“아직도 털릴 게 남았었나.” “어차피 공용정보였는데 뭘.” 끊이지 않는 개인정보 유출에 국민은 분노, 허탈감을 넘어 이렇게 냉소적이다. 보안만큼 확실해 마지막 보루로 여겨진 금융사와 통신사업자까지 큰 구멍이 났으니 이럴 만하다.
KT와 티켓몬스터 개인정보 유출은 우리 정보보호 체계가 얼마나 엉망인지 그대로 보여준다. 지난 주 드러났지만 시작은 KT가 1년 전, 티켓몬스터가 3년 전이다. 경찰 통고 전까지 유출 자체를 알지도 못했다니 정말 믿기 힘든 일이다. 최근 잇따른 유출 사고를 보고도 점검조차 제대로 하지 않았다는 방증이 아닌가.
금융사도 마찬가지다. 올 초 카드사 개인정보 유출 대란도 지난해 말까지 그간 숱한 조짐이 있었다. 시티·SC은행 고객 정보 유출을 ‘남의 일’로 여긴 대가는 혹독했다.
기업들이 왜 이렇게 둔감했을까. 여러 이유가 있겠지만 사고가 생겨도 별 탈 없이 지낼 수 있다는 인식이 결정적이다. 사고가 외부 해킹, 특히 북한 소행이라면 그냥 넘어가기 일쑤였다. 내부 잘못이 있는 사안도 책임 규명은 쉽지 않았다. 시간마저 오래 걸리니 곧 잊혀졌다. 받는 제재란 것도 솜방망이다. 1억건이 넘는 개인정보를 유출한 카드사에 매긴 벌금이 고작 600만원이다. 인적 책임을 몇몇 실무자에 덮어씌우면 그만이다.
이러니 금융사와 대기업은 고작 몇십억원인 보안 투자비용도 아깝게 여긴다. 비용을 줄일 때 가장 먼저 보안 투자비용부터 줄이는 이유다. 정보기술(IT)업계에서 ‘막장’이라고 곧잘 불리는 농협과 KT에서 보안 사고를 반복하는 것이 과연 우연이라고 할 수 있을까.
정부가 10일 개인정보 유출 재발방지 종합대책을 내놓는다. 개인정보 수집 제한부터 처벌 강화 등 각종 대책을 담을 것이다. 마침 KT 유출 사고까지 있었으니 그 제재 강도가 더 세질 가능성이 있다. 애써 마련한 대책을 내놓기도 전에 이런 말을 해 미안하지만 사람들은 전혀 기대하지 않는다. 사실상 전 국민 정보를 유출한 마당에 뭘 막겠다는 것인가.
내 정보는 이미 알려질 대로 다 알려졌다. 정부는 2차 피해가 없다고 거듭 강조하지만 이미 진행형이다. 걸핏하면 휴대폰으로 걸려오는 스팸·스미싱 전화와 문자가 그 증거다. 개인 포털 계정은 세계로 퍼져 외국인들이 이를 마치 ‘아바타’처럼 쓴다. 이 상황에서 정부가 어떤 재발 방지책이 있다는 것인지 오히려 그게 더 궁금하다.
그나마 긍정적인 것은 더 고치기 어려워지기 전에 정보보호체계를 뿌리부터 갈아엎을 기회가 생겼다는 점이다. 그간 숱한 지적에도 요지부동이었던 주민등록번호 문제도 대란이 벌어지자 비로소 논의를 시작했다. 금융위원회, 방송통신위원회, 개인정보보호위원회, 안전행정부, 미래창조과학부 등 갈기갈기 찢긴 정부 개인정보보호 체계를 다시 손볼 기회가 생겼다. 이렇게 흩어 놓으면 생기리라 여겨진 독립성과 전문성이 얼마나 허망한 기대였는지 눈으로 확인했다.
흩어진 정보보호 관련 조직을 한데 모은 국가 조직을 신설하면 어떨까. 여기에 한국인터넷진흥원을 비롯한 전문가 조직을 붙여놓으면 원칙과 일관성 있는 정책 수립과 감독이 가능하지 않을까. 미국 국토안보부처럼 국가안보까지 수행하는 것에는 사회적 합의가 필요하지만 정보보호 전담 기구 신설은 충분히 검토할 만하다.
지금 필요한 것은 뻔한 대책이 아니다. ‘정부가 정말 개인정보 보호에 온 정성을 쏟아 붓는구나’ 하는 믿음을 줄 혁신 의지가 가장 절실하다. 정부가 이런 모습을 보인다면 ‘개인정보 리셋’에 뒤따를 어떠한 불편도 기꺼이 감수하겠다.
신화수 논설실장 hsshin@etnews.com
