개인정보 유출 사태, '답답'을 넘어 '담담'한 이유

안수영 syahn@itdonga.com

최악의 개인정보 유출 사태, "또?"

지난 18일 국내 3개 카드사(국민, 롯데, 농협)에서 고객 개인정보가 유출됐습니다. 이번 개인정보 유출 피해자는 최대 2,000만 명. 사실상 국민 절반 가량이 피해를 입은 것으로 추정됩니다. 유출된 개인정보는 이름, 주민등록번호, 카드번호, 결제계좌번호, 집/회사 주소와 전화번호, 신용 한도 금액, 연소득 등 매우 세세하고 민감한 내용입니다.

최악의 개인정보 유출 사태. 워낙 민감한 정보가 빠져나간 만큼, 이번 사건을 계기로 명의 도용이나 금융 사기 등 2차 피해가 일어날 가능성도 높습니다. 그렇잖아도 요새 보이스피싱, 스미싱 등이 판치는데, 이번 사태로 인해 피해자가 더욱 늘어나는 것은 아닐지 우려됩니다.

카드사 개인정보 유출
카드사 개인정보 유출

개인정보 유출, 이제는 새삼스럽지도 않은 이유

사실, 희대의 개인정보 유출 사건이지만 '이젠 그러려니'하는 반응이 지배적입니다. 그 이유는 대규모 개인정보 유출 사건이 어제 오늘 일이 아니기 때문입니다. 옥션, 네이트, 현대캐피탈, KT, 넥슨, 농협 등 개인정보 유출 사건은 참 골고루 일어났습니다.

두 번째 이유는 실질적으로 피해자가 할 수 있는 일이 없기 때문입니다. 물론 2차 피해를 예방하고자 카드를 재발급 받거나 비밀번호를 변경하지만, 이것은 최소한의 조치일 뿐 대책은 아닙니다. 집단 소송에 참여하는 방법도 있습니다. 하지만 그 동안의 사례에 비추어보면, 집단 소송을 해 봐야 돌아오는 것은 위자료 몇 푼에 불과합니다. 피해자가 실제로 금전적 피해를 겪었더라도 이번 개인정보 유출 사건이 금전적 피해와 직접적으로 연관되어 있음을 입증해야 합니다. 현실적으로 이것을 밝혀내기란 매우 어려우니, 충분한 보상을 받기란 언감생심입니다.

결국 피해자들은 포기합니다. 사상 최악의 개인정보 유출을 겪었음에도 답답함을 넘어 담담해지는 이유는, 개인정보에 대한 무심함보다는 철저한 약자라는 무력함에 기인합니다. '해 봤자 안 될 거야'. 씁쓸한 현실입니다. 그런데, 왜 피해자가 모든 것을 감수해야 하나요.

개인정보는 엄연한 자산입니다

이번 사건을 초래한 카드사들은 마치 '개인정보 유출 자체는 직접 피해가 아니다'라고 간주하는 듯합니다. 각 카드사들이 내건 공지사항에는 "향후 만에 하나라도 유출 정보로 인한 피해 사실이 확인되면 절차에 따라 피해 보상 등 구제 절차를 신속하게 진행하겠습니다"라고 적혀 있습니다. 이는 곧 개인정보 유출은 유출 자체일 뿐이며, 정보 유출로 초래된 사건만이 진짜 피해라는 의미입니다.

하지만 개인정보 유출 자체가 1차 피해이고, 정보 유출로 초래된 사건은 2차 피해입니다. 개인정보는 곧 자산입니다. 개인정보를 근거로 신용을 증명하고 경제활동을 하기 때문입니다. 게다가 정보가 곧 돈이 되는 IT 정보화 시대에, 개인정보의 가치란 더할 나위가 없습니다. 개인정보가 자산이라면 개인정보 유출은 자산을 유출한 것이니, 엄연히 1차 피해입니다. 그런데도 카드사들은 2차 피해에 대한 보상만을 이야기하고, 개인정보 유출 자체(1차 피해)에 대해 전면적인 보상책을 내세우지는 않습니다.

개인정보 유출 사태는 이러한 잘못된 인식에 기인합니다. 개인정보를 자산으로 보지 않기에 관리에 소홀했고, 개인정보 유출 자체에 대한 보상을 하지 않는 것입니다. 결국 피해자가 돌려받을 수 있는 것은 아무것도 없습니다.

아, 보상이 있긴 있네요. 월 300원짜리 결제정보 문자서비스 무료 제공.

외양간이라도 제대로 고쳐주세요

스마트폰, 태블릿PC, 웨어러블, 스마트 가전, 스마트 홈, 사물인터넷. 일상의 모든 것이 IT 기술을 입는 디지털 시대, 보안 위협도 나날이 커지고 있습니다. 시스코가 발표한 '시스코 2014 연례 보안 보고서'에 따르면, 사이버 보안 위협은 2000년 이후 최고 수준에 이르렀습니다. IT 시대에 개인정보 보안 대책이 더욱 철저하게 마련되어야 하는 이유입니다.

금융당국과 카드사들은 뒤늦게나마 대책 마련에 나서고 있는데요, 더 이상 사용자가 개인정보 유출에 익숙해지는 일이 없길 바랍니다. 가장 시급한 것은 기업들의 보안에 대한 인식 개선 및 투자, 개인정보 유출 시 엄격한 처벌과 책임, 과도한 개인정보 요구 금지, 불필요한 정보 즉시 폐기 등입니다. 사퇴와 사과가 근본적인 대책이 아니라는 건, 잘 아시리라 믿습니다.

글 / IT동아 안수영(syahn@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.