아이디 찾기는 좀 더 쉬워도 된다. (불필요한 개인정보 검증 금지)

 

국내에서 점유율이 높은 모 악보구매 사이트의 회원 가입 화면이다. 개인정보 최소수집에 대한 인식이 어느정도 자리잡히고 있는 시점임에도 이렇게 불필요한 정보를 많이 받는 사이트가 꽤 남아있다.

 

악보를 구입하는데 생년월일, 주소는 왜 필요할까? 사실 악보를 구입하기 직전까진 이메일이나 휴대폰 둘 중 하나 정도만 받아도 무방하다. 실명도 굳이 받을 필요도 없다. 그런데 이 사이트의 개인정보 수집 동의서는 더 가관이다.

 

"OOOO는 회원가입, 원활한 고객상담, 각종 서비스 등 기본적인 서비스 제공을 위한 필수정보와 
고객 맞춤 서비스 제공을 위한 선택정보로 구분하여 아래와 같은 개인정보를 수집하고 있습니다."
1) 개인 회원
필수항목 : 이름, 아이디, 비밀번호, 이메일, 휴대폰번호, 생년월일, 관심악기, 관심파트, 주소

 

분명히 필수정보와 선택정보로 나누어 개인정보를 수집하고 있다고 하였음에도 당연히 선택 정보여야 할 정보들이 필수항목으로 들어가 있다. 관심악기와 파트가 필수 수집항목이라니. 심지어는 통신사 본인확인 시 반드시 입력해야 하는 이통사 정보 등을 '선택항목'이라고 넣고 있다. 뭐 아이핀으로 본인확인을 할 수도 있으니 이통사 본인확인 정보는 선택정보라도 분류하는 것 같긴 하다.

 

어찌 되었든 이런식으로 개인정보를 수집받는 것은 개인정보 보호법상의 원칙을 위배할 소지가 크다. 가입할 때 부터 본인확인을 거치는 게 아니라 가짜 정보로 입력할 수 있긴 하지만 분명한 불이익이 있다. 왜냐하면 저렇게 불필요하게 입력받은 정보를 아이디 찾기에 사용하고 있기 때문이다.

 

 

내 아이디를 찾으려면 가입 당시 검증 없이 입력 가능했던 이름, 생년월일, 이메일을 정확히 입력해야 한다. 하나라도 틀리면 일치하는 정보가 없다며 에러가 난다. 이름이나 생년월일을 정확하게 입력하지 않은 경우엔 '너가 가짜 정보를 입력했으니 어쩔 수 없다.'라고 할 것인가?

 

나 같은 경우 저렇게 불필요한 개인정보를 필수로 입력받는 경우 내 진짜 정보를 입력할 필요가 없다고 본다. 이렇게 정보 수집 체계부터 틀려먹은 사이트일수록 보안에도 취약하기 때문이다. 대량으로 개인정보가 해킹되어 나갈 때 내 정보도 같이 팔려나갈 것이기 때문에 그런 리스크를 감안하면 제대로 입력하는 것이 권장되지 않는다. (일단 약관을 보든 개인정보 수집 동의서를 보든 입력을 받는 목적 자체를 파악할 수 없다.)

 

이런 사이트엔 심지어 결제해 놓은 포인트가 조금씩 남아 있는 상황에서도 계속 재가입을 하게 된다. 물론 가짜 정보를 입력해두고 기록을 제대로 하지 않은 불찰도 있겠지만, 아이디를 찾기 위해 저런 정보들을 검증하는 것 자체가 잘못 된 것은 분명한 사실이다. 이메일이나 휴대폰 번호를 통해 OTP 인증만 되어도 일부를 마스킹한 아이디는 충분히 알려줄 수 있다. 어떠한 반론을 하든 저렇게 불필요한 정보를 입력받고 검증하는 방식에 비해선 훨씬 안전할 것이다.