글로벌 액티비티 플랫폼 '클룩(KLOOK)'이 개인정보 유출로 논란에 휩싸였다.
개인정보 유출 사실을 고객에게 제대로 고지하지 않는 등 소극적인 움직임으로 비난을 듣고 있는 것. 특히 최근 국내의 해외여행객 증가와 함께 이용객 수가 급증하고 있었던 만큼 적극적인 대응에 나서야 한다는 지적을 받고 있다.
1일 관련업계에 따르면 클룩에서 유출된 개인정보는 휴대폰 번호 등 단순 개인정보를 넘어 신용카드 번호, 유효기간, CVC 등이다. 2017년 12월 11일부터 2018년 6월 13일까지 클룩 웹사이트를 기반으로 '신용카드 결제'한 이용자가 피해 대상이다.
유출 내용들은 모두 온라인상 결제시 꼭 필요한 사항들로 유출 고객들에게 제대로 된 고지를 통해 특정 조치가 필요한 부분이다. 그러나 클룩은 아무런 조치를 하지 않았다. 개인별 고지는커녕 개인 정보를 유출한 회사들이 일반적으로 자사 홈페이지 내 팝업을 통해 사과문 게재하는 형태도 취하지 않았다.
업계 안팎에선 여름 휴가철을 맞아 홈페이지를 찾는 이들이 많아 여행 액티비티 상품을 판매하는 업종 특성상 제대로 된 고지를 하지 않았을 것으로 보고 있다. 특히 개인정보 유출 고객 중 일부에선 해외에 본사를 두고 있는 클룩이 국내 소비자를 봉으로 보고 있는 게 아니냐는 불만도 나오고 있다.
예컨대 올해 초 해외여행을 다녀온 윤모씨(41세·회사원)는 최근 자신이 주로 이용하는 카드사로부터 전화를 받고 깜짝 놀랐다. 해당 카드사 직원은 윤씨의 카드정보가 클룩을 통해 유출됐다고 알렸다. 카드사 직원은 전자결제에 필요한 카드번호와 인증에 필요한 CVC 번호 등이 유출된 만큼 카드 변경을 해야 한다는 제안까지 했다.
윤씨는 갑작스런 카드사의 카드 재발급 제안에 보이스피싱을 의심해 아무런 조치를 취하지 않았다. 그런데 카드사가 특정 해외여행 사이트를 언급하고, 해외여행 여부 등 구체적인 내용을 알고 있는 점이 의심스러워 해당 사이트를 방문했지만 개인 정보 유출 관련 내용은 찾아볼 수 없었다. 카드사 상담사라던 전화는 보이스피싱으로 확신, 피해를 입지 않은 것에 안도했다.
혹시 카드 정보가 유출됐을지 모른다는 찜찜함에 윤씨는 카드사에 직접 최종 확인을 해보니 개인정보 유출이 됐음을 확인하고, 카드를 재발급 받았다.
윤씨는 "온라인 결제에 꼭 필요한 카드 관련 정보가 유출됐는데도 클룩 측으로부터 문자나 이메일 등의 아무런 연락도 받은 적이 없다"며 "해외에 본사를 두고 있어 직접 확인하는 것도 사실상 불가능했을 것"이라고 말했다. 그는 "국내의 해외여행객이 증가하고 있는 가운데 저렴한 가격에 해외 액티비티 상품을 구매할 수 있다는 점에서 클룩의 이용자수가 상당한 것으로 알고 있다"며 "카드사를 통해 고객 유출 소식을 듣고 사이트를 확인했지만 정보 유출 관련 내용을 찾기가 쉽지 않았다. 카드사의 무조건적인 제안은 보이스피싱으로 오해할 수밖에 없었다"고 설명했다. 그는 이어 "카드 재발급을 신청한 이후 꼼꼼하게 사이트를 확인한 결과 개인정보 관련 유출 관련 내용은 사이트에서 찾기 힘든 위치에 있는 카테고리에 있었고, 적극적으로 연락을 취하고 있다고 밝혔지만 사실과 다른 만큼 해당 내용에 대한 심각성을 인식하지 못한 것으로 보인다"고 지적했다.
클룩이 고객의 개인정보 유출을 인지한 것은 6월 말경이다. 클룩은 지난 6월 29일 자사 홈페이지 언론 카테고리에 '외부 데이터 유출 건과 관련한 고객 안내'라는 제목의 내용을 게재했다. 이 내용만 봐서는 개인정보나 신용카드 정보 유출인지 알기 어렵다.
윤씨가 클룩이 국내 소비자를 봉으로 보고 있는 것 같다고 지적한 것도 이때문이다. 찾기 힘든 위치에 안내를 한 것과 동시에 제목만 봐서는 개인정보 유출 관련 내용이라고 이용자들이 확인하기가 쉽지 않다는 것이다.
클룩이 밝힌 '외부 데이터 유출 건과 관련한 고객 안내'에 따르면 외부 웹 기반 분석툴인 소셜플러스에 문제로 인해 개인정보 및 신용카드 정보 유출이 이뤄졌고, 문제를 인식한 직후 조사를 진행 중이다. 유출된 고객의 수는 전체 사용자의 8% 가량이다. 클룩은 안내문을 통해 해당 문제를 매우 심각하게 받아들이고 관련 정부기관과 해당 사안에 대한 고지를 완료했다고 밝히고 있다. 특히 관련 고객에게 적극적으로 연락을 취하고 있다고 강조했다.
그런데 사실은 달랐다. 윤씨의 경우 개인정보 및 신용카드 정보 유출 내용을 클룩이 아닌 카드사를 통해 확인했다.
윤씨는 "클룩이 지난 6월 개인정보 유출에 대해 안내문을 통해 밝힌 것은 안내문에서 해외 카드 도용 피해가 있으면 카드사에 신고를 하고 보상 문의를 하라는 게 전부였다"며 "클룩이 고객에게 적극적으로 연락을 취하며 피해 예방에 적극적적으로 나서고 있다고 밝혔지만 개별적인 연락을 받은 적이 없고 7월말 카드사를 통해 개인정보 유출 관련 내용을 알게 된 만큼 어떤 점이 적극적인 대처였는지 묻고 싶다"고 말했다.
업계 관계자는 "국내 여행업체의 경우 개인정보 및 카드정보 유출 문제를 중요하게 생각하고 있어 문제가 발생하면 적극적인 고지 등을 통해 문제 해결에 나서는 게 일반적이지만 클룩의 대처 이번 대처 방식은 상당히 의아하다"며 "몸집 키우기에 집중하기보다는 개인정보에 대한 중요성이 강조되고 있는 상황에서 제대로 된 대처를 통해 소비자 신뢰도를 높이는 게 우선돼야 할 것으로 보인다"고 말했다. 김세형 기자 fax123@sportschosun.com
