▼관련기사▼ |
DM발송 어떻게 이뤄지나 |
“개인정보 중 가장 중요한 것이 주민번호 아닌가. 대체 고객정보관리를 어떻게 하는지 의심스럽다.” L씨는 “SK측에 수 차례 공개사과를 요구했지만 그때마다 구두 사과에 그쳤다”며 “해당 부서는 발송된 DM 중 몇 통에 문제가 있는지조차 파악하지 않고 있었다”고 분통을 터뜨렸다. 잇따른 항의에도 SK측으로부터 ‘만족할 수준의 해명’을 듣지 못한 L씨는 이 문제가 언론에도 보도되지 않자 결국 11월27일 청와대 인터넷 신문고에 민원을 올렸다.
DM을 통한 개인정보 유출 사례는 이번이 최초. 특히 연매출 12조원에 달하는 굴지의 대기업에서 발생한 문제란 점에서 더욱 경각심을 불러일으키고 있다. ‘주간동아’의 취재 결과 SK㈜는 DM 발송업무를 용역업체에 맡겨 처리하는 과정에서 고객정보 관리를 소홀히 한 것으로 드러났다.
SK에 따르면 OK캐쉬백은 엔크린보너스 카드, 011리더스클럽 카드 등 10여종의 멤버십 제휴카드를 전국 4만여개 가맹점에서 사용하면 마일리지 포인트가 누적되는 적립식 할인카드서비스. 가입회원은 1500여만명이다.
▼“전산 착오에 따른 실수” 해명▼
SK는 이 가운데 지난 8월 중 1회 이상 거래실적이 있는 소위 ‘유(有)실적’ 회원 8만262명에게 감사의 뜻을 담은 DM을 9월 들어 모두 세 차례로 나눠 보냈다. 이 과정에서 처음 두 차례(각 4만명) 보낸 DM에는 문제가 없었으나 마지막 발송한 262명분의 DM은 봉투에 비닐로 창을 낸 투명창 내부의 주소 기록용지에 해당 회원의 주민번호가 찍힌 상태로 발송된 것.
“전산 착오로 문제가 생겼다. 반송 DM의 효율적 관리를 위해 통상 주소 기록용지에 개인 식별정보를 담은 바코드를 인쇄하는데 출력 프로그래밍이 잘못된 걸 모르고 출력해 주민번호까지 인쇄됐다.” SK㈜ OK캐쉬백 사업팀 주동욱 과장은 “여러 개 카드에 중복 가입한 회원이 많아 부득이 주민번호를 식별코드로 사용하고 있는데 이번 기회에 식별코드를 다른 정보로 바꾸겠다”고 해명했다.
상식적으로, 고객과의 신뢰를 중시하는 대기업의 이같은 ‘실수’에 고의성이 개입됐다고 보긴 힘들다. 그러나 ‘미필적 고의’의 여지는 충분하다. SK측은 DM에 대한 ‘검수’작업을 제대로 하지 않은 것이다.
DM 발송을 용역업체에 의뢰한 기업은 DM에 인쇄될 사항(고객 성명, 주소 등)이 제대로 출력되는지 여부를 확인하는 검수 절차를 거쳐야 하는데, SK측은 발송을 용역업체인 D전산에 맡긴 뒤 8만명분의 DM에 대해선 출력 샘플을 뽑아 검수했지만 문제가 된 262명분의 DM은 소량이라는 이유로 검수를 생략한 것이다. 단 1개의 샘플만 미리 뽑아봤더라도 주민번호가 유출되지 않을 수 있었던 셈이다.
D전산 관계자는 “신용카드사를 제외한 대다수 의뢰기업들이 직접 방문해 검수하는 경우는 거의 없다. 보통 출력 샘플을 팩스로 받아 검수하는 것이 업계의 관행”이라 말했다. 언제든 다른 기업에서도 유사한 유출 사례가 발생할 수 있다는 점을 시사하는 대목이다. 이 관계자의 말대로 SK도 8만명의 DM 샘플 검수를 팩스를 통해 했던 것으로 밝혀졌다.
▼사이트에 피해자 항의 빗발▼
SK의 고객정보 관리 허점은 또 있다. 문제 발생조차 까맣게 몰랐던 SK는 L씨의 항의를 받은 뒤에야 부랴부랴 사실 확인에 나선 데다 유출 피해를 본 회원 중 20여명이 OK캐쉬백 사이트를 통해 항의를 해오자 공개사과 대신 e-메일과 유선전화로만 유감의 뜻을 전한 것. 실수를 인정하고 관용을 바라는 ‘대승적 자세’ 대신 쉬쉬하며 문제를 감추려는 소극적 행태를 보인 것이다.
“사실 기업 이미지 실추가 우려돼 공개사과 여부를 상당히 고심했다. 조만간 SK㈜ 사장 명의의 사과문을 회원들에게 발송할 예정이다. 현재 문안을 작성중이다.” SK㈜ 홍보실 윤철 대리는 “앞으로 검수를 철저히 하고 만일 이번 주민번호 유출로 피해를 본 회원이 있다면 회사가 모든 책임을 지겠다”고 밝혔다.
하지만 문제가 모두 해결된 건 아니다. 이미 외부에 공개돼버린 주민번호가 악용될 소지는 상존하고 있는 것이다. 가짜 신분증 발급, 각종 인터넷 사이트의 유령회원 가입 등 소홀한 본인 확인절차를 노린 주민번호 도용행위는 실제 빈번히 일어나고 있다.
이를 우려한 L씨가 주민번호 유출을 정보통신부 산하 개인정보침해신고센터에 신고한 뒤 받은 회신에서도 “DM을 통한 주민번호 유출은 온라인 상의 개인정보 유출이 아니므로 개인정보보호에 대해 규정한 ‘정보통신망 이용촉진 등에 관한 법률’의 해당사항이 아니다”는 내용만 담고 있을 뿐이다.
어쨌든 문제의 DM이 반송된 경우는 아직 없다. 100% 본인에게 전달됐을지는 의문이지만 유출과 관련된 주민번호 도용 피해 사례도 접수되진 않았다.
“상업적 목적이 아니라 개인식별용으로 사용하는 만큼 고객 주민번호를 DM 용역업체에 넘기는 것은 법적으로 문제되지 않는다.” 회원가입 약관에 동의했다는 이유를 내세워 개인정보 유출을 ‘단순한 정보관리상의 문제’로 돌리는 기업들의 항변이다. 그러나 ‘믿고 제공한’ 고객의 신상정보가 일단 노출된 이후의 피해는 결코 작지 않다.
<김진수기자>jockey@donga.com