[미디어스=윤수현 기자] 이용자 동의 없이 기업의 개인정보 관리가 재위탁되고 있다는 의혹이 제기된다. 현행 관련 규정은 전자상거래 등에서 이용되는 개인정보가 제 3자에게 넘어가거나 목적 이외에 활용되는 것을 막기 위해 기업이 개인정보 처리 위탁 규정을 만들어 준수하고 이를 이용자에게 고지하도록 하고 있다.

콘텐츠 전송 서비스 기업 CDNetworks가 이용자 동의, 고지 없이 SPC그룹의 개인정보 처리를 재위탁하고 있는 정황이 확인됐다. 더구나 이용자 개인정보 관리를 맡긴 SPC그룹은 재위탁되는 것을 인지하지 못하고 있었다. 그러나 SPC그룹이 최종적인 개인정보 관리 책임을 질 수 밖에 없는 상황이다.

SPC그룹은 파리바게뜨·파스쿠찌·던킨도너츠·배스킨라빈스31 등을 거느리고 있는 식품 전문 기업이다. SPC그룹은 ‘해피포인트’라는 마일리지 제도를 운용하고 있으며, 해피오더 시스템을 통해 제품 주문·배달 서비스를 제공한다.

▲SPC, CDNetworks CI (사진=SPC, CDNetworks 홈페이지 캡쳐)

SPC그룹은 CDNetworks에 해피포인트 홈페이지 및 어플리케이션 관리 업무를 맡기고 회원 개인정보 등을 제공하고 있다. CDNetworks는 네이버·다음·이베이·옥션·CJ오쇼핑·인터파크·삼성전자·메가스터디교육·아리랑국제방송 등을 고객사로 거느린 콘텐츠 전문 기업이다.

미디어스 취재에 따르면 CDNetworks는 SPC그룹의 개인정보 처리를 씨앤디팩토리라는 기업에 재위탁하고 있었다. CDNetworks와 씨앤디팩토리는 별도의 법인 회사다. SPC 개인정보보호 담당자가 CDNetworks H 팀장에게 업무를 전달하면, H 팀장이 씨앤디팩토리에 다시 일을 전해주는 방식이다. 이용자 개인정보 처리가 하청에 재하청으로 이어지는 셈이다. 또한 CDNetworks가 개인정보 처리를 재위탁하면서 SPC그룹과 이용자들에게 동의를 받지 않았다.

SPC그룹과 CDNetworks의 시스템 유지보수 계약서(계약기간 2018년 3월~2019년 2월)에는 “수임인(CDNetworks)은 계약 기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다”고 명시되어 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 정보통신서비스 제공자의 동의를 받지 아니하고 제3자에게 개인정보 처리위탁을 한 회사는 3천만 원 이하의 과태료를 물어야 한다.

SPC그룹 측은 이러한 사실을 전혀 모르고 있었다. SPC그룹 개인정보보호 담당자는 “처음 듣는 이야기다. SPC그룹과 CDNetworks의 계약에는 재위탁 금지 조항이 들어가 있다”면서 “CDNetworks는 해피포인트 어플리케이션 개발 업무를 하고 있다. SPC는 연 2회 회사를 방문해 점검을 나가고 있다. CDNetworks은 SPC를 위해 TF팀을 꾸리고 별도의 사무실에서 일하고 있다”고 밝혔다.

그러나 SPC그룹이 TF팀 사무실로 알고 찾아간 곳은 씨앤디팩토리의 본사였다. 씨앤디팩토리는 SPC그룹 관계자가 회사를 방문하기 전 사원증·명함·다이어리 등을 다른 곳으로 숨기는 방식으로 재위탁 사실을 은폐하고 있었다.

▲SPC그룹 개인정보처리방침 (사진=SPC 그룹 홈페이지 캡쳐)

미디어스는 씨앤디팩토리 내부 단체 대화방 대화내용을 입수했다. 씨앤디팩토리 관리자는 직원들에게 ▲금일 SPC 직원이 회사 방문 예정이다. 사무실 정리 한번 하고, 주변에 씨앤디팩토리 사원증, 다이어리 등은 잘 숨겨달라. 해피포인트 업무 외 다른 서류들도 마찬가지다 ▲사원카드 잠시 숨겨주길 바란다. 꼭꼭 안 보이게 ▲잠시 씨앤디팩토리는 잊어달라. 모든 사원증, 명함 등 죄다 구석진 곳으로 빛도 못 보도록 짱박아달라 등의 지시를 내렸다.

미디어스는 이번 사건에 대한 각사에 입장을 들었다. CDNetworks는 “SPC와의 계약에 비밀 조항이 있기 때문에 답변해줄 수 없다. SPC 측에 문의해봐라”고 답했다. SPC 개인정보보호담당자는 “난 직급이 낮기 때문에 이야기해 줄 수 없다. 홍보팀에 물어봐라”라고, SPC 홍보팀은 “담당 팀에서 홍보팀에게 이야기를 해주지 않는다”고 말했다. 씨앤디팩토리와는 전화 연결이 되지 않았다.

방송통신위원회 관계자는 “개인정보가 여러 회사를 거쳐갔다는 문제도 있지만 일종의 사기에 가깝다”면서 “개인정보와 관련해 재위탁을 해야 할 경우 사전에 정리가 되어야 한다. 재위탁 금지 조항이 있다면 이를 지켜야 한다. 문제가 사실로 드러나면 방통위 차원에서 조사를 할 수 있다”고 말했다.

저작권자 © 미디어스 무단전재 및 재배포 금지