국내외 막론하고 계속되는 호텔 개인정보 유출 사고…막을 방법 없나

지난 4월 24일 고학수 개인정보보호위원장이 오후 서울 종로구 정부서울청사에서 열린 제7회 개인정보보호위 전체회의에 참석한 모습 / 뉴시스

호텔의 고객 정보 관리 부실로 인한 투숙객 개인정보 유출 사고가 반복되고 있다. 법적 제도적 보완과 더불어 고객 정보 관리 책임자들의 주체적인 윤리의식이 먼저 확립돼야 한다는 지적이다.

4일 업계에 따르면 한화호텔리조트가 개인정보보호법 위반으로 개인정보보호위원회로부터 과징금 및 과태료 처분을 받아 개인정보보호 관리 부실 의혹이 일고 있다.

지난달 28일 정보보호위원회는 전체회의를 열고 최대 1818건의 투숙객 개인정보를 유출한 한화호텔앤드리조트에 과징금 1억8531만원과 과태료 300만원을 부과했다.

개인정보호위에 따르면 한화호텔앤드리조트는 온라인 회원도 쿠폰을 사용해 숙박 예약을 할 수 있도록 온라인 예약 절차 시스템을 변경하는 과정에서 시스템 개발 과실이 있었다. 또 시스템 사전 검증도 소홀히 한 탓에 1800건이 넘는 고객 정보가 유출된 것이다.

호텔의 고객 개인정보유출 사고는 이전부터 반복돼 온 고질적 문제다. 지난 6월 호텔스컴바인 역시 개인정보보호법 위반으로 총 1억원이 넘는 과징금과 과태료 처분을 받았다. 호텔스컴바인은 2013년 호텔 예약 플랫폼 개발 당시 예약 정보만 조회할 수 있는 접근 권한만으로 카드 정보 조회까지 가능하도록 시스템을 설계했다. 취약한 시스템의 구멍으로 해커의 공격을 받아 1246명의 개인정보가 새어 나갔다.

지난해 1월, 중구에 위치한 모 호텔은 한 달 새 두 번이나 고객 개인정보 유출 사고를 냈다. 내부 직원이 뉴스레터를 발송하던 중 회원 정보를 잘못 입력해 총 9만9344건의 회원 정보가 유출됐다. 고객 대상 특별 프로모션 안내 메일을 보내는 중 수신자 168명의 메일을 그대로 노출하고 난 뒤 불과 열흘만의 일이다.

개인정보유출 사고는 해외 호텔에서도 일어난다. 지난 2019년 전 세계 체인 호텔인 메리어트 인터내셔널 역시 중국 해커의 공격으로 고객 5억명의 개인정보 유출 사고를 냈다. 개인 정보 중 개인의 출입국 기록까지 확인할 수 있는 3억 2700만명의 여권 정보가 포함돼 더 논란이 일었다. 2018년에는 일본 호텔 체인인 프린스 호텔에서 한국인을 포함한 외국인 고객 정보 12만5천건이 해커의 공격으로 유출됐다. 유출된 정보 6만 6천여건에는 고객의 이름과 주소, 신용카드 번호 등이 포함됐다.

개인정보 유출 문제가 심각해지자 정치권이 나섰다. 지난 7월 황운하 조국혁신당 국회의원은 개인정보보호법 일부개정법률안을 대표 발의했다. 개인정보처리자가 개인정보의 분실·도난·유출을 알게 됐을 때 지체 없이 정보 주체에게 이를 알려야 하는 사항에 정보 주체의 손해배상 청구 여부에 관한 정보도 포함하도록 하는 내용을 골자로 한다. 이는 정보 주체의 손해배상 청구가 없어도 개인정보처리자가 이를 배상하게 하기 위함이다.

그러나 진짜 문제는 해외 호텔에서 개인정보 유출 사고가 발생했을 때다. 해외는 국내법이 최우선으로 적용되지 않아 법적 보호를 받기 더 어려워지기 때문이다.

유럽연합(EU) 회원국에 적용되는 일반 개인정보보호 법률인 GDPR(General Data Protection Regulation)에 따르면 유럽연합 거주 시민의 개인정보를 처리하는 모든 정보 통제자, 정보 처리자, 정보보호책임자 등이 GDPR 적용 대상이 된다. 유럽 내 개인정보보호법률이 유럽 지역 내에 있지 않은 해외 기업에도 적용되는 것이다.

그러나 우리나라 사정은 다르다. 국내 개인정보보호법에는 자국의 개인정보보호법이 해외 기업에도 적용된다는 명문 규정이 존재하지 않는다. 실질적으로 우리나라 국민은 해외에서 개인정보보호 유출 사고를 당하면 원칙적으로 해외 당국 법령에 따른 조사를 기다리거나 국내 개인정보보호위원회에 신고해 국내 개인정보보호위가 해외 국가에 수사 협조를 요청하도록 하는 방법밖에 없다.

법규의 공백도 문제지만 과징금 및 과태료 처분과 같은 처벌 이전에 기업들이 먼저 고객 개인정보보호 관리에 자율적인 책임을 느껴야 한다는 시각도 있다.

현수진 법무법인 민후 변호사는 "사실 개인정보보호법은 규제 법령의 문제고 개인정보 유출 사고는 사실적인 문제다"며 "현대 사회는 이제 모든 것이 데이터로 이루어져 있기 때문에 개인정보 유출 사고를 법만으로 막을 수는 없다. 사전 관리가 중요하기 때문에 기업들이 자율적으로 고객 정보 관리에 윤리적인 책임 의식을 느낄 필요가 있다"고 말했다.