최근 KT에서 새 스마트폰을 구입한 김수진씨(28·여). “계약서에 적어낸 개인정보가 어디로 가고 어디서 관리하는지 알고 있느냐”고 묻자 “당연히 KT에서 아무도 접근할 수 없도록 엄격하게 관리하는 것 아니겠냐”고 답했다. KT가 가입자 개인정보 일부를 제공하는 `스냅스`와 `유비넥스`라는 기업에 대해 묻자 “모른다”고 했다. 이 업체들은 유클라우드 제휴 서비스 제공·판촉을 위해 정보를 제공받는다.
김 씨의 개인정보는 가입과 동시에 80개가 넘는 다른 기업·기관으로 보내졌다. 개인정보를 KT 대신 관리할 수 있는 권한을 가진 업체는 최다 1800개가 넘는다. 김 씨는 “내 개인정보가 어디로 전송된다는 설명을 제대로 들은 적도 없고, 제공하는 데 동의하지 않아도 휴대폰을 살 수 있다는 설명을 들은 것 같지 않다”고 말했다.
개인정보 유출에 대한 경각심이 높아지면서 방송통신위원회가 올해부터 인터넷 사이트 가입 시 주민등록번호 수집을 단계적으로 금지하는 등의 방안을 내놓고 있다. 하지만 대부분 국민이 사용하는 휴대폰을 구매할 때 이동통신사에 제출하는 개인정보는 적어도 수천개 업체가 제공받거나 관리해 유출 위험에 무방비로 노출돼 있다.
이통사가 수천개에서 많게는 1만 곳이 넘는 업체에 개인정보를 전송하거나 관리를 위임하는 것은 각종 서비스 관리에 따른 필요성 때문이다. 이를테면 보험회사에는 휴대폰 보험 상품 운용을 위해 은행·카드사는 요금납부를 위해 가입자 개인정보를 제공받는다. 이외 영상통화 등 각종 솔루션 기업이나 멤버십 서비스를 제공하는 기업도 개인정보를 받고 있다.
또 가입 신청과 요금 수납을 대행하는 대리점을 비롯해 각종 부가서비스를 제공하는 수많은 기업들이 이통사로부터 가입자 개인정보를 관리할 권한을 위임받는다. 이통사 관계자는 “서비스 제공 시 해당업체에 필요한 개인정보를 제공하는 것”이라고 설명했다.
문제는 개인정보 제공 시 당사자 동의를 받는 시스템이 유명무실하다는 것이다. 가입자가 직접 서명하는 가입신청서나 단말기 할부매매 계약서 등에는 서비스 제공과 본인 식별을 비롯해 요금정산·과금·통계분석·맞춤서비스 제공 등을 위해 개인정보를 수집·제공한다는 동의만 받고 있을 뿐 어떤 기업, 몇 개 업체에 전송되는지 명시하지 않고 있다. 김 씨의처럼 당연히 이통사가 관리하고 있을 거라고 착각하기 쉽다.
관리체계도 허술하다. 개인정보를 제공받거나 관리를 수탁한 업체들은 명목상으로는 이통사 감독을 받지만, 실제로는 관리 책임을 직접 지고 있다. 이통사와 이들 업체 간의 `개인정보 위·수탁 계약서`에는 가장 중요한 책임부담을 수탁 업체에 돌리고 있기 때문이다. 관련 법규 준수와 비밀유지, 위탁기간 종료 시 반납·파기여부는 명시만 돼 있을 뿐, 실제 사후 감독은 거의 없다.
이통사의 개인정보 수탁업체로 지정된 한 중소기업 관계자는 “최고보안책임자(CSO)나 보안조직이 따로 없는 작은 기업에서 무슨 체계적인 관리를 하겠냐”며 “수탁기간 동안 우리가 받은 가입자 정보의 유출 사고가 없도록 최대한 조심하는 게 전부”라고 털어놨다. 이들 중에는 직원 수 10명이 채 안 되는 기업도 부지기수다.
수탁업체 중 대리점은 그나마 나은 형편이다. 대리점에서 비롯된 개인정보 유출 사고가 터지면서 이통사가 가입계약서나 신분증 사본 관리를 강화하는 한편, 파쇄기 등을 꾸준히 보급하고 있다. SK텔레콤 관계자는 “개인정보 관리 소홀이 발견된 대리점에는 엄격한 제재조치를 취한다”고 밝혔다.
더 큰 문제는 법적으로 하자가 없어 광범위한 개인정보 제공·열람에 현재로선 별 다른 제재를 취하기가 쉽지 않다. 한순기 행정안전부 개인정보보호과장은 “당사자 동의와 홈페이지 열람 등의 조치를 취하고 있으면 불법은 아니다”며 “대리점 창구 등에서 가입 시 내용을 자세히 설명하고 소비자가 동의하지 않아도 된다는 점을 적극적으로 알릴 필요가 있다”고 말했다.
휴대폰 가입자 개인정보 제공·수탁관리 업체 현황
내가 낸 개인정보, 누가 왜 보나
황태호기자 thhwang@etnews.com