"본사에 물어봐야"…애플, 4천만 개인정보 국외이전 책임 회피 논란

국내 고객 4000만명의 개인정보가 중국 알리페이로 넘어간 ‘카카오페이·애플페이 사태’를 심의한 정부 개인정보보호위원회(이하 개인정보위)의 지난달 전체회의에서, 애플 측이 “정확히 모르겠다”, “본사에 요청해보겠다” 등 자료 제출과 질의에 비협조적인 태도로 일관한 사실이 드러났다.

개인정보위 내부에서는 “다국적 기업에 대한 국내 대리인 제도가 실효성이 떨어진다”는 지적이 쏟아졌고, 위원회는 관련 법 개정을 예고했다.

25일 개인정보위가 공개한 지난달 제1·2회 전체회의 속기록에 따르면, 위원들은 카카오페이 이용자의 결제정보가 중국 알리페이로 넘어간 경위와 애플의 ‘NSF(점수)’ 활용 범위 등을 집중 추궁했다. NSF 점수란 애플이 자사 서비스 내 여러 건의 소액 결제를 한데 묶어 일괄 청구할 때, 자금 부족 가능성을 판단하기 위해 매기는 고객별 점수다.

앞서 개인정보위 조사 결과, 애플은 알리페이에 카카오페이 이용자의 결제정보를 전송하고, NSF 점수를 산출하는 개인정보 처리를 위탁하면서 국외 이전 사실을 이용자들에게 고지하지 않았다. 이로 인해 애플은 개인정보위로부터 24억500만 원의 과징금을 부과받았다.

그러나 개인정보위가 전체회의에서 “알리 등 다른 기업에서도 NSF 점수를 활용하는 국가가 또 어디냐”, “본사 차원에서 관련 자료를 제출하라”고 요구하자, 애플의 국내 대리인은 “클라이언트(애플 본사)에 확인해야 한다. 공개하기 어렵다”, “정확히 모르겠다”고 답했다. 이어 문건 제출을 재차 요구하자 “담당자 중 퇴사한 이들이 많아 이메일 등을 찾지 못했고, 증빙자료도 없다”는 말만 반복한 것으로 전해졌다.

이 같은 답변 태도에 대해 개인정보위 위원들은 “자료가 없다, 모른다는 게 피심인(개인정보 침해 조사를 받는 당사자)으로서의 성실한 태도인지 의문”이라며 강하게 질타했다.

개인정보위는 이번 사례에서 다국적 기업에 대한 국내 대리인 제도의 한계를 재차 확인했다. 개인정보보호법에 따라 국내에 주소나 영업장이 없는 해외 기업은 국내 대리인을 지정해야 한다. 이 대리인은 개인정보 유출 통지, 보호책임자 업무 등을 담당한다. 그러나 실제로는 해당 대리인이 마케팅이나 단순 홍보 업무만 맡고 있어, 구체적 자료나 정보를 확보하지 못한 경우가 빈번하다는 지적이 꾸준히 제기돼 왔다.

실제로 지난해 9월 국민의힘 박충권 의원이 방송통신위원회에서 제출받은 자료에 따르면, 최근 국내 시장 진출을 선언한 중국 쇼핑 플랫폼 ‘테무(Temu)’의 국내 대리인 근무자는 3명뿐이고, 이 중 상시 근무자는 1명에 불과한 것으로 드러났다. 테무 앱의 지난달 기준 국내 월간 활성 이용자 수(MAU)는 약 823만 명에 달한다. 결국 대리인 한 명이 270만 명 이상의 고객 개인정보를 관리해야 하는 셈이다.

개인정보위의 한 관계자는 “국내 기업에는 문제가 생기면 현장 조사부터 압박이 가능하지만, 해외 본사를 둔 다국적 기업은 영업장도 없고, 자료 요청에도 비협조적인 일이 잦다”며 “주권 침해 문제 등으로 한국 정부가 직접 해외 본사에 들어가 조사하기도 쉽지 않다”고 말했다.

최장혁 개인정보위 부위원장은 “글로벌 플랫폼 기업이 갈수록 국내 시장에서 영향력을 키우고 있으나, 이들을 다룰 수 있는 제도적 장치에 여전히 빈틈이 많다”면서 “법 개정을 준비하고 있다”고 밝혔다.

한편, 개인정보위는 카카오페이·애플페이 사안에 대한 후속 조치로 과징금 부과와 함께 재발 방지 대책 마련도 권고했다. 위원회는 조속한 시일 내에 법 개정 논의를 마무리짓고, 하반기부터 시행령·고시 등을 마련하겠다는 방침이다.