![개인정보보호위원회는 지난달 12일 열린 전체회의에서 여행 중개 서비스인 모두투어를 운영하는 모두투어네트워크에 개인정보보호법 위반을 이유로 과징금과 개인정보보호 관리체계 개선 권고 처분 등을 의결했다. [출처=연합뉴스]](https://cdn.ebn.co.kr/news/photo/202504/1657719_671129_2345.jpg)
여행업계가 코로나19 엔데믹(풍토병화) 이후 급증한 해외여행 수요로 인해 다시 활기를 되찾고 있다. 이에 비례해 개인정보 수집·활용 범위가 커지면서 업계 전반의 정보보호 역량에 대한 관심도 높아지고 있다. 하지만 대형 여행사와 중소 여행사 간의 보안 수준 격차가 여전히 해소되지 않고 있어 문제라는 지적이 흘러나온다.
2일 여행업계에 따르면, 여행 수요 회복에 맞춰 업계 내 개인정보 수집이 확대되는 상황에도 개인정보보호 체계는 여전히 불균형을 이루고 있다.
앞서 지난해 6월 대형 여행사인 모두투어네트워크는 웹사이트의 보안 취약성에 의해 306만명의 고객 개인정보가 유출되는 사고가 벌어졌다. 유출된 정보에는 이름, 연락처, 생년월일 등이 포함됐는데, 개인정보보호위원회는 과징금 7억4700만원, 과태료 1020만원을 부과했다.
그보다 앞선 지난 2017년에는 국내 대표 여행사인 하나투어가 해킹 공격으로 고객 3만4000여명의 개인정보가 유출되는 사고를 겪었다. 해당 사건으로 인해 전 본부장과 회사는 각각 벌금 1000만원을 선고받았다.
참좋은여행도 2023년 초 내부 직원의 계정 정보가 해커에 의해 탈취돼 사내 시스템에 접속하는 일이 발생하면서 고객들의 개인정보가 유출되고 스팸메일이 발송되는 등의 피해가 잇따랐다. 개인정보보호위원회는 안전조치 의무 위반으로 과징금 1억7438만원과 과태료 360만원을 부과했다.
이처럼 해킹이나 내부 부주의로 정보 유출을 경험한 대형 여행사들은 개인정보보호 관련 체계적인 시스템 구축에 힘쓰고 있다.
대표적으로 하나투어는 개인정보보호 전담 인력을 두고, 정보보호 인증(ISMS-P) 획득, 정기적 보안 교육, 침입 차단 시스템 등으로 체계를 강화 중이다.
하나투어 관계자는 “정보보호, 개인정보 각각의 전문 영역 전담 인력을 두고 있으며, 정보보호관리체계, PCI-DSS, e-privacy 등 다양한 정보보호 인증을 획득해 법적 요구사항을 준수하고 고객의 소중한 개인정보를 안전하게 보호하고 있다”고 말했다.
싱가포르에 본사를 두고 있는 세계 최대 온라인 여행 플랫폼 중 하나인 트립닷컴(Trip.com)도 사용자의 데이터를 보호하기 위해 ISO 27001(정보보호관리체계), ISO 27701(개인정보보호관리체계) 등 국제 보안 인증 기준에 부합하는 보안 시스템을 구축·운영하고 있다.
여기에 각 국가 및 지역의 규제에 따라 SCC(표준계약조항) 등의 규정을 함께 따르고 있다.
트립닷컴 관계자는 “국내에서도 개인정보보호법을 비롯한 관련 법령 및 규정에 의해 고객 정보를 보호하기 위한 기술적·관리적 보안 체계를 안정적으로 운영하는 동시에 보안 수준 고도화를 위한 노력을 지속 중”이라고 밝혔다.
반면 중소 여행사들은 전문 인력과 시스템 부재로 인해 법적 요구 수준조차 충족하기 어려운 실정인 것으로 전해진다. 일부 업체는 개인정보 수집 목적 고지 없이 예약 정보를 저장하거나 수기로 작성된 예약서를 장기간 보관하는 등 개인정보보호 조치가 미흡한 경우가 많은 것이다.
서울 소재 한 중소여행사 관계자는 “법 개정은 매년 있지만 관련 내용을 숙지하고 반영하기엔 인력과 시간이 턱없이 부족하다”며 “소상공인을 위한 맞춤형 가이드라인이 필요하다”고 호소했다.
이에 정부와 한국여행업협회(KATA)는 ‘자율점검’과 ‘교육’을 병행한다는 방침이다.
행정안전부는 올해 봄 여행 성수기를 앞두고 여행사 및 레저시설에 대한 개인정보보호 실태 점검을 실시했다. 점검 항목에는 불필요한 민감정보 수집, 보유 기간 경과 정보의 미파기, 위탁사 관리 감독 부실 등이 포함됐다.
한국여행업협회는 자율점검 매뉴얼을 배포하고, 회원사 대상 개인정보보호 교육을 정례화하고 있다.
협회 관계자는 “중소여행사들이 개인정보보호법을 현실적으로 이행할 수 있도록 교육 콘텐츠와 법률 자문을 지속 확대해 나갈 계획”이라고 말했다.
업계에서는 여행업이 신용카드 정보, 여권 사본 등 민감한 정보를 광범위하게 다루는 만큼 개인정보보호는 선택이 아닌 ‘생존을 위한 필수조건’이라고 지적한다.
한 여행업계 관계자는 “(온라인 해킹 등) 최근 공격은 정교화되고 자동화돼 여행사 규모와 상관없이 누구든 타깃이 될 수 있다”며 “이에 여행사의 자체 대응 방안 외에 정부의 무료 컨설팅, 클라우드 보안솔루션 보급, 표준화된 관리 매뉴얼 지원이 절실히 요구된다”고 밝혔다.
