KB 리브엠, 알뜰폰 가입 시 고객 성향 정보 필수 동의 항목으로 받아
- 고객분석 목적 접속 기록 등 개인정보 6억 6천여 건 수집
유의동 국회의원(경기 평택을, 국민의힘)에 따르면, Liiv M 브랜드로 알뜰폰 사업에 뛰어든 KB 국민은행의 개인정보 수집·활용 실태를 분석한 결과, KB가 자사 알뜰폰 고객의 성향을 파악하기 위하여 고객에게 필수 동의를 강제하는 방식으로 고객의 사이트 접속 기록(IP·도메인주소·접속 URL 등) 6억6천여 건(’20.12월~’23.4월)을 수집·보관·활용한 것으로 드러났다고 밝혔다.
현행 개인정보보호법(제39조의3 제3항)은 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 최소한의 개인정보만을 수집하되, 해당 범위를 넘어선 개인정보에 대해서는 이를 제공하지 아니한다는 이유로 서비스 제공을 거부하지 못하도록 규정하고 있다.
그러나, KB 국민은행이 지난 4월까지 사용한 Liiv M 가입신청서, 개인(신용)정보 수집·이용·제공 동의서에 따르면, 고객 분석, 맞춤형 서비스 제공 목적으로 알뜰폰 서비스 제공에 필수적 항목이 아닌 고객의 사이트 접속 기록(접속 IP/도메인 주소/접속 URL 등), 직업, 급여 정보 수집에 필수적으로 동의하도록 하고 있으며, 동의하지 않을 경우 알뜰폰 가입·이용 자체를 못하도록 하고 있다.
특히, 접속 IP/도메인 주소/접속 URL 정보의 경우 이용자가 개인 단말기를 활용하여 어떤 웹사이트에 접속했는지 확인할 수 있고, 고객 분석을 통해 이용자의 취미나 관심사항 뿐만 아니라, 정치 성향, 성적 취향 등 극도로 민감한 사항까지 노출될 수 있는 중요한 개인정보임에도, KB가 장기간에 걸쳐 대량으로 해당 정보를 광범위하게 수집한 것이다.
이에 대해 유의동 의원은 “KB 국민은행은 대안신용평가 모형 등 혁신금융서비스 개발 차원에서 고객의 행태를 분석하기 위해 개인정보를 수집했다고 주장하지만, 이는 이동통신 서비스 제공에 필수적인 항목이 아니므로, 관련 정보의 수집은 ‘필수 동의’로 이뤄져야 할 대상이 아니다”라고 지적했다.
또한, 유 의원은 “KB 국민은행이 ’23.4월 이후에는 동의서를 개정하여 접속 URL 정보를 필수 동의 항목에서 선택 동의 항목으로 변경했지만, 여전히 고객 성향을 분석하기 위한 접속로그, IP 정보 수집에 대해 필수 동의를 강제하고 있어 현행법 위반이 의심된다”며, “개인정보보호위원회가 즉각 조사에 나서 위법 여부를 가리고, 이용자 피해가 없도록 조치해야 한다”며 정부의 철저한 조사 및 대책 마련을 강력히 촉구했다.
< KB Liiv M 이통사 망별 누적 가입회선수 현황 >
(단위: 건)
통신망별
SKT
KT
LGU+
소계
회선수
6,555
10,367
401,440
418,362
※ 과기정통부 월 정기보고 자료 기준 ※ 사업 개시 : LGU+ 2019.12월, KT 2022.7월, SKT 2022.10월
< 접속 IP 등 정보 수집 현황 (월별) >
(단위: 건)
구분
’20년
’21년
’22년
’23년
1월
3,009,949
26,625,560
37,830,650
2월
8,044,350
25,789,993
31,863,472
3월
9,954,680
28,001,576
32,624,681
4월
11,144,555
26,523,631
28,724,042
5월
11,612,414
30,524,346
6월
11,856,555
28,632,185
7월
12,479,830
31,492,360
8월
13,143,489
34,748,429
9월
12,635,009
34,829,796
10월
15,830,908
37,744,652
11월
16,656,858
41,860,764
12월
418,192
22,005,422
39,911,474
※ 기간: ’20.12월~’23.4월 / 적재 총 수 : 666,519,822 건
※ KB Liiv M은 알뜰폰 사업자(업무위탁자)로, 도매제공 협정을 체결한 이통사(업무수탁자)로부터 서비스 제공에 필요한 데이터를 전송받고 있으나, 접속 IP, 도메인 주소 등은 LGU+로부터만 받고 있으며, SKT, KT로부터는 받지 않고 있다고 밝힘
