공화국 입장

우물쭈물 하다가 내 이럴 줄 알았지

이 말을 또 인용하게 될 줄은 몰랐습니다. 카드사들은 결국 책임지지도 못할 일을 지금까지 해왔고 또 그것이 문제를 일으키니 책임을 어떻게 져야하는지도 모른 채 허둥대고 있네요. 지금 시점에서 여러분들이 할 수 있는 것은 무엇이 있을까요? 그리고 이번 사태가 일어난 원인은 한 사람의 일탈(?)에 의해서 벌어진 것이지만 사실 내재된 위크포인트는 다들 제각각 어떤 부분이 있었을까요? 한번 짤막하게 정리해보도록 하겠습니다.

집단 소송을 '벌써'시작할 필요는 없다

소송은 이슈 편승과 아무런 관계가 없습니다. 여러분들이 흔히 착각하는 게 지금처럼 여론이 막 형성되었을 때 소송을 걸어야 유리할거라고 생각하고 집단소송으로 떡밥을 흔드는 변호사들에게 속속 낚이고 계십니다만 지금까지 소송 초기에 관련 소송을 걸어서 승소한 사례가 그다지 많지 않습니다. 그리고 대부분 이런 소송에 참가하겠다고 판을 까는 변호사들은 실제 능력이 출중한 변호사라기보다 그냥 돈이 된다니까 우글거리며 모여드는 떳다방처럼 기회주의자적인 성격이 강한 사람들이 많이 보이는데요. 예전에도 그랬고 지금도 크게 달라보이지 않습니다.

소송은 반드시 지금 당장 할 필요는 없습니다. 왜냐하면 지금 당장 입은 피해가 그렇게 '많지 않기'때문입니다. 일단은 유출이 되었는데 유출 건에 대해서는 업무상 과실에 따른 개인정보보호법 위반으로 형사처벌을 받을 사안이기 때문에 그 책임 소재가 오롯이 끝나고 시시비비가 모두 마무리가 된 다음, 그 사이 있을 수 있는 개인정보 유출에 따른 2차 피해 등을 구제하기 위한 민사가 이루어지는 것이 순서고 그때 시작해도 전혀 늦지 않습니다. 

사법부는 여론의 이슈에 일회일비할정도로 엉덩이가 가볍지 않습니다. 너무 지금 당장 성급하게 하려는 생각보다 차분히 자료를 모아서 대포 한방을 날릴 생각으로 임하시는 게 어떨까 합니다. 

...

다음은 각 회사별로 가지는 위크 포인트를 정리합니다. 향후 소송이나 피해 사실 규명에 활용하시면 좋습니다.

- 농협은...내 이럴 줄 알았다.

IT 보안 업계 2대 헬게이트라고 중 하나로 꼽히는 농협은 대체 어디서부터 꼬여있는지 알 수 없을 만큼 보안 전산 시스템이 병신력돋기로 유명합니다. 이번에 터진 USB 유출 이외에 농협이 2차적으로 누출한 개인정보 누출 조회 당시 패킷 속에 평문으로 개인정보가 전송되는 병크를 터뜨린 것도 결코 우연이 아닌거죠. 이전 해킹 사건도 그렇지만 농협은 이번 USB사건이 아니더라도 언젠가 크게 사고를 한번 칠 준비가 충만한 곳임에는 틀림이 없습니다. 그냥 가능한 모든 금융 거래는 하지 않으시는 게 현명합니다.

- KB는 ... 마음은 콩밭에...

KB카드의 상품들을 잘 살펴보면 헤택들이 굉장히 다양합니다. 그런데 KB카드는 여러 장의 카드를 가지고 있어도 그 실적이 공유가 되는 특이한 성향을 가지고 있는데요. 바로 이 부분 때문에 KB카드는 개인정보 수집과 그 제공에 대해서 다른 카드 회사보다 훨씬 더 많은 개인정보를 수집하고 제공해야 하는 제 3자 제공처도 많기로 악명이 높습니다. 심지어 이러한 작업을 편리하게 하기 위해 지금 내가 가입하려는 카드에서 필요한 혜택과 관련된 제휴사 이외에 아예 그냥 자사가 발행하는 모든 카드의 제휴사들에게 임의로 언제든 정보를 제공할 수 있도록 통합 가입신청서 약관을 만들었다가 필자 외 몇몇 사람들의 강력한 항의로 이 조항을 삭제해버리는 짓거리를 하기도 했죠. KB는 당장 금융거래를 끊을 필요까지는 없겠습니다만 뭔가 가입할때 어디까지 동의가 필요한지 은행직원조차 병크를 터뜨리며 형광펜질만 할 때가 있으니 꼼꼼히 읽어보며 제공하기 싫은 제공처나 아닌 제공처가 있으면 강력하게 항의하는 습관을 들이시는 것이 좋습니다 (...라지만 역시 귀찮으신 분들은 가까이 안하시는게 마음편하시겠죠)

어제자 SBS 8시 뉴스 보도 (http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1002193013) 중 일부, 좋은 취지의 기사였지만 약간의 문제가 있다 '제휴 회사 부분은 아예 빈칸입니다' 라고 기자는 문제성을 제기했지만 이 부분은 애매한 부분을 지우도록 필자가 금감원을 통해 요청한 사항으로 일종의 개선책에 해당한다.

- 롯데카드 ... 도망쳐!

이놈들은 아예 구조적으로 내부 계열사별로 개인정보를 돌려먹을 수 있는 시스템을 구축해놓고 계열사 중 하나에만 개인정보가 들어가면 롯데 모든 계열사가 이 개인정보를 떡주무르듯 주무르며 활용해서 마케팅 문자를 아무 제약없이 날릴 수 있는 내부 공유 시스템이 처음부터 완비가 되어 있습니다. 내가 어딜 가서 뭘 사는지 얼마를 샀는지 내가 어디에 주로 거주하는지조차 난 한번도 가입한 적 없는 계열사로 자동으로 날라가서 그 계열사가 마케팅에 이 데이터를 빅데이터로 활용할 수 있는 시스템을 만들어놓고 씹고 뜯고 맛보고 즐긴 녀석들이라는거죠. 

관련 참고 >>당신이 쓰는 롯데멤버스카드, 스팸문자와 전화의 온상일수도 있다<<

그런데 이런 회사가 개인정보 누출이 되었다면 어떨까요? 농협이나 KB랑은 비교도 되지 않을 정도의 데이터가 누출이 되었을 가능성이 있다는 이야기가 됩니다. 당신이 금융회사에 제공한 정보뿐만 아니라 당신이 마트에서 어제 뭘 샀는지 주로 어떤 마트를 갔는지, 굳이 롯데카드를 쓰지 않더라도 롯데맴버스로 적립 한번 했던 이력만으로도 당신의 정보는 훨훨 어딘가로 날아가서 또 누군가에 의해 씹고 뜯고 맛보고 즐겨질 것입니다. 이번 개인정보 누출은 롯데신용카드, 롯데체크카드 뿐만 아니라 롯데카드가 관리하고 있는 맴버십카드인 '롯데맴버스 카드' 가입자들도 예외가 없었을 거라는 점에서 3사 중 가장 최악의 사태가 벌어지지 않을까 합니다. 당장 모든 카드를 해지하시는 것은 물론 가지고 계신 롯데맴버스 카드도 함께 체크하시는 것이 좋겠습니다.

...

그리고 여기에 떡밥을 던진 회사 'KCB'는 어디에서인가 이름이 낯이 익습니다. 네 맞습니다. 우리가 요즘 웹상에서 주민등록 수집이 중단된 뒤에 수도 없이 마주했던 바로 그 회사 '휴대폰 실명인증 전문 회사'입니다. 당연하겠지만 이 회사 역시 다른 회사와 마찬가지로 정부와 어떤 연관성이 있어서 회사 규모에 비해 너무 많은 사업권을 부여받은 좀 이상한 회사임에는 틀림이 없거든요. 다른 액티브 엑스 공급업체 nProtect나 잉카인터넷처럼 이들도 정부 관료 출신의 '낙하산 받아내는 노후 관리 기업'이라는 이미지가 강합니다. 

이들은 하는 것에 비해서 너무 많은 독점적 지위를 누리고 있고 심지어 본인확인인증 솔루션 하나로 '빅데이터'까지 만지려는 야망을 가지고 있는 회사라는 점에서 이번 사태가 일어날 만한 여지가 충분한 회사임에 틀림이 없다는 거죠. 지금 카드 회사들은 죄다 사과를 하고 뉴스에 얼굴을 비추는데 얘들은 그냥 사퇴했다는 기사만 뜨고 도무지 뉴스에 임원진들이 얼굴을 비추지 않습니다. 왜그럴까요? 혹시라도 어딘가에서 본 듯한 사람들이 있을까봐 스스로 몸을 사리는 건 아닌지 모르겠습니다. 

앞으로 이새끼들한테 계속 휴대폰 본인인증서비스라는 중요한 서비스를 맡겨도 될지 아닌지에 대해서

국가가 한마디 하셔야 하는데, 선후배 관계인지 뭔지 말을 참 아끼네요. 답답합니다.

한심한 나라에서 고생이 많으십니다. 여러분.

...

내일 또 뵙죠.

 롯데멤버스라는 포인트 카드가 있습니다.

롯데카드, 롯데월드, 롯데마트, 롯데백화점, 롯데닷컴, 롯데아이몰, 롯데시네마 등등등 롯데 계열사에서는 모두 포인트를 적립해준다는 카드인데요. 모바일 지갑에서도 꽤나 적극적으로 마케팅을 하고 만들면 혜택도 꽤나 광범위해서 많이들 만들고 있으시죠? 저도 하나 가지고 있습니다만...

그런데 이 카드 가지고 계신 뒤로 불필요한 광고 전화나 문자가 많아진다는 느낌 안드시나요? 제 경우는 롯데 계열사에서 오는 전화는 물론이고 롯데 계열사를 위시하여 롯데 계열사가 제공한 다른 보험 회사 등의 안내전화까지 스팸에 이골이 나 있는 분들이라면 꽤나 골치를 썩을 만한 일들이 많이 일어났었드랬습니다.

그런데 이게 꽤나 고약한 문제가 있었습니다. 롯데 맴버스는 운영 자체부터 이미 개인정보 보호나 제 3자 제공에 있어 상당히 제멋대로식의 운영을 해왔다는 사실이 최근 드러났거든요. 지금부터 그 내용을 하나하나 들려드리고자 합니다. 나름 1년동안 준비한 내용이라서 꽤 들을만 할 거에요.

1. 롯데 패밀리 회원 제도

롯데멤버스 가입을 하게 되면 롯데 맴버스에만 가입을 할 수 있는 게 아니라 롯데 패밀리라는 롯데 계열사 통합 아이디로만 가입을 할 수 있도록 되어 있는데요. 다음은 회원 가입 시 보실 수 있는 화면입니다.

물론 패밀리 회원에 가입하고 싶지 않거나 개인정보를 주고 싶지 않은 곳에 골라서 안 주고 싶어도 불가능하다는것이죠. 골라서 가입할 수 잇는 방법 자체가 없는 것입니다. 그래서 일단 대부분의 사람들이 바로 이 통합 회원이라는 함정에 걸려들어 버립니다. 그래서 통합 아이디를 만들고 이 통합 아이디에 쓰게 되는 휴대전화 번호가 롯데 계열사의 모든 곳에 다 뿌려지게 되는 것은 물론이거니와 그 속에서 제 3자 동의 범위가 매우 넓은 롯데홈쇼핑 같은 (자체 보험부서를 위시한 제휴보험회사 팔아주기) 곳에 휴대전화번호가 들어가게 되면 보험회사의 상품안내 전화가 오게 되는 극악의 사태가 발생하기도 합니다.

이 제도 자체는 자체 확인 결과 롯데멤버스 (모기업 롯데카드)가 금융감독원과 공정거래위원회의 감사 결과 이런 방식의 운영 자체가 아무런 문제가 없다는 것이 확인이 되었습니다 다소 억울하겠지만 골라서 가입이 불가능하고 그로 인한 스팸 문자나 전화에 대한 개인정보 제공에 따른 피해는 조금 감수를 해야 한다는 게 국가의 입장인데요. 문제는 이렇게 국가가 롯데멤버스의 이런 변칙적인 영업방식에 편을 들어주다보니 해서는 안될 짓을 해버렸다는 데에 있습니다.

2. 제공된 회원 정보를 다른 계열사가 멋대로 갖다 쓸 수 있다?

롯데 패밀리 회원 가입은 한 번의 회원 가입으로 개인정보가 모든 계열사로 제공된다는 부분은 앞서 설명을 드렸죠? 한마디로 롯데 맴버스 회원이라면 모든 계열사에 이미 개인정보가 들어갔다는 암묵적 '팩트'가 성립하게 됩니다. 문제는 이 팩트가 '암묵적'이라는 데에 있습니다. 여기에 IF가 생길 수 있다는 사실이죠.

자 여기에서 한 가지 실제 일어난 사건을 바탕으로 시나리오를 한번 써보도록 하겠습니다.

- 저는 롯데 맴버스에 가입이 되어 있습니다. 물론 모든 계열사에 제 회원 정보가 동일하게 들어가있겠죠? 그곳에 가 있는 제 회원정보는 010-1111-1111 이라고 가정하겠습니다.

- 그런데 저 계열사 중에는 제가 자주 쓰는 계열사와 가끔 쓰는 계열사 그리고 아예 쓰지 않는 계열사가 있기 마련입니다. 그렇다는 것은 그 곳에 가 있는 개인정보의 정확도에도 차이가 난다는 것이죠. 예를 들어 홈쇼핑 관련 계열사의 경우 택배배송을 위해 주소와 전화번호가 가장 최근에 갱신되었을 가능성이 높고 그렇지 않은 계열사의 경우 상당히 오래된 개인정보를 가지고 있을 가능성이 높습니다.

- 중간에 저는 휴대전화 번호를 바꿉니다 010-2222-2222로 말이죠. 그렇다면 롯데 계열사 중에서는 제 새로운 전화번호를 알고 있는 계열사가 있고 모르고 있는 계열사가 있게 됩니다. 자주 쓰는 계열사일수록 그럴 확율이 높다는 것이죠.

- 그런데 이런 상황에서 회원 가입 정보가 '전혀' 수정되지 않은 한마디로 예전 휴대폰 전화번호를 알고 있는 롯데 계열사에서 스팸 문자나 전화가 왔습니다. 대체 어떻게 된 것일까요?

...

여기서 롯데 패밀리 회원 제도가 주는 이미지를 악용한 함정이 드러납니다. 우리는 처음에 가입할때 모든 계열사에 '동시'에 가입을 했기 때문에 '개인정보'를 특정 한 곳에서 '수정'한다면 다른 계열사의 모든 개인정보가 동시에 수정되는 유기적인 관계에 묶여 있을 거라고 착각하게 되기 쉬운데요. 실제론 절대 그렇지 않습니다. 만일 롯데 계열사가 그런 식으로 개인정보를 서로 주고받는다면 '불법'이기 때문입니다.

통합 가입은 '한번'에 모든 계열사에게 '지금'의 정보를 '한번'만 제공하는데에 동의하는 것입니다. 개인정보 수정 '갱신'은 다릅니다. 개인정보를 수정해보신 분들은 아시겠지만 가입할때와는 달리 어떤 약관도 개인정보 수정 화면에 제시되지 않습니다. 아니 제시될 수 없습니다. 내 정보를 갱신하는데 어떤 약관이 필요할 리가 없으니까요. 그렇기 때문에 가입은 몰라도 계열사 개별적인 정보 수정은 롯데 패밀리와는 아무런 관계가 없는 행동인 것입니다.

그렇기 때문에 위 시나리오처럼 개인정보가 '최신으로 갱신되지 않은' 곳에서 스팸전화가 왔다면 그건 말 그대로 '스팸'인 것입니다. 왜냐하면 그들에게 내 지금의 개인정보를 제공한 사실이 없으니까요. 

롯데는 롯데패밀리 가입 당시에 주는 '유기적이 될 것 같은'이미지를 악용했습니다. 가입 당시에 모든 홈페이지에 동시 가입이 되는 만큼 수정도 동시에 모든 계열사가 다 같이 공유될 것 같다는 보편적 상식을 심어두는 것이죠. 실제로 그렇지 않은데도 말입니다. 그리고 롯데는 실제로 그렇지 않고 그럴 수도 없는데도 이 보편적 상식을 이용하여 스팸문자나 전화를 보내는 데에 갱신되지 않은 계열사까지 동원하고 있는 것이죠.

3. 롯데는 어떻게 갱신되지 않은 계열사에 정보를 제공하고 있나?

롯데멤버스가 최근에 가장 주력으로 밀고 있는 부분이 이른바 '전자지갑'사업입니다. 이통사 3사는 물론이고 각 카드사별로 전자지갑 (모바일 앱 상에 각종 맴버십카드를 내장) 사업에 뛰어들고 있는데요 재미있게도 이제 막 출범하는 회사의 전자지갑에는 어김없이 첫 가맹점으로 '롯데멤버스'가 항상 포함되어 있습니다. 그리고 롯데멤버스는 출범 기념이라는 그럴싸한 사유로 반드시 '이벤트'를 통해 가입을 적극 유도하고 있죠.

근데 이러한 형태로 전자지갑 서비스를 통한 롯데멤버스에 가입하게 되면 롯데멤버스가 가지는 이득은 실로 어마어마 합니다. 전자지갑은 통신3사가 직접 운영하고 있고 '스마트폰'앱이며 개인정보 확인 절차상의 이유로 '실제 사용하고 있는 휴대전화번호'를 내장하고 있기 때문이죠. 바로 이 점에 착안한 롯데멤버스는 갖은 이벤트로 전자지갑 가입자를 끌어모아 롯데멤버스의 개인 정보 중 '휴대번호'정보만큼은 최신정보로 갖추게 됩니다.

그리고 롯데멤버스는 이 정보를 '공용 전산망'에 등록시켜 놓고 모든 계열사들이 필요할 때 열람할 수 있도록 합니다 이로 인해 대부분의 롯데 계열사들은 자신들이 갖고 있는 정보가 최신이 아니더라도 이 공용 전산망에 등록되어있는 롯데 멤버스의 개인정보를 멋대로 취득하여 자신들의 마케팅에 활용하는 것이 얼마든지 가능합니다. 물론 롯데 패밀리 가입 당시 절차의 이미지가 남아 있는 회원들은 이게 대체 뭐가 잘못되어있는지도 모른 채 당할 수 밖에 없는 것이죠.

만일 내가 롯데마트에 가입이 되어있는 상태에서 롯데멤버스로 전자지갑 서비스까지 이용하고 있는데 롯데마트에서는 010-1111-1111로 회원정보가 되어있고 롯데멤버스에는 전자지갑 서비스 이용을 위해 010-2222-2222로 갱신되어 있다면 롯데마트는 롯데멤버스에 등록된 전화번호를 불법으로 취득하여 자사의 홍보문자를 보내는 것이 얼마든지 가능하다는 것입니다.

에초에 공용전산망에 개인정보를 등록하는 것 자체도 불법이요 그것을 멋대로 계열사들에게 자유롭게 열람 및 활용을 할 수 있도록 개방한 것도 불법입니다. 개인정보는 그런 식으로 활용되어서는 안되거든요. 

다행이 금융감독원이 이에 대한 시정명령을 지난 2012년 11월 제가 제기한 민원을 통해 내림으로서 롯데멤버스는 더 이상 이같은 활동을 할 수 없게 되었습니다.

4. 스팸문자나 전화를 오지 않게 할 수 있는 방법은?

있습니다. 

지난 11월 금융감독원의 시정명령으로 롯데멤버스측은 시정명령을 이행할 것을 약속했습니다. 다만 충분한 시간을 달라는 요청이 있었고 바로 지난 7월 29일자부터 시정 명령 준수 완료 및 대응책 마련이 이루어졌다는 통보를 받았습니다. 이에 롯데멤버스측이 밝힌 롯데계열사로부터 스팸문자나 전화를 받지 않도록 하는 방법을 공유합니다.

1) 1588-8100에 전화한다. (9시부터 18시까지 운영)

2) 5번을 누른다.

3) 상담원 연결을 누른다.

4) '선택적 동의 해지' 라는 말을 해준다.

5) 알아서 처리해줄 것이고 완료되었다는 이야기가 나오면 전화를 끊는다.

...

원래는 응당 자기들이 직접 해야 할 일임에도 저런 식으로밖에 처리할 수 없다고 합니다. 길어봐야 3분 정도의 시간 투자로 스팸문자나 전화가 많이 오는 주체 하나를 제거할 수 있다면 그걸로 충분하겠죠. 이통 3사의 스팸 전화 차단 서비스도 롯데 계열사의 스팸은 차단해주지 않기 때문에 더더욱 가치가 있을 것입니다.

선택적 동의 해지 라는 키워드는 제가 롯데멤버스측에게 요청하여 상담원들에게 교육시키도록 명령한 키워드입니다. 이렇다저렇다 이야기할 필요 없이 저 한마디면 알아서 다 해줄 테니 부담없이 하셔도 될 듯 합니다.

...

CJ나 다른 인터넷 서비스를 제공하는 사이트들도 통합 멤버십 서비스나 통합 ID서비스를 운영하고 있고 저 역시 그곳에 가입되어 이용하고 있습니다만 참 롯데멤버스는 '롯데답다'라는 말이 절로 튀어나오는 구조라는 느낌입니다. 저렇게까지 하고 싶을까? 저렇게까지 해야하나 싶은 대기업, 아마 이번 롯데멤버스 사태 뿐만 아니라 롯데에 대한 이런 저런 에피소드를 갖고 있는 분들이라면 이번 포스팅이 그렇게 새로울 것이 없을수도 있겠군요.

개인정보는 여러분들이 회사에 '제공'한다고 해서 그 개인정보가 '회사'의 소유물이 되는 것이 아닙니다. 엄연히 그 홈페이지에 가입되어있는 기간 동안 '임대'하게 되는 형태이며 계약이 끝난 직후에는 폐기라는 절차를 통해 그 임대 계약을 끝내는 방식인것이죠. 롯데맴버스처럼 자신들이 취득한 정보를 계열사들의 배불리기를 위해 이용할 수 있도록 공용 전산망에 올려놓고 마음껏 열람토록 하거나 그걸 이용해서 스팸문자나 전화나 하도록 강요하는 기업이 이 나라의 대기업이랍시고 이름을 올리고 있다는 게 창피할 지경이네요.

스팸 오는 방법을 가르쳐드리긴 했습니다만

이런 마인드로 운영하는 기업이 과연 지금 밝혀낸 부분만이 전부일까요?

롯데라는 기업과는 아예 얽히지 않도록 노력하는 것도 

삶을 보다 윤택하고 쾌적하게 만드는데 하나의 방법이 될 수 있을지도 모릅니다.