함께하는시민행동은 네티즌의 제보로 정보공유업체 (주)프루나닷컴이 팝업창 광고주 (주)엔터웨어랩에게 회원의 동의 없이 개인정보(성명, 주민등록번호, 이메일)를 제공하는 것을 발견하였다. 더구나, 타인의 아이디만 알면 성명, 주민등록번호, 이메일을 웹브라우저 소스창에서 알아 낼 수 있는 결함까지 있었다. 이에 시민행동은 (주)프루나닷컴에게 관련 서비스의 중지와 공개사과와 재발방지 약속을 요구할 것이며 정보통신부에게는 이러한 업계관행에 관한 진상조사와 재발방지 대책을 촉구할 것이다.

* (주)프루나닷컴 : pruna.com
* (주)엔터웨어랩 : diyhard.co.kr

“광고 유치 댓가로 개인정보를 제3자에게 제공하는 것은 정보통신망이용촉진및정보보호에관한법률 제24조 위반”

○ 3월 9일 (주)프루나닷컴측은 전화통화에서 광고주의 이벤트에 참여하기 위해서는 그 회사의 회원가입이 필요하기 때문에 회원정보를 보내주는 것으로 회원정보를 유출한 것이 아니라고 밝혔다.  또한 (주)엔터웨어랩도 전화통화에서 이벤트 가입시 회원정보를 입력해야 하는데 다시 회원정보를 입력하는 번거로움을 피하기 위한 것으로 이는 업계의 관행이라고 밝혔다.

○ 그러나, 이는 위법한 일이다. ‘프루나’에 로그인 한 후 주)엔터웨어랩(diyhard.co.kr)광고 팝업창을 클릭하는 순간 회원정보가 자동으로 (주)엔터웨어랩DB와 연동된다.(별첨 1. 네티즌 제보내용 화면캡쳐 이미지 참조) 이는  (주)프루나닷컴(pruna.com)과 파업창 광고주 (주)엔터웨어랩(diyhard.co.kr)의 행위는 개인의 동의를 받지 않고 개인정보의 제3자에게 제공한 것으로 위법한 행위(하단, 법위반 조항 참조)이다. 고객의 동의를 받지 않는 이러한 행위는 매우 부도덕한 일이다. 결과적으로는 광고 개제를 댓가로 회원정보를 넘기는 부당한 상거래로 (주)프루나닷컴(pruna.com)과 (주)엔터웨어랩(diyhard.co.kr)의 행위는 ‘정보통신망이용촉진및정보보호에관한법률 제24조(개인정보의 이용 및 제공)’를 위반 한것으로 ‘동법 제62조 (벌칙) 조항  5년 이하의 징역 또는 5천만원 이하의 벌금’에 해당하는 것이다. (별첨 2. 정통망법 관련 조항 참조)


“기술적 결함으로 주민등록번호를 비롯한 개인정보를 타인이 볼 수 있도록 방치. 결국, 리니지 사건이 터져도 무감각한 업계의 안이한 현실 확인”

○ 특히, 관련 광고 팝업창에서 (주)프루나닷컴의 회원 아이디를 알고 있다면 링크된 소스코드를 수정하여 타인의 개인정보(성명, 주민등록번호, 이메일)를 팝업창 소스코드에서 볼 수 있다는 것은 더욱 큰 문제이다. 데이터베이스 연동 과정에서 기술적 보호 장치가 없었다는 것을 의미한다. 이러한 허점은 또 다른 제3자가 개인정보를 가로챌 수 있음을 의미하는 것이다. 주민등록번호의 오남용 문제가 사회문제가 되고 있음에도 관련 인터넷 기업들이 무감각한 자세로 일관하고 있는 강도 높은 법적 제재가 없었기 때문이다.

“ 고객과의 약속 개인정보보호정책도 지키지 않는 (주)프루나닷컴 ”

○ 또한, (주)프루나닷컴 스스로가 제시한 개인정보보호정책도 지키지 않았다. 스스로가 마련한 총칙을 어겼으며 제7조 제9조 제 10조 또한 어겼다. 즉, 고객과의 약속을 저버린 것이다. 고객과의 약속을 어기는 기업이라면 그에 상응하는 댓가를 치러야 할 것이다.


“ 관련 업체는 관련 내용에 관한 공식적인 사과와 재발 방지를 약속해야 하며 정보통신부는 법적 제재 뿐 아니라 업계 관행에 대한 광범위한 실태조사 필요. ”

○ (주)프루나닷컴(pruna.com)과 (주)엔터웨어랩(diyhard.co.kr)은 각사의 홈페이지에 관련한 내용에 관한 사과와 더불어 재발방지를 위한 약속을 각사의 회원들에게 알려야 할 것이다. 또한, 위와 같은 방법으로 제3자에게 넘겨준 개인정보의 숫자를 밝혀야 한다.

○ 정보통신부는 (주)프루나닷컴(pruna.com)과 (주)엔터웨어랩(diyhard.co.kr)의 상행위에 대하여 실태조사를 벌여 위법한 행위에 대해서는 법적 제재를 해야 할 것이며, 잘못된 관행에 대한 광범위한 행정지도를 실시해야 할 것이다. 실시 후 조사결과를 발표하여 사회에 경종을 울려야 한다.

○ 국회에는 개인정보보호기본법이 상정되어 있으나 기업들의 로비와 행정부처의 무관심으로 방치되고 있는 현실이다. 입법 작업을 서둘러서 그 법이 정하는 독립적인 개인정보보호감독기구로 하여금 개인정보보호의 호민관 역할을 할 수 있도록 국회는 노력해야 한다.


<별첨1> 네티즌 제보내용 화면 캡쳐
<별첨2> 정보통신망이용촉진및정보보호에관한법률 저촉사항

<별첨1> 네티즌 제보 내용 - 상단 이미지

<별첨 2> 정보통신망이용촉진및정보보호에관한법률 저촉 내용

제24조 (개인정보의 이용 및 제공 등)
①정보통신서비스제공자는 당해 이용자의 동의가 있거나 다음 각호의 1에 해당하는 경우를 제외하고는 개인정보를 제22조제2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니된다.
1. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
2. 통계작성·학술연구 또는 시장조사를 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
3. 다른 법률에 특별한 규정이 있는 경우

②정보통신서비스제공자로부터 이용자의 개인정보를 제공받은 자는 당해 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적외의 용도로 이를 이용하거나 제3자에게 제공하여서는 아니된다.

제62조 (벌칙) 다음 각호의 1에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.<개정 2002.12.18>

1. 제24조제1항(제58조의 규정에 의하여 준용되는 경우에 해당되는 자를 포함한다)의 규정을 위반하여 개인정보를 제22조제2항의 규정에 의한 고지의 범위 또는 서비스 이용약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공한 자 및 그 정을 알고 영리 또는 부정한 목적으로 개인정보를 제공받은 자

2. 제24조제2항(제58조의 규정에 의하여 준용되는 경우에 해당되는 자를 포함한다)의 규정을 위반하여 이용자의 개인정보를 제공받은 목적외의 용도로 이용하거나 제3자에게 제공한 자 및 그 정을 알고 영리 또는 부정한 목적으로 개인정보를 제공받은 자



<끝>.