패션 쇼핑몰로 시작해 유니콘 기업으로 성장한 무신사를 비롯해 하이브의 자회사인 위버스컴퍼니, 동아오츠카, 한국신용데이터, 디엘이앤씨, 지에스리테일, 케이티알파 등 7개 사업자가 개인정보 보호법 위반으로 4560만 원의 과태료와 시정명령을 받았다.
개인정보보호위원회(이하 위원회)에 따르면 이들 사업자들은 이용자의 개인정보 보호를 위한 안전 조치 의무를 위반하거나 보호 조치가 미흡했던 것으로 조사됐다.
무신사는 개발자의 실수로 ‘카카오 간편 로그인’ 기능 이용자 1인의 개인정보가 타인에게 노출됐고, 서비스 간 계정 정보 연동 과정에서 중복 계정이 발생해 23명의 개인정보가 타인에게 조회되는 사고가 있었다.
위버스컴퍼니는 서비스 트래픽 이상 현상에 대한 긴급 조치를 하면서 타인의 계정으로 로그인되는 오류가 발생해 137명의 개인정보가 다른 사용자에게 노출된 것으로 확인됐다.
동아오츠카는 회원 상품 주문 페이지 내 ‘기존 배송지 선택’ 기능을 새로 개발해 적용하는 과정에서 비회원 10명의 개인정보가 공개됐고, 제재를 받은 다른 사업자들도 연람 권한이 없는 자에게 일부 개인정보가 노출되는 사고가 발생했다.
위원회는 7개 사업자의 이번 개인정보 보호법 위반 사항은 과징금 부과 대상에 해당하지만 사소한 실수로 개인정보가 유출됐고, 피해가 미미한 점을 감안해 과징금은 부과하지 않기로 결정했다고 밝혔다.
송상훈 개인정보보호위원회 조사조정국장은 “담당자 부주의, 작업 실수 등 내부 요인으로도 개인정보 유출이 발생할 수 있어 경각심을 가져야 한다. 이번 유출 사고는 비례의 원칙에 따라 과징금은 면제되었으나 사업자들은 개인정보가 안전하게 관리되도록 의무사항 등을 상시 점검해야 한다”고 말했다.
하지만 이번에도 개인정보 보호법 위반으로 각 기업에 부고된 과태료는 수백만 원 수준에 불과해서 기업들에게 실질적인 경각심을 주기에는 부족한 모습이다. 더욱이 과징금 면제가 비례의 원칙에 어떻게 적용되는지도 의문이 남는다.
한편, 위원회의 제재 조치에는 피해자들에 대한 보상 문제는 언급되지 않고 있으며, 기업들 역시 피해자들에 대해 어떠한 보상을 제공하고 후속 대책을 세우는지 잘 공개하지 않아 피해자들이 자신의 피해 사실을 인지하지 못하는 경우도 많다.
개인정보 보호법이 보다 강력하게 효력을 발휘하기 위해서는 법을 위반한 기업에 대한 강력한 제재가 선행되어야 하고, 이와 함께 실질적인 피해자 보호 및 보상 체계를 위한 제도적 장치 보완도 시급해 보인다.
