이미지 확대보기개인정보 수집의 법적 근거가 되는 동의 절차가 '수정 필요 샘플' 문서 위에서 이뤄졌다는 점이 이번 사안의 핵심이다. 쿠팡·SKT·롯데카드를 비롯한 대형 유출 사고가 잇따르며 개인정보에 대한 사회적 경각심이 높아진 가운데, 고객 정보를 수집하는 근거 문서가 미완성 상태로 운영된 정황이 드러났다.
◆ "본 양식은 샘플"… 거부하면 가입도 안 되는 문서
프롬바이오 공식몰에서 회원가입을 진행하면 소비자는 "개인정보 수집 및 이용 동의" 항목에 필수로 동의해야 한다. 이 문서 맨 위에는 다음 문구가 붙어 있었다.
"본 양식은 쇼핑몰 운영에 도움을 드리고자 샘플로 제공되는 서식으로 쇼핑몰 운영형태에 따른 수정이 필요합니다. 쇼핑몰에 적용하시기 전, 쇼핑몰 운영 사항 등을 확인하시고 적절한 내용을 반영하여 사용하시기 바랍니다."
쇼핑몰 구축 솔루션이 표준 서식을 제공할 때 붙이는, 운영자를 향한 안내 문구다. 사업자가 자기 운영 형태에 맞춰 내용을 채운 뒤 지우도록 안내되는 문장이다. 프롬바이오 공식몰은 호스팅 및 관련 서비스업체인 카페24 인프라를 기반으로 운영되는데, 카페24는 기본 양식 제공 시 운영자에게 이 안내 문구를 삭제하고 상호·책임자 정보 등을 입력하도록 안내하고 있다. 프롬바이오는 이 문구를 지우지 않은 채 정식 동의 문서로 써 왔다.
이 문서는 단순 게시물이 아니다. 하단에 "동의를 거부할 수 있으나 거부시 회원 가입이 불가능합니다"라고 명시돼 있다. 프롬바이오 회원이라면 누구나 이 문서에 동의하고 가입한 셈이다.
◆ 동의서는 개인정보를 수집하는 '법적 근거'다
개인정보 수집·이용 동의서는 회사가 소비자의 개인정보를 수집할 수 있게 하는 법적 근거다. 개인정보보호법 제15조 제2항은 개인정보를 수집·이용할 때 그 목적과 수집 항목, 보유·이용 기간, 동의 거부 권리 등을 정보주체에게 알리고 동의를 받도록 정하고 있다. 정보주체가 무엇이 어떤 목적으로 수집되는지 분명히 안 상태에서 동의해야 한다는 취지다.
소비자는 회사가 검토를 마친 정식 동의서로 알고 가입했지만, 실제 문서에는 "수정이 필요하다"는 안내가 남아 있었다. 동의 내용의 완결성을 신뢰하기 어려운 상태였다면, 그 위에서 이뤄진 동의 절차가 충분한 정보에 기반했다고 볼 수 있는지 의문이 제기될 수 있다.
◆ 동의서만이 아니었다… 법정 처리방침까지 '샘플'
문제는 동의서 한 곳에 그치지 않았다. 회사의 개인정보 처리 원칙을 담는 법정 문서인 개인정보처리방침에도 동의서와 같은 "수정이 필요한 샘플" 문구가 그대로 있었다. 개인정보처리방침은 개인정보보호법 제30조에 따라 사업자가 반드시 수립·공개해야 하는 문서다.
부실은 샘플 문구만이 아니었다. 이 방침은 준수 근거 법령으로 "정보통신망 이용촉진 및 정보보호에 관한 법률"을 들고 있었다. 그러나 개인정보 관련 규정은 2020년 데이터3법 개정으로 정보통신망법에서 개인정보보호법으로 이미 이관됐다. 같은 가입 단계에서 동의받는 이용약관 역시 개인정보 처리위탁(제25조)과 동의 시 고지사항(제22조 제2항)의 근거로 정보통신망법의 옛 조항을 인용하고 있었는데, 이들 조항은 2020년 개정으로 정비된 부분이다. 두 개인정보 문서에는 작성일도 개정일도 시행일자도 없었고, 게시된 처리방침에는 개인정보보호법 제30조 및 시행령이 정한 안전성 확보 조치에 관한 사항도 보이지 않았다.
이미지 확대보기◆ 질의 직후, 답변 없이 하루 만에 개정
본지는 개인정보 수집·이용 동의 문서와 처리방침의 샘플 문구 노출 경위, 동의 효력에 대한 회사 입장, 현행법 기준 반영 여부, 문서 검수 체계 등을 묻는 공식 질의서를 지난 6월 17일 프롬바이오에 보냈다. 회사는 질의에 대한 답변을 내놓지 않았다.
대신 회사는 질의 직후인 6월 18일, 공식몰에 "개인정보처리방침 제·개정 안내" 팝업을 띄우고 처리방침을 개정했다. 개정본에서는 샘플 안내 문구가 삭제됐고, 준거법 표현이 개인정보보호법으로 바뀌었으며, 안전성 확보 조치와 처리방침 변경 절차 조항이 새로 들어갔다. 본지 질의에서 지적된 사항들이 답변 없이 문서 수정으로 반영된 셈이다.
그러나 급히 손본 흔적도 남았다. 개정 처리방침은 상단에 시행일을 2026년 06월 18일로 적어 두고도, 같은 문서 부칙에는 '공지일자 6월 18일, 시행일자 6월 25일'이라고 적어 시행일이 문서 안에서 엇갈린다.
회사가 18일자로 "제·개정했다"고 공지한 시점과 방침 본문의 시행일도 일치하지 않는다. 개정 과정에서 기존에 실명으로 공개돼 있던 위탁사 6곳(CJ대한통운·나이스페이먼츠 등)의 명단은 '택배사·결제대행사(PG)'로 축약돼, 오히려 공개 정보가 줄었다. 개인정보 보호책임자도 기존 인물에서 다른 임원으로 교체됐는데, 처리방침 본문과 사이트 하단의 책임자 표기 용어가 서로 달랐다.
반면 같은 날 시행된 이용약관은 시행일자만 새로 갱신됐을 뿐, 처리방침에서는 걷어낸 정보통신망법 옛 조항 인용이 그대로 남았다. 처리방침은 고치고 약관은 날짜만 바꾼 셈이다.
◆ 처리방침 미공개 땐 과태료 대상
개인정보처리방침을 법이 정한 기준에 맞게 수립·공개하지 않은 경우, 개인정보보호법 제75조 제4항 제8호에 따라 1천만원 이하의 과태료 부과 대상이 될 수 있다. 실제 위반 여부와 제재 수위는 개인정보보호위원회의 조사와 판단에 달렸다.
과태료 규모가 핵심은 아니다. 소비자가 개인정보 제공 여부를 결정하는 출발점이 미완성 양식이었다는 점, 그리고 그 문서가 동의서부터 처리방침까지 미완성으로 운영된 정황이 회사의 내부 통제 수준에 의문을 남긴다는 점이다.
개인정보처리방침은 규제의 사각지대가 아니다. 개인정보보호위원회는 2023년 9월 시행된 개정 개인정보보호법 제30조의2를 근거로 처리방침 평가제를 도입했고, 2024년 2월 관련 고시를 제정한 뒤 그해 처음 평가를 시행했다. 평가 대상 7개 분야에는 빅테크, 병·의료원, OTT 등과 함께 '온라인 쇼핑'이 포함됐다.
다만 이 평가제는 매출 규모, 처리하는 개인정보의 유형과 규모, 법 위반 이력 등을 기준으로 주요 개인정보처리자 49개 기업·기관을 선별해 평가하는 방식이다. 모든 쇼핑몰을 훑지는 않는 만큼, 중견·중소 쇼핑몰의 개인정보 문서 관리는 사실상 점검의 틈에 놓여 있다는 지적이 나온다.
◆ 적자 속 오너 일가 논란 이어진 심태진 대표 체제
프롬바이오를 둘러싼 잡음은 이번이 처음이 아니다. 심태진 대표가 이끄는 프롬바이오는 상장 첫해인 2021년 매출 1351억원·영업이익 114억원에서, 2022년 매출 993억원·영업이익 9억원으로 급감한 뒤 적자로 돌아섰다. 2025년 3분기 분기보고서 기준으로는 2023년 154억원, 2024년 약 243억원의 영업손실에 이어 3년 연속 적자가 이어지고 있다. 회사가 분기보고서에 직접 기재한 연결 부채비율은 2025년 12월 말 149.6%에서 2026년 3월 말 170.6%로 더욱 높아졌다.
오너 일가를 둘러싼 의혹도 제기된 바 있다. 지난 2024년 2월 업계에 따르면 심 대표의 형제들이 보유 지분을 잇따라 처분하고 퇴사했으며, 이 중 영업총괄전무를 지낸 형제가 동종 건강기능식품 기업 에이크롬으로 자리를 옮겨 사업 노하우 유출 의혹이 소액주주들로부터 제기됐다.
당시 프롬바이오 측은 "에이크롬과 경영상 관계가 없으며 사실상 다른 회사"라고 밝혔다. 또한 심 대표가 100% 출자한 개인회사 아이디어스트림이 회사 광고를 전담하며 이익을 가져간다는 '통행세' 의혹도 보도된 바 있다. 아이디어스트림과의 거래는 현재 기준 2026년 1분기 분기보고서 특수관계자 거래 내역에도 나타난다.
본지는 동의 문서와 처리방침의 샘플 문구 노출 경위, 동의 효력에 대한 입장, 현행법 기준 반영 여부, 문서 검수 체계 등을 묻는 질의서를 프롬바이오에 보냈으나, 프롬바이오는 답변은 없었다. 대신 질의 다음 날 처리방침을 개정했다. 고객 정보를 수집하는 가장 기본적인 절차에서 검증이 이뤄지지 않은 정황이 확인된 만큼, 기업의 내부 통제와 이를 걸러내야 할 점검 체계가 제대로 작동했는지 묻게 된다.
전여송 로이슈(lawissue) 기자 arrive71@lawissue.co.kr
<저작권자 © 로이슈, 무단 전재 및 재배포 금지>
메일: law@lawissue.co.kr 전화번호: 02-6925-0217
;){kind=link}
