[디지털데일리 권유승 기자] 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 손해보험사들이 개인정보위원회로부터 92억원대 과징금 처분을 받았다.

개인정보위원회는 지난 11일 '제21회 전체회의'를 열고 개인정보 보호법을 위반한 다이렉트 자동차보험 판매 12개 손해보험사(현대해상, 악사손해보험, 하나손해보험, MG손해보험, 롯데손해보험, 삼성화재, DB손해보험, KB손해보험, 메리츠화재, 한화손해보험, 흥국화재, 캐롯손해보험)에 대해 제재처분을 의결했다고 12일 밝혔다.

개보위는 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상, 악사손해보험, 하나손해보험, MG손해보험 등 4개 보험사에 과징금 92억770만원을 부과했다.

또 이 과정에서 개인정보 보호책임자(CPO)가 동의절차 개선 내용 등에 대해 검토·통제하지 못한 사실도 확인해 CPO의 내부통제 역할도 강화하도록 시정명령했다.

개보위 조사결과에 따르면 해당 보험사들은 상품소개를 위한 동의에 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창(이하 '재유도 창')을 운영했다. 이를 통한 동의의 변경은 모호한 표현 등으로 인해 이용자의 의사에 따른 것으로 볼 수 없다는 게 개보위의 판단이다.

특히 이러한 재유도 창으로 개인정보 수집·이용과 제공에 동의를 받으면서도, 유도 창에는 ‘상품 소개 항목에 동의’라는 문구 외에 ‘개인정보 수집·이용, 제공’ 등의 표현이나 동의에 필요한 법정 고지사항이 없었다.

또한 재유도 창이 실행된 상태에서는 재유도 창 뒤에 있는 ‘개인정보 동의’ 화면이 비활성화 돼 ▲동의받은 개인정보 ▲처리 유형(수집, 제공 등)과 법정 고지사항을 확인할 수 없었다.

이용자가 재유도 창에서 ‘확인(또는 ‘동의’)’ 버튼을 누르면, 마케팅에 ‘동의’하는 것으로 의사표시 내용이 번복됐음에도, 이후 곧바로 다음 절차로 넘어감으로써 이용자는 동의 내역이 어떻게 변동됐는지 확인하거나 수정할 수도 없었다.

이렇게 동의가 된 경우에는 개인정보 수집·이용뿐 아니라 개인정보 제3자 제공, 광고성 정보수신 등을 모두 한꺼번에 동의한 것으로 처리됐다.

개보위는 "이러한 재유도 창은 2022년 7월 현대해상이 종전의 재유도 창에서 ‘확인’과 ‘취소’ 버튼의 효과를 변경해 정보주체가 오인하도록 유도하고, ‘확인’ 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했다"며 "이를 다른 사업자들이 벤치마킹해 도입한 것으로 확인됐다"고 설명했다.

이렇게 4개 보험사가 재유도 창을 운영한 기간 동안 이용자의 마케팅 동의율은 최대 30%p(31.42%→61.71%) 급증했다. 반면 재유도 창을 삭제한 후에는 최대 35%p(62.91%→27.62%)나 동의율이 감소했다.

또 이 보험사들은 적법하지 않게 동의받은 개인정보를 이용해 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른 보험 마케팅에도 활용했다.

이 중 자동차보험에만 국한해도 문자, 전화 등 약 3000만건의 마케팅을 실시한 것으로 확인됐다. 그 결과 위반기간 동안 이와 관련한 스팸 신고 규모는 1만여건이 훌쩍 넘어선 것으로 파악됐다.

개보위는 "통상 보험사들이 자동차 보험료 계산 과정에서 상품소개 동의 시 1건당 5000원∼1만원 상당의 상품권이나 쿠폰을 지급하는 이벤트를 실시하는 것을 고려하면, 재유도 창을 이용한 적법하지 않은 동의 절차를 통해 해당 기업들은 상당한 마케팅 비용 절감 이익을 얻은 것으로 보인다"고 지적했다.

재유도 창을 통해 이뤄진 동의 절차는 마케팅 부서에서 기획했는데, 그 과정에서 CPO의 검토 등 내부통제가 제대로 작동하지 않은 것도 확인됐다.

보호법에 따르면 내부통제시스템의 구축을 CPO의 업무로 명시하고 있고 동의 절차는 개인정보 처리 과정에 있어 핵심적인 요소다. 그럼에도 CPO의 검토나 통제 없이 동의 구조가 설계됐다는 것은 CPO가 형식적으로만 존재하거나 독립적으로 역할을 수행하지 않은 것으로 볼 수 있다는 지적이다.

처리목적을 달성한 개인정보를 파기하지 않은 행위도 드러났다.

이번 조사 대상 12개 보험사는 다이렉트 자동차 보험을 판매하기 위해 보험료 계산서비스를 제공하고 있는데, 이때 이용자의 이름, 주민등록번호, 휴대전화번호를 필수로 수집하게 된다. 이들 보험사들은 이렇게 수집한 개인정보를 이용자가 계산을 중단하거나 계산 후 계약을 체결하지 않더라도 1년간 보유하고 있는 사실이 확인됐다.

보호법에서는 수집·이용 목적이 달성된 개인정보를 지체없이 파기하도록 규정하고 있다. 개보위는 다이렉트 자동차 보험료를 계산만 하고 계약하지 않은 이용자의 개인정보를 1년간 보유해야 할 근거가 명확하지 않고, 1년이 개인정보를 보유해야 할 최소 기간이라고 보기 어렵다고 판단했다.

롯데손해보험의 경우 가입설계 동의 유효기간인 1년이 만료됐음에도 32만 명의 개인정보를 파기하지 않아 과태료 540만 원이 부과됐다.