지난 4월 SK텔레콤 서버가 해킹당해 2324만명의 유심 관련 정보가 유출됐을 때다. 지인은 “믿을 만한 곳이 없다”며 통신사를 SKT에서 KT로 바꿨다. LG유플러스에서 SKT로 갈아탄 지 세 달도 되지 않을 때였다. 앞서 그가 오래 쓰던 통신사(LG유플러스)를 바꿀 때에도 이유는 개인정보 유출이었다. 잦은 사고에 인내심은 바닥났고, ‘그래도 1위 통신사는 다르겠지’라는 마음에 옮겼더랬다.
KT로 옮길 때 그는 “한국통신은 낫겠지”라고 했다. 그러나 바람과 달리 얼마 뒤 KT에서도 개인정보 유출 사고가 났다. 불법 초소형 기지국을 통한 유출로 곳곳에서 이용자와 무관한 무단 소액결제 피해 사례가 쏟아졌다. 다행히 지인은 언론에 나오는 것처럼 금전적 피해는 입지 않았다. 그러나 KT에 대한 신뢰를 잃었다. SKT가 해킹 사태로 곤욕을 치르고 있을 무렵 KT는 이를 이용해 고객을 유치했다. 다수 KT 대리점에서 ‘SKT 유심대란, 해킹에서 안전한 KT로 오세요’ 등의 문구를 내세웠고, 어떤 대리점에선 매장 앞에 ‘SK해킹’이라고 적힌 대형 입간판을 설치하기도 했다. 도 넘는 마케팅에 SKT가 KT의 이런 행위를 방송통신위원회에 신고하기도 했다.
지인은 KT의 행태가 썩 맘에 들진 않았지만 선택지가 없었다고 했다. 저렇게까지 마케팅하는 걸 보면 자신이 있나 보다 생각했단다. 물론 그게 아니란 걸 깨닫는 데까진 그리 오랜 시간이 걸리지 않았다. KT 무단 소액결제 사고를 계기로 민관합동조사단이 조사한 결과 KT는 지난해 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 은폐를 시도했다. 일부 감염 서버에는 성명, 전화번호, 이메일, 단말기 식별번호 등 개인정보가 저장돼 있었다. 지인은 “KT가 (SKT보다) 더하다”고 했다.
고객 이름 하나, 전화번호 하나가 귀중한 자산이 된 시대다. 기업은 ‘개인정보 보호’를 외치며 광고하고 약관엔 보호 조치가 빼곡하다. 그러나 정작 사고가 터지면 그 화려한 문구는 언제 그랬냐는 듯 종잇장처럼 얇아진다.
사건의 전개 방식은 대체로 비슷하다. 먼저 기업은 ‘일부 정보가 외부에 노출됐을 가능성이 있다’며 모호한 표현으로 상황을 축소한다. 정확히 어떤 정보가 얼마나 언제 어떻게 유출됐는지 설명은 없다. 그저 ‘가능성’이란 단어 뒤에 숨어 시간을 번다. 이후 공지문을 통해 고객에게 비밀번호 변경을 권고하며 책임 소재를 명확히 하지 않은 채 사태를 마무리하려 한다. ‘사과→축소→책임 회피’의 3단 콤보는 하나의 매뉴얼처럼 굳어져 있다.
가장 최근의 쿠팡 개인정보 유출 사태만 봐도 알 수 있다. 4500건이라고 한 개인정보 유출 피해 규모가 3370만건으로 불어났지만 쿠팡이 개인정보 유출을 인정하기까진 17일이나 걸렸다. 처음엔 노출로 안내했다. 별 차이 없어 보이지만, 법적 책임 면에서 엄연히 다르다. 지난해 11월에는 ‘제3자가 서버에 불법 접속했을 때 발생하는 손해에 책임을 지지 않는다’는 내용의 면책 규정을 마련해 놓기도 했다. 그러면서 탈퇴는 어렵게 해 놨다. 4단계 절차만 거치면 가능한 회원 가입과 달리 탈퇴는 8단계를 거쳐야 한다.
불행하게도 기업의 꼼수는 더 정교해질 것이다. 이런 현실은 어찌 보면 정부가 만든 구조의 산물이기도 하다. 쿠팡은 개인정보위원회의 ‘ISMS-P’(정보보호 및 개인정보 보호 관리 체계) 인증을 제재 감경 요소로 썼다.
정부는 뒤늦게 초강력 제재가 담긴 개인정보법 개정에 착수했다. 인증제도 전반에 대한 개편에도 나섰다. 다만 실효성엔 의문이 남는다. 규제와 감시가 또다시 형식에 그친다면, 기업이 개인정보를 여전히 숫자로만 본다면 다음 피해를 떠안는 쪽은 결국 국민일 수밖에 없다.
황인호 사회2부 차장 inhovator@kmib.co.kr