개인정보위, 사기피해 조회서비스·세무앱 사업자 대상 시정조치

더치트㈜에 과태료 480만 원 부과…세무앱 3개사엔 개선권고

[한국정보기술신문] 개인정보보호위원회(위원장 고학수)가 7월 9일 제15회 전체회의를 열고 온라인 사기피해 조회서비스와 세무대행앱 사업자들에 대한 조사·처분 결과를 심의·의결했다고 발표했다. 이번 조치는 민원신고에 따라 관련 조사에 착수한 결과로, 국민이 널리 이용하는 서비스의 개인정보 처리 적정성을 점검한 것이다.

더치트㈜ 사기피해 서비스 운영 현황

더치트㈜는 중고거래 사기 및 보이스피싱 등 온라인 사기 피해 사례를 등록·조회할 수 있는 서비스를 운영하고 있다. 이 서비스는 온라인 사기 피해자가 피해 사례를 등록하는 과정에서 사기 행위를 의심받는 자의 개인정보(계좌번호, 휴대전화번호 등)를 피해자로부터 수집·처리하는 방식으로 이뤄진다.

개인정보위는 더치트㈜의 개인정보 수집·처리에 대해 제3자의 급박한 재산상 이익을 위해 필요한 것으로 판단했다. 개인정보 보호법 제15조제1항제5호에 따라 "명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우" 개인정보의 수집·이용이 가능하다는 조항을 적용한 것이다.

개인정보위는 더치트㈜가 수집한 개인정보를 사기 피해 방지 목적으로만 제한적으로 이용·제공하도록 개선권고했다. 또한 개인정보의 보유 및 공개기간을 필요 최소한으로 설정하고, 사기 의심자가 실제 사기 피해가 없음을 소명한 후 자신의 개인정보 삭제를 요청하면 등록 정보 삭제 등 필요한 조치를 마련하도록 했다.

더치트㈜는 회원가입 및 피해사례 등록 시 이용자로부터 동의를 구분해서 받아야 하는데 이를 개인정보처리방침 및 피해사례 등록 약관으로 포괄 동의를 받고 있었다. 또한 개인정보 처리방침의 일부 항목이 누락된 사실이 확인됐다.

개인정보위는 더치트㈜에 과태료 480만 원을 부과하고 시정조치를 명령했다. 또한 처분 결과를 공표하고 향후 이행 여부를 확인하기로 했다.

세무앱 3개사 서비스 운영 방식

토스인컴(주), 지앤터프라이즈(주), 자비스앤빌런즈는 각각 '세이브잇', '1분', '삼쩜삼'이라는 종합소득세 환급 대행 서비스를 제공하고 있다. 이들 3개사는 이용자로부터 환급 관련 정보 조회를 위해 주민등록번호를 입력받아 공공서비스(홈택스, 정부24)에 로그인하여 정보 수집 후 환급액을 조회하고, 이용자가 환급신청시 환급신청서 작성을 위해 다시 주민등록번호를 입력받아 홈택스에서 환급신청을 대행해주는 서비스를 운영한다.

조사 결과, 3개사는 이용자로부터 '주민등록번호 입력 관련 동의'를 받아 주민등록번호 처리 권한을 보유한 공공기관(홈택스, 정부24)에 전달하는 것에 명시적 위임을 받고 있었다. 입력받은 주민등록번호를 단순 전달 후 저장하지 않는다는 점이 확인되어, 개인정보위는 보호법상 제한된 행위로 판단하지 않았다.

개인정보위는 보호법상 주민등록번호의 이용을 엄격히 제한하고 있는 취지를 고려하여 주민등록번호 입력 최소화 방안 마련을 검토할 것을 개선 권고했다. 예를 들어 환급세액 정보조회만 할 경우, 공공사이트(정부24, 홈택스) 회원에 가입한 이용자의 주민등록번호 입력이 불필요하다는 방안을 제시했다.

토스인컴(주)·지앤터프라이즈(주)는 개인정보 처리방침상 개인정보 보유기간을 명시하면서 보유 근거가 되는 법률명만을 기재하고 있었다. 개인정보위는 개인정보 처리에 관한 절차와 기준을 정보주체에게 투명하게 공개하기 위해 구체적인 법률 조항을 기재하도록 개선 권고했다.

이번 조사·처분은 국민이 널리 이용하는 서비스에 대해 개인정보 처리근거를 명확히 해석함으로써 사업자가 법적 리스크 없이 사업을 지속할 수 있도록 하되, 보호법 위반행위는 처분하고 정보주체의 개인정보 자기결정권을 강화하는 방향으로 서비스 개선을 유도한 데 의의가 있다. 개인정보위는 이번 조사·처분 관련 시정명령 및 개선권고 이행 여부를 철저히 점검하여 사업자들이 서비스 운영과정에서 개인정보 보호를 지속적으로 강화할 수 있도록 조치할 계획이라고 밝혔다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org