최근 온라인동영상서비스(OTT) 티빙의 개인정보 유출 소식이 전해졌을 때 돌아온 사람들의 반응은 놀람보다 체념에 가까웠다. “이번에는 또 어디야” “내 정보는 이미 공공재”라는 말이 유행어처럼 뒤따랐다. 대규모 개인정보 유출 사고가 반복되면서 더는 낯선 일이 아니게 된 탓이다.
그러나 이번 사고는 무심히 넘길 규모가 아니다. 현재까지 확인된 피해자는 1953만명이다. 국민 5명 중 2명에 가까운 수치다. 정부가 처음 추산한 1300만명보다 650만명 이상 늘었다. 국회에 제출된 자료를 기준으로 쿠팡과 네이트·싸이월드, SK텔레콤 사고에 이어 역대 네 번째로 큰 규모의 개인정보 유출 참사다.
유출 인원이 티빙의 유료 가입자 수와 월간 이용자 수를 훨씬 웃돈다는 점은 더 큰 문제다. 티빙의 유료 가입자는 약 500만명, 월간 이용자는 800만명 안팎으로 알려져 있다. 실제 이용자 수보다 유출된 정보가 최대 4배 가까이 많다는 의미다.
이 때문에 탈퇴 회원이나 장기 휴면계정의 정보까지 보관돼 있었던 것 아니냐는 의문이 제기된다. 만약 보관 목적이 끝난 개인정보를 법적 기준에 따라 제때 파기하지 않고 쌓아두다 유출된 것이라면 이는 명백한 인재(人災)다.
이정헌 더불어민주당 의원은 “대한민국 대표 OTT 기업을 자처하는 티빙이 가장 기초적인 개발자 플랫폼 관리 부실로 인해 국민 1953만명의 소중한 개인정보를 해커에게 노출한 것은 기업의 안일함이 부른 인재”라고 지적한 바 있다.
유출된 정보의 내용도 가볍지 않다. 이름과 생년월일, 연락처뿐 아니라 연계정보(CI), 중복가입확인정보(DI), 결제 이력과 제휴 서비스 이용 정보 등이 포함된 것으로 알려졌다.
CI는 여러 온라인 서비스에서 같은 사람을 식별하는 데 활용되는 값이다. 당장 주민등록번호처럼 악용되는 정보는 아니지만, 이용자가 비밀번호처럼 손쉽게 바꾸기 어렵다. 이름과 전화번호, 이용 이력 등 다른 개인정보와 결합하면 사칭이나 스미싱, 보이스피싱의 재료가 될 수 있다.
이쯤 되면 대대적인 공분이 일고 분노한 이용자들의 항의가 빗발치며, 책임자가 사퇴하고 대대적인 재발 방지책이 나와야 정상이다. 하지만 지금 우리 사회는 고요하다. 이 기이한 상황 속에서 선명하게 드러난 것이 ‘위험한 침묵’이다.
티빙은 사고 이후 자사를 사칭한 전화와 문자, 이메일을 이용한 피싱이 잇따르고 있다며 별도의 주의 공지를 냈다. 실제 이용자들 사이에서는 티빙 사고 이후 스팸전화나 국제전화가 부쩍 늘었다는 제보도 나온다. 다만 개별 연락이 이번 유출에서 비롯됐다고 단정할 근거는 아직 없다. 그래서 더 철저한 조사와 설명이 필요하다.
문제는 피해가 발생해도 구제가 쉽지 않다는 점이다. 기업이 정보를 보관하다 잃어버렸는데, 그 정보로 피해를 봤다는 입증 책임은 개인에게 돌아간다. 이것이 어느 기업의 사고에서 비롯됐는지 개인이 입증하기는 사실상 불가능하다. 유출 경로를 증명하지 못하면 피해도 인정받기 어렵다.
유출이 반복될수록 사람들은 무뎌진다. 처음에는 기업의 관리 부실과 피해 가능성을 따져 물었다. 그러나 수백만명, 수천만명 단위의 사고가 이어지자, 숫자는 더 이상 충격으로 다가오지 않는다. 사회학자 다이앤 본이 말한 ‘정상화된 일탈’처럼, 한때 명백한 비정상이던 개인정보 유출이 어느새 감수해야 할 일상적 위험으로 받아들여지고 있다.
그 사이 책임의 무게는 이용자 쪽으로 기울었다. 기업은 정보를 모아 서비스와 광고에 활용하지만, 사고가 나면 비밀번호 변경과 피싱 주의를 권한다. 낯선 전화를 의심하고, 유출 경로를 확인하고, 2차 피해를 입증하는 일은 모두 개인의 몫이 된다. 사고가 잦아질수록 기업의 책임은 더 분명해져야 하지만 현실은 정반대다.
1953만명의 정보가 빠져나갔는데도 조용한 사회는 안전한 사회가 아니다. 이 침묵은 이용자의 잘못이 아니다. 반복되는 사고와 형식적인 사과, 체감하기 어려운 처벌과 보상이 만들어낸 결과다.
이제 필요한 것은 또 한 번의 비밀번호 변경 안내가 아니다. 기업은 왜 그 정보를 모았고, 왜 이용이 끝난 뒤에도 보관했는지 답해야 한다. 정부도 사고 뒤 과징금을 부과하는 데 그쳐서는 안 된다. 과도한 수집과 장기 보관을 막고, 피해자가 모든 인과관계를 직접 증명하지 않아도 구제받을 수 있는 장치를 마련해야 한다. 1953만명의 정보가 유출되고도 침묵만 남는다면, 다음 사고는 우연이 아니라 ‘예고된 결과’가 될 것이다.
이혜민 기자 hyem@kukinews.com
