동의 안한 일반 사용자의 전자장치 정보도 수집 [보안뉴스 김지언] 최근 신한카드가 온라인 회원약관 및 개인정보 수집동의서에서 일반 온라인 회원들의 컴퓨터 정보까지 마구잡이로 수집한다고 밝혀 여론의 뭇매를 맞고 철회한 바 있다.


이와 관련 많은 언론에서는 카드사의 전자장치 관련 정보수집 현황을 파악하기 위해 각 카드사의 개인정보취급방침을 분석하고 발표했다. 이와 관련 언론에서는 하나SK카드를 포함한 일부 카드사의 경우에는 MAC 주소를 수집하고 있지 않다는 것을 개인정보취급방침을 통해 확인했다고 밝혔다.

금융권에서 수집하는 맥 주소는 특정 컴퓨터나 모바일 기기 등을 식별하기 위해 네트워크 장비(랜카드) EPROM(비휘발성 반도체 기억장치)안에 부여되는 하드웨어의 고유식별번호다.

대부분의 카드사는 맥 주소를 수집해 정상적인 기기에서 전자금융거래가 발생한 것인지를 파악하는 등 부정거래탐지에 이용하고 있다.
 
그러나 일부 카드사의 수집항목에 MAC주소가 포함돼 있지 않으면서 실제로 정보를 수집하지 않는 것인지 수집사실을 숨기고 있는 것인지를 파악하기 위해 이들 중 하나SK카드의 전자장치 수집항목을 비교해 보았다.

하나SK카드의 개인정보취급방침을 살펴보면 서비스이용과정이나 업무처리과정에서 이용자의 운영체계 종류, 브라우저 버전, IP Address, 방문일시, 서비스이용기록, 결제기록, 쿠키가 수집될 수 있다고 명시하고 있었다. 그러나 실제로는 이보다 더 많은 정보를 수집하고 있었다.


해당 카드사 홈페이지에서 서버로 보내는 전자장치관련 정보를 확인해본 결과 MAC 주소, HDD 시리얼번호 외에도 다수의 정보를 추가적으로 전송하고 있는 사실이 확인됐다.

특히 해당 카드사는 카드신청, 카드결제와 같은 전자금융거래가 일어나는 시점 외에도 웹회원이 아닌 사용자의 전자장치 정보도 수집하고 있어 문제가 됐다. 즉 웹회원이 아닌 사용자가 웹회원 가입을 위해 실명확인만 하더라도 이러한 정보들이 모두 수집됐다는 얘기다. 이외에도 하나SK카드 웹회원이 로그인 할 때 등에서도 정보가 수집되는 정황을 확인할 수 있었다.

이와 관련 법무법인 민후의 김경환 대표변호사는 “하나SK카드의 경우 전자금융거래 시점이 아닌 일반적으로 사이트에 접근했을 때도 정보를 수집했으므로 개인정보 과다수집에 해당한다. 또한 동의 받지 않은 사용자의 전자장치 정보를 수집하는 것 등이 신용정보보호법이 적용되지 않는 한 개인정보보호법 위반이라고 볼 수 있다”고 밝혔다.

이외에도 그는 “개인정보취급방침에 수집하고자 하는 항목을 한정지어 두고 동의 받지 않은 상태에서 추가정보를 수집한 것은 불법 개인정보수집에 해당되므로 빠른 시정이 필요하다”고 덧붙였다.

이러한 문제와 관련해 본지는 금감원에 내용을 전달하고 시정을 요청했으며 해당 카드사는 문제가 있는 것으로 판단해 개인정보취급방침 등을 수정한 상태다.
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>