연초부터 LG유플러스 해킹 등 개인정보 유출이 심각한 상황에서 e커머스 업체들이 해킹 등 사고가 발생했을 때 책임을 면피할 수 있는 독소조항을 두고 있는 것으로 조사됐다. 개인정보보호위원회(개보위)는 이런 조항을 두고 있는 G마켓·옥션, 11번가, 롯데온, 인터파크 4곳에 대해 ‘개인정보보호법’ 위반 소지가 있다고 판단, 조사한다는 입장이다. 정치권 역시 ‘독소조항'이라며 비판에 나섰다.
15일 IT조선 취재 결과, 네이버쇼핑, 쿠팡, SSG닷컴, G마켓·옥션, 11번가, 롯데온, 티몬, 위메프, 인터파크 등 국내 상위 온라인몰 9곳 중 G마켓·옥션, 11번가, 롯데온, 인터파크 4곳이 ‘개인정보처리방침’에 해킹 등으로 인한 사고에 대해서는 책임을 지지 않는다는 조항을 두고 있었다. 일종의 셀프 면책 조항인 셈이다.
11번가는 개인정보처리방침 제18조에 "기술적인 보완조치를 했음에도 불구하고, 해킹 등 기본적인 네트워크상의 위험성 때문에 예기치 못한 사고가 발생하여 정보가 훼손되거나 방문자가 작성한 게시물에 의해 각종 분쟁이 발생하는 것에 대해서는 책임을 지지 않는다"고 명시해놨다. 롯데온 또한 개인정보처리방침 제13조에 같은 규정을 두고 있다.
반면, 네이버·쿠팡·SSG닷컴·티몬·위메프 등의 e커머스 기업들은 해당 조항을 두고 있지 않는 것으로 확인됐다.
최근 개인정보 유출 문제가 발생한 인터파크는 ‘해킹’이라고 구체화하지는 않았지만 마찬가지로 비슷한 문구의 조항을 두고 있었다. 인터파크 또한 개인정보처리방침 제12조에 "회사는 이용자 본인 부주의 또는 인터넷상의 문제로 인해 발생한 개인정보 유출문제에 대해 고의, 과실이 없을 경우 책임을 지지 아니한다"는 조항을 두고 있다.
최근 개인정보 유출 사고가 터진 LG유플러스 또한 마찬가지였다. LG유플러스는 개인정보처리방침 제11조 제2항 제9호에 "회사는 고객의 실수나 기본적인 인터넷의 위험성 때문에 일어나는 일들에 대해 책임을 지지 않는다"고 명시해놨다. 다만, LG유플러스 측은 "해킹 등에 대한 피해에 대해서는 바로 아래 항목인 제10호에 ‘내부 관리자의 실수나 기술관리 상 사고로 인해 개인정보의 도난, 유출, 변조, 훼손이 유발될 경우 적절한 대책과 보상을 강구한다’는 내용으로 명시하고 있다"고 해명했다.
개보위는 해킹 등에 대한 책임을 지지 않는다고 명시한 개인정보처리방침 조항이 개인정보보호법 위반 소지가 있다고 판단했다.
개인정보보호법 제30조와 시행령 제31조는 개인정보처리자가 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다고 규정하고 있다.
특히 시행령 제31조는 e커머스 기업과 같은 개인정보처리자가 ▲개인정보의 안전한 처리를 위한 내부 관리 계획의 수립·시행 ▲개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 ▲개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 ▲개인정보에 대한 보안프로그램의 설치 및 갱신 ▲개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 등 의무를 다해야 한다고 명시하고 있다.
개보위 관계자는 "해킹 사고에 대해 책임을 지지 않는다는 것은 개인정보보호법 30조와 시행령 제31조 위배 소지가 있다"며 "안전 조치에 대한 의무를 다하고 나서 사고의 불가항력 여부를 판단하는 게 맞다"라고 밝혔다.
이어 "위반 소지가 있는 기업에 대해서는 관련 부서를 배당해 개인정보처리방침 관련 조사에 들어가게 된다"고 말했다.
관련 약관을 둔 e커머스 기업들은 개정 의사를 밝히거나, 시정 명령이 들어오면 조치할 예정이라고 했다. 책임 회피 조항이 아니라며 억울하다는 입장을 밝히기도 했다.
G마켓 관계자는 "개인정보처리방침을 개정할 예정"이라며 "고객의 개인정보를 보다 효과적으로 지켜나갈 수 있는 방향으로 개선시켜 나가겠다"고 말했다.
롯데온 관계자는 "개보위에서 문제가 있다고 판단을 하면 개인정보처리방침을 시정할 계획이다"라고 밝혔다.
인터파크 관계자는 "해당 조항의 문구에서 ‘인터넷상의 문제’란 통신사, 인터넷게이트, 무선 중계기, 단말기 등 고객의 PC까지 데이터가 전달되는 구간 등 서비스 제공자(인터파크)가 직접적으로 관리할 수 없는 영역에서 발생하는 경우에 면책될 수 있는 내용"이라면서도 "책임을 회피를 위한 조항은 아니다"라고 강조했다. 이어 "(최근 발생한 사고의) 과실 유무에 대해서는 기관(개보위)에서 조사가 진행되고 있는 만큼 그 결과에 따라 충실히 조치를 이행할 계획이다"고 덧붙였다.
11번가 관계자는 "해당 조항은 사업자의 책임에 대한 한계를 설명하는 것이다"며 "개인정보보호법에 따라 사업자가 준수해야 하는 모든 것을 철저하게 이행했음에도 불구하고, 고도화된 기술 등으로 사고가 발생했을 때 사업자가 책임을 지는 것에 한계가 있을 수 있기 때문에 그런 조항을 둔 것이다"고 해명했다.
다만, 개보위는 개인정보처리방침에 해당 조항을 두는 것은 안전성 확보 의무를 다하지 않는 것으로 봤다.
개보위 관계자는 "법에 따라 안전 조치들을 했는데도 발생한 불가항력적 사고였는지 (사고 발생 후) 조사 과정에서 판단해야 하는 사유"라면서 "사고가 터지지도 않았는데 개인정보처리방침에 이런 조항을 두고 있는 것은 안전성 의무를 저버리는 행위로 판단할 수밖에 없다"라고 꼬집었다.
이어 "예를 들어 은행 약관에 해킹 사고 발생 후 책임을 지지 않을 수 있다는 조항을 두면 누가 돈을 예치하고 싶겠는가"라고 지적했다.
국회 과학기술정보방송통신위원회(과방위) 소속 위원들도 e커머스 기업들이 해킹 등에 대한 책임을 지지 않는다는 조항을 두고 있는 것은 문제가 있다며 개정할 필요가 있다고 봤다.
과방위 소속인 윤두현 국민의힘 의원은 "회원의 정보를 맡아 관리하는 e커머스 기업들이 해킹 등 사고에 대한 책임이 없다는 것은 공정하지 않은 조항이다"면서 "개보위나 과기정통부에서 책임 소재를 명확하게 하거나 해당 조항을 개정하도록 할 필요가 있다"고 밝혔다.
장경태 민주당 의원 또한 "일종의 ‘독소조항’이라고 생각한다. 해킹 등으로 개인정보 유출 등에 대한 소비자들의 피해가 확인됐을 때는 충분한 배상을 할 수 있도록 해야 한다"고 지적했다.
최근 공정거래위원회로부터 불공정약관 조사를 받고 있는 카카오모빌리티 사례와 유사하다는 지적도 나온다. 공정위는 최근 카카오T 서비스 이용약관에 '약관의 규제에 관한 법률'(약관법)상 문제가 되는 조항이 있는지 검토 중인 것으로 알려졌다.
카카오모빌리티는 카카오T 서비스 이용약관에 ‘회사는 관계 법령의 변경, 천재지변, 디도스(DDOS) 공격, IDC 장애, 기간통신사업자의 회선 장애 또는 이에 준하는 불가항력으로 인해 카카오T 서비스를 제공할 수 없는 경우에는 서비스 제공에 관한 책임을 부담하지 않는다’는 조항을 두고 있다. 이런 조항은 기업에게 일종의 면죄부를 줄 수 있기 때문에 약관법상 ‘면책조항’으로 규정돼 금지되고 있다.
이은희 인하대 소비자학과 교수는 "천재지변은 불가항력적인 요소이기 때문에 사업자 입장에서도 어쩔 수 없지만, 해킹은 이와 다르다"면서 "해킹으로 인한 사고가 발생했다는 것은 개인정보보호법상 안전에 대한 의무를 다하지 않은 것과 다름이 없기 때문에 보상과 처벌을 명확히 해야 할 필요가 있다"고 밝혔다.
한편, 최근 LG유플러스, 인터파크, G마켓에서 개인정보 유출 사고가 터지면서 업계는 개인정보 보호 절차를 강화하고 있다. 계정이 유출된 것으로 확인되면 곧바로 제한 조치한다거나 본인 인증 절차를 추가하는 식이다. 배달의민족도 이달 7일부터 서비스 이용약관 중 이용제한 관련 조항에 ‘해킹’에 대한 행위를 구체화했다.
황혜빈 기자 empty@chosunbiz.com