여권·카드번호까지 싹 다 넣었는데…트립닷컴·아고다 등 '깜깜이'

ⓒ News1 김초희 디자이너

추석 황금연휴를 해외에서 보내고 돌아온 여행객들이 12일 인천국제공항 1터미널로 귀국하고 있다. 2025.10.12/뉴스1 ⓒ News1 오대일 기자

(서울=뉴스1) 윤슬빈 관광전문기자 = 항공권과 숙소 예약은 물론, 결제 정보와 여권 등 민감한 개인정보를 통째로 넣어둔 내 '여행플랫폼'은 과연 얼마나 보안에 신경 쓰는 것일까?

최근 SK텔레콤과 KT, 쿠팡 등에서 고객정보 유출 사고가 잇따르면서, 개인정보를 대량으로 처리하는 플랫폼 전반에 대한 관리·감독이 한층 강화되는 분위기다.

이 과정에서 글로벌 온라인 여행플랫폼(OTA) 역시 소비자 정보 보호 관점에서 점검 대상이 돼야 한다는 지적이 관광업계를 중심으로 제기되고 있다.

국내법 적용을 받으며 각종 보호의무와 규제를 받고 있는 국내 플랫폼과 달리 해외 OTA는 규제도, 관리감독도 전혀 받지 않고 있기 때문이다.

국내는 관리 강화, 해외는 사각지대

15일 관광업계에 따르면, 국내 온라인 여행사(OTA)는 관광진흥법상 여행업 등록 의무에 따라 문화체육관광부의 관리·감독을 받는다. 전자상거래법과 소비자보호법, 개인정보보호법 역시 모두 적용된다.

최근 연이은 개인정보 유출 사고로 인해 국내 플랫폼을 중심으로 보안 점검과 내부 통제 강화, 개인정보 관리 체계 재정비 움직임도 이어지고 있다.

반면, 부킹닷컴, 아고다, 호텔스닷컴, 트립닷컴 등 주요 글로벌 OTA는 본사와 서버, 약관 관할을 해외에 둔 채 별도의 여행업 등록 없이 국내에서 예약·결제 서비스를 제공하고 있다.

이 같은 차이는 소비자 피해가 발생했을 때 더욱 분명해진다.

한국소비자원에 따르면 2019년부터 2025년 7월까지 온라인 여행플랫폼 관련 소비자 피해구제 신청은 아고다 2190건, 트립닷컴 1266건, 에어비앤비 332건, 부킹닷컴 258건, 호텔스닷컴 154건, 익스피디아 93건, 씨트립 26건 순으로 집계됐다.

피해 유형은 △항공편 변경에도 무료 취소 제한 △환불 지연·축소 △바우처 전환 요구 △표시 정보와 약관 내용 불일치 △해외 고객센터 접근성 문제 등으로 나타났다.

집행 공백 속 소비자 보호는?

문제는 분쟁 이후의 집행 구조다. 글로벌 OTA의 경우 본사와 서버, 관련 자료가 해외에 있어 공정거래위원회나 소비자원, 개인정보보호위원회가 조사나 시정 권고에 나서더라도 강제 집행에는 한계가 있다.

이 때문에 소비자는 국내법으로 보호받는 것처럼 보이지만, 실제 분쟁 국면에서는 해외 사업자의 협조에 의존할 수밖에 없는 구조라는 지적이 반복된다.

개인정보 관리 측면에서도 우려가 나온다.

글로벌 OTA의 이용자 데이터는 해외 서버에서 처리·보관되는 경우가 일반적이다. 법적으로는 국외 이전 동의와 고지, 안전조치 의무가 적용되지만, 최근 국내 플랫폼을 중심으로 감독이 강화되는 흐름과 비교하면 점검과 집행의 실효성에 차이가 있다는 평가다.

일부 글로벌 OTA가 개인정보보호관리체계(ISMS-P) 인증을 받지 않은 것으로 알려진 점도 소비자 불안을 키우는 요인으로 거론된다.

한 관광업계 관계자는 "개인정보는 국경을 가리지 않는데, 책임은 국경 앞에서 멈춘다"며 "국내 기업은 사고가 나면 즉각 조사와 제재 대상이 되지만, 글로벌 OTA는 같은 고객 정보를 다루면서도 실질적인 감독에서는 비켜나 있다"고 지적했다.

정부 사업 참여 기회, 여행업 등록은 필수로

정란수 프로젝트수 대표 겸 한양대학교 겸임교수는 "글로벌 OTA에 개인정보 보호 책임을 요구하면 '직접 수집하지 않는다'며 빠져나가는 경우가 많다"며 "본사가 책임지기 어렵다면, 최소한 한국 지사를 등록하고 책임자를 두는 방식으로 제도권 안에 들어오게 해야 한다"고 말했다.

그러면서 "배제하자는 게 아니라, 이렇게 제도권에 편입된 사업자에게만 문체부나 관광공사의 정부 사업·협업 참여 기회를 주는 식의 '당근과 채찍'이 필요하다"고 덧붙였다.