'교묘한 개인정보 활용 동의' 현대해상·악사·하나·엠지손보 92억 철퇴

(서울=뉴스1) 이기림 기자 = 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사가 '개인정보 보호법' 위반으로 총 과징금 92억 770만 원을 부과받았다.

개인정보보호위원회는 지난 11일 제21회 전체회의를 열고 '개인정보 보호법'을 위반한 현대해상화재보험 등 다이렉트 자동차보험 판매 12개 손해보험사에 대해 제재처분을 의결했다고 12일 밝혔다.

개인정보위는 자동차 손해보험사들이 불필요하거나 과도한 고객 개인정보를 요구한다는 보도와 함께 정보주체의 권리침해 우려가 지속 제기됨에 따라, 지난해 8월부터 12개 자동차 손해보험사에 대한 조사를 실시했다.

조사 결과, 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험(61억 9800만 원), 악사손해보험(27억 1500만 원), 하나손해보험(2억 7300만 원), 엠지손해보험(2170만 원) 등 4개 보험사에 과징금을 부과하기로 했다.

이들 보험사는 상품소개를 위한 동의에 명백히 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창을 운영했으나, 이를 통한 동의의 변경은 오인할 수 있는 표현 및 개인정보 자기결정권을 제한함으로 이용자 의사에 따른 것으로 볼 수 없다고 개인정보위는 봤다.

특히 이런 팝업창으로 개인정보 수집·이용과 제공에 동의받으면서도 '개인정보 처리' 표현이나 동의에 필요한 법정 고지사항이 없었다.

이런 팝업창은 2022년 7월 현대해상화재보험이 종전의 팝업창에서 '확인'과 '취소' 버튼 효과를 변경해 정보주체가 오인하도록 유도하고 확인 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했는데, 이를 다른 사업자들이 벤치마킹해 도입한 것으로 확인됐다.

4개 보험사가 팝업창을 운영한 기간 이용자의 마케팅 동의율은 최대 30%p(31.42%→61.71%) 급증했다.

적법하지 않게 동의받은 개인정보를 이용해서 자동차보험뿐만 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른 보험 마케팅에도 활용했고, 자동차보험에만 국한해도 문자, 전화 등 약 3000만 건의 마케팅을 실시한 것으로 확인됐다.

그 결과 관련 스팸 신고 규모도 작지 않았다. 한국인터넷진흥원의 스팸신고 접수내역에 따르면 2022년 7월부터 2023년 9월까지 현대해상화재보험 1만 3645건, 악사손해보험 548건, 하나손해보험 822건의 스팸신고가 있던 것으로 파악된다.

통상 보험사들이 자동차 보험료 계산 과정에서 상품소개 동의 시 1건당 5000원∼1만 원 상당의 상품권이나 쿠폰을 지급하는 이벤트를 실시하는 것을 고려하면, 팝업창을 이용한 적법하지 않은 동의 절차를 통해 해당 기업들은 상당한 마케팅 비용 절감 이익을 얻은 것으로 보인다.

개인정보보호법에서 요구하는 정보주체의 적법한 동의는 자신의 개인정보가 개인정보처리자에 의해 처리된다는 사실을 충분히 인지한 상태에서 자유로운 의사에 따라 개인정보의 처리 여부 및 동의의 범위 등을 결정할 수 있어야 성립한다.

그러나 4개 보험사의 경우, 개인정보 수집·이용 및 제공에 대한 표현뿐만 아니라 법정 고지사항도 확인할 수 없어 이용자가 개인정보 처리 사실을 충분히 인지하기 어려웠다. 확인 버튼으로 여러 항목이 일괄 동의되기 때문에 이용자가 동의의 범위, 처리 여부에 대해서도 결정할 수도 없었다.

개인정보위는 4개 보험사의 이러한 재유도 창 운영을 정보주체의 자기결정권을 중대하게 침해한 행위로 판단해 적법한 동의를 받지 않은 '동의 의무' 위반으로 보고, 과징금을 부과했다.

또한 이 과정에서 개인정보 보호책임자(CPO)가 동의절차 개선 내용 등에 대해 검토·통제하지 못한 사실도 확인해 CPO의 내부통제 역할도 강화하도록 시정명령했다.

아울러 조사 대상 12개 보험사 모두 보험료 계산을 중단하거나 보험 계약을 체결하지 않은 이용자 정보를 파기하지 않고 1년간 보유하고 있어 보유기간 개선 시정명령을 내렸다. 특히 1년이 넘어도 32만 명의 이용자 개인정보를 파기하지 않은 롯데손해보험에는 과태료 540만 원을 부과했다.

lgirim@news1.kr