[황원영의 IT] ‘개인정보 유출 공화국’, 솜방망이 처벌이 키운다

지난 달 25일 인터파크는 자사 홈페이지 해킹으로 1030만 명의 개인정보가 유출 됐다고 밝혔다. /인터파크 홍보 영상 캡처

[더팩트 ∣ 황원영 기자] “안녕하십니까? 초저금리 대출상품 안내 차 연락드렸습니다.”

또 스팸 전화다. 벌써 몇 번째인지 모르겠다. 대출, 선물, 인터넷, 결합상품…스팸 전화 종류도 끝이 없다. 심할 땐 하루에 열통 정도 오는 경우도 있다.

우리가 알고 있는 단어 중에는 참 모순적인 단어가 많다. 예를 들어 자율적으로 하지 않는 ‘야자(야간 자율학습)’, 경력직도 아닌데 입사서류마다 요구하는 ‘신입사원의 경력’, 그리고 ‘개인정보’. 개인정보는 수 차례에 걸쳐 발생한 유출 사건으로 더 이상 ‘개인적인 정보’라고 부르기 민망할 정도가 됐다.

지난 2008년 옥션은 1000만 명의 개인 정보가 유출되는 사고를 겪었고, 2010년 신세계몰, 아이러브스쿨 등 25개 사이트에서 650만 명의 정보가 빠져나갔다. 2011년 넥슨에서는 1320만 명의 정보가 털렸다. 같은 해 네이트 3500만 명의 정보가 유출돼 업계에 파장이 일었다. 3년 뒤인 2014년 KT 1170만 명, 롯데카드 2600만 명, NH농협카드 2500만 명, KB국민카드 5300만 명 등 하나하나 나열하기 어려울 정도로 개인정보가 만인에게 팔려 나갔다.

단순 계산하면 총 1억9070만 명의 개인정보가 털린 셈인데 국내 인구가 5162만 명인 것을 생각하면 어마어마한 숫자다. 이 중 단 하나도 해당되지 않은 소비자는 분명 엄청난 행운아(아마 인터넷을 전혀 하지 않는 사람)거나 이제 막 태어난 갓난아기 정도일 것이다.

최근 인터넷 쇼핑몰 사이트 인터파크가 정보 유출에 한 몫 더했다. 인터파크는 지난 달 25일 1030만 명의 정보가 털렸다고 밝히고, 자사 홈페이지 게시판을 통해 회원별로 개인정보 유출 여부를 확인할 수 있게 조치했다.

소비자들은 개인정보가 또 털려나갔나 노심초사하며 유출 여부를 확인했고, 역시나 이번에도 “인터파크를 믿고 이용해주신 고객님께 심려를 끼쳐드려 죄송하지만 이름, 생년월일, 휴대폰번호, 이메일, 주소가 털렸습니다”라는 안내장을 받았다.

인터파크는 개인정보 유출에 따른 책임 회피를 위해 약관을 변경했다는 의혹에 휩싸였다. /더팩트DB

인터파크는 사전 조치와 대응이 안이했다는 비판을 받고 있다. 해커가 11일 메일을 보내 “해킹 했다”고 자수(?)하자 정보 유출 사실을 알았고, 이를 고객들에게 바로 알리지도 않았다. 게다가 인터파크는 서비스 이용약관 일부를 개정하고 해킹 책임을 회피할 수 있도록 했다. 사고 후 책임 있는 신속한 조치나 향후 예방을 위한 대책 발표는커녕, 이러한 뻔뻔한 행태를 보이는 데 대한 소비자들의 분노가 커졌다.

게다가 해킹이 북한 소행으로 보인다는 경찰 조사가 나오면서, 북한에 따지러 갈 수도 없게 된 피해자들은 법적 대응을 검토하고 있다. 여느 때처럼 ‘해킹 피해자 모임’ 인터넷 카페가 생겨났고, 이번에는 필자도 가입했다. 개인정보를 수 차례 내어주고도 받은 것은 스팸전화와 스팸메일밖에 없었기 때문이다. 그간 해킹 피해 업체들은 모두 “보상책을 마련하고 있다”는 말만 하고선 단 한 차례도 제대로 된 ‘자발적’ 보상을 하지 않았다.

법원 역시 ‘피해를 입증하기 어렵다’는 이유로 기업의 손을 들어주는 경우가 많다. 지난 2014년 발생한 카드사 고객 정보 유출 사건 피해자 중 롯데카드 회원 650여 명이 롯데카드와 KCB를 상대로 1인당 50만 원의 손해배상을 요구했으나 패소했고, 옥션을 상대로 피해자 14만6000여명이 낸 손해배상 소송역시 원고 패소했다. KB국민카드와 농협은행, KCB를 상대로 낸 손해배상 청구소송에서 “피해자 1인당 10만 원씩 지급하라”는 판결과 KT 해킹사건 피해자들이 10만 원의 배상금액을 받은 것이 전부다.

기업의 고객정보 관리가 얼마나 허술한 보안 체계로 운영돼 왔는지, 고객의 정보가 털린 데 대한 책임 의식이 얼마나 부족한지 우리는 이미 많이 봤다.

사건이 발생할 때 마다 해당 업체는 늘 “이번 일을 계기로 개인정보 보호에 만전을 기울이겠다”고 한다. 선례는 남길 만큼 남겼다. ‘고객 정보 보호를 위해 전면 개선하고 강력한 수준의 보안 시스템을 적용하겠다’는 얘기도 들을 만큼 들었다. 이제 행동에 나설 때다. 정보 보안에 대한 경각심을 높이고 위기의식을 가져야 한다.

정부 역시 솜방망이 처벌에 그치면 안 된다. 그간 사고 기업들은 일정 금액의 과징금을 내는 데 그쳤다. 게다가 벌금 한도가 1000만 원에 불과하고 피해보상 사례 역시 기준이 없어 소비자들은 그저 개인 정보를 내어주고 있을 수밖에 없는 현실이다. ‘소 잃고 외양간 고치냐’는 비판은 이제 식상하다. 소는 자꾸 잃는데 외양간을 안 고쳐 주니 소비자들은 불신만 쌓고 있다. 기업의 책임 의식과 엄격한 법으로 ‘개인정보’가 더 이상 ‘공공정보’로 확산되지 않도록 해야 할 것이다.

hmax875@tf.co.kr

Copyright@더팩트(tf.co.kr) All right reserved.