#최근 A씨는 지인으로부터 난 화분을 배달 받고 깜짝 놀랐다. 화분이 깨지지 않게 완충재로 들어있던 종이가 이력서와 다른 고객 인수증이었다. 이력서에는 사진은 물론 주민등록번호, 전화번호, 이메일, 학력, 희망연봉, 집주소 등 민감한 개인정보가 가득 들어있었다. 취업을 위한 개인 소개서도 들어 있었다. 다른 꽃을 배달하고 받은 인수증에도 모르는 사람의 이름, 전화번호, 회사, 보낸 사람 이름과 직위, 전화번호, 위치 정보가 가득했다. 이력서를 이면지로 사용해 인수증을 출력했다.

꽃집, 음식점 등 주문정보를 받아 처리하는 소상공인이 개인정보 유출 사각지대로 떠올랐다. 1~5인 이하 소상공인 사업장은 개인정보보호 의식이 낮은데다 관련 보호 솔루션 등을 설치하지 않은 곳이 대부분이다. 정보보호책임자도 없다.

꽃집이나 음식점 등은 본사에서 고객정보를 통합해 관리하거나 가맹점 자체에서 개인정보를 수집한다. 가맹점은 배달 등을 위해 고객정보가 포함된 문서를 보유하게 되는데 관리가 부실하다. 본사는 주문을 받아 지역 가맹점으로 고객 개인정보와 내역을 제공한다. 가맹점은 주문 상품 배달 목적만으로 고객정보를 이용해야 한다. 배달 후 관련 정보는 파기해야 한다. 고객 정보가 포함된 문서는 잠금장치가 있는 곳에 보관해야 하는데 관리가 허술하다.

소상공인 사업장은 이력서와 자기소개서 등을 받아 제대로 파기하지 않고 이면지로 사용한다. 개인정보보호 의식이 낮아 발생한 사고다. 다른 고객 개인정보가 담긴 인수증 역시 제대로 파기 하지 않고 다른 용도로 사용했다. 소상공인 사업장 PC 역시 관리 사각지대다. 고객관리프로그램에 접속 ID를 여러 사람이 공유한다.

문제는 이같이 소상공인을 통해 유출되는 개인정보가 몇 건인지 파악조차 힘들다. 한국인터넷진흥원 118 개인정보 침해사고 신고센터는 사업장 규모별로 사고 신고를 받지 않는다고 밝혔다. 개인정보 침해사고 상담 건수는 계속 늘고 있다. 2016년 9만8210건에서 2017년 10만5122건에 달했다.

행정안전부 관계자는 “공공과 민간 기업 등 각 분야별로 개인정보보호실태 조사를 한다”면서 “영세한 소상공인은 일일이 점검이 어렵다”고 설명했다. 이어 “소상공인 대상으로 주로 개인정보보호 계도나 교육 활동을 한다”면서 “너무 영세해서 과태료를 물릴 수 없는 경우가 많다”고 덧붙였다.

이 관계자는 “영세한 소상공인 사업장은 개인정보 오남용을 예방하기 위한 개인정보처리시스템을 갖추기 어렵다”면서 “개인정보 수집 적정성이나 보존기관이 경과된 정보 파기, 업무 위탁시 수탁사 관리 감독, 접근 권한 관리, 접근 통제, 개인정보 암호화, 접속 기록 보관과 점검 등이 미흡하다”고 설명했다.

행정안전부 4월부터 6월까지 가전, 의류, 식품, 대학, 호텔 등 150개소 대상으로 상반기 개인정보 보호실태를 서면점검 한다. 서면점검과 관련해 자료제출 요령 등 수검기관 이해를 돕기 위해 30일 14시 서울 명동 전국은행연합회관 국제회의실에서 설명회를 개최한다.

개인정보 침해사고 상담 건수(단위: 건)

자료: 한국인터넷진흥원 개인정보침해신고센터 접수자료

김인순 보안 전문기자 insoon@etnews.com