유통가 '개인정보유출' 빨간불…보안 관리·감독 취약

(서울=뉴스1) 김명신 기자 = 국내외 패션, 식품업체 등 개인정보유출 사태가 확산하면서 '제2 파파존스'를 우려하는 목소리가 높아지고 있다.

유통 업체들이 배달 애플리케이션(앱) 수수료 갈등에 따른 자사 홈페이지나 모바일 앱을 통한 고객 확보에 주력하고 있는 만큼 다수 채널에 가입한 소비자를 중심으로 추가 유출 피해도 우려된다.

개인정보보호위원회는 식음료 업체를 중심으로 실태 점검을 확대한다는 방침이다.

2일 업계에 따르면 개인정보위와 한국인터넷진흥원(KISA)은 피자 프랜차이즈 한국파파존스와 샌드위치 프랜차이즈 써브웨이를 비롯해 크리스찬 디올 꾸뛰르 코리아, 아디다스 코리아, 티파니 코리아, 머스트잇 등 개인정보유출 정황에 대한 조사를 진행하고 있다.

개인정보위와 KISA는 개인정보보호법 상 정보 주체의 동의 여부나 관리 감독, 파기 등 위반 여부에 주목하고 있다. 그중에서도 안전조치의무 위반(제29조)을 집중적으로 들여다보고 있다.

개인정보위 측은 "로그인 단계부터 암호 장치, 주기적 점검 등 안전조치의무 위반 등을 조사 중으로, 신고·통지·파기의무 등 위반의 경중에 따른 제재(과징금, 과태료 등) 수위가 결정될 것"이라고 말했다.

한국파파존스의 경우 최근까지 자사 홈페이지와 앱 주문 활성화에 집중하면서 개인정보유출 피해가 더욱 컸다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)에 따르면 총 3730만 건(6월 기준)의 고객 정보가 노출됐다.

한국파파존스의 최초 신고는 제보 형태로, 개인정보보호법 상 신고 유형 중 '침해'(정보 주체자가 개인인 경우)로 접수됐지만 이후 유출 정황이 제기돼 '유출'(기업) 조사로 전환됐다.

KISA 측은 "최초 '침해' 신고 검토 단계에서 유출 이슈가 있어 전환됐으며 현재 기술적인 검토 중"이라면서 "법령상 기준에 따른 실제 유출이 있었는지, 의무 위반과 기간 등을 들여다보고 있다"고 전했다.

개인정보위는 유통 업체들이 자사 플랫폼을 중심으로 모객 확보에 나서고 있는 것과 관련해 식음료 업계를 중심으로 실태 점검을 확대한다는 계획이다. 개인정보위 측은 "배달 플랫폼 이슈 등과 관련해 식음료 업체 홈페이지, 앱 등 전체를 들여다볼 예정"이라면서 "한국 소비자 정보가 포함되거나 피해가 예상되는 글로벌 기업에 대해서도 조사를 확대해 진행하고 있다"고 말했다.

개인정보 보안 관련 투자나 관리 감독 취약점에 따른 중소 유통 업체의 추가 유출 가능성도 제기된다. 개인정보 보안 강화를 위한 정부 차원의 논의가 필요하다는 목소리도 나온다.

개인정보위 측은 "현재 시점에서 과징금의 경우 매출액(전체 매출액의 100분의 3을 초과하지 않는 범위) 기준으로, 대기업과 중소기업의 제재 수위의 한계점이 있다"면서 "일부 업체들의 경우 보안에 대한 투자도 이뤄지지 않고 있다. 관리 감독이 취약한 업체들이 지속해서 늘어나고 있는 것이 사실"이라고 우려했다.

무엇보다 기업에 대한 제재 대비 소비자 피해와 그에 대한 보상 등 갈등 여지도 있다.

업체들은 보안 강화 조치를 취했다는 입장만 내놓은 상황으로, 정작 소비자에 대한 보상이나 향후 대응 방침에는 미온적이라는 지적도 제기된다. 한국파파존스 등은 개인정보위와 KISA 조사가 마무리되면 결과에 따라 향후 세부적인 대책에 대해 밝히겠다는 입장이다.

개인정보보호법 개정안에 따른 배상 의무와 관련해 개인정보위 측은 "민사간의 문제로 보상의 의무는 없지만 손해배상 제도는 있다"면서 "다만 ‘손해’(부채적, 직접적 손해)를 입증해야 하는 어려움이 있어 개인정보유출에 따른 손해배상이 발생했을 때 '분쟁조정제도'(60일 이내 처리)가 유리하다"고 강조했다.

김승주 고려대학교 정보보호학부 교수는 "개인정보유출에 대한 사전 예방이 선행돼야 하지만 중소기업이 보안 기술과 인력에 투자하는 것은 현실적으로 어려움이 있다. 미국도 대기업과 중소기업에 대한 예방조치를 다르게 접근하고 있다"면서 "보안 예산이 충분하지 않은 회사를 중심으로 유출 사고는 또 발생할 수 있다. 정부 차원으로 중소기업에 대한 보안 대응에 대해 고민해야 할 필요가 있다"고 짚었다.

lila@news1.kr