'노출'이 아니라 '유출'입니다

TaPick #95

1. 올해 4월 SK텔레콤에서 2300만 명의 유심 정보가 해킹당한 후 역대 최대 과징금 1348억 원이 부과됐죠. 그리고 불과 몇 달 뒤, 이번엔 쿠팡에서 3370만 건의 개인정보가 새어나갔습니다. 성인 4명 중 3명꼴입니다. 알바몬에서도 2만 2천 건의 이력서 정보가 유출됐고, KT와 롯데카드에서도 비슷한 사고가 터졌습니다. 개인정보보호위원회 고학수 위원장이 "유례없는 상황"이라고 표현할 정도입니다.

2. 쿠팡 사건은 외부 해킹이 아니라 내부 직원에서 시작되었다는 점이 다르긴 합니다. 지난 6월부터 약 5개월간 해외 서버를 통해 고객 정보에 비정상적인 접근이 이어졌는데, 쿠팡은 전혀 감지하지 못했습니다. 10월에 퇴사한 직원이 고객들에게 "당신의 개인정보를 알고 있다"는 협박 이메일을 보내고, 그 고객이 항의한 후에야 유출 사실을 알게 됐죠. 이 정도 규모의 정보가 장기간 빠져나갔다면 보안 통제가 제대로 작동하지 않았다는 점을 알 수 있는데요.

3. 사후 대응도 문제입니다. 쿠팡은 사과문을 홈페이지에 올렸다가 이틀 만에 내렸고, '개인정보 유출'이 아닌 '개인정보 노출'이라고 표현했습니다. 이에 개인정보보호위원회는 3일 전체회의를 열고 '노출'을 '유출'로 수정하고, 공동현관 비밀번호 등 누락된 유출 항목을 빠짐없이 안내하라고 요구했습니다. '노출'과 '유출'은 다릅니다. 노출은 실수로 잠깐 보인 것, 유출은 정보가 외부로 빠져나간 것. 기업들이 '노출'이라는 표현을 선호하는 건 책임을 축소하려는 의도로 읽힐 수밖에 없습니다.

4. 왜 이런 일이 반복될까요? 숫자가 말해줍니다. 쿠팡의 매출 대비 정보보호 투자액은 지난해 0.2%로, 카카오·SKT(0.7%)나 네이버·KT(0.4%)의 절반도 안 됩니다. 한국인터넷진흥원에 따르면 쿠팡의 정보보호 투자 비중은 2022년 7.1%에서 2025년 4.6%로 오히려 낮아졌습니다. 과징금은 높아졌지만 실제 피해자 보상은 여전히 미미합니다. SKT에 1인당 30만 원 배상 권고가 나왔지만 SKT는 이를 거부하고 소송 중이죠. 반면 미국 티모바일은 피해자 보상에 과징금보다도 더 큰 5142억 원을 썼습니다.

5. 한국인의 개인정보가 다크웹에서 쉽게 거래되며 '공공재'로 전락했다는 자조 섞인 반응이 여기저기서 나옵니다. IT 강국이라 불리지만, 정작 그 위에 쌓인 개인정보는 모래성처럼 허술하게 관리되고 있었던 겁니다. 기업들은 여러 인증을 받고도 유출 사고를 막지 못하고, 정부의 과징금은 매출 대비 1%에 불과합니다. 결국 이 모든 비용은 불안과 스팸 전화, 피싱 위험의 형태로 소비자에게 전가됩니다. '노출'이 아니라 '유출'이라고, 정확하게 불러야 합니다. 그래야 문제의 무게가 제대로 전달되니까요.

https://www.joongang.co.kr/article/25387092

개인정보위 "쿠팡, 개인정보 노출→유출로 수정해야" | 중앙일보

---

하루 하나의 뉴스, 하루 하나의 예술로 당신의 하루를 더 풍요롭게❤️

피터 브뤼겔, 장님이 장님을 이끌다(The Blind Leading the Blind), 1568.