가치를같이읽다

개인정보 유출 사고가 또 터졌다. LG유플러스에서다. 새해 벽두부터 29만건의 개인정보가 유출됐다. 이번에도 기업의 수장은 고객과 국민 앞에 머리를 숙였다. 개인정보 보호 체계를 강화하고 적절한 보상도 실시하겠다고 밝혔다. 그런데 이 말, 곧이곧대로 믿을 수 있을까. 전례를 보면 그러긴 힘들다. 

# 한 기업에서 개인정보 유출 사고가 터진다. 고객들은 불안함에 떨고, 기업의 책임을 묻는 비판의 목소리가 커진다. 기업의 수장은 국민 앞에 고개를 숙이면서 정보 유출을 막기 위해 노력하겠다고 읍소한다. 

하지만 그뿐이다. 고비를 넘긴 기업은 언제 고개를 숙였냐는 듯 행동한다. 정보 유출 피해를 보상하라는 고객의 요구를 들은 척 만 척이다. 생색 내듯 보상안을 내놓고, 고객이 소송이라도 제기하면 항소에 항소를 거듭하며 보상을 거부한다. 결국, 정보 유출 피해를 입은 고객들은 제대로된 보상을 받지 못한 채 분통만 터트린다. 

새해부터 터진 LG유플러스의 개인정보 유출 사고에 분위기가 뒤숭숭하다. 정보 유출 사고가 터진 지 벌써 두달여가 됐지만 명확하게 밝혀진 건 많지 않다. LG유플러스의 정보 유출 사고가 알려진 건 지난 1월 2일이다. 한국인터넷진흥원이 다크웹에서 LG유플러스의 고객자료를 판매하려 했다는 걸 확인한 직후다. LG유플러스는 8일이나 흐른 10일에야 정보 유출 사실을 발표했다. 

여기가 끝이 아니었다. 최초 18만건으로 알려졌던 정보 유출 건수는 한달 사이 29만건으로 늘어났다. LG유플러스는 개인정보 유출 사실을 공지한 후 열흘 뒤인 1월 20일 3만건이 더 유출됐다는 사실을 알렸고, 지난 3일엔 해지고객 개인정보 8만건이 또다시 추가됐음을 전했다. 그중 8만여건은 개인정보보호위원회의 조사 과정에서 드러났다. LG유플러스가 정보 유출 범위를 파악하는 데도 미흡했다는 비판이 나오는 이유다. 

LG유플러스는 “법적 리스크에 따른 유권해석 때문에 개인정보위의 열람 허가를 기다렸다”고 밝혔다. 하지만 개인정보위는 “1월 11일부터 해지고객을 분리·보관한 데이터베이스를 제출하라고 요구했다”며 LG유플러스의 주장을 반박하는 촌극까지 발생했다. 

심지어 LG유플러스는 ‘서비스 거부 공격(디도스·Distributed Denial of Service)’의 타깃이 되기도 했다. 1월 29일(두차례)과 지난 4일 디도스 공격으로 인터넷 장애가 발생해 많은 고객이 불편을 겪었다. 7일 사이에 세차례나 디도스 공격을 받은 셈이다.  

이처럼 수없이 많은 논란이 있은 뒤에야 LG유플러스는 대국민 사과에 나섰다. 황현식 LG유플러스 대표는 지난 16일 열린 기자간담회에서 고개를 숙이고 “불편을 겪은 고객분들께 진심으로 사과드린다”며 “모든 사업의 출발점은 고객이라는 점을 되새겨 고객관점에서 기본부터 다시 점검하겠다”고 말했다. 더불어 개인정보보호 투자액을 현재의 3배 수준인 연간 1000억원으로 확대하겠다고 덧붙였다. 

LG유플러스는 학계와 법조계, 시민단체가 참여한 ‘피해지원협의체’를 구성해 피해지원안을 마련한다는 계획을 세웠다. 피해 지원의 시작은 유심(USIM) 무상교체와 U+스팸전화알림 서비스 무료 제공이다. 유심을 복제할 수 있다는 불안을 잠재우기 위해 내놓은 대책인데, 대상은 정보가 유출된 18만명을 포함한 전 고객이다. 

LG유플러스 관계자는 “정부에서 3~4월쯤 조사를 마치겠다고 국회에 보고한 것으로 알고 있다”며 “조사가 진행 중이어서 정보가 유출된 정확한 원인은 알 수 없다”고 말했다. 그는 “지난 20일부터 22일까지 2100건의 유심을 교체했다”며 “피해지원협의체의 설립도 준비 중”이라고 말했다. 정보가 유출된 원인도, 보상안도 구체적으로 마련된 건 아직 없다는 거다. 

당연히 고객들의 반응은 싸늘하기만 하다. LG유플러스를 10년 넘게 쓰고 있다는 직장인 정지민(가명·32)씨는 “개인정보 유출 사고가 터진 지 한달 만에 내놓은 대책이 유심 교체와 월 550원짜리 서비스 무료 제공이라는 게 믿기지 않는다”며 “스마트폰이 복제되는 것만 막고, 정보 유출에 관한 책임은 지지 않겠다는 의도가 아닌지 걱정된다”고 말했다. 

이런 우려는 단순한 기우杞憂가 아니다. 11년 전인 2012년 KT에선 해킹으로 전체 고객의 절반에 달하는 870만명 개인정보가 유출된 사고가 발행했다. 당시 KT도 지금의 LG유플러스처럼 고객에게 사과하면서 개인정보를 강화하기 위한 후속대책을 발표했다. 하지만 피해보상은 하지 않았다.

KT는 “개인정보가 유출된 사실 자체는 피해 보상의 범위가 아니다”며 “개인정보 유출로 인한 피해가 확인되면 보상을 하겠다”고 밝혔다. 정해진 보안시스템을 모두 갖췄기 때문에 해킹으로 인한 개인정보 유출의 피해를 보상할 의무가 없다는 주장이었다. 

LG유플러스도 같은 논리를 펼칠 가능성이 없지 않다. 통신업계 관계자는 “LG유플러스의 정보보호부문 투자액이 다른 통신사에 비해 적은 건 사실이지만 그것만으로 보상을 실시할 것으로 예단하긴 힘들다”면서 말을 이었다. “투자액이 적다는 게 법이 정한 시스템을 갖추지 않았다는 의미는 아닐 것이다. 조사 결과가 나와봐야 알겠지만 현행법상 기업이 고의로 정보를 유출하지 않았다면 피해를 보상할 의무는 없다.”  

한국소비자단체연합 등 시민단체가 단체소송을 예고하고 나섰지만 전망은 낙관적이지 않다. 정보 유출로 인한 피해가 입증되지 않으면 소송에서 이기기 힘든 데다 설령 승소하더라도 고객이 손에 쥐는 보상은 많지 않아서다. 

실제로 2014년 KB국민카드, 롯데카드, NH농협카드 등 카드3사에서 1억400만건의 고객정보가 유출됐지만 소송에서 고객이 받은 보상은 정신적 피해보상금 10만원이 전부였다.   소송에 필요한 시간도 적지 않다. 고객이 단체소송에 나서면 기업은 항소로 맞서며 재판 기간을 연장하거나 재판을 대법원까지 끌고 가기 일쑤였다.

실제로 카드 3사의 정보 유출 소송에서 고객이 이기는 데까진 5년이나 걸렸다. 2016년 발생한 인터파크 정보 유출 사건도 승소 판결이 나온 건 그로부터 4년이 흐른 2020년이었다. 10만원 안팎의 정신적 피해보상금을 받는 데 4~5년이 걸린 셈이다. 

김하나 민주사회를 위한 변호사모임(민변) 변호사는 “개인정보의 중요성이 높아지고 있지만 정보 유출 사고를 당한 고객이 받을 수 있는 보상은 10년 전과 비슷한 수준”이라며 “2차 피해가 발생하지 않으면 위자료(정신적 피해보상금) 명목으로 받을 수 있는 10만원 안팎의 보상금이 전부”라고 말했다. 그는 “위자료는 정보 유출 경위 등을 감안해 재판부가 결정한다”며 “위자료가 턱없이 부족하다는 비판은 예전부터 있었다”고 꼬집었다. 

잊힐 만하면 터지는 개인정보 유출 사고는 또 발생했고, LG유플러스는 관례처럼 고개를 숙였다. LG유플러스는 다른 기업과 달리 합리적인 보상안을 마련할까. 

강서구 더스쿠프 기자 
ksg@thescoop.co.kr