이통사, 금융회사 등 고객들의 민감한 개인정보를 다루는 국내 대형 기업들이 빅데이터 활용 명목으로 고객 동의 없이 지난 1년간 3억4000만건의 개인정보 결합을 시도하고, 그 중 1200만건 이상의 개인정보를 주고받았다는 의혹이 제기됐다.
박근혜 정부가 1년 전 설립한 이른바 ‘개인정보 비식별 조치 전문기관’이 그간 20개 기업 3억4000만 건에 달하는 규모의 개인정보 거래를 중개했다는 것이다.
11일 더불어민주당 진선미 의원, 정의당 추혜선 의원에 따르면 국내 굴지의 이통사 및 금융사들이 지난 1년간 26차례에 걸쳐 자사의 고객정보를 타사의 고객정보와 결합시키는 시도를 했다.
특히 이런 일이 가능했던 것은 전경련의 요청으로 박근혜 정부에서 마련한 '빅데이터 개인정보보호 가이드라인' 때문인 것으로 나타났다.
이에 대기업들의 불법적인 개인정보 주고받기를 정부 기관이 동원돼 중개했다는 비판이 나온다.
교환에 사용된 개인정보는 비식별화 조치를 취했으나, 비식별화의 기준마련, 실행 및 감시를 모두 기업 자체적으로 하도록 해 실효성에도 의문이 제기된다.
관련 기업들로는 SK텔레콤, KT, LG유플러스 등 이통3사와 SCI평가종보, 한화생명, 한화손해보험, 삼성생명, 삼성카드, KB국민카드 등 금융사 등이 포함된다.
SK-한화가 467만건, KB-LG 250만건, 삼성생명-카드 241만건의 가입자 정보교환을 했고, SCI평가정보 3700만건, SK텔레콤 2900만건, KB국민카드 1800만건 등 1억7000만건의 정보 결합 시도가 있었다.
일례로 SK텔레콤이 보유한 통신료 미납 정보, 단말기 정보 등과 한화생명이 보유한 추정소득금액, 추정 주택 가격, 보험 가입 건수 등이 결합돼 각 사가 공유하는 등의 방식이다.
이밖에도 공유된 개인정보 항목에는 소득, 병적 정보, 신용등급, 연체정보 등 개인의 민감한 정보가 포함됐다.
진 의원이 공개한 한화생명의 자료에 따르면 추정소득금액, 주택가격, 각종 보험 가입 여부, 신용대출 건수, 대출액, 신용등급 등의 정보가 교환됐다.
빅데이터 활용을 위한 개인정보 공유는 전경련이 박근혜 정부 초기부터 정부에 요구한 사안이다. 특히 정보를 교환할 때 사용하는 비식별화의 기준마련, 실행, 감시를 모두 기업 자체적으로 하도록 했다. 정부는 기업들 간 서로 어떤 정보를 교환했는지 파악도 못하고 있는 실정이다.
진 의원은 "기업들은 개인정보를 최대한 온전히 확보하고 싶어하기 때문에 기업이 알아서 하도록 하는 비식별화는 요식행위에 불과하다"고 지적했다.
전경련은 2013년 8월 미래창조과학부에 '창조경제 실현을 위한 제언' 요구사항을 제출하며 현행 개인정보 관련법 상에서 개인정보가 포함된 빅데이터를 활용되기 어렵다며, 법에 저촉되지 않고 활용할 수 있는 가이드라인을 만들어 달라고 요구했다.
방송통신위원회는 2013년 12월18일 '빅데이터 개인정보보호 가이드라인' 초안을 발표했고, 개인정보보호위원회 등의 반대에도 2014년 12월 확정 발표했다.
개인정보보호법에 따르면 개인을 알아볼 수 없게 처리된 정보라 하더라도 학술연구 및 통계작성 목적으로만 사용할 수 있다. 그럼에도 방통위의 가이드라인에서는 기업들이 자체적으로 비식별화 할 경우 영리목적으로 기업간 교환이 가능토록 했다.
방통위 가이드라인이 확정됐음에도 기업들은 당장 개인정보 결합에 나서지 못했다. 각 사가 보유한 개인정보를 직접 교환하지 않고 자료를 합치게 해주는 '중립기관(Third Party)'가 없었기 때문이다.
이에 2016년 6월 30일 범정부 차원의 '개인정보 비식별 조치 가이드라인'이 발표됐다. 이 가이드라인에 따르면 한국인터넷진흥원, 한국정보화진흥원, 금융보안원, 한국신용정보원 등 공공기관 등이 각 기업들의 요구를 받아 정보를 대신 결합해 주도록 했다.
진 의원에 따르면 박근혜 정부의 범정부 '개인정보 비식별 조치 가이드라인' 제정 이후 진행된 개인정보 빅데이터 결합은 총 12건으로, 1억 7014만 건의 개인정보가 결합시도 됐으며, 그 중 1226만 건이 결합되어 각 기업 간에 교환되었다.
SK텔레콤과 한화생명 양자 간 219만 건, SK텔레콤·한화생명·SCI평가정보 3자간 248만 건, KB국민카드와 LG U+가 250만 건의 개인정보 빅데이터를 교환했다.
삼성생명과 삼성카드도 서로 241만 건을 교환하였다. SCI평가정보의 경우 3700만 건의 개인정보를 결합시도 하였고, SK텔레콤이 2900만 건, KB국민카드가 1827만 건 결합을 시도하여 신용거래를 하는 국민대부분의 개인정보가 결합시도 된 셈이다.
진 의원은 "현행 개인정보보호법이 특정 개인을 알아볼 수 없는 정보라도 영리목적으로 사용할 수 없도록 하고 있기 때문에, 박근혜 정부가 만든 '개인정보 비식별 조치 가이드라인'의 전제 자체가 위법하며 즉시 폐기되어야 한다"고 주장했다.
백성요 기자 lycaon@greened.kr