# 최근 A씨는 ‘보험점검센터’라는 곳에서 전화를 받았다. 상대방은 불필요한 보험 정리를 도와준다며 민감한 개인 정보를 차례로 물어왔다. 제대로 된 동의 절차나 정보 제공처에 대한 안내는 없었다. 상담원은 곧 ‘전문가’가 다시 연락할 것이라고 했고, 다음날 전화가 걸려왔다. 발신자는 하나금융 계열사인 하나금융파인드 소속 설계사였다.
하나금융 계열사 하나금융파인드가 개인정보보호법 위반 의혹에 휘말렸다. 마케팅 대행업체가 불법으로 수집한 고객 데이터베이스(DB)를 제공받은 정황이 드러나면서다. 금융지주 계열사의 허술한 관리·감독이 도마에 오른 것. 하나금융파인드는 하나손해보험의 자회사이자 법인보험대리점(GA)이다.
13일 뉴스포트 취재에 따르면 마케팅 대행업체 ‘두드림 마케팅’은 무작위로 소비자에게 전화를 걸어 이름·주소·생년월일·보험 가입 현황·질병 이력 등 민감한 개인정보를 수집했다. 이 과정에서 사전 동의 절차는 없었고, 정보 제공처나 활용 목적에 대한 고지도 이뤄지지 않았다. 수집된 정보는 하나금융파인드 등 복수의 GA에 전달된 것으로 알려졌다.
개인정보보호법은 개인정보의 수집·이용시 정보주체에게 수집 목적, 보유 기간 등을 고지하고 동의를 받아야 한다고 규정한다. 제3자에 해당 정보를 제공할 경우에도 제공받는 자, 이용 목적, 보유 기간 등을 명확히 밝히고 이 역시 동의를 받아야 한다. 위반하면 관련 매출액의 최대 3%에 달하는 과징금이 부과될 수 있다.
A씨 사례에서는 이 같은 절차가 제대로 지켜지지 않았다.
소관 부처 관계자는 “개인정보를 수집하거나 제3자에게 제공할 때는 반드시 법상 고지사항을 알리고 동의를 받아야 한다”며 “고지 없이 받은 동의는 자유로운 의사에 의한 것이 아니므로 법적 효력이 없다”고 말했다.
대법원도 ‘거짓이나 부정한 수단’으로 개인정보를 취득하거나 처리에 관한 동의를 받는 것은 불법이라고 판시했다. 형식적으로 동의를 받았다고 하더라도 수집 동기·목적·방법 등 법령 준수 여부를 종합적으로 따져 적법성을 판단해야 한다는 취지다.
불법으로 수집된 정보를 제공받은 측 역시 책임에서 자유롭지 않다. 수집 경위를 몰랐더라도 주의·확인 의무를 다하지 않았다면 법적 책임이 발생할 수 있다.
개인정보보호법은 동의 없이 개인정보를 제공한 자뿐 아니라 이를 알면서 제공받은 자에게도 최대 5년의 징역 또는 5000만원의 벌금을 부과할 수 있다고 명시한다. 또 거짓·부정한 수단으로 개인정보를 취득하거나 동의를 받은 자, 이를 알면서도 영리 목적으로 제공받은 자 모두 최대 3년 이하 징역 또는 3000만원 이하 벌금형에 처해질 수 있다.
GA업계에서는 금융지주 계열사로서 하나금융파인드의 내부통제 부실을 지적하는 목소리도 나온다. 일반 GA보다 높은 수준의 준법·감시 체계가 요구됨에도 고객 데이터 확보 과정에서 미검증 업체에 의존하거나 절차를 소홀히 했다면 책임을 피하기 어렵다는 지적이다. 금융지주 전체의 정보보안 신뢰도에도 악영향이 우려될 수 있다는 시각이다.
GA업계 한 관계자는 “불법·편법으로 수집된 정보를 제공받은 쪽도 책임을 면하기 어렵다”며 “특히 금융지주 계열사라면 더욱 엄격한 준법 감시 체계를 갖춰야 한다”고 말했다.
금융감독원 관계자 역시 “GA가 해당 정보를 활용했다면 개인정보보호법 위반 소지가 크다”며 “출처 확인 절차가 있다고 하지만 실제로는 형식적으로 운영되는 경우가 많다”고 지적했다.
하나손보 관계자는 “두드림 마케팅이 하나금융파인드의 마케팅 대행업체인 것은 사실”이라면서도 “첫 통화를 담당한 상담원이 신입 직원으로 스크립트를 누락하는 실수를 한 것으로 확인됐다”고 해명했다. 이어 “해당 고객에게 두드림 마케팅 직원과 대표가 직접 사과를 드렸다”며 “재발 방지를 위해 자회사의 관리·감독을 강화할 계획”이라고 덧붙였다.