하고 소중한 개인정보를 주인들에게 되돌려 줄지 지켜볼 일이다.
아참 지난해 행정안전부가 만든 민간자율 개인정보보호 실천조직이라는 '개인정보보호 실천협의회'는 뭣들 하고 있는지?? 행안부는 개인정보를 유출한 업체나 기업들에게 제대로 된 처벌-징계는 하고 있는건지?? 인터넷실명제-주민등록번호 때문에 해킹과 개인정보유출 사고가 빈발해 고객-소비자-시민들만 고스란히 알게 모르게 피해를 보는데 뭐하고 있는지??
참 답답한 IT강국(?)이 아닐 수 없다.
덧붙이는 글 | 이기사는 다음뷰에도 송고합니다. 오마이뉴스는 직접 작성한 글에 한해 중복 게재를 허용하고 있습니다.