(사진=이미지비트 제공)
직장인 김 모(38) 씨는 정보유출 3개 카드사 모두에 가입돼 있었다. 정보유출 보도가 난 뒤 점심시간 틈틈이 카드 영업지점 등을 방문해 탈회 신청을 했다. 탈회 신청을 해야지만 개인 정보가 삭제된다는 설명에 해지가 아닌 탈회를 선택했다. 김 씨는 탈회를 하더라도 이미 제휴사로 넘어간 정보들까지 삭제가 되는 것인지에 카드사에 답을 요청했지만 제대로 된 답을 들을 수 없었다.
카드 등 금융상품에 가입할 때 제공하는 개인정보가 제휴사로 넘어간 이후에는 금융사의 관리에서 벗어나 방치되고 있다는 지적이 제기되고 있다.
국회 정무위소속 강기정 의원이 금융감독원으로부터 제공받은 '3사 제휴업체 정보제공 현황'에 따르면 이들은 지난 한 해 동안 524개사의 제휴업체에 1억 9000만 건의 고객 정보를 넘겼다.
하지만 제휴사로 넘어간 정보에 대한 관리는 이뤄지지 않고 있었다. 강 의원이 제시한 한 카드사의 정보제공 현황을 보면 제휴업체 82곳 가운데 20여 곳에만 카드 고객의 ‘해지’통보가 이뤄졌다.
나머지 업체들에는 해지 통보가 이뤄지지도 않고, 고객 정보의 삭제가 이뤄지는지도 알 수 없는 상태였다.
A 카드사 관계자는 “카드사와 제휴사간에 실시간으로 자료가 업데이트 되는 게 아니기 때문에 카드사 탈회를 했다고 제휴사 정보까지 바로 삭제되지는 않는다”고 설명했다.
실제로 A카드사가 제휴사와 맺은 계약서에는 고객이 카드를 해지할 경우 제휴사로 넘어간 정보가 삭제된다는 문구는 없다.
고객들이 제휴 카드를 만들 경우 보통 제휴사에도 동시에 회원가입이 된다. 이럴 경우 카드사는 제휴사가 갖고 있는 고객정보를 관리하기 어렵게 된다. 카드업체는 제휴사 회원가입 절차를 대행해줄 뿐인만큼 고객이 카드사를 탈퇴했다고 해서 제휴사 고객 정보까지 삭제를 요청하기는 어렵다는 것이다.
B 카드사 관계자는 “제휴사의 마일리지나 포인트는 카드사와 별개로 적립되기 때문에 고객이 우리 카드를 해지했다고 해서 제휴사에 그 고객 정보를 모두 삭제하라고 요구할 수는 없는 게 현실이다”고 말했다.
◈ 제휴사로 넘어간 정보는 법의 사각지대문제는 제휴사로 넘어간 정보관리에 대한 법 규정이 없기 때문에 카드사 역시 삭제요청을 할 의무가 없고 제휴사도 삭제해야 할 의무가 없다.
법의 사각지대에서 탈회를 한 제휴사의 고객 정보는 사실상 방치되는 것이다.
금융감독원 관계자는 “카드사 탈회할 때 제휴사로 넘어간 정보까지 삭제신청을 요구하더라도 제휴사에 삭제를 강제하는 법이나 지침이 현재 없다”고 설명했다.
안전행정부 관계자는 “카드사가 (제휴사를) 관리 감독을 해야 하는 의무는 없다. 제휴사로 정보를 제공하는데 대해 가입자들이 이미 동의한 사항이기 때문에 카드사와 제휴사간 별도의 특약을 만들어 놓지 않는 이상 삭제해달라고 강제할 수는 없다”고 말했다.
카드, 은행 등 금융사는 금융감독원 등 금융당국의 감독도 받고 있기 때문에 그나마 보안관리가 이뤄지고 있는 편인데도 정보유출 사고가 끊임없이 발생하고 있다.
이런 상황에서 일반법인 개인정보보호법의 적용만 받고, 특별한 감독 주체가 없는 비금융권 제휴사의 정보관리는 더욱 우려가 될 수밖에 없는 상황이다.
한 보안솔루션업체 관계자는 “우리나라 30대 기업이나 금융기관, 공공기관의 보안 시설은 어느 정도 갖춰진 상태지만 이들과 정보를 공유해야 하는 협력업체, 제휴 업체들의 경우 10곳 가운데 7곳은 보안 서비스가 완벽하게 갖춰져 있지 않고 있다”고 지적했다.
안행부 관계자도 "규제 공백을 메우기 위해 개인정보보호법이 만들어졌다. 다른 법에서 관리하지 않는 부분에 대해서 안행부가 관리를 하지만 현실적으로 인력, 예산 등의 문제로 모든 업체를 관리감독하기는 어렵다"고 말했다.