우리가 잊고 있던 보안의 무게

소비자들은 하루에도 수십 번씩 이름, 전화번호, 주소, 이메일을 입력합니다. 회원가입을 위해, 배송을 위해, 결제를 위해 또는 무료 기프티콘등을 받기 위해 아무렇지 않게 넘겨주는 정보들입니다. 하지만 이 정보들이 한 번 외부로 흘러나가는 순간, 평범한 일상이 전혀 다른 방향으로 흔들릴 수 있게 됩니다. 개인정보 유출은 더 이상 거대한 해킹 사건이나 유명 기업만의 문제가 아닙니다.

가장 큰 문제는 많은 사람들이 여전히 개인정보 유출을 ‘불편한 사고’ 정도로만 인식하고 있다는 점입니다. 그러나 실제로 개인정보 유출이 낳는 피해는 우리가 상상하는 수준을 훨씬 뛰어넘습니다. 지금 이 글을 읽고 있는 우리 모두가 언제든 피해자가 될 수 있습니다.

반복되는 개인정보 유출

얼마 전, 또 한 번의 대규모 개인정보 유출 소식이 전해졌습니다. 그 규모는 이전과 비교하지 못할정도의 숫자였음에도 소비자들은 “예전부터 여러 차례 겪어온 일이라 놀랍지도 않다”는 반응과, “또 이런 일이냐”라는 무던한 반응이 나오고 있습니다.

소비자들이 표현하는 무뎌진 감정과 달리, 이 사태로 노출될 수 있는 위험은 결코 작지 않습니다. 수억 원대의 피싱 사고, 카드 도용을 통한 해외 무단 결제, 가상자산 계정 탈취, 사생활 노출을 빌미로 한 협박, 딥페이크 기술 기반 가짜 영상 유포 등 하나하나 엄청난 피해를 안기는 범죄로 이어질 수 있습니다.

개인정보 유출이 낳는 피해

고객의 개인정보 중 유출되는 항목은 단순하지 않습니다. 이름과 전화번호, 주소, 이메일과 같은 기본 정보는 물론이고, 주문 시 입력한 공동현관 비밀번호, 주문 내역, 부재 시간 등 생활 밀착형 정보까지 포함됩니다. 이러한 정보들이 한꺼번에 노출될 경우 피해 범위는 기하급수적으로 커질 수밖에 없습니다.

예를 들어 이름과 전화번호만으로도 보이스피싱 범죄로 즉시 연계될 가능성이 있습니다. 여기에 주소, 주문 내역, 생활 반경 정보까지 더해진다면 상황은 더욱 심각해집니다. 여러 명의 범죄자가 한 명의 특정 인물을 타깃으로 삼는 고도화된 범죄, 즉 초정밀 스피어 피싱이 가능한 환경이 만들어지기 때문입니다.

가령 범죄자는 고객의 주소와 최근 주문 내역을 기반으로 매우 그럴듯한 가짜 배송 메시지를 만들어낼 수 있습니다. “고객님, 지난주 주문하신 상품 배송 관련 문의입니다”는 더 이상 많은 사람들을 속이지 못합니다.

“[OO전자] 최근 구매하신 '무선 청소기(모델명: VC-123)'에서 배터리 과열 결함이 발견되었습니다. 00님은 교환 대상자로 분류되었으니, 조속히 안전 점검 예약 및 무상 교환 신청을 진행해 주시기 바랍니다. [리콜 접수처 링크]”

위와 같이 실제 정보와 교묘하게 조합된 메시지는 피해자가 범죄에 속을 확률을 극적으로 높입니다.

또는 로그인 정보를 기반한 범죄 발생이 이어지게 될 수 있습니다. 일반적으로 고객이 즐겨 사용하는 이메일과 비밀번호 정보는 다른 서비스에 접근하는 데 사용됩니다. 많은 사람들이 서비스별로 유사한 계정과 비밀번호를 사용하기 때문이죠. 이는 편의성 때문이지만, 동시에 가장 큰 보안 취약점이기도 합니다. 개인정보 유출은 단순히 한 개의 특정 플랫폼 안에서만의 문제가 아니라 고객이 이용하는 타 서비스들에서의 개인정보까지 유출하여 범죄가 발생하는 연쇄작용을 일으킬 수 있게 됩니다.

오프라인 범죄까지 이어지는 위험

더 심각한 부분은 오프라인 범죄 가능성입니다. 수령인 정보와 배송지 주소는 고객이 실제로 거주하는 집의 위치를 의미합니다. 여기에 공동현관 비밀번호까지 유출된다면, 범죄자가 물리적으로 공간에 접근할 수 있는 조건이 갖춰집니다.

가령, 유출된 정보를 기반으로 대상자(유명인 혹은 불법적 의뢰의 타겟)를 특정하고 유출된 공동 현관 비밀번호를 이용하여, 침입한 뒤, 택배 사칭, 가정 방문 사기 등을 시도할 가능성을 배제하지 못합니다. 택배 수령 등이 예정되어 있다면, 쉽게 문을 열어줄 가능성이 높습니다. 개인정보 유출은 더 이상 디지털 영역의 문제가 아니라 개인의 신체적 안전과 직결된 문제가 됩니다.

우리는 왜 매번 같은 자리에 서 있는가

이렇게 큰 피해가 발생할 수 있음에도 우리는 왜 늘 같은 사고를 반복할까요? 가장 큰 이유는 앞에서 말했듯, 개인정보 유출을 ‘불편한 사고’ 정도로만 인식하기 때문입니다. 그리고 이런 인식을 가질 수 밖에 없는 이유는 ‘개인정보 유출과 이로 인해 발생하는 피해’를 직접적으로 연결할 수 없기 때문입니다.

누군가 피싱 범죄로 수억 원을 잃었습니다. 가장 큰 잘못은 범죄자에게 있지만, 그 이면에는 개인정보를 부실하게 관리한 기업의 잘못도 어느정도 있다는 사실을 다들 인지하지 못합니다. ‘이번 피해에 사용된 데이터의 60%는 00기업 유출에서 발생했고, 40%는 00기업 유출에서 발생되었습니다.’라고 명확하게 알 수 있다면, 아마 개인정보 유출을 받아들이는 소비자의 인식이 완전히 달라질 것입니다. 하지만, 범조 소스를 추적하는 것도, 비중을 구하는 것도 사실상 불가능하죠. 범죄 데이터 역시 수 없이 공유되고 다듬어지고, 결합되어 그 원본을 알아낼 수 없으니까요.

피해를 증명하고 책임 질 수 있는 사회

유출된 나의 개인정보가 단 한 번의 범죄 활용으로 휘발된다면 지금만큼의 걱정을 하지 않아도 될 수 있습니다. 하지만 한번 유출된 정보는 절대 단발성으로 소모되지 않습니다. 유출된 개인정보는 다시 범죄시장에서 끊임없이 재판매되고 유통됩니다. 이 과정이 반복되면 수 년동안 내 개인정보가 반복적으로 범죄에 활용되어 결과적으로 피해자는 장기간 불안 속에서 살아가야 합니다. 사용 중인 전화번호를 쉽게 바꿀수 없을 뿐더러 지금 당장 다른 새 주소지로 이사를 갈 수도 없습니다. 수고스러움을 감당해서 일일히 결제중인 카드를 재발급 받고, 계좌 등을 변경해도 범죄로부터 완전히 자유로울 수 없습니다.

개인정보를 유출한 기업이 분명히 있음에도 책임의 소지와 그 무게는 계속해서 분산됩니다. 1차 책임은 분명 기업에 있지만, 2차 피해가 발생했을 때 그 책임을 명확히 따지기가 더욱 복잡합니다. 그래서 개인정보 유출의 회복 비용과 불안의 대가를 피해자가 치를수밖에 없는게 지금 우리 사회의 현실입니다. 피해의 원인을 명백히 증명하고 끝까지 책임지는 시스템을 만드는 것이 우리에게 주어진 또 다른 과제일 것입니다.

앞서 말씀드렸듯이 이는 굉장히 어려운 일입니다. 사실상 불가능하죠. 그렇다면, 이제는 피해 증명의 책임을 개인에게 전가하는 '사후 소송' 중심의 구조에서 벗어나, 유출 자체에 책임을 묻고 피해 가능성을 담보하는 '사회적 책임 보상 시스템'으로의 패러다임 전환이 필요합니다.

가령, 유출 사고가 발생했을 때, 해당 기업이 유출된 데이터의 민감도와 규모에 따라 일정 기간(예: 1~3년) 동안 발생하는 금융 범죄 피해액의 일부를 보전해 준다던가, "기업이 유출한 정보와 이번 범죄 피해 사이에 상관관계가 없음"을 기업이 증명하지 못하면 책임을 지게 하는 방식 등으로 피해와 유출을 간접적으로 연결할 수 있습니다. 기업은 더욱 개인정보 관리에 철저해질 수 있고, 유출 후에도 범죄 예방과 추적에 노력을 기울이게 될 것입니다.

우리가 배워야 할 점

개인정보 유출이 그 기업의 존속을 위협할만큼의 영향을 주지 못했던 게 우리 사회의 현실이었지만, 앞으로는 아닐 것입니다. 고객은 갈 수록 더 예민해지고 더 많은 것을 요구합니다.

여러분의 업무에서 지켜야 될 보안 수칙은 무엇인가요? 혹시 귀찮다는 이유로, 번거롭다는 이유로 무시하던 보안 절차가 있지는 않나요? 개인정보 유출로 감당하게 될 기업의 부담은 갈 수록 더 커질 것입니다. 보안의 시작은 멀리있지 않습니다. 당장 우리의 업무 루틴부터 점검해보기를 추천드립니다.