고객센터서 녹음한 내 목소리는 과연 안전할까 [추적+]

더스쿠프 심층취재 추적+
개인정보 수집하는 녹음파일
권리 보호냐 정보 유출 방지냐
녹음 확산 따른 보안 방안 필요

# “서비스 개선을 위해 이 대화는 녹음될 수 있음을 알려드립니다.” 요즘 기업 고객센터나 공공기관에 전화하면 으레 이런 멘트가 날아온다. 그런데 해당 기업과 기관은 녹음파일을 별문제 없이 안전하게 보관하고 있을까.

# 지난 2월 금융감독원은 한 온라인 보험서비스 기업이 보험상담 녹음파일을 제대로 관리하지 않고 있다고 문제를 지적했다. 2014년과 2015년 대형 생보사에서 녹음파일이 유출되는 사고가 터졌는데도 여전히 관리시스템에 구멍이 뚫려있다는 거다.

# ‘소비자 보호’를 명목으로 숱한 기업과 기관이 녹음 행위를 강화하고 있다. 법과 제도 역시 녹음을 장려하는 쪽에 무게가 실리고 있다. 그런데 녹음파일 관리 매뉴얼은 허술하기 짝이 없다. 당신의 목소리는 정말 안전한 걸까. 더스쿠프가 허술하게 관리되고 있는 녹음파일의 허점을 취재했다.

전화 상담을 하다보면 다양한 개인정보가 노출된다.[일러스트=게티이미지뱅크]

“개인정보의 수집과 활용에 동의하시겠습니까?” 우리가 인터넷으로 정보를 찾거나 특정 서비스를 이용하는 과정에서, 혹은 금융상품을 구매하는 과정에서 심심찮게 접하는 질문이다. 몇년 전만 해도 이런 질문을 들었을 때 별생각 없이 ‘예’를 누르는 건 이상한 일이 아니었다. 심지어 확인란의 기본값이 ‘예’로 설정된 경우도 숱했다.

요즘은 다르다. 기본값은 존재하지도 않을 뿐만 아니라 내용을 세분화해서 선택적으로 동의하지 않을 권리도 부여한다. 약관을 펼쳐보지 않으면 다음 페이지로 넘어가지 않는 경우도 적지 않다.

원활한 서비스 이용을 위해선 ‘예’를 눌러야 한다는 결과는 같지만, 과정엔 차이가 있다는 얘기다. 개인정보를 둘러싼 소비자의 인식이 크게 달라졌기 때문이다. 이젠 개인정보가 유출됐다는 얘기만 나와도 손해배상소송을 준비할 정도다.

여기서 주목할 건 많은 이들이 문서화한 개인정보의 수집과 활용에는 민감하게 반응하지만, 음성정보의 수집과 활용엔 별다른 문제의식을 느끼지 못한다는 점이다. ‘설마 그럴 리가…’라고 생각할지 모르겠지만, 이는 분명한 사실이다. 좀 더 쉬운 설명을 위해 렌털가전업체의 고객센터로 전화를 걸어 간단한 상담을 한다고 가정해보자. 다음은 가상의 상담 내용이다.

상담원 : “네. 고객센터입니다. 무엇을 도와드릴까요?”
소비자 : “얼마 전에 정수기를 렌털했는데, 처음처럼 물이 잘 나오지 않아요.”

상담원 : “성함과 주소를 말씀해주시겠어요?”
소비자 : “홍길동이고요. 서울시 영등포구 문래동 ○○아파트 101동 ○○○호입니다.”

상담원 : “네. 2022년 10월에 렌털하신 A사 제품으로 확인됩니다. 기사님이 방문하셔야 할 것 같은데 언제가 괜찮으세요?”
소비자 : “저희가 맞벌이고, 낮엔 애가 혼자 있어서 평일 낮에는 어렵고요. 주말 오전에만 가능할 거 같아요.”

상담원 : “그럼 이번주 토요일 오전 10시로 예약해드리겠습니다. 기사님께서 연락하실 거에요. 연락처 한번 확인할게요. 010-1234-5678로 연락드리면 되죠?”
소비자 : “네, 감사합니다.”

어떤가. 전혀 이상할 것 없는 이 평범한 대화엔 소비자의 중요한 개인정보 몇가지가 들어있다. 소비자의 이름ㆍ주소ㆍ연락처 외에도 ▲세 식구가 산다는 점, ▲부부가 맞벌이를 한다는 점, ▲낮에는 사람이 없다는 점, ▲방금 정수기 수리를 요청했다는 점 등이다.

정보는 언제나 그것을 필요로 하는 사람에게 가치가 있다는 걸 감안하면 정보의 유용성을 따지는 건 무의미하다. 이 정보가 범죄자에게 간다면 범죄로 이어질 여지도 있다.

문제는 고객센터뿐만 아니라 거의 모든 기업과 공공기관이 이런저런 이유로 당신과의 통화를 녹음하고, 이 녹음파일을 상당 기간 보관한다는 점이다. 심지어 불법도 아닌 합법이다. 다만, 그 과정에서 기업이나 기관이 녹음파일을 허술하게 관리한다면 큰 문제가 발생할 수 있다. 쓸데없는 걱정이 아니다. 몇가지 사례를 보자.

■ 사례➊ 보험사의 허술한 관리 = 2014년 10월 A생보사는 인터넷전화 녹취서버 보안대책을 철저히 수립ㆍ운영하지 않았다는 이유로 금융감독원으로부터 제재를 받았다. 2007년부터 인터넷전화 녹취서버를 도입ㆍ운영한 A사는 이 서버를 보호하는 방화벽 등 정보보호시스템을 설치하지 않았다는 거였다. 이로 인해 2011년 9월부터 2014년 4월까지 해당 녹음파일이 그대로 노출됐다.

이듬해인 2015년 2월엔 B사의 고객정보가 담긴 녹음파일 수십만건이 인터넷에 노출되는 사고가 발생했다. B사의 손해사정 업무를 위탁받은 협력업체가 고객과 상담한 녹음파일들을 백업서버에 보관했는데, 그 서버가 9개월 이상 외부에서 접속 가능한 상태로 노출됐다. 해당 서버에 담긴 녹음파일은 총 70만건이었다.

그로부터 시간이 많이 흐른 지금, 보험사들은 녹음파일 관리 시스템을 개선했을까. ‘그렇다’고 단정하긴 어렵다. 올해 2월 금융감독원은 키움에셋플래너의 보험상담방송 녹음파일 및 보험계약정보 관리 실태를 조사했는데, 보유기간에 따른 삭제가 비정기적으로 이뤄져 삭제가 지연될 우려가 있는 등 관리에 미흡한 부분이 있다고 지적했다. 대형 녹음파일 유출 사고 후 10년이 다 돼 가지만 보험사의 관리시스템엔 여전히 구멍이 뚫려있다는 거다.

■ 사례➋ 심리상담 유출 = 보험사만이 아니다. 개인적 내용이 담긴 ‘심리상담 녹취파일’이 흘러나오는 일도 있었다. 2020년 1월 있었던 재판 결과 하나를 보자. 2014년 11월, 김낙원(가명)씨는 한 심리상담센터에서 상담을 받았다. 상담을 맡은 이는 유명 심리학자이자 서울 Y대학교의 C교수였다.

개인정보가 담긴 심리상담 내용이 유출될 가능성은 얼마든지 있다.[사진=게티이미지뱅크]

C교수는 휴대전화로 낙원씨의 상담 내용을 녹음했다. 그의 나이, 가족관계, 학력, 성장기, 유학시절 경험담과 사연, 가치관, 현재 일하는 직종과 회사 생활, 종교와 역사 관점 등 다양한 신상정보가 녹음됐다.

그런데 C교수는 그 녹음파일을 자신의 유료 세미나의 사례분석 자료로 활용했다. 이후엔 상담 내용을 책으로 발간하기도 했다. 그 바람에 낙원씨의 신상과 심리 상태는 적나라하게 대중에게 공개됐다. 낙원씨는 C교수 등을 상대로 손해배상소송을 제기했다. 2020년 1월 서울중앙지방법원은 “C교수 등이 정신적 손해배상을 할 필요가 있다”면서 낙원씨의 손을 들어줬다.

이 사례들을 통해 알 수 있는 건 ▲녹음파일 관리 체계는 허술하기 짝이 없고, ▲그러다 보니 개인의 도덕적 판단으로 녹음파일을 관리하기 일쑤라는 거다. 사실 지금도 고객센터의 경우, 상담사는 과거 소비자의 녹음파일에 손쉽게 접근한다. 녹음파일에 소비자의 개인정보들이 포함돼 있다는 점에서 정보 접근을 미연에 차단해야 하지만 그렇지 않다는 거다.

국내만의 문제가 아니다. 이런 문제는 구글에서도 나타났다. 2019년 벨기에 공영방송을 통해 구글이 인공지능(AI) 기능 개선을 이유로 앱이나 AI 스피커 등으로 소비자의 사생활이 담긴 녹음파일을 엿들었다는 게 밝혀졌다. 당시 구글도 담당자의 도덕적 판단에만 맡겨뒀다가 녹음파일이 유출됐고, 구글의 허술한 AI 관리구조가 드러났다.

이처럼 법적ㆍ제도적 미비는 녹음파일 관리체계를 허술하게 만드는 요인이다. 예컨대 통신비밀보호법이나 금융소비자보호법 등에는 ‘녹음 행위의 제한’ ‘녹음파일 보관 기간’ ‘소비자 요청 시 녹음파일의 제공 여부’를 구체화한 규정이 있다.

하지만 녹음파일을 어떻게 보관하고 관리해야 하는지 규정한 세부 조항은 없다. 일부 기업이나 기관에서 규정해 놓은 ‘녹음파일이 도난ㆍ유출되지 않도록 기술적ㆍ관리적 보호 조치를 마련해야 한다’는 개별지침만 발견될 뿐이다.

익명을 원한 보안업계 관계자는 “문서기록의 경우 특정 부분을 마스킹(보이지 않게 검게 처리하는 것)하면 문서 자체가 유출돼도 개인정보가 유출될 일은 없다”면서 “하지만 녹음파일의 경우 편집을 하지 않는 이상 문서처럼 마스킹하는 게 쉽지 않다 보니 유출에 더 취약하다”고 꼬집었다.

더 큰 문제는 관리체계가 허술한 상황에서 기업과 소비자 간 갈등 해소를 위한 방편으로 ‘녹음’을 점점 더 장려하고 있다는 점이다. 금융감독원 관계자는 “은행과 보험사들의 불완전판매(소비자에게 정확한 정보를 온전히 제공하지 않고 상품을 판매하는 것)를 해소하기 위해 서명ㆍ기명날인ㆍ녹취 등 다양한 방법으로 소비자의 이해를 구하도록 법(자본시장법과 금융소비자보호법 등)을 강화하는 추세”라면서 “기업들은 가장 편하고 확실한 방법으로 녹음을 선호하는 것으로 보인다”고 설명했다.

실제로 D은행은 올해 초 사내 인트라넷에 상품 담당자의 모든 통화 내용을 녹취하는 지침을 내놨다가 직원의 인권을 침해한다는 비판을 받았다.

이미 각종 고객센터와 공공기관에서의 통화내용 녹음은 일상이 된 지 오래다. 지금의 추세대로라면 ‘고객보호’라는 명분 아래 기업의 통화내용 녹음은 더 확대할 가능성이 높다. 하지만 촘촘한 녹음파일 관리 체계가 뒷받침하지 못한다면 녹음파일에 담긴 개인정보의 유출 문제는 더 심각한 이슈로 커질 게 분명하다.

이런 상황에서 지난해 8월 정치권에선 개인정보 보호라는 명목으로 사인 간 대화 녹음 자체를 불법으로 규정하는 통신비밀보호법 개정안을 내놨다. 하지만 이는 사실 공익적 차원의 녹음마저 막을지 모른다는 비판이 적지 않다. 빈대 잡겠다며 초가집 태우는 격이다. 현실에 맞는 녹음파일 관리 체계를 서둘러 마련해야 하는 이유다.

김정덕 더스쿠프 기자
juckys@thescoop.co.kr