맥 주소, OS 버전, 기기 제조사, 모델명, 단말기 ID 등 추가 수집

[보안뉴스 김지언] 신한카드는 온라인상 부정사용 방지를 위해 온라인 회원약관 및 개인정보 수집 동의서 일부 내용을 수정한다고 밝힌 바 있다. 이와 관련 개정안 중 추가로 수집되는 개인정보 항목이 과도한게 아니냐는 지적이 잇따랐다.

신한카드에 따르면 6월 1일부터 기존에 수집한 성명, 회원 ID, 온라인 password, 주민등록번호 등 9개의 개인정보 외에도 맥 주소, 하드디스크 시리얼 번호, CPU ID, OS 버전, 네트워크 국가코드 등 다수의 개인정보를 수집한다. 기존 수집된 개인정보 외에도 전자금융거래에 사용되는 사용자 단말기의 정보를 모두 수집하겠다는 얘기다.

이를 두고 보안종사자들은 정보수집 범위가 과도한 게 아니냐고 지적했다. 온라인상 부정사용 방지를 위해 사용된다고 하더라도 이 모든 정보가 사용되진 않는다는 것이 이들의 입장이다.

이들은 고객 자산보호를 위해 수집되는 정보가 유출로 악용될 시 더 큰 피해를 야기한다고 밝히며, 각 항목별 사용 용도에 대해 상세히 밝힐 것을 요구했다. 또 과도한 개인정보 수집이 아닌 최소 수집 방향으로 바꿔야 한다고 덧붙였다.

뿐만 아니라 신한카드에서 밝힌 ‘1개월 이내 별도 해지 의사를 표시하지 않으면 개정약관에 승인한 것으로 간주한다’는 것에도 문제의 소지가 있음을 지적했다.

이와 관련 법무법인 민후의 김경환 변호사는 이번 신한카드의 개인정보수집 항목 개정은 개인정보보호법령에 저촉될 수 있다고 지적했다.

김 변호사는 먼저 개정된 개인정보 수집항목이 너무 많다는 입장을 밝혔다. 법적으로 동의를 받던, 받지 않던 지에 관계없이 최소 수집의 원칙을 위반했을 가능성이 높다는 것이다. 

또 김 변호사는 약관에 개정된 개인정보 수집항목을 넣는다면 개인정보보호법 위반이라며 개인정보 취급방침에 변경하고자 하는 수집항목, 각 항목별 수집목적, 개인정보 이용기간, 동의 거부권 등을 공개해야 한다고 밝혔다

이외에도 신한카드가 밝힌 ‘한 달 동안 별도 해지 의사표시를 하지 않는다면 동의한 것으로 간주한다’는 것도 무리수라고 지적했다. 

이에 본지는 신한카드 관계자에게 추가된 각각의 개인정보 수집항목에 대해 어떤 용도로 사용되는지 정보를 요구한 상태다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>