7월 중순 직장인 이혜미(35) 씨는 출근 후 e메일을 확인하다 깜짝 놀랐다. 평소보다 3배가량 많은 양의 e메일이 쌓여 있었던 것. 발신인은 백화점과 대형마트 같은 유통업체부터 항공사, 여행사, 보험사 등 여행업계와 금융업계까지 다양했다. 그러나 e메일 제목은 ‘1년 이상 장기 미이용 계정 관련 안내’로 대동소이했다.
무슨 일인가 싶어 e메일을 열어보니 2014년 11월 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령에 따라 1년 이상 로그인을 하지 않은 고객의 계정과 회원정보를 시행일인 8월 18일부터 자동 파기한다는 내용이었다. 기업들은 기간 만료 30일 전까지 이용자에게 이 같은 사실을 알려야 한다는 시행령에 따라 단체 e메일을 보낸 것이다.
이씨는 이러한 조치에 반색했다. 그는 “마침 이용하지 않는 인터넷 사이트의 경우 개인정보를 없애줬으면 했는데 손 안 대고 코 풀게 됐다. 이번에 받은 e메일을 보니 언제 가입했는지 기억나지 않는 곳도 많았다. 과거 신용카드사들의 개인정보 해킹 사태와 홈플러스의 개인정보 유출 범죄 같은 뉴스를 접할 때마다 찜찜했는데 8월부터 일괄 파기된다니 마음이 놓인다”고 말했다.
최근 이씨처럼 기업들로부터 파기 고지 e메일을 받은 이가 많다. 모두 1년 이상 해당 홈페이지에 접속하지 않은 고객들이다. 각종 소셜네트워크서비스(SNS)에는 이를 두고 ‘이렇게 많은 사이트에 가입했는지 몰랐다’ ‘적립금 확인하려고 로그인을 하려는데 비밀번호가 생각 안 난다’ ‘자동으로 개인정보 없애준다고 하니 좋네’ 등 다양한 반응이 쏟아졌다.
파기 아닌 별도 보관하는 기업들
정보통신망법 제29조(개인정보의 파기) 2항에 따르면 ‘정보통신서비스 제공자 등은 정보통신서비스를 대통령령으로 정하는 기간 동안 이용하지 않는 이용자의 개인정보를 보호하기 위해 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취해야 한다’고 명시돼 있다. 여기서 ‘대통령령으로 정하는 기간’은 시행령 제16조 1항에 따라 1년을 가리키며, 지난해 개정돼 올해 8월부터 적용된다.
그러나 일부 기업은 휴면계정의 개인정보를 파기하는 것이 아니라, ‘별도 보관’ 혹은 ‘분리 보관’한다고 고지했다. 실제로 기자가 받은 관련 e메일 10개 가운데 삼성생명, 풀무원 등 3개 업체는 ‘개인정보 삭제 및 자동탈퇴 처리 예정’이라고 했지만 나머지 신세계백화점, 대한항공, 갤러리아몰, 해피포인트 등 7개 업체는 ‘개인정보를 별도로 분리해 저장 혹은 관리할 예정’이라고 알렸다.
이는 정보통신망법 시행령 제16조 2항에서 ‘이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리해야 한다’는 법령에 따른 것이다. 즉 기업들은 자사 홈페이지에 가입한 고객들의 개인정보를 파기하거나 별도 보관하는 방법을 택할 수 있는데, 대부분 기업이 후자를 택했다. 빅데이터 시대 고객정보는 곧 돈이기 때문이다.
그렇다면 기업들은 얼마나 안전하게 별도 보관할 계획을 갖고 있을까. 홍성민 신세계백화점 홍보팀 파트너는 “따로 서버를 만들어 보관하는 형태는 아니지만 내부적으로 직원들이 휴면계정 고객정보를 검색할 수 없고, 검색되지도 않으며, 어떠한 접근도 할 수 없는 형식으로 분리해 보관할 예정이다. 다만 계정을 다시 활성화하고자 하는 고객의 요청이 있을 때는 살릴 수 있다”고 설명했다.
민경모 대한항공 홍보실 차장은 “1년 이상 미이용 고객의 개인정보는 별도 서버에 보관할 예정이며 유지 기간에 대해서는 현재 검토 중”이라고 말했다. 고객들이 개인정보 유출을 꺼리는 데 대해서는 “개인정보는 암호화돼 저장되는 만큼 유출 시 해독 불가능하다. 현재 고객의 개인정보는 허가된 자만 접근할 수 있고, 접근할 경우 이력이 기록되도록 관리하고 있다. 또 서버 보안 강화 차원에서 외부 모의해킹업체를 통해 개인정보 보호 상태를 검증하는 작업도 하고 있다”고 강조했다. 적립된 스카이패스 마일리지에 대해서는 “유효기간 내 소멸되지 않으며 홈페이지의 개인정보가 별도 보관돼도 오프라인에서 적립, 사용하는 데 영향이 없다”고 설명했다.
김수민 갤러리아몰 커뮤니케이션팀 사원은 “마지막 로그인 후 1년이 지난 회원은 자동 탈퇴 처리 후 개인정보가 모두 삭제되고, 8월 18일 24시가 넘어가면 회원 개인정보는 내부 데이터베이스에 남지 않는다. 다만 예치금, 전환금 등이 남은 고객의 경우에만 향후 5년간 별도로 데이터를 안전하게 분리 보관할 계획”이라고 말했다.
안전하게 별도 보관? 유출 위험 똑같아
정부가 기업들의 휴면계정 유지 기간을 3년에서 1년으로 단축한 데는 이유가 있다. 그동안 기업들이 각종 방식으로 수집한 개인정보를 신경 써 관리하지 않으면서 사고가 잇따랐기 때문. 지난해 상반기에는 신용카드사의 개인정보 유출 사고가 발생했고, 2월에는 홈플러스가 경품행사 등을 통해 입수한 2400만여 건의 고객 개인정보를 약 231억 원을 받고 보험사에 팔아넘긴 사건이 발생했다. 이 같은 개인정보 유출 사고가 지속적으로 발생하자 정부가 방지 차원에서 기업의 개인정보 보유 기간을 줄이도록 한 것이다.
왜 정부는 개인정보를 일괄 파기하도록 조치하지 않고 별도 보관할 수 있게 해 개인정보 유출 여지를 남긴 것일까. 행정자치부 관계자는 “은행, 보험사 같은 금융회사들은 이용자의 금융거래정보 등 이력을 좀 더 보관해야지만 다른 관계를 입증할 수 있는 부분이 있다고 한다. 그런데 휴면계정을 특별한 조치 없이 그대로 두면 유출 위험이 있으니, 파기하지 않는 대신 별도 보관을 지시한 것이다. 또 법령에도 나와 있듯, 신용정보의 이용 및 보호에 관한 법률(신용정보법)과 전자금융거래법은 정보통신망법에 우선해 적용되는 부분이기 때문에 별도 보관이 허용된다”고 설명했다.
정보통신망법 시행령 제16조 1항에는 ‘다른 법령에서 별도의 기간을 정하고 있는 경우 해당 법령에서 정한 기간에 따른다’고 명시돼 있다. 전자금융거래법에는 ‘금융거래가 있는 이용자의 경우 5년간 개인정보를 보유할 수 있다’고 명시돼 있어 일부 기업이 이를 따르고 있다.
하지만 이용자들은 기업의 별도 보관을 반기지 않는다. 유출 사고에 대한 우려 때문이다. 이에 대해 이 사무관은 “기업들이 제대로 안전성 조치를 이행하지 않아 개인정보 유출 사고가 발생하면 그에 따른 과태료가 부과되고, 직원의 범죄 행위로 개인정보가 유출됐다면 형사법에 따라 직원과 기업 모두 책임을 져야 한다”고 말했다.
그러나 이는 사후약방문일 뿐이다. 이용자 처지에선 기업이 개인정보를 갖고 있지 않는 편이 더 안심이 된다. 신종홍 숭실사이버대 융합정보보안학과 교수는 “기업들이 개인정보를 별도 보관해 보안 강화 조치를 취한다지만 해커의 공격이 점점 더 지능화하고, 몇 개월 이상 시도한 끝에 회사 내부망에 침입하는 사례도 많다. 이런 경우에는 별도 보관이 의미가 없다. 다시 들어가지 않을 사이트라면 이번 기회에 스스로 탈퇴하는 것이 개인정보 유출의 위험에서 벗어나는 유일한 방법일 것”이라고 조언했다.
