루이비통·디올 같은 명품 브랜드부터 파파존스·써브웨이 같은 외식 업체까지. 국내외 외식·패션 등 유통업계의 개인정보 유출 사고가 잇따르고 있다. 마케팅을 위한 고객 정보는 차곡차곡 열심히 모으면서, 정작 중요한 정보관리 노력은 소홀했다는 비판이 나온다. 특히 문제가 된 기업 대부분이 정보보호 공시 의무 대상에서 벗어나 있어, 보완책 마련이 필요하다는 지적이 나온다.
비대면 거래가 활성화하면서 유통업체들은 자사 플랫폼을 구축해 고객들의 주문·결제를 유도하고 있다. 배달·배송 서비스 발달과 맞물려 중소형 식음료 업체도 이름, 연락처, 주소, 신용카드 번호 등 민감 정보를 수집 중이다. 문제는 이들 중 정보보호 공시 의무 대상이 아닌 기업이 상당수라는 점이다.
지난 2021년 정보보호산업법이 개정되며 정보보호 공시가 의무화 됐다. 정보기술(IT)·보호부문 투자액과 전담 인력 등에 대한 상세 현황을 매년 알려야 하는 것. 홈페이지나 모바일 앱을 운영(정보통신서비스 제공)하는 코스피·코스닥 상장사 중 직전 사업연도 매출액이 3000억 이상이거나, 하루 평균 홈페이지·모바일 앱 이용자 수가 100만 명 이상인 기업이 이에 해당한다. 최근 정보 유출이 발생한 프랜차이즈 한국파파존스와 샌드위치 프랜차이즈 써브웨이, 명품 플랫폼 머스트잇 등은 대상이 아니다.
이에 더해 해외에 본사를 둔 글로벌 기업의 한국 지사도 감시망에서 비켜나 있다. 지난 5월부터 이달 초까지 국내에서는 루이비통·디올·티파니·까르띠에·아디다스 등 글로벌 명품·스포츠 브랜드의 국내 지사에서 고객정보 유출 사건이 잇따라 발생했다. 특히 명품 브랜드의 경우 고객 맞춤형 서비스를 위해 직업, 직장 등의 정보를 확보하고 구매 이력, 제품 고유번호 등을 수집하는 등 일반 유통업체보다 민감 정보를 더욱 많이 갖고 있다.
하지만 이들의 보안 노력과 사후 대응, 보상 조치는 실망스러운 수준이다. 법에 따라 기업은 정보 유출 사실 확인 후 72시간 내 개인정보위원회(개보위)에 신고해야 하지만, 명품 브랜드들은 문제 사실을 뒤늦게 신고하고 고객들에게도 상황을 즉각 알리지 않았다. 이들 업체는 정보보호 공시에서도 예외를 적용받는다. 정보보호 공시 종합 포털을 운영하는 한국인터넷진흥원(KISA) 측은 “글로벌 기업의 특성상 국내에 한정해 정보보호 투자액을 산정하기 어려운 현실을 감안했다”고 설명했다. 국내 패션 대기업 관계자는 “글로벌 명품업체의 경우 국내 지사에 정보보안책임자를 따로 두지 않는 등 관련 체계를 갖추지 않고 있는 것으로 안다”고 말했다.
정부는 정보보호 공시 의무대상을 확대하는 방안을 검토 중이다. 최근 과학기술정보통신부는 국정기획위원회에 ‘AI 시대 정보보호제도 개선안’을 건의했는데 여기에는 정보보호 공시제도 의무 대상을 매출 기준을 없이 전체 상장사로 확대하는 방안이 포함됐다.
임종인 고려대학교 정보보호대학원 명예교수는 “최근 정보 유출 사건이 발생한 기업은 정보보호 관련 담당자를 따로 두지 않거나 관련 투자를 소홀히 하는 등 관리가 허술했던 것으로 확인되고 있다”면서 “해킹 기술이 고도화하고 있기 때문에 보안 예산이 충분하지 않거나 체계를 갖추지 않은 기업들을 중심으로 유사 사건이 계속 발생할 수 있다”고 지적했다. 그는 “정부가 통신사나 IT 업체와 직접 협약을 맺고 중소기업이 가입할 수 있는 정보보호 구독 서비스를 저렴하게 제공하는 등 보완책 마련이 필요하다”고 덧붙였다.