SK플래닛이 하나카드로부터 고객인 직원들의 개인카드 이용내역을 개별 동의 절차 없이 제공받고 있는 것으로 나타났다. 국민권익위원회는 공익신고로 이 사실을 접한 뒤 경찰과 개인정보보호위원회, 금융감독원 등 관계 당국에 사건을 이첩했지만 모두 ‘문제없음’ 처분했다. 이들 판단에 따르면 사측은 직원이 앞으로 만들 카드 사용내역 제공에 동의 받지 않아도 되는 셈이어서, 정보주권 사안에 수사·감독 당국이 ‘봐주기’ 결론을 내렸다는 지적이 나온다.

취재에 따르면 하나카드는 SK플래닛 소속 직원들이 동의한 ‘복지용’ 하나카드뿐 아니라 직원들의 모든 개인용 하나카드 이용 내역을 SK M&S와 SK플래닛에 제공하고 있다. 개별 카드를 놓고 직원(하나카드 고객)별 동의를 거치지 않은 채다. 하나카드는 하나금융지주와 SKT 합작으로 설립됐고 현재는 SKT가 지분 15%를 지녔다. SK 측이 하나카드 보유 정보를 법에 따른 절차를 지키지 않고 받아볼 수 있었던 요인으로 꼽히는 대목이다.

SK계열사들은 자사 직원 대상 복지몰 혜택을 제공하는 업무를 또다른 그룹 계열사이자 복지서비스업체인 SK M&S에 맡기고 있다. SK계열사 직원들이 M&S가 운영하는 ‘베네피아’를 통해 SK계열사와 사전 제휴한 업체의 물건이나 서비스를 구입하는 방식이다. 이 서비스를 이용하려면 전 SK 계열사 임직원은 하나카드사의 ‘SK패밀리카드’를 발급해야 한다. 하나카드는 복지서비스 제공을 위해 각 직원 동의를 거쳐 해당 카드 이용내역을 SK M&S에 제공한다.

▲사진=unsplash. 해당 기사와 무관
▲사진=unsplash. 해당 기사와 무관

문제는 하나카드가 복지카드 외에 각 직원이 사적으로 발급해 쓰는 개인카드 내역도 M&S와 SK 계열사에 제공하고 있다는 점이다. 일례로 SK플래닛의 직원 A씨의 복지몰 사이트엔 그의 ‘SK패밀리카드’뿐 아니라 세종시 지역화폐카드인 ‘세종여민전 하나멤버스’ 카드 내역까지 모두 올라오고, SK플래닛도 이 정보를 제공받고 있다.

A씨는 “언제 ‘ㅂ’ 커피전문점에 들러 얼마를 썼고, 며칠에 치과와 싱싱장터, 음악학원을 들러 얼마를 지불했는지까지 세세히 나와 있었다”며 “하나카드사에 개인적으로 만든 카드 사용내역 제공을 중단할 것을 요청했지만 받아들여지지 않았다”고 했다. 신용카드 사용 내역은 가입자의 결재 내역과 방문기록은 물론 시간대별 이동경로까지 뽑아낼 수 있어 개인 직원의 내밀한 정보를 포함하는 데이터다.

개인정보보호법상 개인정보처리자는 정보주체의 개인정보를 제3자에 제공할 때 △제공받는 자 △이용 목적과 항목 △보유·이용 기간 △동의 거부권과 불이익을 고지해야 한다(17조). 개인의 신용정보 보호의무를 정한 신용정보법(32조)과 카드사의 의무를 규정한 여신전문금융업법(54조의5와 관련 대통령령)도 정보처리 주체가 개인신용정보를 타인에게 제공할 경우 미리 개별 동의를 받고 이들 항목을 고지할 의무를 명시했다.

▲SK플래닛과 SK M&S, 하나카드 로고
▲SK플래닛과 SK M&S, 하나카드 로고

개인정보보호법에 따르면 해당 조항을 지키지 않을 경우 5년 이하의 징역 또는 5000만원 이하 벌금에 처한다. 여신전문금융업법 조항의 경우 위반 시 6개월 이내 일부 업무 정지 또는 3억원 이하의 과징금 부과 대상이다. 신용정보법 관련 조항을 위반하면 5년 이하의 징역이나 5000만원 이하의 벌금, 또는 1억원 이하 과태료 부과 대상이다.

국민권익위는 지난해 10월 이와 관련한 공익신고를 접수 받고 검토를 거쳐 경기남부경찰청과 개인정보보호위원회, 금융위원회에 각각 사건을 이첩했다. 그러나 세 기관은 모두 ‘공익 침해가 없다’고 결론 짓고 사건을 종결했다.

사측 ‘사내게시판 공지’ 주장 받아들인 듯, 법적 고지·동의라 볼 수 없어


경찰은 지난달 이 사건을 내사 종결했다. 분당경찰서 관계자는 “개인정보보호법 위반 여부를 살폈는데, 신고자와 SK플래닛의 진술이 일치하지 않았다. SK플래닛은 전체 개인카드 내역 수집 사실을 공지했다고 주장했다”며 “SK플래닛 측에 부정한 방법이나 수단을 활용한 영리 취득 목적이 없다고 봐 불입건했다”고 밝혔다. 

경찰은 SK플래닛이 과거 사내 게시판을 통해 전 직원에 공지한 내용을 고지·동의절차로 받아들인 것으로 보인다. SK플래닛 측은 2018년 12월 사내 직원들에게 “하나카드(복지카드)에 대한 ‘개인정보동의’가 완료돼야 승인내역 소급이 가능하다”며 “적용 내용은 SK패밀리카드 포함 본인명의 하나카드 전체 승인내역 조회에 필요한 개인정보제공 동의”라고 밝혔다는 입장이다. 신용정보법과 여신금융정보법에 따른 동의라 볼 수 없는 부분이다. 

취재에 따르면 SK플래닛 역시 공익신고인에게 “사내 공지는 사전 안내 차원으로 구성원의 이해를 돕기 위한 별도의 안내이며, 하나카드사의 해당 동의 절차는 회사와는 무관한 영역”이라고 밝힌 바 있다. 한편 SK플래닛은 당시 M&S ‘복지몰’ 사이트를 통해 직원들이 SK패밀리카드 번호를 적도록 했고, 개별 카드에 대한 확인 절차는 거치지 않았다.

▲사진=unsplash
▲사진=unsplash

금융감독원은 신용정보법과 여신전문금융업법 위반 소지와 관련해 지난 2월8일 “하나카드가 신고인 동의 없이 일반 신용카드 사용내역 등 개인신용정보를 복지몰 운영사에 제공했다고 보기 곤란하다”며 ‘문제없음’ 처분했다. 다만 금감원은 “카드이용자가 개인신용정보 제공대상 신용카드를 명확히 인지할 수 있도록 하나카드에 동의절차 등의 개선을 지도했다”고 밝혔다. 사측의 입장을 그대로 수용하는 한편 문제가 되는 대목은 ‘개선 지도’에 그쳤다.

금감원 측은 판단 과정을 두고 통화에서 “비밀 유지 의무로 인해 공익신고 관련 내용을 일체 밝힐 수 없다. 권익위를 통해 신고자 동의를 받아야 한다”고 답변했다. 개인정보보호위원회의 경우 “위원회 처리 사항이 아니다”라며 사건을 종결했다.

회사가 직원 동선과 취향 등 사생활을 파악할 수 있는 신용정보를 절차에 따른 개별 고지와 동의를 거치지 않고 제공 받는 상황에 각 기관이 ‘공익 침해가 없다’는 결론을 내린 데에 우려가 나온다. 특히 사측이 개별 동의를 받지 않아도 된다고 판단한 대목은 개별 직원이 앞으로 만들 카드에 대해서도 별도의 동의 없이 사용 내역을 이용·제공하도록 허용할 소지를 남긴다.

▲SK M&S 홈페이지 갈무리
▲SK M&S 홈페이지 갈무리

분당경찰서 관계자는 이 같은 우려에 “이(새 카드 이용 내역을 별도 동의 없이 수집)에 대해서도 문제가 없다고 판단한다”고 밝혔다. SK그룹 임직원들은 모두 SK M&S 복지서비스를 이용해, 하나카드사가 SK 사측에 직원 개인카드내역을 제공하는 사례는 더 많을 것으로 보인다. 지난해 금감원 전자공시시스템 분석에 따르면 SK그룹 계열사가 고용한 직원 수는 4만5547명이다. 직원들 입장에선 개인정보가 노출되는 게 싫은 경우 하나카드를 쓰지 않는 방법 밖에 없다.

오병일 진보네트워크센터 대표는 “정작 정보를 수집하고 처리하는 주체인 하나카드가 고객의 동의를 받지 않은 것부터 문제”라며 “경찰은 ‘악의가 없어보였다’고 불입건 사유를 밝혔지만, 개인정보보호법엔 의도를 묻는 규정은 없다. 카드마다 정보 주체의 동의를 받지 않았는지를 확인하는 것이 핵심”이라고 강조했다. 오 대표는 “무엇보다 신용정보법상 감시·감독기관인 금융위원회와 금감원이 원칙에 따라 조사한 뒤 책임을 묻지 않은 것이 문제”라고 했다. 

오 대표는 “직원들은 회사와 비대칭 관계라 동의를 받았다고 해도 실질적 동의라고 보기 어려운 부분이 있다. 회사는 그런 부분을 고려해 개인정보를 더욱 최소한도로 수집하고 관련한 보호 의무에 충실해야 하는데 오히려 규정이 명확한 법조항을 위반해온 셈”이라며 “감독기구의 철저한 조사와 제재가 필요해 보인다”고 말했다.

하나카드 관계자는 통화에서 “전체 카드에 동의를 구하고 받았다. 그러나 그 중 어떤 카드에 동의할지 선택권을 주지 않은 점은 맞다”며 “고객 편의를 위해 6월 말까지 직원들에게 선택적으로 동의하도록 시스템을 구축하고 있다. 그때까지 고객들의 요청에 따라 동의를 철회하도록 반영하고 있다”고 했다. A씨는 “하나카드에 요청했지만 현재까지도 개인카드 내역 제공은 중지되지 않은 상태”라고 말했다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지