11일 금융권에 따르면 현재 KB국민·삼성·롯데·비씨·우리 등 5개 카드사가 온라인 거래 고객의 맥 주소를 포함한 광범위한 정보를 수집하고 있다. 전자금융거래법에 따르면 금융사는 고객의 전자 장치 관련 정보를 수집할 수 있지만, 범위에 대해 금융위원회가 유권해석을 내린 적이 없어 항목은 제각각이다.
당국의 관심이 적다 보니 일부 카드사의 맥 주소 수집 사실을 아는 고객도 거의 없다. 삼성카드는 2011년 8월부터, 비씨카드는 2012년 6월부터, 롯데카드는 2013년 3월부터 개정된 개인정보취급방침에 맥 주소, 하드디스크 번호 등의 수집 사실을 명시하고 있다. 카드사 고객정보 유출 전에 이뤄진 조치인 데다 제대로 고지하지 않아 고객의 인지율이 0%에 가깝다. 국민카드의 온라인 회원인 A씨는 “2006년부터 이용하고 있는데 내 컴퓨터와 스마트폰의 부품 정보가 모두 수집되는 줄은 전혀 몰랐다”며 “카드사는 제대로 고객에게 알리고 동의를 받아야 하는 것 아니냐”고 지적했다.
당국이 카드사의 온라인 회원약관을 들여다보지 않는 점도 ‘인지율 제로’의 원인 중 하나다. 금융감독원의 검사를 받는 개인회원표준약관과 달리 온라인 회원약관은 자율적으로 변경·수정할 수 있어 카드사들은 온라인 회원약관을 개정해 수집 근거를 마련했다. 이렇다 보니 현황 파악도 제대로 안 된 상태다.
당국의 인식과 달리 맥 주소는 국민이 민감하게 여기는 ‘뜨거운 감자’가 된 지 오래다. 2010년 온라인포털 네이트와 싸이월드가 “불량 회원의 부정 이용 방지를 위해 맥 주소를 수집하겠다”고 밝혔다가 고객들이 대거 탈퇴하자 하루 만에 방침을 취소했다. 카카오톡도 지난해 맥 주소 수집 논란에 휘말려 “수집하지 않는다”며 해명자료를 내는 소동을 겪었다. 구글도 2009∼2010년 스트리트뷰 서비스 제작과정에서 맥 주소를 불법 수집했다가 방송통신위원회로부터 2억원 이상의 과징금을 부과받았다.
현재도 이에 대한 논란이 분분해 지금처럼 무차별 수집이 이뤄지기보다는 사회적 합의가 우선돼야 한다는 지적이 나온다. 김기창 오픈넷 이사는 “IP주소와 IP의 지리적 위치정보, 고객의 기존 거래패턴, 거래물품의 성격 정도만 알아도 위험한 거래를 충분히 걸러낼 수 있다”며 “개인정보 수집을 최소화하고도 보안에 철저한 해외 업체들의 선진사례를 참고해야 한다”고 비판했다.
반면 김승주 고려대 정보보호대학원 교수는 “대조할 수 있는 정보가 많을수록 부정거래를 막을 수 있게 된다”며 “다만 무엇 때문에 맥 주소를 수집하는지, 어떻게 보안을 지킬 것인지, 대체할 만한 기술이 없는지 등 고객들에게 상세하게 고지하지 않은 점은 문제”라고 지적했다. 이에 대해 금감원 관계자는 “수집 가능한 항목의 범위와 보안 문제에 대해 논의할 필요가 있다”고 말했다.
이현미 기자 engine@segye.com
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]