한겨레

“고객 개인정보가 유출은 됐다. 우리 책임은 아니다.”

최근 빅테크 업계에서 들불처럼 번지는 해명이다. 이달 초 카카오톡 오픈채팅방에서 톡 유저 아이디 유출 사실이 드러났을 때 카카오 쪽은 “톡 유저 아이디는 개인정보가 아니라서 개인정보 유출 책임이 없다”고 밝혔다. 쿠팡 역시 최근 고객 정보 유출 사실이 드러나자 “회사 서버와 네트워크에서 유출되지 않았다. 신고 책임이 없다”고 말했다. 빅테크 업체를 신뢰해 회원 가입 뒤 서비스를 이용한 고객들로선 의아하게 느껴질 법한 대응이다.

왜 그럴까. 개인정보 관리 규정을 담은 개인정보보호법에 ‘회색지대’가 있기 때문이다. 이 법은 개인정보 범주를 열거하면서 신고 및 이용자 고지 의무를 ‘개인정보 취급자’에게 부여한다. 유출 정보가 ‘개인정보’가 아니거나 고객 정보가 유출된 곳이 자체 서버나 네트워크가 아니면 법망을 피해갈 소지가 있는 셈이다.

법의 회색지대는 플랫폼 생태계를 만나 더 도드라진다. 플랫폼 생태계에선 오픈마켓 판매자와 같이 고객 동의를 받고 플랫폼 업체에서 정보를 넘겨받은 ‘제3자 업체’가 적잖다. 정보 유출 사고 때 책임 소재를 놓고 공방을 벌이며 서로 책임을 미루려는 모습이 플랫폼 생태계에서 자주 발생하는 까닭이다. 쿠팡이 지난 1월 고객 정보 유출 사실은 물론, 유출된 정보를 판매하려는 존재까지 파악했으면서도 두달 지난 현시점에도 정보보호 당국에 신고하지 않은 것도 같은 맥락이다. 쿠팡 입점 업체, 배송 대행업체 등 ‘제3자’ 쪽에서 고객 정보가 유출된 것으로 쿠팡이 판단해서다.

회색지대에서 벌이는 개인정보위와 빅테크 간 충돌도 흥미롭다. 개인정보위는 2020년 장관급 기구로 격상된 뒤, 플랫폼 사업자의 고객 정보 관리 책임을 적극적으로 묻고 있다. 여기에 반발한 빅테크 기업 중엔 ‘회색지대’를 법원으로 끌고 가는 곳도 있다. 대표적인 예가 개인정보위로부터 과태료 처분을 받은 네이버·지(G)마켓이 제기한 처분취소 소송이다. 개인정보위가 오픈마켓 계정 도용 문제가 심각해 징계 조처를 내린 데 대해 해당 기업은 고객의 정보 제공 동의를 받은 ‘제3자’인 입점 업체에서 정보가 유출된 점을 들어 징계가 부당하다고 맞섰다. 지난해 7월 서울행정법원은 일단 네이버·지마켓의 손을 들어주는 결정을 내렸다. 개인정보위가 항소에 나서면서 이 공방은 ‘2라운드’가 진행 중이다.

빅테크 업체가 소송까지 불사하고 나서는 데는 또 다른 이유가 있다. 개인정보 관리 영역을 제3자 업체까지 넓히는 데 따르는 법적 부담과 경제적 비용은 물론, 현실적인 한계도 있다고 보기 때문이다. 이름을 밝히길 꺼린 빅테크 업체 관계자는 “고객 정보 유출에 대한 도의적 책임은 느끼지만 수십만 이상의 ‘제3자’ 업체들 관리까지 하게 되면 들어가는 비용은 물론, 현실적 한계도 있다”며 “기업들로선 개인정보위 처분에 대한 취소 소송에 나설 수밖에 없다”고 말했다.

허진민 변호사(참여연대 공익법센터 소장)는 “협력사 시스템 등에서 정보가 유출된 것으로 확인되면 빅테크 기업이 법적 책임을 피할 수 있는 제도상 허점이 있다”며 “개인정보위가 적극적 법 해석을 토대로 행정 조처에 나서는 것과 별개로 제도적 보완도 면밀하게 검토해야 한다”고 밝혔다. 허 변호사는 “빅테크 기업도 법적 책임을 떠나 자신들을 믿고 거래하는 고객들의 눈높이에 맞춰 개인정보 보호 시스템을 재구성해야 한다”고 덧붙였다.

임지선 기자 sun21@hani.co.kr 옥기원 기자 ok@hani.co.kr 정인선 기자 ren@hani.co.kr