정보유출 우려 큰데…트립닷컴·아고다, ISMS 인증도 '아직'

매출 분류에 따라 ISMS 인증의무 예외

잇따른 해킹사고로 개인정보 유출에 대한 우려가 커지고 있는 가운데 트립닷컴과 아고다 등 일부 해외 온라인 여행사(OTA)들은 개인정보보호관리체계(ISMS-P) 등의 인증을 받지 않은 것으로 나타났다. 외국계 플랫폼 기업들의 개인정보보호관리체계 인증이 강화되어야 한다는 지적이 나온다.

매출 100억원 넘는데…의무대상 제외

28일 한국인터넷진흥원(KISA)에 따르면 트립닷컴, 아고다 등 해외 OTA는 ISMS-P 등의 인증서를 발급받지 않았다.

ISMS-P 인증은 정보보호·개인정보 관리체계 전반을 심사해 주요 정보자산의 안전성·신뢰성을 공식적으로 증명하는 국가제도다. 지난 2018년 를 비롯한 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS)를 통합해 만들었다.

정보통신망법상 정보통신서비스 부문 매출액 100억원 이상 또는 일간활성이용자수(DAU)가 100만명 이상인 기업은 ISMS 인증을 의무적으로 받아야만 한다. 일반적으로 정보통신망을 통한 서비스나 상품 예약, 전자지급결제대행업은 정보통신서비스로 분류된다.

글로벌 OTA 기업인 트립닷컴의 국내 법인 트립닷컴코리아(구 씨트립코리아)는 지난해 매출 155억원을 기록했다. 아고다의 국내 법인으로 전자지급결제대행업자(PG사)인 아고다페이먼트코리아는 지난해 매출액은 공개하지 않았으나, 2023년 기준 매출액이 486억원에 달했다.

그러나 KISA에 따르면 씨트립코리아와 아고다페이먼트코리아는 모두 ISMS 인증 의무대상이 되지 않은 것으로 분류됐다. 정보통신서비스로 분류되는 사업을 하고 있는데다 국내 지사의 매출이 100억원을 넘겼지만, 정보통신서비스 부문 매출이 100억원을 넘기지 않았다고 본 것이다.

해외에 본사를 둔 글로벌 기업이 국내 지사에서 발생한 매출을 정보통신서비스가 아니라 다른 분야에서 발생한 매출로 분류하면 ISMS 인증 의무대상을 피해갈 수 있다. KISA는 트립닷컴과 아고다가 이러한 경우로 보인다고 설명했다.

KISA는 해외 기업을 상대로 ISMS 인증을 안내하고 있다. 그러나 ISMS 인증을 강제할 수 있는 법적 수단이 없고, 매출을 어떻게 분류하는지에 따라 얼마든지 ISMS 인증 의무대상에서 벗어날 수 있어 문제로 지적된다.

KISA 관계자는 "많은 해외 기업이 국내에 지사가 있는데도 ISMS 인증 의무 대상이 되지 않는 경우, 국내 지사에서의 매출은 영업·홍보 등으로 분류한다. 아고다페이먼트코리아와 씨트립코리아 역시 그런 경우로 보인다"면서 "이 경우 ISMS 인증을 강제할 수단도 없고, 강제한다면 부작용도 우려될 수 있다"고 말했다.

정보유출 우려 커지는데…국내 OTA 역차별

국내 OTA에 대한 '역차별'이라는 목소리도 나온다. 하나투어, 노랑풍선, 놀유니버스, 야놀자, 여기어때 등 국내 주요 여행사들은 모두 ISMS 인증을 받았다.

해외 OTA들의 개인정보 유출에 대한 우려는 점차 커지고 있다. 대표적인 해외 OTA인 트립닷컴의 경우 최근 중국에 위치한 자회사에 개인정보를 공유할 수 있다는 지적이 나온 상황이다. 현행 중국 사이버보안법과 국가정보법에 따르면 중국 정부가 필요하다고 판단하면 기업은 보유한 데이터를 제공해야 한다.

김재섭 국민의힘 의원은 지난 14일 국회 정무위원회 국정감사에서 "트립닷컴 자회사 대부분이 중국 회사인데, 이용약관을 보면 이용자의 개인정보를 당사 계열사와 공유할 수 있다고고 돼있다"고 지적했다. 이어 증인으로 참석한 홍종민 트립닷컴 한국지사장에게 "해당 약관을 고치겠다고 약속하라"고 촉구했다.

정보보안업계 한 관계자는 "ISMS 미인증으로 과태료를 부과한다고 해도 해외 기업들에 충분히 억제효과를 발휘하는데 한계가 있다"며 "아직까지 일부 외국계 기업은 한국 법인이 본사를 설득하는데 많은 어려움이 있는 것이 현실"이라고 말했다.

ⓒ비즈니스워치(www.bizwatch.co.kr) - 무단전재 및 재배포금지