개인정보위, 코인원ㆍ티몬 등 개인정보 법규 위반한 5개 사업자에 철퇴

가상자산 거래소 2곳 포함…과태료 총 4540만원 부과

▲윤종인 개인정보위원장이 23일 제11회 전체회의에서 발언하고 있다. (사진제공=개인정보위)

코인원, 스쿱미디어 등 가상자산 거래소 2곳을 포함해 총 5개 정보통신 서비스 업체가 개인정보보호 법규 위반으로 과태료를 부과받았다.

23일 개인정보보호위원회(개인정보위)는 정부서울청사에서 제11회 전체회의를 열고 개인정보보호 법규를 위반한 5개 사업자에게 총 4540만 원의 과태료 부과와 시정명령 처분을 의결했다. 대상 사업자는 △(주)코인원 △(주)스쿱미디어 △시터넷(주) △닥터마틴에어웨어코리아(주) △(주)티몬 등 총 6개 곳이다.

개인정보위는 2019년과 2020년 동안 침해 신고나 언론 보도 등을 계기로 각 사업자에 대한 조사에 착수했다. 그 결과 사업자들의 개인정보보호법 위반 사실을 확인했다.

코인원은 구글에서 제공하는 설문 형식(구글폼)으로 회원을 모집하는 과정에서 작성된 신청서에 대한 접근 권한을 ‘전체 공개’로 설정해 안전성 확보 조치를 소홀히 했다.

스쿱미디어는 전자 우편(이메일)으로만 회원탈퇴가 가능하도록 하는 등 회원 탈퇴방법을 개인정보 수집 방법보다 어렵게 해 이용자의 권리보호 의무를 소홀히 했다.

시터넷은 이용자의 비밀번호를 일방향 암호화해 저장하지 않았다. 즉, 복호화가 불가능하도록 만들지 않았다는 의미다.

닥터마틴 에어웨어코리아는 누리집(홈페이지) 등에서 공개되는 개인정보 처리 방침에 법정 고지 사항 중 개인정보 처리 위탁 내용 등을 포함하지 않았다.

티몬은 이용자의 개인정보 열람 요구에 대한 조치를 약 25일간 지연했다. 정보통신망법에 따르면 이용자의 열람 요구는 ‘지체 없이’ 조치하도록 돼 있다. 구체적으로 해설서에서 ‘합리적인 이유 없이 지체하면 안 된다’고 나와 있는데, 티몬의 경우 아무 이유 없이 25일간 조치를 지연했다. 개인정보보호법은 정보 주체가 개인정보 처리자에게 자신의 개인정보에 대한 열람을 요구했을 때 10일 이내에 열람할 수 있도록 해야 한다고 밝히고 있다.

이들 업체가 부과받은 과태료는 △코인원 1400만 원 △스쿱미디어 900만 원 △시터넷 900만 원 △닥터마틴에어웨어코리아 540만 원 △티몬 800만 원으로 총 4540만 원이다.

이날 전체회의에서는 가상자산 사업자 코빗의 시정명령도 예정돼 있었다.

코빗은 고객이 휴면 계좌를 해제할 때 신분증과 신분증을 들고 있는 사진을 이메일로 요구해 과도한 개인정보수집이라는 지적을 받았다. 그러나 코빗 측은 이 같은 정책이 보이스피싱을 방지하려는 방편이었다고 주장했고, 개인정보위는 사실관계를 추가 확인한 뒤 차기 위원회에서 재심의하기로 했다.

코빗의 법률 대리인인 손경민 광장 변호사는 “2018년 5월부터 1년간 보이스피싱 피해가 코빗에서만 1700여 건 일어났고, 총 300억 원의 피해가 확인됐는데 이후 개인정보 확인 조치를 강화해 피해가 대폭 줄었다”며 “또, 추가 개인정보 요청 사항에서 요구한 것이 성명, 생년월일, 주소, 얼굴 사진 등 4개로 주민등록번호는 가림 처리한 뒤 보내라고 했기 때문에 이를 과도하다고 볼 수 없다”고 주장했다.

코빗 관계자는 “은행도 휴면계좌 경우 추가로 신용도 확인하고 있다”며 “신분증 확인과 셀피 확인이 거부감을 줄 수도 있지만, 정부 청사 출입 시에도 확인을 위해 하는 절차고, 이를 비대면으로 하다 보니 거부감이 있는 것 같다”고 덧붙였다. 코빗은 개인정보위의 지적을 받은 뒤 지난해 말부터는 이 같은 정책을 완화해 휴면 계정 활성화 시 이메일 인증을 사용하고 있다.

코빗은 소명 과정에서 휴면 계정 활성화 시 신분증과 셀피를 요구하는 또 다른 가상자산 거래소도 있다고 언급했다. 이 때문에 개인정보위가 또 다른 가상자산 거래소를 향해서도 칼을 겨눌지 주목된다. 개인정보위 관계자는 “아직 사실관계를 확인한 바 없지만, 다른 거래소에서 같은 유형의 피해가 있다는 사실을 인지하면 그 즉시 조사할 계획”이라고 밝혔다.

송상훈 개인정보위 조사조정국장은 “국민의 개인정보를 일상적으로 다루는 기업에서는 이용자의 열람권 보장, 개인정보 수집·이용 등 개인정보 처리 전 과정에서 침해가 발생하지 않도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다”며 “앞으로도 개인정보위는 가상자산 사업자들의 개인정보 처리 실태를 지속 점검하고, 문제 발생 시 신속하게 조사에 착수해 피해를 최소화하겠다”고 말했다.