개인정보 보호법, 쿠팡 사태, 그리고 뜯는곳

최근, (아무도 이렇게 부를 것 같지는 않지만) “국민 쇼핑몰"이라고 해도 과장되지 않은, 로켓배송으로 통하는 그 “쿠팡"에서 개인정보 유출 사건이 터지면서 꽤 오래 시끌시끌하다. 그 전부터, “검은머리 미쿡인이 일본 자본으로 한국에서 돈을 버는 미국 국적의 온라인 쇼핑몰"이라는 맥락에서 말이 많았는데, 이번 개인정보 유출사건에 대한 사람들의 반응은, 개인정보 유출 그 자체보다 사건 발생 이후 이 회사가 대응하는 방식과 태도에 대해 더욱 초점이 맞춰진 느낌이 든다.

그런데… “왜 사람들은 생각하지 않고 분노하는가?”… 왜 나는 이런 생각이 드는가?

아닐 수 있다. 그냥 내가 그렇게 느낄 뿐, 사람들은 아마도 “생각"하고 있을거고, 단지 내겐 다분히 “분노"로 느껴지는 그런 부분이 조금 더 강하게 표출되는 걸 내가 너무 민감하게 느끼고 있는 것일지도…

당연한 이야기지만,

이 글은 개인의 생각일 뿐 근무했던/근무하는 회사의 입장과 어떤 형태로든 아무런 관련이 없습니다. 또한 이 글에서 나는, 쿠팡에 대해 옹호하고자 하지 않으며, 동시에 비판하고자 하지 않습니다. 이 파고가 높은 사건을 통해 “개인정보 보호"에 대한 기존의 생각을 넋두리해볼 뿐입니다.

뜯는곳

“뜯는곳”. 사실, 이 이야기는 한참 전부터 하고 싶었다. 처음 우리나라에 택배라는 것이 유행하기 시작했을 때에는 택배상자에 붙어있는 그 “송장"에 꼭 필요한 주소는 물론 보낸사람/받는사람의 이름은 물론 전화번호까지 그대로 노출되어 있었다 보니, 이를 통한 개인정보 유출로 이런 저런 사건 사고가 있었고… 그러던 중에 이름 가운데 글짜 마스킹, 안심전화번호 등의 보완책과 함께, 송장의 개인정보 부분을 “쉽게 뜯어낼 수 있는 방식"이 이제는 일반화되었다.

쿠팡의 송장도 동일하다. (가끔 절취선이 잘려있지 않은 애들도 있긴 하던데…) 저 사진의 파란색으로 강조된, “뜯는곳"부터 시작해서 주욱 뜯어내면 주소 등의 개인정보를 쉽게 파기할 수 있도록 되어있다. 그런데 웃기는 것은, 그렇게 뜯어낸 후 “사람의 눈"으로 봤을 때 더 이상 개인정보가 남아있지 않은 것 같아 보이는 그 송장의 테두리에 말이지…

쩌~기 저 QR Code 보여?

속았지? 사진 속 오른쪽 위에 보이는 저 QR Code는 절취선 바깥에 위치하는데, 저걸 “스마트폰의 눈"으로 딱! 찍어보면 애써 찢어낸 곳에 담겨있는 주소지 등 정보가 모두 “짠~ 나 아직 살아 있지롱 깨골~” 하면서 나타난다.

공식적인 발표에 따르면, 이번에 유출된 개인정보는 사용자 이름, 이메일, 배송지 주소록과 일부 주문정보라는데…

응, 물론 대규모 데이터셋으로 이런 개인정보가 털린 것은 엄청나게 큰 문제긴 하다. 그런데 저런 송장은 괜찮은 건가? 개인정보를 쉽게 제거하기 어려운 송장에 대해서도 분노를 좀 해야 하지 않을까? 하긴, 송장을 떼지 않고 택배상자를 버리는 사람들이 태반이고, 택배를 하도 받다보니… 나도 요즘은 송장 제거 없이 그냥 버리는 일이 허다하긴 하다. ㅎㅎ

이거… 개인정보 불감증 아닌가?

개인정보 보호법 - 유효기간제 폐지

사실, 나는 다른 포인트에 분노한다. 바로 2023년 9월에 폐지된 “개인정보 유효기간제”. 처음 도입되었을 때 (당시 근무하던 회사 역시 이로 인해 일이 갑작스레 늘어나긴 했었지만) 사용자 입장에서 참 반가운 법률이었다. 그러나 아마도 많은 사람들이 이런 제도가 있었는지 조차 모를 것 같긴 하다.

“개인정보 유효기간제"는, 2012년에 도입되어 2015년에 조금 더 강화되었던 “개인정보 보호법” 내의 조항인데, 그 내용은 다음과 같다.

제39조의6(개인정보의 파기에 대한 특례) ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

출처: 국가법령정보센터 (링크를 열면 현행법이 아니라고 나온다. 응. 현재는 개정됨)

핵심 근거가 되는 조항은 위의 내용이고, 이 조항 및 관련 조항들, 관련 법률 및 시행령 등을 통해 우리가 느꼈던 것은 뭐냐면,

회원님께서는 지난 1년 동안 접속하신 이력이 없어 30일 후 “휴면계정"으로 전환됩니다.

뭐 이런 메일을 받아본 경험이 있다면 그것이 바로 이 법조항에 의한 것이었다.

그리고 지난 2023년 또는 그 이후, 다음과 같은 메일도 받아본 사람이 있을텐데,

회원님은 “휴면계정” 상태에서 “일반계정” 상태로 전환되었습니다. 이제 정상적으로 편리하게 서비스를 이용하실 수 있습니다. 다시 모시게 되어 반갑습니다!

뭐 이런 거. 이게 2023년 제도 폐지의 결과다.

아니, 편리한 서비스를 정상적으로 받아볼 수 있다는데 왜 분노하냐고?

생각해봐… 1년 간 사용한 적 없는 서비스잖아…
잊고 있었잖아… 잊고 싶잖아… 자동 탈퇴된줄 알았단 말야…

애당초, 법 조항에 따르면 1년의 기간 동안 이용하지 않았으므로 개인정보의 “파기 등의 필요한 조치"를 취했어야 하는데, 그러나 “개인정보 보호법” 외의 다른 법률, 가령 전자상거래에 관한 법률이라든지 금융 관련 법률 등, 서비스 특성에 따라 1년 만에 삭제할 수 없는 경우가 있으므로 이런 경우에는 “필요한 조치"로써 파기 대신 분리보관을 하도록 해왔던 건데…

사용자 입장에서는 “사실 상 탈퇴 상태"인 내 정보를 법률의 보호초치에 의해 삭제하거나 안전하게 분리하여 보관해주므로 (제대로 시행됐을 경우) 도움이 되는 제도인데, 기업의 입장에서는 (법 취지에 동의하지 않는 이상) 엄격한 분리가 아닌 별도 DBMS를 메인 DBMS와 연동하는 형태 등으로 “척하는 수준"에서, 보호 효과를 보기 어려운 형태로, 시행된 경우가 많았을 것으로 본다. 또한, 이로 인한 구성 및 관리 비용, 실효성에 대한 의문(제대로 안하니까 실효성 떨어지는 거 아니니?), 해외 서비스에는 적용되지 않는 불평등 등의 이유로 비판의 목소리도 많았던… 그런 제도였던 것으로 기억한다. 뭐 일부 맞는 말도 있는데…

그런데… 기업이 싫어라 하는 건 높은 확률로 뭐다?

쿠팡의 개인정보 유출에 대해 목에 힘줄 세우는 사람들 중에… 과연 얼마나 많은 사람들이 이런 사안 등에 대해서도 의견을 가지고 있을까?

정보화 교육

뜬금없는 이야기 전환 ㅎ

얼마 전, 디벗 도입에 대한 학부모 대상 설문 요청이 와서 답변을 한 적이 있다. 설문 내용을 보면, 물론 살찍씩 고려하고 있다는 점은 느껴지지만, 개념/원칙과 윤리 등의 부분 보다는 기능적인 부분에 초점을 두고 있다는 생각을 떨치기 어렵다. 또한, 100년을 계획한다는 교육분야에서 순간의 유행에 따라 (물론 유행이 아닌 흐름이 될 수도 있겠지만) AI 교과서네 AI 교육이네 설레발 치는 모습을 보면, 그리고 그것이 개념과 방향성, 원칙보다도 기능에 치우쳐 이야기되는 것을 보면 답답한 마음이 든다.

오래 전, 백화점에 들어가려면 주민등록증을 제시하라?라는 글에서도 이야기한 적이 있는데… (그나마 많이 나아진 것 같긴 한데) 받으려는 서비스 내용 이상의 과도한 개인정보 제공이나 실명인증을 필요로 하는 경우가 아직도 많이 보이지만, 여전히 대다수의 사람들은 이런 부분에 대해서는 관대한 것처럼 느껴진다. 또한, 서비스 가입과 개인정보 제공에 대해서도 단순히 “클릭, 클릭, 클릭,” 쉽게 생각하는 경향도 여전히 보이고.

이번 쿠팡 사태가…

어떤 회사의 “태도"에 대해 분노하는 기회가 되기 보다는 사회 전반의 정보화 수준, 정보보호에 대한 인식, 모든 기업들의 정보보호 체계가 진일보할 수 있도록 법제도가 정비되는 계기로 삼을 수는 없을까?

GDPR

다시 급회전!

몇년 전, 유럽연합이 GDPR (General Data Protection Regulation)을 시행했을 때, 그 범위가 유럽연합 내의 서비스 제공자/기업 뿐만이 아니라 유럽연합 내의 사람들에게 서비스를 제공하는 모든 해외 기업들까지 포함하면서 전세계적으로 들썩들썩했던 기억이 난다. (물론 규모가 되니까… 가능한 일이겠지만…)

쿠팡이 외국 기업이라서 관리가 잘 안된다면 그것은 쿠팡만의 문제는 아닐 것 같다. 그렇다면 이건 쿠팡을 잡을 일이 아니라 법제도와 체계를 개선해야 할 일이 아닐까?

눈앞의 죄인만 바라보지 말고…
사람들도 좀 현실적인 정보보호에 민감해지고…
기업들도 윤리적으로 사용자 우선주의 정보보호를 실천하고…
국가는 그것을 확실하게 체계화하고 보호하는 모습을 보고싶다.

#기술얘기_해야_하는데_뻘소리만
짜이지엔~