최근 카카오페이가 과거 6년간 5억4000만건에 달하는 국내 고객 정보를 알리페이에 제공했다는 사실이 밝혀져 논란이 일고 있다. 카카오페이는 정상적인 위수탁 방식이란 입장이지만, 감독기관은 개인정보보호법과 신용정보법 위반 여부를 검토 중이다. 이번 사태는 단순한 기업 과실 여부를 넘어, 디지털 시대 개인정보 보호와 해외 서비스 이용 간 균형 문제를 제기한다.
주요 쟁점은 크게 세 가지다. 첫째, 업무 위수탁 관계에 대한 정보 제공의 법적 성격이다. 위수탁이라면 고객 동의가 불필요하지만, 제3자 제공이라면 명시적 동의가 필요하다. 또 개인 정보의 국외 이전시 고객 동의를 받아야 한다는 점도 주요 쟁점이다. 둘째, 제공된 정보 범위의 적정성 여부다. 제공 정보를 보면 해외결제 서비스의 미이용 고객 정보 및 전화번호, 이메일 주소 외에 거래내역 관련 정보가 포함됐다. 과도한 정보 제공에 대한 필요성 검증과 동시에 유출이나 악용의 여지없이 안전하게 암호화가 이뤄졌는지도 집중해서 볼 대목이다. 셋째, 중국 기업에 대한 정보 제공이 안보에 미칠 수 있는 영향에 대한 우려다. 중국의 국가정보법에 따라 국내 개인 정보가 중국 정부에 제공될 가능성도 배제할 수 없기 때문이다.
이들 쟁점을 두고 입장 차이에 대한 논쟁은 계속될 것으로 보인다. 다만 일련의 공방을 차치하더라도 이 사태는 개인정보의 경제적 가치와 보호의 중요성을 재확인시켜준다. 개인정보는 디지털 경제의 핵심 자산이며 동시에 개인의 기본권이다. 세계적으로 개인정보 보호 규제가 강화되는 추세에서 국내 기업도 더욱 엄격한 기준과 책임감을 가져야 한다.
한편 해외 서비스 이용의 측면에서 짚어볼 부분도 있다. 역외 간 서비스 제공이 일상화된 현재, 국가 간 데이터 이전은 불가피하다. EU는 적정성 결정제도를 통해 EU와 동등한 수준의 개인정보 보호 체계를 갖춘 국가에 한해 정보 이전을 허용한다. 한국은 2021년 EU로부터 적정성 결정을 받아 EU 국가의 개인정보를 활용할 수 있다. 또 미국의 'Privacy Shield'는 미국과 EU간 개인정보 이전을 위해 기업이 일정 수준의 보호 기준을 준수하도록 요구한 바 있다. 비록 EU의 법원 판결로 무효가 됐지만 이런 사례를 참고해 국내도 개인정보의 국외 이전에 대한 명확한 가이드라인이 필요하다. 특정 국가나 기업에 대한 개인정보 이전 시 보안 준수 기준을 명확히 하고 정기적으로 검증 체계를 구축하는 것이다.
기업의 투명성과 책임 강화도 시급하다. 이용약관 동의만으로는 충분치 않다. 개인정보 처리에 대해 이용자가 쉽게 이해하고 실질적으로 동의할 수 있는 방식이 필요하다. 주요 정보에 대한 별도 동의 절차를 강화하거나 실시간 확인이 가능한 정보 제공 화면을 보여주는 식이다. 정보 유출이나 부적절한 사용에 대한 책임을 명확히 하고 위반시 강력한 제재를 위한 장치는 두말할 필요도 없다.
정책당국의 역할도 재정립돼야 한다. 감독기관의 유사 사례 전반에 대한 점검은 바람직하나, 단순 처벌을 넘어서야 한다. 혁신을 저해하지 않으면서 개인정보를 효과적으로 보호할 수 있는 균형 잡힌 메커니즘이 요구된다. 이를 위해 개인정보 영향평가 제도와 기업의 자율규제 인증 제도를 보완, 강화하여 실효성을 높일 필요가 있다.
디지털 가속화 시대에 유사한 사례는 언제든지 발생할 수 있다. 재발을 막기 위해선 이해관계자 모두가 합리적 해결을 위해 노력해야 한다. 기업은 더 높은 수준의 투명성과 책임감을, 정부는 균형 잡힌 규제와 국제 협력을, 소비자는 자신의 권리에 대한 인식을 높여야 한다. 이를 통해 개인의 권리를 보호하면서도 혁신을 촉진하는 건강한 디지털 생태계 조성에 교훈이 되길 바란다.
송민택 공학박사 pascal@apthefin.com