인터넷 요금 결제와 관련된 업체들이 ‘개인정보 유출’ 혐의로 검찰에서 무더기 조사를 받게 됐다. 다음 등 인터넷 포털은 물론 넥슨 등 게임회사, 다날 등 결제대행 업체들이 모두 포함됐다.

개인정보는 법에 따라 엄격하게 제한된 범위 내에서만 주고받을 수 있는데도 이들 업체는 요금 결제를 편리하게 하기 위해 ‘관행’적으로 개인정보를 주고받은 것으로 경찰은 파악하고 있다.

○구매 때마다 개인정보 주고받아

인터넷에서 물건을 구입하는 사람들은 신용카드나 휴대폰, ARS 등으로 결제를 한다. 인터넷 결제를 원활히 하기 위해 인터넷포털과 게임업체들은 결제대행 업체를 이용하는 것이 일반적이다.

이번에 개인정보 유출 혐의를 받은 것은 두 가지다. 모두 ‘결제 과정에서 요금 정보를 확인하기 위해 이용자 개인정보를 서로 수집해 교환’한 행위와 관련돼 있다.

전기통신사업법(83조1항)에 따르면 개인 인터넷주소(IP) 정보는 통신비밀로 간주돼 제3자에게 줄 수 없다. 개인의 IP정보를 받으려면 법원의 영장이 필요하다.

하지만 다음과 SK커뮤니케이션즈 등 일부 인터넷포털과 넥슨, 엔씨소프트, 네오위즈게임즈, CJ E&M, 블리자드엔터테인먼트코리아 등 게임사, 이동통신사인 LG유플러스는 이 같은 조항을 어기고 결제대행 업체에 IP정보를 제공했다.

이 같은 혐의가 불법으로 최종 판결을 받으면 3년 이하의 징역 또는 1억5000만원 이하의 벌금에 처해질 수 있다.

두 번째 혐의는 결제과정에 입력하는 개인 신용 정보를 동의 없이 게임·포털사에 제공(신용정보보호법 32조1,2항 위반)했다는 혐의다. KG이니시스·KG모빌리언스·다날·한국사이버결제·갤럭시아 커뮤니케이션즈·LG유플러스 등이 위반했다는 것이다. 위반시 벌칙은 5년 이하의 징역 또는 5000만원 이하의 벌금이다.


○업계 “고의성 없다”

해당 업체 관계자들은 “경찰이 과도하게 법을 적용했다”며 반발하고 있다. 정보통신망법(22조2항)에 따르면 ‘요금 정산을 위해 필요한 경우에는 이용자 동의가 없어도 된다’고 돼 있다. 이용자의 이름, 주민등록번호, 휴대전화 번호 등 결제와 관련된 개인정보를 교환해도 문제가 없다는 것이다. 악의적으로 활용하지도 않았다는 게 업체 관계자들의 얘기다.

LG유플러스 관계자는 “고의적으로 (개인정보를) 유출한 것도 아니고 현행 시스템에서는 개인정보 교환이 불가피한 측면도 있다”고 말했다.

다음 관계자는 “자세한 수사 내용이 나오기 전까지 입장을 밝힐 수 없다”고 말을 아꼈고 넥슨 관계자는 “아직 연락을 받은 내용이 없고 관련 혐의가 없는 것으로 알고 있다”며 “기소되면 충실히 수사에 임하겠다”고 전했다.

○“정보보호에 소홀했다” 지적도

분당경찰서 관계자는 이에 대해 “개인정보를 주고받은 사실을 정보통신망법으로 처벌하는 게 아니다”며 “해당 업체들이 위반한 법은 전기통신사업법과 신용정보보호법”이라고 말했다. 또 “요금 결제를 위해 개인정보를 주고받은 것이기 때문에 악의가 없다는 게 업계 관계자들의 얘기지만 불법은 불법”이라고 재차 강조했다.

지난해 9월 개인정보보호법이 시행되고 올해 8월 정보통신망법 개정안이 발표되는 등 개인정보를 보호하려는 추세가 강화되고 있는데도 업체들이 안이하게 대처했다는 지적도 있다. 지난 6월 방송통신위원회(방통위)는 넥슨이 ‘제3자에게 정보제공’ 동의를 받지 않고 2006년부터 2010년까지 자사 홈페이지 ‘넥슨닷컴’에 가입한 180만명의 개인정보를 이용해 게임 홍보성 휴대전화 메시지를 보낸 것에 대해 과징금 7억7100만원과 과태료 1500만원을 부과한 적이 있다.

네이버를 운영하는 NHN은 2008년 유사한 조사를 받으면서 내부적으로 시스템을 정비해 이번 조사 대상에서 제외됐다.

임종인 고려대 정보보호대학원장은 “이용자들은 자신의 개인정보가 게임과 인터넷 포털 회사들, 결제대행 업체들 사이에서 자유롭게 오가는 것을 전혀 모를 것”이라며 “관례적으로 해왔던 것들을 엄격하게 들여다볼 필요가 있다”고 말했다.

김보영 기자 wing@hankyung.com