휴스템코리아 준조합원의 개인정보는 안전한가?

01. 개인정보 유출 동향과 안전조치 위반 유형

지난 2022년, 개인정보보호위원회는 구글과 메타를 대상으로 이용자 개인정보를 불법 수집하여 온라인 맞춤형 광고 서비스를 제공한 행위에 대하여 총 1,000억원 상당의 과징금을 부과했다.

챗봇 '이루다'의 경우, 다른 앱 이용자의 사적인 데이터를 무단으로 수집해 학습 데이터로 사용하여 서비스 중단 및 손해배상 집단소송의 대상이 되기도 했다.

이처럼 개인정보의 무분별한 활용은 기업의 경제적 손실을 초래할 뿐만 아니라, 사회적 신뢰 훼손과 앱 이용자의 피해로 직결된다.

최근에 한국인터넷진흥원(KISA)과 개인정보보호위원회에서 실시한 조사에 따르면, 개인정보 유출사건의 안전조치 위반유형 중 가장 많은 비중을 차지하는 것은 '전송시 암호화(25%)' 라고 한다.

그렇다면, 휴스템코리아에서 제공하는 해피캐쉬(앱)의 경우는 어떨까?

02. 구글 플레이(Google Play)의 데이터 정책과 해피캐쉬(앱)의 데이터 보안정보

구글 플레이(Google Play)는 <데이터 보안 섹션>을 통해 사용자가 다운로드할 앱에 대해 올바른 결정을 내릴 수 있도록 돕고 있으며, 모든 개발자는 Google Play의 사용자 데이터 정책에 따라 정확한 정보를 제공해야 할 의무가 있다. 만약, 개발자가 데이터를 허위로 진술해 제공하거나 정책을 위반한 것이 확인될 경우, 개발자에게 시정을 요구할 수 있으며, Google Play의 정책을 준수하지 않는 앱은 업데이트 차단, Google Play에서 삭제 등의 정책 시행이 적용될 수 있다.

Google Play의 데이터 보안 섹션 정보 제공 - Play Console 고객센터

Google Play에서 해피캐쉬(앱)를 찾아서 데이터 보안정보를 확인해보면 아래와 같은 설명이 나온다.

① 데이터가 암호화되지 않음

② 데이터를 삭제할 수 없음

직전 문단에서 언급했듯이, 안전조치 위반유형 중 가장 많은 비중을 차지하는 것이 '전송시 암호화(25%)'이다. 해피캐쉬(앱)의 경우, 데이터가 암호화되지 않은 채로 전송되므로, 앱 이용자의 개인정보가 유출될 위험이 크다는 것을 알 수 있다. 또한, 개인정보처리자가 앱 이용자(정보주체)로부터 수집한 개인정보를 삭제할 수 없음이 명시되어 있다. 그렇다면, 이것은 법적으로 어떤 문제가 있을까?

03. 개인정보보호법 상 안전조치의무와 개인정보 삭제요청 권리

개인정보보호법에 따르면, 개인정보처리자는 정보주체의 개인정보의 유출을 방지하기 위해 안전성 확보조치를 해야하며, 이를 위반했을 경우 5천만원 이하의 과태료를 부과한다고 되어있다. 또한, 정보주체는 개인정보처리자에게 개인정보의 열람 및 삭제를 요구할 수 있는 권리가 있으며, 개인정보처리자가 이를 조치하지 아니한 경우 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다고 되어 있다.

▶ 개인정보보호법 제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

▶ 개인정보보호법 제75조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
5. 제23조제2항ㆍ제24조제3항ㆍ제25조제6항(제25조의2제4항에 따라 준용되는 경우를 포함한다)ㆍ제28조의4제1항ㆍ제29조(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

▶ 개인정보보호법 제36조(개인정보의 정정·삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

▶ 개인정보보호법 제73조(벌칙)
① 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제36조제2항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자

04. 위험에 노출된 개인정보의 종류

휴스템코리아가 해피캐쉬 앱 이용자로부터 수집하는 데이터의 종류는 아래와 같으며, 적절한 안전성 확보조치가 이루어지지 않았을 경우, 이와 같은 개인정보들이 외부 유출이나 해킹의 위험에 노출되어 있는 상황이다.

① 개인 정보(이름, 사용자 ID, 주소, 전화번호)

② 금융 정보(구매 내역)

③ 연락처

④ 앱 활동(앱 상호작용, 인앱 검색 기록, 설치된 앱)

⑤ 웹 탐색(웹 방문기록)

⑥ 기기 또는 기타 ID

05. 수집한 개인정보는 어디로 제공될까

서울시 서초구청은 최근 휴스템코리아 영농조합법인의 '농어업경영체 육성 및 지원에 관한 법률' 위반 사실을 확인하여 법원에 해산명령 청구를 신청하였으며, 법원의 결정이 나오려면 약 2~3개월 정도가 소요될 예정이다. 하지만, 언론사의 보도가 점차 늘어나는 상황에서 준조합원의 탈퇴마저 가속화될 경우, 휴스템코리아는 자금 압박에 시달려 사면초가의 늪에 빠질 수 있다.

시더스몰 웹사이트에서 제공하는 '개인정보처리방침'에 따르면, 아래의 경우 휴스템코리아는 제3자에게 개인정보를 제공할 수 있다고 규정하고 있다.

휴스템코리아 국내/해외 사업장 소속 임직원간 원활한 업무 추진 및 의사소통이 필요한 경우

만약, 법원의 결정으로 영농조합법인에 대한 해산 명령이 떨어질 경우, 15만명의 준조합원의 개인정보는 어떻게 되는 걸까? 휴스템코리아 준조합원 신규모집 정체로 인하여 자금 유입이 막히고 폰지사기 피해자가 우후죽순 생겨난 이후에도 준조합원의 개인정보가 안전할 것이라고 믿어도 될까?