글로벌 유통업체에서도 개인정보 유출 사례가 이어지면서 소비자들의 불안이 커지고 있다. 국내에서 활발히 사업을 펼치며 막대한 매출을 올리는 해외 기업들이 정작 고객 정보 보호에는 소홀하다는 비판이 제기된다. 개인정보 유출이 한국 소비자 피해로 이어질 수 있는 만큼 글로벌 기업들에 대한 보안 실태 점검이 필요하다는 목소리가 커지고 있다.
20일 업계에 따르면 중국계 이커머스 업체 테무는 고객 개인정보를 중국·싱가포르 등 해외 사업자에게 위탁하면서도 이를 고지하지 않은 것으로 드러났다. 또 국내 판매자들의 신분증과 얼굴 동영상을 수집하면서, 신분증에 포함된 주민등록번호를 법적 근거 없이 처리한 사실도 확인됐다.
이에 개인정보위원회는 지난 14일 테무 운영사에 과징금 13억6900만원과 과태료 1760만원 부과하고 시정명령 및 개선권고를 의결했다. 테무는 개인정보위 조사가 시작된 이후에야 개인정보 처리 방침을 수정했고, 한국 판매자에 대한 신원 확인 정보 수집도 중단하겠다고 밝혔다.
늑장대응도 문제다. 루이비통모에헤네시(LVMH)의 브랜드 디올은 개인정보 유출 사실을 인지한 시점(5월 6일)으로부터 엿새나 지난 뒤에야 자사 홈페이지에 공지했다. 크리스챤 디올 꾸뛰르 코리아는 지난 13일 자사 홈페이지를 통해 개인정보 유출 사실을 알렸다. 디올은 “외부의 권한 없는 제3자가 디올 패션·액세서리 고객들의 일부 데이터에 접근한 사실을 발견했다”며 성명, 휴대폰 번호, 이메일, 구매 내역 등 일부 비금융 정보 유출 사실을 안내했다.
의무 위반 논란도 불거졌다. 과학기술정보통신부나 한국인터넷진흥원(KISA)에 즉각 신고하지 않은 정황이 드러나면서다. 정보통신망법상 개인정보 유출 사실을 인지한 기업은 ‘지체 없는 신고’를 해야 한다.
스포츠 브랜드 아디다스 홈페이지도 해킹 표적이 됐다. 아디다스코리아는 지난 16일 홈페이지를 통해 “최근 고객과 관련된 일부 데이터가 권한 없는 제3자에게 유출됐음을 인지했다”고 공지했다. 유출 대상은 지난해까지 고객센터를 이용한 이들이다. 이름, 이메일, 전화번호, 생년월일, 성별 등이 포함됐을 가능성이 있다고 설명했다. 다만 비밀번호나 신용카드 등 결제 관련 정보는 유출되지 않았다고 했다.
정보보호 전문가들은 글로벌 기업들이 한국 시장을 매출처로만 여기고, 보안 투자와 책임은 소홀히 해 개인정보 유출 사고가 반복되고 있다고 지적한다. 개인정보 처리와 보안 관련 대응이 글로벌 본사 등에서 이뤄져 책임 주체가 불분명하고, 사고 발생 시 즉각적인 대응이 어렵다는 것도 문제로 꼽힌다. 국내 지사가 주로 마케팅과 고객 대응 위주로 운영되다 보니 생겨나는 부작용이다.
장항배 중앙대 보안대학원장은 “글로벌 기업의 한국 지사는 한정된 자원을 판매와 마케팅에 집중 투입하는 편이라, 보안에 대한 투자가 미비하고 인식 자체도 부족한 경우가 많다”며 “관계기관에서 국내 사업자에 준하는 보안 규정 준수와 담당자 교육, 보안체계 유지 등의 가이드라인을 마련하고 실질적인 점검에 나설 필요가 있다”고 말했다.
김성훈 기자 hunhun@kmib.co.kr