개인정보보호위원회가 최근 개인정보보호법 위반으로 7개 사업자에 과태료를 부과한 것과 관련 업계 반발이 일고 있다. 업계는 오픈마켓 판매자를 '개인정보취급자'로 판단한 것이 과도하다는 입장이다. 개인정보위는 안전한 인증 수단 적용은 오픈마켓 사업자 의무라고 강조한다.
개인정보위는 지난달 △쿠팡 △네이버 △11번가 △이베이코리아(G마켓, 옥션, G9) △인터파크 △티몬 △롯데쇼핑 등 7개 사업자 9개 오픈마켓을 대상으로 총 5220만원 과태료를 부과하고 시정명령을 내렸다.
판매자 계정 도용으로 인한 사기 피해가 늘어나는 가운데 오픈마켓 사업자가 이를 예방하기 위한 추가 인증(이중 인증)에 소홀했다고 봤다.
개인정보위는 지난해 9월 쿠팡을 대상으로 오픈마켓 사기 거래 조사에 착수한 뒤 지난 1월에는 생활밀착분야 점검 일환으로 일평균 방문자 1만명 이상인 11개 오픈마켓으로 조사 대상을 확대했다. 조사 결과 9개 오픈마켓 사업자가 안정성 확보 조치를 위반했다고 보고 과태료 등 제재 처분했다.
개인정보위는 오픈마켓 사업자가 자사 시스템에 접속하는 판매자에게 이중 인증을 적용하지 않은 것은 안전성 확보 조치를 위반한 것으로 봤다. 오픈마켓 판매자를 개인정보취급자로 판단한 데 따른 것이다.
업계는 이 같은 해석이 지나치다고 본다. 수십만에서 수백만에 달하는 오픈마켓 판매자를 개인정보취급자로 관리하는 것은 현실적으로 불가능하다는 것이다.
개인정보보호법은 정보통신서비스제공자가 개인정보취급자에게 이중 인증을 적용하는 것뿐만 아니라 PC 망분리, 기타 보안 조치, 접속 시간 제한, 정기 감독 등 의무를 부여했다. 업계는 개인정보위가 이 가운데 이중 인증만을 의무로 규정하고 과태료를 부과한 것은 자의적인 해석이라고 주장한다.
오픈마켓 관계자는 “과태료 부과 근거가 개인정보보호법이나 시행령, 고시에 존재하지 않고 해설서에 언급된 것이 전부”라면서 “법적 근거 없이 오픈마켓 사업자를 위법하다고 규정한 것은 이해하기 어렵다”고 말했다.
이 관계자는 “이중 인증의 중요성을 부인하는 사업자는 없다”면서 “오픈마켓 판매자는 현행 법에서 개인정보취급자가 아닌데도 법을 과도하게 해석, 과태료까지 부과한 점이 아쉽다”고 덧붙였다.
개인정보위는 안전한 인증 수단 적용은 오픈마켓 판매자가 아닌 운영 주체가 할 수 있는 일인 만큼 합당한 규제라고 설명했다.
개인정보위 관계자는 “해설서는 입법자의 의도와 법을 집행하는 행정청의 의도를 명확히 설명하는 자료이므로 법령에서 기준으로 활용할 수 있다”면서 “오픈마켓 판매자를 개인정보취급자로 본다는 건 2017년 12월부터 해설서에 명시된 내용”이라고 강조했다.
이용자 보호 목적을 감안하면 오픈마켓 사업자에 과도한 부담이 아니라는 점도 지적했다. 현재 카카오커머스와 위메프, 홈플러스는 오픈마켓 판매자에 대한 이중 인증을 적용하고 있다.
개인정보위 관계자는 “이번 제재는 사기 거래 방지가 목적”이라면서 “오픈마켓 판매자는 해당 시스템을 이용하는 이용자로도 볼 수 있다. 개별 판매자가 아닌 시스템 운영 주체인 오픈마켓 판매자가 이중 인증을 적용하는 것이 맞다”고 말했다.
개인정보위는 개인정보취급자 추가 의무와 관련해서는 조만간 업계와 간담회를 갖고 의견차를 좁혀갈 방침이다.
개인정보위는 관계자는 “간담회를 통해 개인정보취급자에게 주어진 전체 의무에 관한 의견차를 좁혀갈 예정”이라고 전했다.
오다인기자 ohdain@etnews.com