소상공인 사업장, 개인정보 유출 '사각지대'

#최근 A씨는 지인으로부터 난 화분을 배달 받고 깜짝 놀랐다. 화분이 깨지지 않도록 완충재로 들어 있던 종이가 이력서와 다른 고객의 인수증이었다. 이력서에는 사진은 물론 주민등록번호, 전화번호, 이메일, 학력, 희망연봉, 집주소 등 민감한 개인 정보가 가득 들어 있었다. 취업을 위한 개인 소개서도 들어 있었다. 다른 꽃을 배달하고 받은 인수증에도 모르는 사람의 이름, 전화번호, 회사, 보낸 사람 이름과 직위, 전화번호, 위치 정보가 가득했다. 이력서를 이면지로 사용해서 인수증을 출력까지 했다.

꽃집, 음식점 등 주문 정보를 받아 처리하는 소상공인이 개인 정보 유출 사각지대로 떠올랐다. 1~5인 이하 소상공인 사업장은 개인 정보 보호 의식이 낮은 데다 관련 보호 솔루션 등을 설치하지 않은 곳이 대부분이다. 정보 보호 책임자도 없다.

이력서를 이면지로 사용해 개인정보 유출이 심각하다.
이력서를 이면지로 사용해 개인정보 유출이 심각하다.

꽃집이나 음식점 등은 본사에서 고객 정보를 통합해 관리하거나 가맹점 자체에서 개인 정보를 수집한다. 가맹점은 배달 등을 위해 고객 정보가 포함된 문서를 보유하게 되지만 관리가 부실하다. 본사는 주문을 받아 지역 가맹점으로 고객의 개인 정보와 내역을 제공한다. 가맹점은 주문 상품 배달 목적만으로 고객 정보를 이용해야 한다. 배달 후 관련 정보는 파기해야 한다. 고객 정보가 포함된 문서는 잠금장치가 있는 곳에 보관해야 하지만 관리 또한 허술하다.

소상공인 사업장은 이력서와 자기소개서 등을 받아 제대로 파기하지 않고 이면지로 사용한다. 개인 정보 보호 의식이 낮아 발생한 사고다. 다른 고객의 개인 정보가 담긴 인수증 역시 제대로 파기하지 않고 다른 용도로 사용했다. 소상공인 사업장 PC 역시 관리 사각지대다. 고객관리프로그램 접속 ID를 여러 사람이 공유하고 있다.

문제는 이같이 소상공인을 통해 유출되는 개인 정보가 몇 건인지 파악조차 어렵다는 것이다. 한국인터넷진흥원 118 개인 정보 침해사고 신고센터는 사업장 규모별로 사고 신고를 받지 않는다고 밝혔다. 개인 정보 침해 사고 상담 건수는 계속 늘고 있다. 2016년 9만8210건에서 2017년 10만5122건에 달했다.

고객 정보가 들어있는 인수증을 제대로 파기 하지 않고 화분 완충제로 사용했다.
고객 정보가 들어있는 인수증을 제대로 파기 하지 않고 화분 완충제로 사용했다.

행정안전부 관계자는 “공공과 민간 기업 등 분야별로 개인정보보호실태 조사를 실시하고 있다”면서 “영세한 소상공인은 일일이 점검하기가 어렵다”고 설명했다. 이 관계자는 “소상공인 대상으로 개인정보보호 계도나 교육 활동을 한다”면서 “너무 영세해서 과태료를 물릴 수 없는 경우가 많다”고 덧붙였다.

이 관계자는 “영세한 소상공인 사업장은 개인 정보 오남용을 예방하기 위한 개인정보처리시스템을 갖출 수 없는 상황”이라면서 “개인 정보 수집의 적정성이나 보존 기관이 경과된 정보 파기, 업무 위탁 시 수탁사 관리 감독, 접근 권한 관리, 접근 통제, 개인 정보 암호화, 접속 기록 보관과 점검 등이 미흡하다”고 설명했다.

행안부는 4월부터 6월까지 가전, 의류, 식품, 대학, 호텔 등 150곳을 대상으로 상반기 개인 정보 보호 실태를 서면 점검한다. 서면 점검과 관련해 자료 제출 요령 등 수검 기관의 이해를 돕기 위해 30일 오후 2시 서울 중구 명동 전국은행연합회관 국제회의실에서 설명회를 개최한다.

개인정보 침해사고 상담 건수(단위: 건)

자료: 한국인터넷진흥원 개인정보침해신고센터 접수자료

소상공인 사업장, 개인정보 유출 '사각지대'


김인순 보안 전문기자 insoon@etnews.com