최근 국정감사에서 중국계 온라인 여행사(OTA) '트립닷컴'의 고객 정보 유출 문제가 지적된 가운데, 그 배경으로 지목되는 중국의 '국가정보법'에 대한 관심이 커지고 있습니다. 중국 국가정보법에는 모든 조직·국민이 국가의 정보 활동을 지원해야 한다는 내용이 있는데, 중국 정부가 이를 기반으로 한국인이 이용하는 자국 플랫폼을 통해 국내 이용자들의 정보를 무차별 사냥할 수 있다는 우려가 나옵니다.

김재섭 국민의힘 의원은 지난 14일 국회 정무위원회 국정감사에서 "트립닷컴의 이용 약관을 보면 이용자의 개인 정보를 당사 계열사와 공유할 수 있다고 돼 있다"며 "사실상 중국계 회사에 대한민국 국민의 개인 정보들을 유출할 가능성이 높다"고 지적했습니다. 이어 "당사 계열사와 이용자 정보를 공유할 수 있다고 한 해당 약관을 고치겠다고 약속하라"고 강조했습니다.

트립닷컴 CI. /트립닷컴 제공

이날 증인으로 출석한 홍종민 트립닷컴 한국지사장은 "제가 결정할 수 있는 부분이 아니며 본사에 보고하고 검토하겠다"고 답했습니다. 송경희 개인정보보호위원회 위원장은 "트립닷컴에 대해 과거에도 개보위가 조사해서 처분한 적 있고, 이후 위법 사실이 있는지 더 살펴보겠다"고 밝혔습니다.

트립닷컴 그룹은 싱가포르 법인으로 등록되어 있으나, 중국 상하이에 본사를 두고 글로벌 항공권 검색 플랫폼 '스카이스캐너(Skyscanner)'를 비롯한 다수의 중국 기업 자회사를 거느린 중국계 기업입니다.

실제 트립닷컴의 이용 약관을 보면 '예약 제품 정보, 이름, 휴대전화 번호, 이메일을 비롯해 생년월일과 여권 번호, 거주지, 카카오톡 등 채팅 앱 아이디 등 다양한 정보를 국외로 이전할 수 있다'는 내용이 담겨 있습니다. 사용자가 개인정보 국외 이전 동의를 거부할 수 있으나, 이를 거부할 경우 '서비스 이용이 제한된다'는 제약 사항도 안내되고 있습니다.

트립닷컴의 개인정보의 국외 이전 관련 약관 내용. /인터넷 캡처

이 같은 약관이 등장한 배경으론 중국의 국가정보법이 지목됩니다. 지난 2017년 제정된 국가정보법은 중국 내 정보기관의 권한과 국민·조직의 협조 의무를 규정한 법으로, 정부의 정보 활동 지원을 의무화하는 내용이 담겨 있습니다. 이 법은 중국에 서버를 둔 기업이나 중국계 기업의 해외 지사에도 영향을 미칠 수 있습니다.

일례로 국가정보법 제7조는 "모든 조직과 국민은 법에 따라 국가의 정보 활동을 지지, 지원, 협력해야 한다"고 명시합니다. 또 제10조는 "국가 정보기관은 법에 따라 필요한 정보, 자료, 기술 지원을 요구할 수 있다"고 규정하고 있으며, 제14조에서는 "국가 정보기관은 관련 기관, 조직, 시민과 협력해 정보 수집을 수행할 수 있다"고 선언하고 있습니다.

이 밖에도 중국은 지난 2021년 '데이터보안법'을 제정했는데, 제35조에 "공안, 국가 보안 기관이 법에 따라 국가 안보의 수호 또는 범죄 수사의 필요에 따라 데이터를 수집하는 경우에는 관련 규정에 따른 승인 절차 등의 법적 절차를 준수해야 하며 관련 조직이나 개인은 이에 협조해야 한다"는 내용이 포함됐습니다.

그래픽=정서희

현재 한국에는 다양한 중국 플랫폼이 진출해 있죠. 이 가운데 실제 정보 유출 행위가 적발돼 처벌된 사례도 있습니다. 중국 이커머스 '테무'는 국내 이용자 동의 없이 중국 등에 이름, 개인통관고유부호 등의 개인 정보를 무단으로 넘긴 행위가 적발됐습니다. 개인정보보호위원회는 지난 5월 과징금 13억6900만원, 과태료 1760만원을 부과하고 시정명령 등의 조치를 의결했습니다.

최근 공정거래위원회가 승인한 신세계(004170)그룹의 이커머스 플랫폼 '지마켓'과 중국 알리익스프레스의 합작 법인 출범 과정에서도 고객 정보 및 데이터 관리가 중요한 화두였습니다. 공정위는 합작 법인의 승인 조건으로 양측이 보유한 소비자 데이터를 기술적으로 분리하도록 했습니다.

이번 기업결합과 관련해 정용진 신세계그룹 회장은 오는 24일 진행될 산업통상자원중소벤처기업위원회 국정감사에서 증인으로 채택되기도 했습니다. 산자위는 지마켓과 알리익스프레스의 합작 법인 설립과 관련, '온라인 플랫폼의 국내 소비자 정보 보호'에 관해 물을 계획입니다.

정보보호 업계 관계자는 "중국 국가정보법이 국내 이용자의 개인 정보가 중국 정부에 제공되는 법적 근거가 될 수 있는 만큼, 우리 정부가 나서서 중국 플랫폼의 개인 정보 국외 이전 흐름을 들여다보고 그에 맞는 대비책을 마련해야 한다"고 했습니다.