'삼쩜삼'은 왜 개인정보보호위원회 조사를 받게 됐을까 [긱스]

지난해 1월 터진 개인정보 유출 논란에 인공지능(AI) 챗봇 ‘이루다’는 서비스 존폐 기로까지 몰리기도 했습니다. 그만큼 개인정보는 중요합니다. 현실에서 서비스를 하는 스타트업과 개인정보 보호 문제는 첨예하게 얽히고설키는 경우가 많습니다. 없던 서비스를 만들어내 시장과 충돌하면서 법규의 맹점이 드러나기도 합니다. 최근 업계의 시선이 몰린 세금 환급 서비스 ‘삼쩜삼’을 둘러싼 논란이 상징적입니다. 삼쩜삼 운영사인 세무 스타트업 자비스앤빌런즈에 대한 개인정보보호위원회 조사는 현재도 진행 중입니다. 한경 긱스(Geeks)가 관련 쟁점을 정리해봤습니다.

'업무 영역 다툼' 놓인 환급 지원 서비스

국세청 홈택스 화면. 복잡성이 크다는 지적에 현재 내부 서비스 개편 작업까지 진행되고 있다.
자비스앤빌런즈는 2015년 설립됐습니다. 개인 종합소득세 환급을 도와주는 서비스인 삼쩜삼이 주력 사업입니다. 출시 2년 만에 사용자는 1200만 명을 넘어섰고, 누적 환급액은 5022억원을 기록한 상태입니다. 서비스가 본궤도에 오르며 업체 규모도 커졌습니다. 마지막 투자 라운드는 시리즈B 브릿지로, 누적 투자금액은 400억원을 넘어선 상태입니다. 두나무 ‘잭팟’을 터트린 에이티넘인베스트먼트, 초기투자 명가 DSC인베스트트먼트 등이 투자사입니다.

삼쩜삼 서비스의 본질은 복잡하지 않습니다. 앱에서 환급금을 조회하고 돌려받는 절차를 신청하는 것은, 사실 국세청 ‘홈택스’ 사이트에서 개개인이 할 수 있는 일입니다. 시간도 없고 세무 지식도 없는 사람들의 불편함을 공략한 것입니다.

잡음이 나오기 시작한 것은 지난해부터입니다. '업역 타툼'의 시작입니다. 지난해 3월 한국세무사회는 불법 세무대리를 했다며 삼쩜삼을 경찰에 고발했습니다. 1년이 넘는 공방 끝에 지난 8월 경찰이 혐의가 없다는 결론을 내렸지만, 쟁점은 다른 곳으로 옮겨갔습니다. 이번엔 한국소비자연맹에서 삼쩜삼의 주민등록번호 수집 행위를 문제 삼았습니다. 관련 내용은 국무총리 소속 개인정보보호위원회에서 조사가 개시된 상태로, 조만간 결론이 날 전망입니다.‘개인정보’가 사건의 중심에 놓이자, 문제는 복잡해졌습니다. 단순 개인정보도 아닌, 민감성이 높은 주민등록번호를 둘러싼 논란이었기 때문입니다. 개인정보보호법은 주민등록번호 처리가 허용되는 경우를 법령상 근거가 있는 경우로 한정하고 있습니다. 구체적 사용 근거 없이 쓰면 5000만원 이하 과태료입니다. 단순한 쌍방 간 동의로도 안 되고, 근로기준법 제48조(임금)‧소득세법 제145조(원천징수)‧장애인 고용촉진 및 직업재활법 제11조(고용계획)‧벤처기업육성에 관한 특별조치법 제15조(주식교환) 등 11가지 사무에 대한 수집 가능 범위를 엄격하게 정의해놨습니다. ‘급박한 생명‧신체‧재산상 이익 보호를 위한 경우’와 ‘주민등록번호처리가 불가피한 경우로서 개인정보보호위원회가 고시하는 경우’가 덧붙어있기는 하지만, 이는 사실상 증명이 어렵기 때문에 활용이 쉽지 않은 조항입니다.

주민등록번호 수집 자격은 누구에게

2014년 개정 당시 발표된 주민등록번호 수집 관련 내역. 현재는 11가지 법에 적용되고 있다. 법에 근거하지 않으면 주민등록번호를 수집할 수 없다. /한경DB
주민등록번호 전체를 수집하고, 약관에 기재된 수집 목적과 계약 절차가 불분명하다는 등 다양한 지적도 함께 따릅니다. 하지만 결국 사안을 단순화하면, 핵심은 ‘세금환급 '플랫폼'인 이 스타트업은 과연 주민등록번호를 모을 자격이 있는가’와 같습니다.삼쩜삼의 입장은 무엇일까요? 종합소득세 신고 시 주민등록번호가 없으면 아무런 일도 할 수 없습니다. 업체 입장에선 사활이 걸린 문제입니다. 일단 삼쩜삼은 환급 시장에서의 공익적 역할을 강조하고 있습니다. 자비스앤빌런즈 측은 “삼쩜삼 주 고객층은 연 소득 5000만원 이하의 저소득 납세자로, 이들은 전체 고객의 96%를 차지한다”고 했습니다. 또 “이런 납세자들이 10여만원 상당의 환급액을 받기 위해 최소 10~20만원 이상의 수수료가 드는 세무사를 찾아가진 못하는 노릇이라, 세무 사각지대가 발생하고 있었다”고 지적했습니다. 고액의 수수료로 인해 세무사를 이용할 수 없고, 국세청 홈택스의 복잡함으로 스스로 신청도 못 하는 사람들에게 도움을 주고 있다는 것입니다. 여기에 더해 법리적으로는 “삼쩜삼의 행위를 소득세법령상 근거가 있거나 급박한 재산상 이익이 있는 경우로 해석하지 않으면 현재 세무사의 자격 논리와 충돌한다”고 주장하고 있습니다. 쉽게 말해, ‘우리가 불법이면 세무사도 불법이다’는 말입니다.

이는 세무사법의 미비함을 지적한 말입니다. 개인정보보호위원회 자문변호사이기도 한 강태욱 법무법인 태평양 변호사는 “삼쩜삼이 세무사법을 지적하는 가운데 실제 처분이 따른다면, 기존 50년 넘게 해왔던 세무 행정 자체를 바꿔야 하는 상황이 올 수 있다”고 지적했습니다. “국내의 ‘동의를 받아도 주민등록번호 처리가 안 된다’는 방식은 글로벌 어디에서도 찾아보기 힘든 매우 강한 규정”이라며 “때문에 그간 주민등록번호 관련 법제도 개편이 계속 진행됐지만, 아직 세무사법엔 개편이 없었다”고 했습니다. “주민등록 번호를 언제까지 보유할 수 있는가에 대해선 문제가 발생할 수 있겠지만, 이 사항 자체로 처벌하는 것은 논란의 여지가 있다”고 분석했습니다. 주민등록번호의 수집과 처리는 법에 나열된 경우에만 가능합니다. 하지만 세무사법엔 일단 관련 내용이 없고, 세무사든 삼쩜삼이든 비슷한 역할을 하는데 다를 게 무엇이냐는 지적에 일단 세무사법은 답을 할 수 없다는 것입니다.

세무사단체 측은 “대리 행위를 폭넓게 해석해야 한다”는 주장입니다. 한국세무사회 법제연구팀 관계자는 “대리는 본인이 아닌 제 3자가 본인의 이익을 최선으로 대신 법률 행위를 하는 것”이라며 “세무사법상 세무사의 직무 정의(제2조)에 기반해, 세무사는 계약으로 의뢰인의 이익을 보장하는 자기 때문에 주민등록번호 처리 주체와 동등한 지위로 해석해야 한다”고 밝혔습니다.원천징수 업무를 예로 들어보겠습니다. 원천징수는 근로자의 원천징수대상 소득세를 사업자가 근로자의 급여에서 먼저 걷은 후 국가에 대신 납부하는 제도입니다. 소득세법 145조에 따라 사업자는 주민등록번호 취급이 가능합니다. 세무사회 측의 주장은 만약 세무사가 사업자로부터 관련 업무를 대리하는 계약을 체결했다면, 법적 지위를 동등하게 보아야 한다는 것입니다. 세무사 출신의 국내 최초 변호사인 박주송 법무법인 태경 변호사는 “세무사법에서 정의하는 세무사의 업무는 주민등록번호를 취급하지 못하면 할 수 있는 일이 굉장히 적어, 적혀있지는 않으나 ‘법률에서 구체적으로 주민등록번호의 처리를 요구한 경우’로 해석할 여지가 있다”며 “세무사법과 개인정보보호법 사이의 조화로운 해석이 필요한 지점”이라고 말했습니다. 김선형 자산세금연구소 세무사는 “소득세법에서 자료보관 의무를 5년으로 두고 있기 때문에 수집과 보관을 같이 하는 것”으로도 분석했습니다. 요약하자면, ‘삼쩜삼은 안되지만, 세무사는 '해석상'으로 주민등록번호 수집이 가능하다’는 것입니다.

'중복 처벌' 놓인 스타트업…법은 '개정 중'

스타트업과 직역단체 갈등은 현재진행형이다. 고소와 고발이 따르기 때문에, 형사처벌로 이어질 위기는 항상 존재한다. /한경DB
입장이 첨예하게 엇갈리는 가운데, 스타트업 업계는 이번 사태를 경직된 개인정보보호법의 단적 사례로도 해석하는 추세입니다. 사실 스타트업이 직면하는 개인정보보호 문제는 모두 국내와 해외 법률의 격차에서 오는 내용이 많습니다. 한 번도 존재하지 않았던 사업 내용을 법적으로 정의하는 데 있어, 국내 제도는 너무 배타적이라는 것입니다.

주로 불만이 터져 나온 지점은 형사처벌 중심 규제입니다. 국내에선 개인정보 담당자의 법 위반 상황이 발생하면 손해배상 등 민사적 제재와 시정명령, 그리고 과태료나 과징금 등 행정제재가 중복적으로 부과되고 있습니다. 일본의 경우, 개인정보보호위원회가 1차적으로 시정권고, 2차적으로 시정명령을 내리고 이를 위반하는 때에만 형사처벌을 가합니다. 유럽연합(EU)의 일반개인정보보호법(GDPR) 에선 회원국의 개인정보감독기구(DPA)보다 높은 과징금을 부과할 수 있다는 규정은 있지만, 형사처벌은 죄질이 나쁜 행위만을 범죄로 보고, 관련 처분도 회원국에 일임하고 있습니다.

전문가들은 국내도 중대한 위법성이 인정될 경우에만 형사처벌 제재를 가하고, 업계 자율규제를 통해 생태계를 성장시켜야 한다고 지적합니다. 이성엽 고려대 기술경영전문대학원 교수는 “해외에선 불법행위가 생기면 민사적으로 손해배상을 통해 해결하는 경향이 강한 사후 규제가 중심인데, 국내는 반대다 보니 스타트업의 사업 시도 위축이 따른다”며 “현재 개인정보보호법이 형사처벌을 최소화하는 방향으로 개정 중이지만, 이미 저작권이나 개인정보보호 문제가 발생할 여지가 조금이라도 있으면 아예 시도를 말자는 풍토가 생겨 경쟁력 확보가 어렵다”고 전했습니다. 삼쩜삼의 처분이 업계에서 주목되는 이유입니다.

참 한 가지 더

개인정보보호위원회 ‘처분의 역사’
게티이미지뱅크
개인정보보호위원회는 최근 들어 부쩍 존재감이 커진 부처입니다. 국무총리 직속 기관으로, 출범 자체는 2011년에 진행됐습니다. 하지만 2020년 행정안전부와 방송통신위원회 등으로부터 개인정보보호 감독 기능을 이관받으며 중앙행정기관으로서의 모양새를 갖췄습니다. 이후 정보기술(IT) 업체와 스타트업 다수를 조사하며 주목받았습니다.

지난해 4월 AI 챗봇 ‘이루다’ 운영사인 스타트업 스캐터랩을 행정처분 한 곳이 개인정보보호위원회입니다. 당시 총 1억330만원의 과징금·과태료를 부과했습니다. 100일간의 현장 조사를 벌이고, 처분의 법리를 검토하는 위원들끼리 치열한 논의를 벌였던 것이 관심을 받았습니다. 스타트업 발란은 지난 8월 해킹으로 인한 개인정보 유출로 보호조치 미비가 드러나 5억원의 과징금을 받았습니다.지난 9월엔 역대 최대 과징금 처분도 있었습니다. 구글과 메타가 맞춤형 광고에 이용자들 행태정보를 오용했다며 약 1000억원을 부과했습니다. 개인정보보호에 대한 이용자들 관심이 들며 조사 대상은 확대 추세입니다. 지난달부터 개인정보보호위원회는 닥터나우, 굿닥 등 국내 주요 비대면 의료 플랫폼을 상대로도 정보보호가 잘 이루어지고 있는지 조사 중입니다.

이시은 기자 see@hankyung.com