당신이 피해자인지는 직접 확인하세요
익숙한 장면 03. 10년 전에도 이런 일이 있었어요
지난 글에서 이어지는 오늘 내용은 ‘왜 한국에서만..?’이라기보다는, ‘이런 결정은 어디서, 어떻게 내려졌는가 ‘에 관한 생각정리입니다.
그나저나 또 개인정보 유출 사고가 발생했네요.
조치는 했지만 책임은…글쎄
미국 신용평가사 에퀴팩스의 개인정보 유출 사고는 미국에서 발생한 역대 규모의 정보 유출 사건입니다. 지난 2017년 발생한 이 사고로 약 1억 4천만 명의 개인정보가 유출됐습니다. 회사는 보도자료를 통해 이 사실을 알렸는데요.
출처 : SEC 홈페이지주목할 점은 당시 에퀴팩스가 이 사실을 소비자에게 안내한 방식입니다. 보도자료 발표와 함께 별도의 사이트를 개설해 소비자가 자신이 피해를 입었는지 아닌지를 직접 확인하도록 했습니다. 당시 소비자들은 이름, 생년월일, 사회보장번호 일부를 입력해야지만 자신의 정보가 유출됐는지 알 수 있었던 겁니다. 물론 우편과 이메일로 통지가 이뤄졌지만, 우편 통지는 수개월에 걸쳐 순차적으로 이뤄졌으며 이메일 또한 모든 고객에게 발송하지 않았습니다.
더욱이 안내문은 사건 발생 경위보다는 사후 조치에 초점을 맞추고 있었습니다. 이를테면 무료로 신용 모니터링 서비스를 신청할 수 있다던지, 사기 경보 알림을 받는 법을 알려준 건데요. 초기 안내 단계에서 어떤 보상이 이뤄질지는 언급하지 않았습니다. 그러니까, 사건 발생 사실은 알렸지만, 여기에서 그친 것이죠. 책임 소재나 보상에 대한 계획은 이후로 미뤄졌습니다.
기업이 나서 피해자가 누구인지도 안내하지 않았습니다. 그 사실을 확인하는 일은 소비자의 재량이 되어버렸습니다. 결과적으로 소비자 보호가 우선순위에 있었다고 보기는 어려웠습니다. 당시 에퀴팩스의 이러한 조치에 대한 비판은 아래 기사에서도 확인할 수 있습니다.
다시 이메일을 생각해 보면
지난 회차에서 우리나라에서 개인정보 유출 사고를 수습했던 글로벌 기업의 ‘이메일 안내’에 관해 얘기했었는데요.
지금까지 언급한 사례의 규모와 진행 방식이 모두 동일하지는 않지만, 닮은 지점은 분명합니다. 모두 정보는 제공했지만, ‘책임’을 어디까지 어떻게 지겠다고 말하지 않았다는 것입니다. 물론 사고가 발생하면 이를 수습하는 과정에서 어떠한 책임을 져야 할지 구체적으로 결론이 나지만, 소비자의 개인정보를 소유한 기업은 명시적 책임 이전에 도의적 책임을 지겠다고 말할 필요도 있습니다.
물론 효율적인 경영과, 경제적인 전략 경영을 하는 기업 입장에서 기꺼이 ‘내가 이만큼 잘못했으니, 이 정도로 책임질게!’라고 말하기 쉽지 않을 것입니다. 하지만 소비자에게 기업이 감당해야 할 불확실한 책임을 떠넘기는 건 다른 문제입니다. 이미 피해를 입은 소비자에게 수습의 책임까지 전가해서는 안 되겠죠.
다만 이 글은 기업을 크게 비판하거나, 특정 기업의 잘못을 꼬집기 위함은 아닙니다. 해마다 비슷한 사건사고가 발생하며 사건의 전개가 비슷하게 흘러갈 수밖에 없는 구조를 들여다보기 위해 적어본 생각들입니다. 예측 가능한 범위 내에서 리스크를 관리하고, 책임을 지는 건 자연스러운 경영상 판단입니다. 하지만 이런 방식이 최선이라고 할 수 있을지는 의문입니다. 사고 이전으로 회복 불가능한 상황에서 소비자가 입은 피해는 어떻게 보상받을 수 있을까요.
구조를 이해하는 것과, 이걸 받아들이는 건 명백히 다른 문제입니다.
다음 편에서는 이러한 구조적인 관성이 다른 방식으로 해결된 사례는 없는지, 다른 선택지, 일종의 ‘희망편’을 찾아보려 합니다.