중국 선전시에 자리한 중국 정보기술(IT) 기업 텐센트 본사 전경. 연합뉴스
“개인정보 민원은 해외 본사에 직접 문의하시기 바랍니다.”
지난 5월 국외 본사를 둔 ㄱ업체 누리집에서 자신의 회원 계정이 삭제된 것을 문의하려던 ㄴ씨는 자동응답시스템(ARS) 전화로 이런 음성 답변만 들을 수밖에 없었다. ㄱ업체처럼 국외에 본사를 둔 글로벌 사업자는 현행법상 개인정보 처리와 관련한 민원 대응을 맡는 ‘국내 대리인’을 지정해 피해구제 등을 지원해야 하지만, 실상은 부실하다.
개인정보보호위원회는 지난 11일 전체회의를 열고 텐센트클라우드·힐튼·하얏트 등 국내 대리인 지정 의무를 이행하지 않은 국외 사업자 3곳에 대해 시정조치와 개선권고를 의결했다고 12일 밝혔다. 지난 5~7월 개인정보보호위가 국외 사업자들을 대상으로 국내 대리인 운영 실태를 점검한 결과, 이들 업체는 이름·주소·전화번호 등 국내 대리인에 관한 사항들을 개인정보 처리 방침에 포함하지 않거나 실행하지 않고 있었다. 국내 대리인 지정 제도는 국내에 영업소를 두지 않은 국외 사업자가 유효한 연락 수단과 영업소를 둔 국내 대리인을 지정하도록 하는 제도다. 2019년에 도입됐다.
아마존웹서비스(AWS), 링크드인, 마이크로소프트(MS), 나이키, 호텔스컴바인, 페이팔 등 국외 사업자 12곳도 개선권고를 받았다. 이들 사업자는 국내에 법인·법무법인·별도법인 등 3가지 형태로 대리인을 지정해두고 있지만, 소비자들의 민원 제기 전화에 제대로 대응하지 않았기 때문이다. 구체적으로 자동응답시스템(ARS)을 통해 이메일 주소만 고지하거나 본사에 직접 민원 제출을 안내하는 등 부실하게 운영됐다. 실태 점검을 담당한 김기환 개인정보보호위 조사관은 한겨레에 “법무법인을 국내 대리인으로 지정해 둔 경우, 개인정보 민원에 ‘법률 상담만 가능하니 해외 본사에 알아서 문의하라’는 식으로 대응하거나, 공개된 국내 대리인 전화번호로 전화했는데 결번인 경우도 있었다”고 말했다.
개인정보보호위는 “정기·수시적 실태점검을 지속 실시해 국내 대리인 제도가 실질적으로 운영되도록 유도해나감으로써 우리 국민의 개인정보 관련 권리 보장이 강화되도록 하는 한편, 제도적 개선을 위한 입법 지원 활동도 함께해나갈 계획”이라고 밝혔다.
고학수 개인정보보호위원회 위원장이 12일 오후 취임 1주년을 맞이해 열린 기자간담회에서 지난 1년 간의 추진 성과와 소회를 말하고 있다. 연합뉴스
한편 개인정보보호위는 경북대 컴퓨터 보안 관련 동아리에 소속된 학생 2명이 해킹을 통해 경북대와 경북대 총동창회 등 2개 대학과 4개 단체 구성원의 개인정보 81만여건을 빼간 사실을 확인하고 1억2080만원 상당의 과태료·과징금 처분을 유출된 학교와 단체에 한 것도 공개했다. 이들 학생은 지난 2021년 경북대의 학교시스템의 보안 취약점을 악용해 여러 시스템에 무단 접속해 정보를 빼간 뒤, 이후엔 유사한 방법으로 경북대 총동창회·대구가톨릭대·구미대·숙명여대·대구한의대 구성원의 정보도 해킹했다. 이들이 빼간 정보는 모두 81만건으로 이름·학번·연락처는 물론 대표적인 민감 정보인 주민등록번호 2만여건도 포함돼 있다. 개인정보보호위는 “개인정보보호법 개정(9월) 뒤에는 주민등록번호가 아닌 개인정보가 유출돼도 과징금이 부과된다”며 “내부자의 해킹 시도에 대한 각별한 주의가 필요하다”고 밝혔다.
박지영 기자
jyp@hani.co.kr