【STV 박상용 기자】상조회사의 개인정보 관리 책임이 한층 무거워질 전망이다. 개인정보보호위원회가 반복적이거나 중대한 개인정보보호법 위반 행위에 대해 매출액의 최대 10%까지 과징금을 부과하는 제도를 오는 9월부터 시행하기로 하면서다. 다수의 장기 회원 정보를 보유하고, 상담센터·제휴업체·영업조직을 통해 개인정보를 처리하는 상조업계도 직접적인 영향권에 들어갔다.

개인정보위가 국무회의에 보고한 예방 중심 개인정보 관리체계 전환 계획은 개인정보 유출 사고가 난 뒤 처벌하는 방식에서 벗어나, 사고 가능성을 사전에 줄이는 데 초점을 맞추고 있다. 중대한 보안 사고와 반복 위반에 대해서는 징벌적 과징금을 적용하고, 과징금 산정 기준도 기존보다 강화한다. 직전 연도 매출액과 최근 3년 평균 매출액 중 더 큰 금액을 기준으로 삼는 방식이 추진되면서 제재 부담은 이전보다 커질 수밖에 없다.

상조업계가 이번 제도 변화를 가볍게 볼 수 없는 이유는 보유 정보의 성격 때문이다. 상조회사는 가입자 이름, 연락처, 주소, 생년월일, 납입 내역, 계약 상품, 해약 이력, 행사 이용 여부 등 장기간 축적되는 회원정보를 다룬다. 장례 발생 이후에는 고인과 유족 정보, 빈소, 장례 일정, 부고 발송 연락망, 행사 진행 내역 등 사생활 침해 우려가 큰 정보도 처리한다. 정보가 유출될 경우 단순한 연락처 노출을 넘어 가족관계와 장례 이력 등 민감한 생활 정보가 외부 영업에 활용될 가능성도 있다.

특히 상조업계에서는 폐업하거나 영업이 중단된 상조회사의 회원정보가 다른 상조회사의 영업자료로 활용되는 사례가 꾸준히 문제로 지적돼 왔다. 기존 가입자 명단이나 납입 정보, 연락처 등이 정상적인 동의 절차 없이 외부로 흘러나가면 소비자는 자신이 가입한 적 없는 업체로부터 이전 계약 보전, 피해구제, 전환 가입, 특별 혜택 등을 내세운 영업 전화를 받을 수 있다. 이 과정에서 소비자는 기존 계약 승계나 공식 안내로 오인할 수 있어 개인정보 침해와 불완전판매 위험이 동시에 발생한다.

폐업 상조회사 회원정보는 일반 마케팅 DB보다 더 민감하게 취급돼야 한다. 해당 정보에는 소비자가 과거 어떤 상조상품에 가입했는지, 얼마를 납입했는지, 해약했는지, 피해보상 대상인지와 같은 거래 이력이 포함될 수 있기 때문이다. 이런 정보가 타 업체 영업에 활용되면 단순 광고성 연락을 넘어 소비자의 불안 심리를 이용한 전환 영업으로 이어질 수 있다. 폐업으로 피해를 우려하는 소비자에게 “기존 납입금을 살려주겠다”거나 “이관 대상자”라는 식의 표현이 쓰일 경우, 공식 보상 절차와 민간 영업을 구분하기 어려워질 수 있다.

개인정보보호법상 개인정보는 수집 목적 범위 안에서 이용돼야 하며, 제3자 제공이나 영업 목적 활용에는 별도의 적법한 근거와 동의가 필요하다. 폐업한 업체의 회원정보라 하더라도 이를 다른 업체가 임의로 확보해 신규 영업에 쓰는 것은 정당화되기 어렵다. 특히 정보 출처를 밝히지 않거나, 공정거래위원회·소비자피해보상기관의 공식 안내처럼 오인될 수 있는 방식으로 접근한다면 개인정보 문제와 함께 소비자기만 논란으로 번질 수 있다.

상조회사들은 이번 제도 강화를 계기로 회원 DB 관리 방식을 전면 재점검해야 한다. 영업조직이 외부에서 가져온 명단을 사용하는지, 폐업 업체나 대리점·모집인으로부터 확보한 연락처를 출처 확인 없이 활용하는지, 상담센터가 과거 회원정보를 임의로 보관하고 있는지 확인해야 한다. “업계에서 돌던 명단”, “기존 가입자 리스트”, “피해보상 대상자 명단”이라는 이유로 출처가 불명확한 정보를 영업에 쓰는 관행은 향후 중대한 리스크가 될 수 있다.

수탁업체와 영업대리점 관리도 중요하다. 콜센터, 문자 발송 대행사, 전산 유지보수 업체, 제휴 마케팅 업체, 독립 영업조직 등이 회원정보를 처리하는 경우 상조회사는 제공 항목과 이용 목적, 보관 기간, 재위탁 여부, 파기 방식 등을 명확히 해야 한다. 외부 업체가 자체적으로 보유한 명단과 상조회사 고객정보를 결합해 영업하는 경우도 막아야 한다. 위탁 계약서만 갖추는 수준이 아니라 실제 정보 접근 기록과 사용 내역을 확인하는 관리체계가 필요하다.

앞으로 개인정보위가 공급망 전반으로 점검을 확대할 경우, 상조회사는 내부 전산망뿐 아니라 외부 영업망과 상담망에서 개인정보가 어떻게 이동하는지도 설명해야 할 수 있다. 누가 어떤 회원정보에 접근했는지, 어떤 목적으로 내려받았는지, 외부 파일로 반출됐는지, 영업 종료 뒤 파기됐는지까지 관리되지 않으면 사고 발생 시 책임을 피하기 어렵다. 고객정보를 엑셀 파일로 내려받아 공유하거나 개인 이메일·메신저로 전달하는 관행은 특히 위험하다.

중소 상조회사와 장례 관련 업체는 보안 인력과 예산이 부족하다는 이유로 관리가 느슨해지기 쉽다. 그러나 폐업 회원정보 활용이나 출처 불명 DB 영업은 규모와 무관하게 소비자 피해로 직결될 수 있다. 개인정보위가 영세기업의 경미한 위반에는 시정 기회를 부여하겠다고 했지만, 반복 위반이나 중대한 사고에는 엄정 대응하겠다는 입장인 만큼, 관행이라는 이유로 방치하기 어려워졌다.

상조업은 장기간 고객 돈을 맡고, 장례라는 민감한 순간에 서비스를 제공하는 신뢰 산업이다. 회원정보가 무단으로 유통되거나 폐업 업체 정보가 영업자료로 재활용된다는 인식이 퍼지면 업계 전체 신뢰가 흔들릴 수 있다. 9월 징벌적 과징금 시행을 앞두고 상조회사들은 현재 보유한 회원정보뿐 아니라 외부에서 유입되는 영업 DB, 폐업 업체 관련 명단, 상담센터 보관 자료까지 점검해야 한다. 개인정보 보호는 더 이상 전산 부서의 실무 문제가 아니라 상조업계의 영업 관행과 경영 책임을 가르는 핵심 기준이 되고 있다.