대통령까지 털렸는데… 피해자 코스프레에 솜방망이 처벌, 재판가도 모두 승소
털릴 만큼 털려서 아무런 느낌도 없다는 사람들이 많습니다. 으레 이번에도 털렸겠거니 하고 굳이 확인할 필요조차 느끼지 못한다는 사람들도 많습니다. 특히 이번 KT 개인정보 유출 사고는 해킹이라고 부르기에도 민망할 정도로 한심한 보안 구멍이 있었던 것으로 드러났습니다. KT 고객님들 어쩐지 휴대전화 단말기 교체하라는 전화가 많다 싶으셨죠. 그게 다 개인정보가 털려서 그런 거였습니다.
우리 국민들 개인정보가 대한민국 최대 수출품이라는 이야기도 나오고 내 주민등록번호는 중국 헤이룽장성 노인들도 알고 있다는 우스갯소리도 나옵니다. 10만원만 내면 중복 포함 1억명 정도 개인 정보가 담긴 CD를 구매할 수도 있다고도 하고요. 털릴 만큼 털렸다고 넘어갈 일이 아니라 내 개인정보를 활용해 누군가가 범죄를 저지를 수도 있다고 생각하면 정말 아찔한 일입니다.
그나마 다행인 건 박근혜 대통령이 지난달 20일 금융위원회 업무보고 자리에서 “개인정보의 보관과 활용, 폐기에 이르기까지 단계별로 국민이 신뢰할 수 있는 엄격한 가이드라인을 제시하고 이를 위반하면 회사 문을 닫을 수 있는 엄격한 제재 방안을 마련하기 바란다”고 당부했다는 겁니다. 박근혜 대통령도 지난 1월, 국민카드 등 해킹 사고 때 휴대전화 번호와 주민등록번호, 자택 주소 등의 개인정보를 탈탈 털린 것으로 알려졌습니다.
KT 개인정보 유출 사고 소식이 알려진 7일, 소셜 쇼핑 사이트 티켓몬스터도 개인정보가 털렸다는 사실을 뒤늦게 고백했습니다. 경찰 통보를 받고서야 3년 전에 해킹을 당했다는 사실을 알게 됐다고 하는데요. 경찰은 지난달 27일, 255개 사이트가 해킹돼 1700만명의 개인정보가 털렸다고 발표하기도 했습니다. 박 대통령의 당부가 얼마나 먹혀들지는 모르겠지만 이참에 문 닫아야 할 회사들 목록을 뽑아봤습니다.
1. KT. 해마다 털리고도 정신 못 차려
이 회사는 특히 죄질이 나쁘다고 할 수 있는 게 이번이 처음이 아닙니다. 이미 지난 2012년에도 휴대전화 개인정보 873만건이 유출된 사건이 있었습니다. 방송통신위원회가 과징금을 7억3500만원 부과했는데 그때도 솜방망이 처벌이라고 말이 많았습니다. 그게 2012년 12월인데 이번 해킹 사고가 지난해 2월부터 벌어졌다고 하니까 전혀 경각심이 없었다고 볼 수 있겠습니다.
2. SK커뮤니케이션즈. 억울하면 재판 가든가
이 회사는 역대 최대의 개인정보 유출 사고를 기록했습니다. 2011년 7월 네이트온과 싸이월드 등에서 무려 3500만건의 개인정보가 유출됐는데요. 중국 주소를 쓰는 해커가 백신 소프트웨어 업데이트를 통해 좀비 컴퓨터를 심고 관리자 권한으로 데이터베이스에 접속해 회원 정보를 빼내간 것으로 확인됐습니다. 놀랍게도 피해자 코스프레가 먹혀서 이 회사는 아무런 처벌도 받지 않았습니다. 일부 피해자들이 소송을 걸었는데 대부분 패소했습니다.
3. GS칼텍스. 개인정보 사라, 언론에 흘리려다 뒷덜미
GS칼텍스 직원이 무려 1119만명의 개인정보를 DVD로 구워 판매하려다 붙잡혔는데요. 더욱 황당무계한 건 직접 언론사에 제보까지 했다는 겁니다. 방송사 PD 등을 만나서 길에서 주웠다면서 DVD가 담긴 봉투를 건넸습니다. “고객들 개인정보가 대량 유출됐다는 사실이 언론에 보도되면 개인정보의 가치가 크게 오를 것으로 생각했다”고 하는데요. 회사는 이런 사실을 까맣게 모르고 있었다고 하죠. 이 회사도 고객들에게 아무런 배상을 하지 않았습니다.
4. 농협. 북한 핑계 대더니 이번엔 안에서 털려
지난 1월, 국민카드와 롯데카드, 농협카드 등에서 1억4000만건의 개인정보가 유출됐는데 지난해 6월에 일어난 사고가 경찰 발표로 뒤늦게 알려졌죠. 이때도 피해자 코스프레가 반복됩니다. 파견 나온 거래처 직원이 빼낸 것으로 드러났는데 이렇게 개인정보가 허술하게 관리된다는 사실이 놀랍습니다. 가뜩이나 농협은 2011년에도 전산망 마비 사태를 겪기도 했죠. 그때는 북한의 소행이라고 빠져 나갔지만 이번에는 변명이 군색합니다.
5. 현대캐피탈. 털리는지 마는지 정문만 열심히 지켰다
2011년 5월, 175만건으로 상대적으로 규모가 적었지만 퇴직 직원이 쓰던 계정을 삭제하지 않았고 비정상적인 트래픽을 확인하고도 조치를 취하지 않은 것으로 드러나 정문만 지켰다는 비판이 쏟아졌습니다. 해커를 고용하는 데 든 비용이 37만페소, 우리 돈으로 1000만원 정도였죠. 해커들이 금품을 요구할 때까지 개인정보 유출 사실을 모르고 있었다는 것도 놀랍지만 한 달 가까이 고객들에게 알리지 않았다는 데서 더욱 심각합니다.
6. 이밖에도 무수히 많은 업체들
지금은 SK브로드밴드로 이름이 바뀐 하나로텔레콤은 51만명의 개인정보를 텔레마케팅 회사에 팔아넘겼습니다. 2008년 일인데 개인정보에 대한 개념 자체가 없었습니다. 2011년 넥슨 메이플스토리 해킹 사건 때는 1320만명의 개인정보가 빠져나갔는데 비밀번호 변경 이벤트를 열어 비밀번호를 변경한 회원들에게 2700원 상당의 아이템 쿠폰을 지급하는 걸로 떼웠습니다.
EBS도 422만명의 개인정보가 유출되는 사고가 있었죠. 중국발 해커의 소행으로 추정된다는 경찰 조사 결과가 있었는데 방통위에 과태료 1000만원을 내는 걸로 끝났습니다. 한국엡손에서도 개인정보가 35만건 유출됐고 최근에는 대한의사협회와 등 225개 인터넷 사이트에서 1700만건의 개인정보가 유출되는 사고가 있었습니다. 역시 해킹 때문이라는 말로 아무런 피해 배상도 처벌도 없이 넘어가는 상황입니다.
2010년에는 신세계몰과 러시앤캐시 등에서 2000만건이 털리기도 했습니다. 놀라운 건 650만명의 개인정보가 단돈 70만원에 팔린다는 사실이었죠. 한 명에 9.3원꼴입니다. 지금은 더 낮아졌을 수도 있습니다. 지난해에는 SC제일은행과 씨티은행의 고객 13만명의 개인정보가 USB 메모리에 담겨 대부업자들에게 팔려나간 사건이 있었는데 이때는 50~500원꼴에 거래된 것으로 알려졌습니다.
7. 피해자 코스프레가 먹힌다
놀라운 사실은 대부분 개인정보 유출 사고가 중국이나 북한으로 추정되는 해커의 소행이라는 이유로 별다른 처벌 없이 넘어간다는 겁니다. 피해자 코스프레가 먹혀들기 때문인데요. 2012년 KT 개인정보 유출 사고 때 방통위 네트워크정책국 박재문 국장의 말이 가관이었습니다. “KT의 경우 기술적·관리적 보호 조치가 잘 돼 있고 해킹 경로와 법 위반 사항의 인과 관계가 낮다”면서 “인과관계를 방통위가 입증해야 하는데 쉽지 않다”고 말했습니다.
만약 그때 KT에게 강력한 처벌을 내렸다면 이번 개인정보 유출 사고를 막을 수 있었을 수도 있죠. 방통위가 찔끔 과징금을 때리긴 했지만 기술적·관리적 보호조치가 부족했다는 이유가 아니라 개인정보를 제3자에 제공할 때 제공 항목을 명확하게 표시하지 않았다는 엉뚱한 이유였습니다. 방통위는 보안 문제를 잘 모르니 법원 판단을 보자고 미뤘는데 정작 재판에 가서는 흐지부지됐죠. 방통위의 직무유기일 뿐만 아니라 감독기관과 업체들의 결탁입니다.
SK커뮤니케이션즈의 경우 1심에서 승소한 사건이 몇 차례 있었지만 항소심에서 승소한 사례가 최근 대전에서 나왔습니다. 100만원을 지급하라는 판결이 나왔는데요. 20여건의 소송 가운데 승소한 건 2건 밖에 안 됩니다. 나머지는 1심에서 20만원을 지급하라는 판결이 났는데 항소심이 진행 중이고요. 집단소송제가 없기 때문에 푼돈이라도 받으려면 이처럼 직접 소송을 거는 수밖에 없는데 그것도 어떤 판사와 변호사를 만나느냐에 따라 다릅니다.
해킹을 당했다는 게 기업들에게 피해자 코스프레를 할 명분이 돼서도 안 되지만 개인정보 유출 사고의 대부분이 내부자의 조력이나 황당무계한 보안 결함 때문이라는 사실을 눈여겨 볼 필요가 있습니다. 애초에 보안을 강화하는 것으로 해결될 수 있는 문제가 아니라는 겁니다. 강력한 처벌고 집단 소송제, 그리고 징벌적 손해배상제 도입은 당연히 필요하지만 그보다 좀 더 근본적인 해법을 고민해야 할 때입니다.
핵심은 지금까지 숱하게 지적됐지만 개인정보를 제대로 관리할 수 없으면 애초에 수집하지 말라는 겁니다. 정부가 의지가 있다면 단계적으로 개인정보 폐기 명령을 내리고 그래도 개인정보의 관리 문제가 생기면 정말 문을 닫게 만드는 강수를 둬야 합니다. 단순히 스팸 메시지나 귀찮은 전화를 받는 정도의 문제가 아니라 개인정보 유출로 자기도 모르게 사기꾼이 되거나 전과자가 되는 사람도 있습니다. 가짜 아이덴티디로 삶이 송두리째 파괴되는 사람들도 있습니다.
가장 확실한 건 주민등록번호 폐기입니다. 당장 주민등록번호만 사라져도 고객 명부와 실제 고객이 직접 연계되지 않기 때문에 개인정보 유출의 피해가 크게 줄어들게 됩니다. 주민등록번호가 있기 때문에 누구나 쉽게 서로의 실명 확인을 하고 중복 가입을 막고 믿고 거래를 할 수 있다고 생각하겠지만 주민등록번호만으로는 범죄를 막을 수 없을 뿐더러 오히려 수많은 다른 범죄와 피해를 만들어냅니다. 주민등록번호를 폐기하는 것만으로도 상당한 문제를 해결할 수 있습니다.
출처: 이정환닷컴