SK커뮤니케이션즈의 3500만명 개인정보 유출 사건이 최근 검찰에서 기소중지 처분을 받았다. 중국 공안과 협력 부족으로 중국으로 도주한 용의자 검거에 실패했기 때문이다. 넥슨의 1320만명 개인정보 유출 사고도 검찰 조사결과 무혐의로 최종 결론이 났다. 2008년 옥션 사고도 그랬다. 현대캐피탈, 신세계백화점, EBS 해킹사고 등 피해를 본 사용자들은 있지만 결과는 비슷했다.
방송통신위원회에 따르면 지난 4년간 발생한 개인정보침해 건수는 1억600만여건에 이를 정도로 많다. 사상 최대 규모의 정보유출 피해를 봤던 지난해에도 일곱 차례 이상의 개인정보 유출사고가 발생했다.
분명 사고가 발생했고 2차 피해도 우려되지만 책임지는 사람도 기업도 없다. 정부도 할 일을 다했다는 태도다.
정부 일각에서는 “집에 도둑이 들었으면 도둑이 벌을 받아야지 왜 집주인이 처벌을 받는가. 범죄는 해커가 저질렀는데 기업에 책임을 묻는 것은 부당하다”는 얘기도 나온다. 일견 맞는 말이다. 도둑 든 것도 억울한데 문단속 못했다고 욕먹는 집주인은 없다.
그런데 집주인은 자기가 소유한 물건을 도둑맞은 것이지만 기업은 도둑맞은 대상이 고객 개인정보다. 엄연히 다른 문제다. 다른 사람의 자산인 개인정보를 기업이 영리를 위해 맡아 보관하고 있다가 도둑맞았다면 관리를 소홀히 한 기업도 일정 부분 책임을 져야 한다.
기업들은 말한다. 분명히 기술, 관리 조치를 다했으며 사이버범죄는 불가항력이라고.
개인정보보호법이 발효되면 상황이 달라질 것으로 기대했지만 법 발효 이후에도 상황은 변하지 않았다. 결국 사용자만 피해를 본다.
이제 범인 없는 사건의 고리를 끊어야 한다. 정부는 사이버범죄 사고대응 매뉴얼 등을 개발, 사고 발생 시 수칙에 따라 범인을 검거할 수 있도록 정책을 세워야 한다.
엄중한 처벌도 뒤따라야 한다. 중국 등과 국제 공조도 획기적으로 강화해야 한다. 기업도 고객 개인정보 보호를 위해 보안 투자를 대폭 늘려야 한다. 더 이상 선량한 사용자를 엉뚱한 피해자로 만들어선 안 된다.
장윤정 비즈니스IT부 linda@etnews.com
