이 기사는 프리미엄 스타트업 미디어 플랫폼 한경 긱스에 게재된 기사입니다.
#1. 피트니스 스타트업 다노는 최근 개인정보보호위원회로부터 과태료 300만원을 부과받았다. 운동 상담 내역을 요청한 이용자를 대상으로 파일을 잘못 첨부해 보내는 바람에 51명의 개인정보가 유출됐기 때문이다. 문의 답변 파일을 별도로 분리하지 않고 같은 폴더에 저장한 탓에 생긴 실수다.
#2. 명함관리 앱 리멤버를 운영하는 드라마앤컴퍼니에서도 최근 소동이 벌어졌다. 연봉 1억원 이상 채용 서비스를 표방한 '리멤버 블랙' 가입 방법을 문의한 365명에게 단체 이메일을 보내면서 이들의 이메일 주소가 그대로 노출된 것이다.
이용자의 개인정보 보호 문제는 플랫폼 스타트업에 예민한 이슈다. 제품 개발이나 마케팅처럼 시급한 투자가 필요하다고 여겨지는 영역은 아니지만, 한번 문제가 발생하면 이용자 이탈이 일어나는 리스크 요인이 될 수 있기 때문이다. 주요 플랫폼 스타트업들은 대부분 한 차례 이상의 개인정보 유출 사태를 겪었다. 스타트업에서 일어난 개인정보 유출 사례와 대응 방식, 한계 등을 한경 긱스(Geeks)가 살펴봤다. "개인정보 보호 이렇게나 신경 쓰는데"채용관리 솔루션 스타트업 두들린은 정보보호 관리체계 인증(ISMS)을 획득했다고 지난달 25일 밝혔다. 한국인터넷진흥원(KISA)이 운영하는 ISMS 인증은 기업이 정보보호 관리 절차와 대책을 체계적으로 수립하고, 이를 지속적으로 운영 관리하는지를 평가해 인증하는 제도다.
두들린은 지난해 쿠팡과 홈플러스 등을 거친 보안 전문가 정일권 최고정보보호책임자(CISO·Chief Information Security Officer)를 영입해 주목받은 곳이다. 두들린은 CISO를 별도로 지정하고 신고할 의무가 없는 스타트업인데도 정보 보안 경력 15년의 정 CISO를 선택했다.
정 CISO는 "두들린이 운영하는 '그리팅'은 실시간으로 각 회사의 인사담당자와 실무자의 지원자 평가가 이루어지는 서비스"라며 "여러 명의 평가자가 수많은 입사지원자의 개인정보가 담긴 이력서를 공유하고 있기 때문에 정보 보호가 중요하다"고 말했다. 그는 "고객사 중 대기업, 중견기업의 수요가 급증했기 때문에 이들 기업의 기준에 맞춰 정보보호 체계를 더욱 강화할 것"이라고 했다.
토스를 운영하는 비바리퍼블리카는 토스의 개인정보 보호 활동을 한눈에 확인할 수 있는 개인정보 보호 홈페이지를 신설했다.
토스는 앞서 '개인정보 안심리포트' 서비스도 출시했다. 고객이 제공에 동의한 개인정보가 언제, 왜, 누구에게 제공됐는지 확인할 수 있는 서비스다. 고객이 '필수동의' '선택동의' 등의 과정을 거치고 있지만 실제 서비스 과정에서 개인정보의 흐름이 어떻게 이루어지고 있는지 구체적으로 보여주는 제품이 그동안 시장에 없었다는 점에 착안했다. 토스는 고객 개인정보를 보험설계사 등에 팔아 매출을 올리는 방식으로 논란이 된 적 있다.
이승건 토스 대표는 “토스가 사랑받는 서비스로 자리매김하려면 더 높은 수준의 신뢰를 얻는 것이 필수적”이라며 “이렇게 투명하게 공개할 수 있는 것까지가 혁신의 영역”이라고 말했다. 그는 “사용자가 개인정보 이용 내역을 직접 확인함으로 얻을 수 있는 신뢰의 가치가 크다”고 강조했다.
야놀자는 개인정보 유무 판단을 위한 표준 기준을 정립해놓고 있다. 숙박 플랫폼 특성상 데이터가 유출되는 경우 2차 피해가 커질 수 있다. 야놀자는 주요 개인정보의 경우 암호화를 통해 직접 식별이 불가능하도록 조치했다. 야놀자 역시 2021년 클라우드 서비스 사용 과정에서 개인정보가 유출돼 개인정보보호법 위반으로 제재 처분을 받은 적 있다. "무시했다간 큰일 나"그동안 스타트업들은 개인정보 보호엔 상대적으로 신경을 덜 쓰는 경우가 많았다. 투자금은 대부분 제품 및 서비스를 위한 개발자 채용이나 마케팅 비용으로 쓰는 게 일반적이었다. 정보보호 시스템 구축이나 관련 인력 채용은 당장 눈에 보이는 위협이 아니기에 후순위로 밀려나기 일쑤였다. '설마 우리 회사가 해킹을 당하겠어?'라는 안일한 인식도 한몫했다.
단기간에 성장을 이루다 보니 규모가 커진 후에 회사 상황에 맞는 보안체계를 구축하지 못하는 경우도 적지 않다. 한 스타트업 관계자는 "회사 내 보안 전문가 없이 최고개발책임자(CTO)가 개인정보 보호 영역까지 책임지는 경우가 대다수"라고 했다. 뒤늦게 보안을 강화하려고 하면 직원들이 번거로운 일로 여기기도 했다.
문제는 개인정보 유출 사고 건수가 적지 않을뿐더러 유출 시 이용자들은 물론 기업의 피해가 심각하다는 점이다. 명품 쇼핑 플랫폼 발란은 지난해 4월 고객 개인정보가 유출돼 이 사실을 KISA에 신고했다. 유출된 개인정보는 이름, 닉네임, 이메일, 휴대폰 번호, 생년월일 등이었다. 지난해 4월 59만608명 수준이었던 발란의 월 이용자 수는 8개월 뒤인 12월에는 31만3119명으로 쪼그라들었다.
지난해 부동산 커뮤니티와 투자자들이 모인 단체 카카오톡방 등에서 한바탕 소동이 벌어지기도 했다. 세무회계 플랫폼 삼쩜삼을 성토하는 글이 잇따라 게재되면서다. 일부 이용자들은 "세금 조회 한번 하려고 한 건데 삼쩜삼이 고객들의 국세청 세무대리인으로 자사의 협력사들을 무작위로 등록하고 동의 없이 개인정보를 활용했다”고 주장했다. 탈퇴 인증 글도 올라왔다. 삼쩜삼은 "세무회계 절차를 위해 당연한 일"이라고 했지만 개인정보에 민감한 소비자들은 플랫폼에서 이탈했다.
규모가 커진 스타트업들이 앞다퉈 개인정보 보호에 투자하는 이유다. 개인정보 보호에 국민들의 의식도 달라졌기 때문이다. 스타트업 업계 관계자는 "회사 성장 속도에 맞춰 그 상황에 맞는 보안 시스템을 구축하는 게 중요하다"고 말했다. "개인정보 보호에 인센티브 적용해야"개인정보보호법 등 국내 법 체계가 업계에 그대로 적용하기엔 어렵다는 지적도 나온다. 규제와 현장이 동떨어져있다는 것이다. 최근 국내에서 인공지능(AI) 윤리 원칙이 중요해지면서 관련 연구와 적용에 한계가 있다는 분석도 있다.
현행법을 다 지키면서 경영을 이어가기에 업무량 부분에서 현실적으로 이행하기 힘들다는 지적도 적지 않다. 한 핀테크 스타트업 관계자는 "인원 10명인 작은 회사인데 개인정보 보호 업무를 하느라 1년에 한 달은 쓰는 것 같다"고 했다. 보호를 소홀히 한 기업에 대한 사후처벌은 강화하더라도 적극적으로 개인정보 보호에 투자한 스타트업엔 인센티브를 주는 방식으로 제도를 바꿔야 한다는 제언도 있다.
새로운 기술 개발이 끊임없이 이뤄지는 데이터 분야는 발전 속도와 방향을 예측하는 것이 어렵기 때문에 감독기구가 일률적인 규제 방식을 정하는 것은 사실 쉽지 않다. 규제 방향을 잘못 잡으면 유용한 기술의 개발을 저해하는 결과를 가져올 수도 있다. 고학수 개인정보위 위원장은 "빠르게 변화하는 시장 상황을 고려할 때 프라이버시 침해를 예방하기 위해 단순하고 명확한 규정을 정하는 것보다는 시장 변화에 따른 규제의 원칙과 가이드라인을 만들고 업데이트해 나가는 것이 중요하다"고 했다. <hr >
참, 한가지 더
개인정보보호위원회는 온라인플랫폼 분야 개인정보 보호 ‘민관협력 자율규제 계획’을 확정했다. 민관이 함께 개인정보 보호 강화에 나서는 온라인플랫폼 분야는 △열린장터(오픈마켓) △주문배달 △이동수단(모빌리티) △구인·구직 △병·의원 예약 접수 △부동산 △숙박 등 총 7개의 국민생활 밀접 분야다.
민관협력 자율규제는 산업계 스스로 고객의 개인정보를 보호하는 방안을 마련해 이를 개인정보위가 승인·점검하는 방식으로 운영된다.
업계는 자율규약에 대한 개인정보의 승인을 거친 뒤 이 규약을 토대로 개인정보 보호에 나선다. 개인정보위는 우수 기업에는 포상 등 인센티브를 제공하고, 규약을 준수하지 못한 기업은 개선 조치를 하도록 유도할 예정이다.
고은이 기자 koko@hankyung.com