국가정보원을 사칭한 보이스피싱 범죄를 취재해 보고했는데 “너만 알고 있으라”는 답을 들었다. 기사가 안 된다는 말이었다. 피해자를 속이려고 국정원 엠블럼을 붙인 문서를 팩스로 보냈다는 내용을 보고했지만 소용이 없었다. 검찰 수사관을 사칭한 다른 피싱 사건도 마찬가지였다. 10년도 더 된 부끄러운 취재 실패기인데 지금도 달라진 게 별로 없다. 보이스피싱은 인공지능(AI)으로 만든 가짜 목소리를 활용하는 수준이 아니고선 눈길을 끌기가 쉽지 않다. 그렇다고 해서 재래식 수법이 멸종하지는 않았다. 고객님 통장에 2000만원이 있는데 이 돈을 찾으려면 새 통장을 만들어야 한다면서 개인정보를 줄줄이 캐묻는 식의 피싱도 창궐하고 있다. 범죄에 연루됐으니 해결하려면 돈을 보내라는 다소 어설픈 피싱은 개그 소재로까지 활용되지만 좀처럼 사라질 기미는 보이지 않는다.
첨단이든 구식이든 보이스피싱의 무서운 포인트는 동일해 보인다. 사기꾼이 내 이름과 전화번호 등을 알고 있다는 점이다. “○○○씨죠”라는 질문으로 시작하는 전화가 불러일으키는 공포감 말이다. 기저에는 내 정보가 어디까지 뚫렸는지 모른다는 두려움이 있다. 통화 도중 찜찜한 기분이 들어 “저, ○○○ 아닌데요”라고 말했더니 “다 확인했는데 무슨 말이세요. 사태의 심각성을 아직 잘 모르시나 본데”라며 협박을 가하는 피싱이 바로 그런 사례다.
보이스피싱이 코미디에서 공포물로 굳어진 데는 고객 계정 3370만개가 유출된 쿠팡 사태가 영향을 미쳤다. 일부 쿠팡 가입자는 지난달 16일 자신의 정보를 알고 있다는 내용의 이메일을 누군가 보내왔다면서 쿠팡 측에 확인해 달라는 민원을 제기했다. 쿠팡은 이틀 뒤인 지난달 18일 계정 정보에 대한 무단 접근을 파악했다고 밝혔다. 유출 정황이 뒤늦게 파악된 만큼 이미 정보가 피싱 조직으로 팔려간 것 아니냐는 우려는 클 수밖에 없다. 민관 합동 조사가 끝난 후에도 정보가 어디로 팔려나갔는지 일일이 확인하기 어려울 수 있다.
우리는 이미 여러 대기업의 정보 유출 사태를 겪었다. 사고 뒤에는 정보 보안 및 관리 체계를 강화해야 한다는 지적이 쏟아졌지만 그때뿐이었다. 유출 사고를 일으킨 기업에 더 많은 과징금을 물리는 방식만으로는 부족하다. 기본적인 정보보호 장치를 갖추는 일이 무엇보다 중요하다. 누구나 자신의 정보가 언제 어디까지 활용되고 어디로 흘러가는지 알 수 있어야 한다. 또 이 과정에서 정보의 주인이 정보 유통의 선택권을 적극적으로 행사할 수 있도록 해야 한다.
예를 들어 현재는 개인정보의 제3자 제공에 동의하는 행위가 ‘개인정보를 다른 사업자에게 돈 받고 넘겨도 된다’는 데 동의한 것으로 해석될 수 있다. 실제로 기업들이 제3자 정보제공에 동의한 가입자 개인정보를 다른 업체에 판매한 사례가 발견된 적 있지만 이들 사례는 처벌 대상이 아니었다. 제휴사 제공 등의 명목으로 제3자 정보제공 동의가 이뤄진 개인정보를 다른 기업에 돈을 받고 넘기는 행위에 대해선 명확한 금지 규정이 없기 때문이다. 제3자 정보제공에 대한 동의를 받는 과정에서 개인정보 판매 여부를 명확하게 고지해야 한다는 규정이 없는 상황이다. 개인정보 판매를 막으려고 제3자 정보제공을 모두 거부하기도 쉽지 않다. 이 동의 버튼을 누르지 않을 경우 서비스 이용 자체가 제한되는 경우가 많기 때문이다.
쿠팡 사태와 관련해 징벌적 손해배상이 이뤄져야 한다는 목소리가 커지고 있다. 이번에는 정보보호 체계의 공백을 점검해 최소한의 보완 장치를 마련했으면 한다. 단순히 쿠팡의 간판만 없어지는 데 그친다면 사고 기업 리스트가 얼마나 길어질지 모를 일이다.
김경택 사회부 차장 ptyx@kmib.co.kr