적법한 동의 없이 개인정보를 마케팅에 이용하는 등 개인정보보호법을 위반한 다이렉트 자동차보험 판매 12개 손해보험사가 개인정보보호위원회로부터 제재를 받았다. 이 중 현대해상화재보험, 악사손해보험 등 4개 다이렉트 자동차보험 판매사는 90억원이 넘는 과징금 철퇴를 맞았다.
개인정보보호위원회는 11일 제21회 전체회의를 열고 개인정보 보호법을 위반한 현대해상화재보험 등 다이렉트 자동차보험 판매 12개 손해보험사(현대해상화재보험, 악사손해보험, 하나손해보험, MG손해보험, 롯데손해보험, 삼성화재해상보험, DB손해보험, KB손해보험, 메리츠화재해상보험, 한화손해보험, 흥국화재해상보험, 캐롯손해보험)에 대해 제재처분을 의결했다.
개인정보위는 자동차 손해보험사들이 불필요하거나 과도한 고객 개인정보를 요구한다는 보도와 함께 정보주체의 권리침해 우려가 지속 제기됨에 따라 2023년 8월부터 12개 자동차 손해보험사에 대한 조사를 실시했다. 조사 결과 12개 보험사 중 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사는 과징금 92억770만원을 부과하기로 했다.
4개 보험사는 상품소개를 위한 동의에 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창(재유도 창)을 운영했으나 이를 통한 동의의 변경은 모호한 표현 등으로 인해 이용자의 의사에 따른 것으로 볼 수 없었다.
이러한 재유도 창은 2022년 7월 현대해상화재보험이 종전의 재유도 창에서 ‘확인’과 ‘취소’ 버튼의 효과를 변경해 정보주체가 오인하도록 유도했다. ‘확인’ 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했는데 이를 다른 사업자들이 벤치마킹해 도입한 것으로 확인됐다.
이렇게 4개 보험사가 재유도 창을 운영한 기간 동안 이용자의 마케팅 동의율은 최대 30%p(31.42%→61.71%) 급증하했다. 반면 재유도 창을 삭제한 후에는 최대 35%p(62.91%→27.62%)나 동의율이 감소했다.
또 이렇게 적법하지 않게 동의받은 개인정보를 이용해서 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른보험 마케팅에도 활용했다. 이중 자동차보험에만 국한해도 문자, 전화 등 약 3000만건의 마케팅을 실시한 것으로 확인됐다. 그 결과 위반기간 동안 이와 관련한 스팸 신고 규모도 적지 않았다. 한국인터넷진흥원에 따르면 2022년 7월부터 2023년 9월까지 현대해상화재보험 1만3645건, 악사손해보험 548건, 하나손해보험 822건의 스팸신고가 있었던 것으로 파악된다.
개인정보위는 조사 과정에서 개인정보 보호책임자(CPO)가 동의절차 개선 내용 등에 대해 검토·통제하지 못한 사실도 확인해 4개 보험사에 대해 CPO의 내부통제 역할도 강화하도록 시정명령했다.
아울러 조사 대상 12개 보험사 모두 보험료 계산을 중단하거나 보험 계약을 체결하지 않은 이용자 정보를 파기하지 않고 1년간 보유하고 있어 보유기간을 개선하도록 시정명령했다. 1년이 넘어도 이용자 정보를 파기하지 않은 롯데손해보험에는 과태료 540만원을 부과했다.
개인정보위는 "이번 조사·처분은 비록 금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상의 개인신용정보에 해당하지 않는 경우 개인정보 분야의 기본법인 보호법의 적용대상이 된다는 점을 다시 한번 명확히 했다는 점에서도 의의가 있다"고 밝혔다.
김광연 기자
fun3503@chosunbiz.com