개인정보보호위원회(개보위)가 여행·유통·교육 등 전 분야로의 ‘마이데이터’ 사업 확대를 추진하겠다고 나서자 네이버·카카오·지마켓·쿠팡 등 주요 이커머스들을 회원사로 둔 한국온라인쇼핑협회가 거세게 반발하고 나섰다.

정부가 추진하는 마이데이터 정책은 매출 1500억원, 정보 주체 100만명 이상의 기업 서비스에 가입한 국민이 데이터를 중개기관에 넘기고, 이 기관이 다양한 추천 상품 등을 개발하는 것이 목표다. 이에 협회 측은 개인정보 유출 우려를 제기하며, “국민의 소중한 개인정보 데이터를 C커머스 등 해외 기업에 강제로 무상 공유하는 것”이라고 지적한다.

◆“자본금 1억짜리 전문기관, 통신사보다 위험”

26일 이커머스업계 등에 따르면 개보위는 ‘본인전송요구권(개인정보이동권)’을 전체 업종으로 확대하는 개인정보보호법 시행령 개정안을 추진 중이다. 시행령은 이르면 이달 말 규제개혁위원회 본심사를 받을 예정이다. 개정안이 통과되면 개보위가 지정한 제3자 중개기관은 일반 국민의 동의를 받고 숙박내역부터 각종 쇼핑사실 등 다양한 영역의 데이터를 수집할 수 있게 된다.

AI·빅데이터, 소비자 추천 사업 등에 활용하기 위한 목적이다. 의료·통신·에너지에 한정됐던 이 사업은 개정안을 통해 업종을 불문하고 매출 1500억원·100만명 정보주체를 보유한 기업으로 범위를 넓혔다.

정부 방침을 두고 개인 구매내역이나 숙박정보 등의 개인정보 유출 가능성, 스타트업 경영 위축 논란 등이 불거졌다. 그러자 개보위는 기자간담회에서 “SK텔레콤, KT, 롯데카드 등 대기업도 해킹 당했지만 개인정보관리 전문기관은 안전하겠냐는 우려가 있다”며 “그들과 달리 암호화, 접근 제어 등 지속적 사후관리를 하겠다”고 밝혔다.

협회는 “전문기관 보안이 통신사보다 안전하다는 것은 억지에 가깝다”고 되받았다. 전문기관은 정보 저장·중계 기능을 집중 수행하는 구조로 통신사보다 훨씬 높은 위험이 있다는 이유에서다. 암호화, 접근통제는 모든 개인정보처리자의 법적 의무이며 전문기관만의 차별적인 특징이 아니라는 설명이다. 이 단체는 “토종 기업이 막대한 축적한 국민들의 소중한 데이터를 C커머스 등 해외 기업에 강제로 무상 공유하라는 것과 같다”고 주장했다.

◆“국민 민감 정보 해외 유출 가능성… 피해보상도 불가능할 것”

시행령에 따르면 자본금 1억원만 있으면 해외 기업들도 전문기관을 설립할 수 있다. 이를 두고 협회는 “자율주행과 전기차, 유통, 여가문화 분야에서 핵심 기술과 민감 정보가 소비자 데이터를 통해 해외로 유출돼 국가 안보와 경제주권을 상실할 수 있다”며 “해킹 시도를 방어하는데 매우 취약한 상태에 국민들의 개인정보가 노출되는 것”이라고 강조했다. 그러면서 “데이터 유출 사고 이후 사고 통제뿐 아니라 피해보상도 사실상 불가능할 것”이라고 덧붙였다.

대리 전문기관은 이용자의 계정 접근 권한을 위임받았기 때문에 내부자 유출이나 계정 탈취 사고 발생 시 피해가 기하급수적으로 확산될 가능성이 높다는 얘기다.

개보위의 마이데이터 사업은 지난해 규제개혁위원회에서 개선 권고를 받은 적이 있다. 과도한 개인정보 유출 우려 등으로 개인정보 공유 범위를 의료와 통신 에너지로만 한정하라는 것이다. 협회는 “개보위는 이러한 규개위 권고를 무시하고, 불과 8개월 만에 본인전송요구권을 근거로 전 산업분야로 마이데이터 사업을 확대하고 있다”고 비판했다.

계속해서 “정작 소비자, 벤처기업, 스타트업 등 당사자들 모두가 해당 사업의 추진에 반대하는 입장”이라며 “규제개혁위원회의 개선 권고에 정면으로 반하는 내용이며, 국회의 입법권을 침해하는 위헌적 입법 시도이자 꼼수 행정”이라고 했다.

