사물인터넷(Internet of things, IOT)과 빅데이터, 클라우드, 핀테크 등 첨단 보안기술이 등장하면서 개인정보의 가치가 높아지고 있다. 바야흐로 ‘개인정보’가 경제적 가치를 지니게 된 것이다.
해킹 한 번으로 개인의 모든 금융정보와 개인고유정보, 통신정보 등이 전 세계에 노출이 된다는 것은 생각만 해도 끔찍한 일이다. 단순히 노출만이 문제가 아니라 그로 인한 2차 피해가 금액으로 산정할 수 없을 만큼 크고 다양하기 때문.

얼굴이 아닌 개인정보로 나를 증명하는 세상에서 개인정보보호에 대한 불안감은 결코 해소할 수 없는 사안 중 하나이다. 더군다나 한 달에 한 번꼴로 개인정보 유출 소식이 들리고, 유출된 개인정보를 이용한 피싱 사기가 판 치는 마당에 소비자는 물론 기업에서도 보안에 대한 관심이 높아질 수밖에 없다.

개인정보를 취급하는 모든 기업들이 개인정보보호에 민감하겠지만 여권을 비롯해 폭넓은 개인정보들을 수집하고 전달해야 하는 여행사들은 특히나 더 예민할 필요가 있다.

특히 최근 일부 여행사의 고객정보 유출이나 여권처리 과정은 상당한 충격을 준 바 있다. 서류로 확인되는 개인정보뿐만 아니라 고객의 여행일정과 동반인 정보까지 어떤 상황에서도 함구해야하는 여행사 종사자들을 위해 반드시 알아야 할 ‘개인정보보호’ 방법을 사례와 함께 소개한다.

자료 참조=개인정보보호 종합지원 포털(www.privacy.go.kr), 개인정보보호 포털(www.i-pravacy.kr)
강다영 기자 titnews@chol.com
 

---

 
<사례1. 고객정보 유출>
 최근 A여행사는 고객 여권 등의 개인정보 및 내부 서버 관리 페이지가 인터넷 포털 사이트에 노출돼 곤욕을 치렀다. A여행사를 통해 여행을 간 것으로 보이는 고객들의 여권이 인터넷 포털 사이트 이미지 검색에 그대로 나타난 것. 현재 A여행사는 자사 홈페이지 공지사항 게시판을 통해 개인정보취급(처리)방침 변경을 고지하고 개인정보처리에 대한 정책을 강화키로 했다. 그러나 일각에서는 여권정보 유출에 대한 내용 및 사과문 게재가 전혀 없는 A여행사의 무책임한 태도를 지적하고 있다.
 
 
“개인정보 노출 즉시 정보주체에 알려라”
위 사례처럼 여행사의 잘못으로 고객 개인정보가 노출됐다면 문제를 인지한 즉시 조치를 취해야 한다. 개인정보보호법 제34조에 따르면 개인정보 유출 시 가장 먼저 수행해야 하는 것은 유출된 정보주체에 즉각 통지하는 것이다.

△개인정보보호법 제34조 제1항에 의해 개인정보의 유출 사실을 알게 됐을 경우 5일 이내에 지체 없이 통지해야 한다. 통지 항목에는 유출된 개인 정보와 유출시점 및 그 경위, 피해 최소화를 위한 조치 방법, 기관의 대응조치 및 피해구제 절차, 피해 신고 접수 담당부서 및 연락처 등이 포함돼야 한다.

만약 정보주체에 이와 같은 사실을 알리지 않으면 개인정보보호법 제75조 제2항 제8호에 의해 3천만 원 이하의 과태료를 납부하게 된다.

유출 사실을 알린 뒤에는 △제34조 제2항에 따라 피해 최소화를 위한 대책 마련 및 필요한 조치를 실시해야 한다. 접속경로 차단, 취약점 점검 및 보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위한 긴급조치가 이행돼야 한다. 긴급조치 이행 등에 어려움이 있을 경우 전문기관(한국인터넷진흥원, www.privacy.go.kr)에 기술지원을 요청한다. 피해 최소화 대책을 마련하지 않거나 필요한 긴급조치를 하지 않은 경우에는 시정명령이 내려진다.

1만 명 이상의 개인정보가 유출된 경우에는△제34조 제3항에 따라 유출 통지 결과를 행정자치부 또는 전문기관(한국인터넷진흥원)에 신고한다. 조치결과를 신고하지 않으면 개인정보보호법 제75조 제2항 제9호에 의해 3천만 원 이하의 과태료가 부과된다.

또한 1만 명 이상 개인정보가 유출된 경우에는 개별통지와 함께 유출된 사실을 인터넷 홈페이지에 7일 이상 게재해야 한다. 홈페이지 등에 공지하지 않거나 7일 미만 게재하는 경우는 시정명령이 주어진다.
 
■개인정보 유출 표준 통지문안
1. 개인정보 유출 이후에는 반드시 적합한 내용을 포함한 통지문안을 배포해야 한다.
2. 제목에는 ‘유출 통지’ 문구를 포함해야 하며 사과문에는 유출 통지 사실과 사과문을 먼저 표현해야 한다. 유출된 시점과 경위를 설명하고 ‘고객님’, ‘귀하’ 등으로 유출된 정보주체를 명시한다. ‘일부고객’이나 ‘회원정보의 일부’는 부적합한 표현이다.
3. 유출된 항목을 빠짐없이 나열해야 하며 추가 확인된 사항은 반드시 추가로 통지해야 한다. 접속경로 차단 등 개인정보처리자의 조치 내용을 설명하고 유출 경위에 따라 정보주체가 할 수 있는 예방법을 모두 안내한다.
4. 보상이나 배상이 결정된 경우에는 그 내용을 상세히 기재한다. 그렇지 않은 경우 계획과 절차를 알리고 감독기관 등을 통한 구제절차도 알린다.
5. 끝으로 개인정보처리자의 향후 대응계획을 밝히고 피해 등 신고접수 담당부서 및 연락처를 안내한다. 대량 유출로 일시적으로 콜 센터 등 다른 부서를 지정한 경우 해당 부서를 안내한다.
 

---

<사례2. 가족 간 정보 유출>
 
▲B여행사 직원의 사례
“낯선 아주머니께서 자기 딸이 우리 여행사로 여행을 간다는데 본인(딸) 말로는 해외 단체 워크숍이라고 하지만 그게 아닌 것 같다며 혹시 누구랑 가느냐고 물어본 적이 있다. 여행자 본인이 아닌 이상 어떠한 정보도 알려줄 수 없기 때문에 당연히 안 된다고 했지만 엄마인데도 알 수 없느냐고 떼를 쓰는 통에 설득하느라 진땀을 뺐다”

▲C여행사 직원의 사례
“개인정보에 무지했던 몇 년 전에 자신을 아내라고 소개한 여자가 남편의 귀국 날짜를 물어봐서 알려준 적이 있다. 그런데 남편을 마중 나간 여자가 다른 여자와 함께 귀국하는 남편을 보고 사단이 났다. 고객이었던 그 남편은 자신의 동의 없이 여행 스케줄을 알려준 우리 여행사에 소송을 걸었고 우리는 당연히 소송에서 패했다. 그 이후로 본인이 아닐 경우 본인 동의 없이 어떤 정보도 알려주지 않는다”

▲D여행사 직원의 사례
“가장 애매한 부분이 여행자 본인 부탁에 의한 정보요구다. 여행자가 불가피한 상황 때문에 가족에게 자신의 여행정보를 대신 물어봐주길 부탁하는 경우가 있다. 그럴 경우 직접 정보주체의 사실 확인을 받고 알려준다. 사실 확인이 안 될 경우에는 절대 알려줄 수가 없다. 고객정보를 지키기 위한 행동이지만 이것 때문에 컴플레인 당하는 경우도 다반사다”
 
 
“개인정보보호법 숙지로 정보 유출 방지”
가족이어도 본인 동의 없이는 절대로 알려줄 수 없는 것이 바로 여행자의 개인정보. 여행사 종사자 대부분 사내 교육 및 과거 사례들을 통해 여행자 개인정보는 함부로 발설하는 것이 아님을 알고 있었다. 그러나 ‘가족’이라는 불가역적 관계를 내세우는 사람들을 설득할 법규에 대해서는 알고 있지 못한 것이 사실. 업무의 팔 할이 고객 개인정보를 다루는 일인 만큼 수집된 개인정보제공에 대한 몇 가지 법령은 반드시 숙지해야 할 것으로 보인다.

개인정보보호법 제17조에 따르면 개인정보처리자(여행사 직원)가 수집한 개인정보를 제3자(가족, 항공사 등)에게 제공하기 위해서는 △개인정보를 제공받는 자 △개인정보 이용 목적 △개인정보 항목 △개인정보 보유 및 이용기간 △동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익에 대한 내용을 확인해야 한다. 확인된 내용을 정보주체에 알리고 별도의 동의를 받아야 한다.

다만 법률에 특별한 규정이 있거나 정보주체 또는 그 법정 대리인이 의사표시를 할 수 없는 상태 등 정보주체의 사전 동의를 받을 수 없는 경우에는 동의 없이 제3자 제공이 가능하다.
개인정보보호법 제17조에 대한 부분만 명확히 인지해도 제3자의 여행자 동의 없는 정보 요구에 명백한 불법 행위임을 강력히 어필하며 불필요한 실랑이를 줄일 수 있다.
   
■사업자를 위한 개인정보보호 필수 조치사항
1. 개인정보는 필수정보만 최소한으로 수집한다: 추가 정보를 수집할 경우 반드시 동의를 받아야 한다.
2. 주민등록번호와 건강정보 등 민감정보 수집 금지: 법령의 근거가 있는 경우가 아니면 주민등록번호와 민감정보 사용은 금지된다.
3. 수집한 목적과 다르게 사용하거나 제3자 제공 금지: 법령의 근거 없이 다른 용도로 사용하거나 외부로 유출하지 않도록 주의한다.
4. 개인정보를 처리할 경우 개인정보 처리방침 공개: 개인정보 위탁사실을 포함한 처리방침을 홈페이지나 사업장에 공개한다.
5. 내부관리계획, 방화벽·백신·접근통제 등 안전성 확보 조치: 개인정보가 해킹 등으로 유출되지 않도록 보호조치를 철저히 이행한다.
6. 개인정보의 이용이 끝난 후에는 반드시 파기: 수집한 목적이 달성된 후(서비스 기간 경과 등)에는 즉시 파기한다.
7. 개인정보가 유출됐을 경우 즉시 정보주체에 통보: 유출된 것을 인지한 5일 이내에 서면·전화·이메일 등의 방법으로 통보한다.
8. CCTV를 운영할 경우 안내판 설치: 설치목적과 장소, 촬영범위, 담당자 등을 안내하고 운영방침을 수립해 공개한다.