국민일보

지난달 10일이었다. 출근해 메신저를 켜자 노트북 화면에 팝업 광고가 떴다. '딩동∼, ○○카드 신규 고객을 위한 이벤트입니다.'

전날 신용카드를 새로 발급받아 전화로 고객등록을 했었다. 메신저 업체는 그걸 어떻게 알았을까. 소름이 돋았다.

"카드회사에서 신규 고객 정보를 주나요?"(기자)

"네? 그쪽에서 저희한테 그런 걸 왜 주겠습니까."(메신저 회사)

하지만 의구심은 가라앉지 않았다. 내 개인정보는 어디로, 어떻게 흘러 다니는 걸까.

개인정보 흐름을 추적하는 여정의 출발지는 약관이다. 약관은 고객 정보를 어떤 목적으로, 어느 회사에 제공하는지 명시하고 있다. 이번 조사의 동반자는 다음과 같다.

①정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 2항 2호: '이용자는 정보통신서비스 제공자에게 자신의 개인정보를 이용하거나 제3자에게 제공한 현황을 알려 달라고 요구할 수 있다.'

②신용정보의 이용 및 보호에 관한 법률 제35조: '본인의 신용정보를 제공받은 자, 이용 목적, 제공한 날짜 등을 조회할 수 있도록 해 달라고 신용정보회사 등에 요구할 수 있다.'

①을 적용받는 업체는 유·무선 통신사, 초고속인터넷업체, 포털사이트를 포함한 정보통신사업자 등이다. 은행 보험사 증권사 등 금융사는 ②에 해당한다. 전수조사를 시작했다. 회원이었거나 회원으로 가입돼 있는 곳 중 기억나는 업체 21개를 추렸다.

개인정보 수집은 편하게, 공개는 힘들게

각 업체의 개인정보 관리담당자에게 전화를 걸고 이메일을 보냈다. 업체들은 당황했다. "개인정보 제3자 제공 현황과 이용 내역을 알고 싶다"고 반복해 말해도 알아듣는 회사는 거의 없었다.

첫 대상은 포털사이트 네이버. 개인정보 관리담당자의 직통 전화번호를 알 수 없어 고객센터에 전화를 걸었다(보통 업체 홈페이지 하단 '개인정보 취급방침' 안내문에 개인정보 관리책임자 또는 담당자의 직통번호가 공개돼 있지만 네이버는 그렇지 않았다).

고객센터 상담원에게선 "저희는 수사기관이 아니면 고객 개인정보를 제공하지 않습니다"란 답변이 돌아왔다. 네이버의 개인정보 취급방침 안내문에 있는 '3. 개인정보 공유 및 제공'을 클릭하니 NHN 비즈니스플랫폼㈜, 네오머니㈜, 포도재무설계㈜ 등에 고객 개인정보를 제공한다고 돼 있다. 물론 고객의 사전 동의를 전제로 한다. 취급방침 안내 문구를 얘기하자 상담원은 "알아보고 전화 드리겠다"며 전화를 끊었다.

포털사이트 다음도 상황은 비슷했다. 담당자 직통 전화번호가 안내되지 않았고, 요구사항을 이해하지 못했다. 역시 "알아보고 전화 드리겠다"는 답이 왔다.

삼성카드는 '제3자'에 대한 새로운 해석을 제시했다. 회사 측은 "제휴사는 제3자로 보지 않는다"며 "제3자에게 고객님 정보를 제공한 일이 없다"고 알려왔다. 방송통신위원회에 따르면 모자(母子)회사, 그룹 계열사, 프랜차이즈 조직의 본부와 가맹점 관계도 모두 제3자에 해당한다. 제휴사는 당연히 제3자다.

끝까지 답이 없는 회사도 있었다. SK텔레콤 개인정보 담당자에게 지난달 19일과 25일 두 차례 이메일(privacy@sktelecom.com)을 보냈다. 지난달 18일과 30일에는 고객센터에 전화도 걸었다. "알아보고 최대한 빨리 전화 드리겠다"는 답변(11월 30일 오후 3시13분)이 마지막이었다.

정보통신망법은 "고객이 개인정보 제공 현황 열람을 원할 경우 개인정보 수집 때보다 더 쉽게 열어볼 수 있도록 해야 한다"고 규정하고 있다. 실제로 몇몇 회사는 홈페이지 로그인만으로 개인정보 제공 현황을 볼 수 있게 해두고 있었다.

3주 만에 답변을 받았지만

3주에 걸쳐 21개 업체 중 SK텔레콤을 제외한 20곳에서 답변을 받았다. 14곳은 '누구에게도 개인정보를 제공하지 않았다'고 했고, 6곳만 개인정보 제공 및 이용 내역을 보내왔다.

인터파크는 2008년 7월 24일 내 개인정보를 미래에셋생명에 보험 마케팅용으로 제공했다. 7월 21일 내 동의를 받았다고 돼 있다. 기억나지 않아 다시 물었다. "2008년 7월 21일 ㈜인터파크INT로 합병하면서 기존 회원들에게 약관 재동의를 받았다. 당시 약관을 보면 미래에셋생명에 개인정보를 제공한다고 표기돼 있다"는 답변이 왔다.

인터파크 관계사에도 내 개인정보는 퍼져 있었다. ㈜인터파크(2004년 1월 19일 동의·제공), ㈜인터파크 투어(2008년 9월 11일 동의·제공), ㈜인터파크CS(2004년 1월 19일 동의·제공), ㈜인터파크 로지스틱스(2004년 1월 19일 동의·제공) 등이다.

옥션은 지난해 12월 21일 ㈜인스밸리에 내 옥션 ID와 이름, 주민등록번호, 주소, 휴대전화번호, 집 전화번호, 이메일 등을 제공했다. 물론 내가 '동의했다'고 밝혀왔다.

신한카드는 지난 9월 16일 ㈜GS홈쇼핑, ㈜GS리테일, GS넥스테이션㈜, GS칼텍스㈜에 나의 신용정보를 제공했다. 텔레마케팅을 위해서였다. 이것 역시 내가 '동의했다'고 한다.

동의했다고 하는데 기억은 없다

업체들이 한결같이 내세우는 논리는 '당신 동의를 받았다'였다. 왜 나는 기억이 나지 않는 걸까. 설명은 들었던 걸까. 동의만 받으면 모두 합법일까. 무수한 의문이 해결되지 않은 채 남았다. 방송통신위원회와 한국인터넷진흥원에 문의해 얻은 답은 이렇다.

고객이 서비스를 신청할 때 업체는 약관과 계약서를 통해 많은 '동의'를 요구한다. 동의 항목은 고객이 반드시 동의해야만 물리적으로 서비스 제공이 가능한 '필수동의'와 마케팅 목적 등 업체가 필요해 동의를 부탁하는 '선택동의'로 나뉜다.

A업체가 애프터서비스 업무를 B업체에 위탁한 상태라면 고객에게 '당신 정보를 B업체에 제공해야 하니 우리 서비스를 원하면 반드시 동의하라'고 요구할 수 있다. 그러나 텔레마케팅 영업을 위한 동의는 고객이 선택할 수 있어야 한다.

SK브로드밴드의 경우 무성, 브로드밴드TS, 편한세상, ㈜라이브코어, 브로드밴드CS 등 5개 회사에 내 개인정보를 제공했다. 이 중 '필수동의'에 해당하는 이유로 제공된 것은 고객 상담업무를 위탁받은 브로드밴드CS와 브로드밴드TS 등 2곳뿐이다.

편한세상, 무성, ㈜라이브코어는 SK브로드밴드의 부가서비스 유치 업무를 대행하는 회사다. 동의하지 않아도 되는 사안인데 나는 왜 동의했을까. 집에 온 SK브로드밴드 설치기사가 사인하라고 일러준 칸에 모두 사인한 기억만 난다.

SK브로드밴드는 그래도 사정이 나은 편이다. 계약서에 선택동의 항목을 필수동의 항목과 분명히 구분해 놓았다. 많은 회사들은 필수동의 항목에 선택동의 항목을 슬쩍 끼워 넣고 있다.

필수동의 항목에 슬쩍

가입신청서 필수동의 항목에 선택동의 내용이 포함된 회사는 얼마나 될까. 21개 업체 중 금융 관련 회사를 제외한 12개 가입신청서를 조사했다. 5개 업체에서 문제점이 발견됐다.

SK텔레콤은 '계약의 이행을 위한 개인정보 취급위탁 및 통신서비스 이용자 공동관리를 위한 개인정보 제공'이라는 필수동의 항목에 '부가서비스 가입 유치, 계열사·협력사·제휴사의 전기통신·방송·부가·금융서비스 등의 가입 권유'란 문구를 포함시켜 놓았다. 선택동의 사안이다. SK텔레콤은 "고객센터 임무를 명기한 것일 뿐이다. 동의하지 않은 고객 정보는 마케팅에 활용하지 않는다. 오해 소지가 있으면 고치겠다"고 했다.

KT도 필수동의 항목에 '고객 혜택 이벤트 정보 안내 등의 마케팅 활동'이란 내용이 있었다. KT는 "표기가 잘못된 것이다. 고치겠다"고 말했다. LG텔레콤 역시 '온라인 이벤트 마케팅'이 필수동의 항목에 있었다. "개선작업을 진행 중"이라고 밝혔다.

인터파크는 고객이 반드시 동의해야 하는 '개인정보활용동의서'에 '현대카드TM대행'이란 이용 목적이 명시돼 있었다. 현대카드를 위한 텔레마케팅에 개인정보를 활용하겠다는 의미다. 고객이 선택할 수 있어야 하는 항목이다. 인터파크 측은 "추가로 텔레마케팅에 동의하지 않은 고객에겐 전화를 하지 않는다. 오해 소지가 있다면 삭제하겠다"고 했다.

윤철한 경제정의실천시민연합 부장은 "개인정보 마케팅 활용에 대해 사실상 강제로 동의를 받아가는 셈"이라고 지적했다. 이런 행태는 불법이지만 명시적 처벌조항이 없다. 방통위는 처벌 조항이 담긴 정보통신망법 개정안을 국회에 제출한 상태다.

내 개인정보, 어떻게 지킬까

회원가입 또는 계약 때 개인정보 관련 부분을 잘 살펴야 한다. 선택적으로 동의하도록 된 항목은 가급적 동의하지 않는 게 좋다. '개인정보 제3자 제공' 항목은 100% 선택동의 사안이다.

문제는 '개인정보 취급위탁' 항목이다. 동의하지 않으면 서비스를 제대로 이용할 수 없다고 말하는 경우가 많다. 이런 경우에도 마케팅, 부가서비스 소개, 가입 유치 등의 내용이 포함돼 있는지 꼼꼼히 살펴야 한다.

이미 가입돼 있거나 계약을 체결한 뒤에도 개인정보 제공 내역 열람을 요청하고 사안에 따라 철회를 요구할 수 있다. 각 업체 홈페이지 '개인정보 취급방침'을 살펴보면 개인정보 관리책임자와 담당자의 연락처가 있다. '이용자는 정보통신서비스 제공자 등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다'(정보통신망법 제30조 1항). 업체가 이에 응하지 않으면 3000만원 이하의 과태료가 부과된다.

김원철 기자 wonchul@kmib.co.kr

<goodnewspaper ⓒ 국민일보. 무단전재 및 재배포금지>