[기자수첩] “또?” 사흘 내내 날아든 ‘유출’ 통보… 피할 수 없는 ‘디지털 종속’의 덫

[산업일보]
지난 4일, 온라인 동영상 서비스(OTT) 티빙이 회원 정보 유출 사실을 공지했다. 이튿날 기자의 휴대전화에는 이용 중인 에듀테크 업체의 유출 안내 문자가 도착했다. 하루 뒤에는 또 다른 서비스에서 ‘신원 미상 해커의 시스템 비인가 접근 정황을 확인했다’는 문자가 왔다. 사흘 내내 주어만 바뀐 비슷한 통보를 받은 것이다. ‘나도 못 간 해외여행을 내 개인정보가 대신 갔다’는 자조적인 농담조차 더는 우스갯소리가 아니게 됐다.

문제는 유출 통보를 받고도 할 수 있는 일이 거의 없다는 데 있다. 사과와 함께 재발 방지에 최선을 다하겠다는 앵무새 같은 문자를 받아들고, 당장 이용자가 쥘 수 있는 카드는 고작 비밀번호를 바꾸고 스팸 문자를 의심하는 것뿐이다. 내 정보가 어디로 흘러갔는지, 누구의 손에 들어가 언제 다시 나를 겨냥할지 알 길이 없다.

올해 상반기 민간과 공공을 가리지 않고 터져 나온 대형 유출 사고들은 이런 무력감을 더욱 증폭시킨다. 3천755만 명의 고객 정보 유출로 6천억 원대 과징금 철퇴를 맞은 쿠팡부터, 개인을 식별·연계할 수 있는 연계정보(CI)가 털려 집단소송에 직면한 티빙, 11만 3천여 명의 정보가 무더기로 빠져나간 한국식품산업협회까지 업종과 규모를 가리지 않았다. 서울시 ‘따릉이’와 중소벤처기업부 ‘모두의 창업’ 등 정부의 공신력을 믿고 가입한 공공 서비스마저 줄줄이 뚫렸다.

이용자들은 뻔한 리스크를 인지하고도 서비스를 거부하기 힘든 ‘디지털 종속’ 상태에 놓여 있다. 금융과 행정, 교육과 문화생활이 거대한 앱과 플랫폼을 거쳐 움직이는 시대에 '불안하면 탈퇴하라'는 말은 현실을 모르는 폭력이다. 기업과 기관은 끝없이 더 많은 정보를 요구하고, 이용자는 약관에 동의하지 않으면 다음 화면으로 넘어갈 수 없다.

우리는 숱한 약관에 ‘동의’했지만 사실상 ‘선택’하지 못했다. 개인정보 제공은 디지털 사회를 살아가기 위한 반강제적 입장료나 다름없다. 그렇게 쌓아 올린 데이터가 털렸을 때 그 책임은 이상할 만큼 가볍게 흩어진다.

정부가 무너진 보안 신뢰를 회복하기 위해 제도를 손보는 것은 사실상 당연한 수순이다. 오는 9월 11일 시행을 앞둔 개정 ‘개인정보 보호법 시행령’은 과징금 상한액을 전체 매출액의 최대 10%로 상향하고 최고경영자(CEO)의 책임을 법에 명시했다. 공공기관 역시 단일 유출 사고 감점 폭을 2배(20점) 늘려 단 한 번의 유출만으로도 최하위 등급으로 추락하게 하는 강경책을 꺼내 들었다.

그러나 처벌은 늘 사고 뒤에 도착하는 구급차에 불과하다. 이미 흘러 나간 개인정보는 결코 회수되지 않는다. 디지털 서비스가 삶의 기본 인프라가 된 시대, 보안 실패를 해커의 고도화된 기술이나 낡은 서버 탓으로만 돌릴 수 없다.

기나긴 약관 속에 책임을 숨겨두고, 정보 유출 뒤 사과 문자 한 통 보내는 것으로 면죄부를 얻는 시대는 끝나야 한다. 개인정보를 내어주지 않고는 살 수 없는 사회라면, 그 정보를 제대로 지키지 못한 책임 역시 지금보다 훨씬 무겁고 단호해져야 한다.