[현장] "中에 개인정보 다 넘어갔다고?"…알리·테무 조사한 개보위, 이달 중 결과 공개

최장혁 부위원장 "처분 위한 조사 중…SKT '에이닷' 조사 결과도 이달 중 내놔"

(지디넷코리아=장유미 기자)최근 중국 e커머스 업체를 둘러싼 국내 소비자 개인정보 침해·유출 우려가 제기된 가운데 개인정보보호위원회가 이달 말까지 실태 조사를 마무리하고 처분 결과를 내놓을 방침이다.

최장혁 개인정보보호위원회 부위원장은 지난 5일 오후 정부서울청사에서 정례브리핑을 갖고 "(알리, 테무 등에 대한) 조사 결과를 이달 말쯤 내려고 한다"며 "알리, 테무가 외국 법인인데다 특히 테무는 국내에서 영업한 지 얼마 되지 않아 (자료를 받기 위해선) 상대 측의 협조가 필요한 상황"이라고 밝혔다.

또 이번 조사가 단순 실태 조사인지, 처분을 위한 것인지에 대한 질문에 "(처분을 위한) 조사를 하고 있다"고 답변했다.

최장혁 개인정보보호위원회 부위원장이 6월 5일 오후 서울 종로구 정부서울청사에서 개최된 출입기자단 정례브리핑에서 인사말씀을 하고 있다. (사진=개인정보보호위원회)

앞서 알리, 테무 등 중국 이커머스 업체들은 '광고'라고 표기하지 않고 광고성 휴대전화 문자메시지나 앱 푸시, 이메일 등을 보내 논란이 됐다. 명백한 광고성 글이지만 광고라고 안내하는 표시도 없었다. 이에 더해 테무는 앱을 설치·실행할 때 스마트폰 앱 접근 권한 고지도 하지 않아 비판을 받기도 했다.

현재 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(제50조)'과 그 시행령(제61조)에선 전자적 전송매체를 이용해 영리 목적의 광고성 정보를 전송하려면 정보가 시작되는 부분에 '(광고)'라고 표시해야 한다. 이를 어기면 3천만원 이하의 과태료를 부과하도록 규정하고 있다. 

실제 국내 일부 이커머스 업체는 광고 표시 없이 광고성 앱 푸시를 보냈다가 과태료 처분을 받기도 했다. 

유통업계에선 그간 알리나 테무 같은 중국계 e커머스를 이용할 때 개인정보가 중국 현지 판매자에게 넘어가 보이스피싱 등의 범죄에 악용될 수 있다고 우려한 바 있다. 지난해 개인정보위 국정감사에서는 알리 등 중국의 대형쇼핑 사이트를 접속할 경우 국내 이용자의 개인정보가 중국에 넘어갈 가능성이 크다는 문제가 제기되기도 했다.

이후 개인정보위는 지난 2월 이들 직구업체들이 개인정보를 안전하게 관리하는지 알아보기 위한 조사에 착수했다. 현재 개인정보보호법상 개인정보 처리방침, 국외이전, 안전조치의무 등의 적정성에 대해 점검하고 있는 것으로 알려졌다. 개보위 조사 결과 개인정보보호법 위반 여부가 밝혀지면 과징금 부과 등의 조치가 이뤄질 수 있다.

개인정보위는 SK텔레콤의 AI 애플리케이션 '에이닷'을 포함해 주요 AI 서비스에 대한 실태 점검도 이달 중 마무리하고 조사 결과를 공개할 예정이다. '에이닷'은 SK텔레콤이 지난해 10월 내놓은 아이폰 앱에 'A. 전화' 기능을 추가해 통화 내용을 녹음하고 요약할 수 있는 서비스다. 통화 종료 후 자동으로 녹음 파일이 생성되고 텍스트로 제공되며, AI 분석으로 통화 중 언급된 일정이나 전화번호 등 정보도 저장된다.

이 탓에 개인정보 침해 논란에 휩싸여 개인정보위는 실태 조사에 나섰다. '에이닷'의 위법성이 판단되면 시정명령과 과징금 등이 부과될 수 있다. 다만 SK텔레콤은 이용자 약관 동의를 거친 만큼 문제없다는 입장이다.

개인정보보호위원회는 6월 5일 오후 서울 종로구 정부서울청사에서 출입기자단 정례브리핑을 개최했다. (사진=개인정보보호위원회)

최 부위원장은 최근 정부의 마이데이터 확대 정책 움직임에 대한 스타트업들이 반발하는 것에 대해 크게 걱정할 필요가 없다는 의견도 내비쳤다. 일단 개인정보위는 마이데이터를 내년 보건의료, 통신, 유통 분야에 적용하는 등 단계적으로 전 분야에 확대하기 위해 지난 5월 1일 개인정보보호법 시행령 개정안을 입법예고한 뒤 의견을 받고 있다. 

이에 스타트업들은 마이데이터가 확대가 성장에 걸림돌로 작용할 수 있다고 주장하며 반발하고 있다. 마이데이터 제도에 참여하게 될 사업자들이 정보를 주고 받으려면 별도의 서버 등 운영비를 부담해야 하는데 지불능력이 적은 스타트업들이 감당하기 어렵다는 이유에서다.

시행령 개정안에 따르면 연간 매출액이 1천500억원 이상이거나 정보주체 수가 100만 명 이상인 통신판매업체, 통신판매중개업체에 마이데이터가 적용된다.

최 부위원장은 "스타트업들이 (이 부분에 대해) 반발할 필요가 없다고 본다"며 "주로 개인정보가 큰 플랫폼에서 수집되는데, 이들은 데이터를 영업 비밀로 생각해 잘 내놓지 않는다"고 말했다. 

이어 "스타트업은 (큰 기업들의) 데이터가 나와야 쓸 수 있는데 (아직 쉽지 않을 것)"이라며 "마이 데이터로 부가가치가 창출되면 분배의 대상이 될 것이라고 보고 있어 기업들이 굳이 부정적으로 볼 필요는 없을 듯 하다"고 덧붙였다.

최 부위원장은 가명정보 제도가 활성화 되지 못하고 있는 부분에 대해선 아쉬움을 드러냈다. 가명정보는 개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 방법으로 추가 정보 없이는 특정 개인을 알 수 없도록 처리한 정보다. 개인정보의 보안성을 높이면서 활용 가치를 극대화할 수 있지만 그동안 가명정보 제도와 정부 지원사업에 관한 인식 부족으로 산업 현장에서 활용도가 떨어졌다.

최 부위원장은 "상황에 따라 가명 처리 수준이 다르고, 데이터 종류가 많아 일정하게 수준을 유지하기 어렵다"며 "가명정보는 개인정보가 아니기 때문에 상업적 거래도 가능한데, (가명정보 활용 활성화를 위해) 추후 재식별되더라도 제공한 측에서 책임을 지지 않도록 최근 가이드라인을 개정했다"고 말했다.

최근 일본 정부가 네이버-라인야후 사태와 관련해 네이버클라우드 개인정보 유출 조사 협조 요청을 한 건에 대해선 크게 의미를 부여하지 않았다. 공식 서한 등이 아닌 실무진 간 이메일 형태로 문의했다는 점에서다. 

앞서 고학수 개인정보보호위원회 위원장은 지난달 14일 정부서울청사에서 열린 기자간담회에서 "(이메일을 통한 일본의 질문은) '한국의 개인정보위가 네이버 클라우드에 대한 조사를 진행한 적이 있는지', '일본 개인정보위가 요청한다면 한국 개인정보위가 이를 어떻게 받아들일 것인가'에 대한 것"이라며 "이번 경우는 굉장히 이례적이라는 인상을 받았다"고 말했다.

하지만 최 부위원장은 "(일본의 이메일에 대해) 굳이 답변해야 할 의무가 없는 것 같다"며 "한일관계가 다소 복잡한 상황에서 추가로 움직이는 게 꼭 필요한 지 의문"이라고 밝혔다.

장유미 기자(sweet@zdnet.co.kr)