[사설] 낙제점 수준의 이동통신사 고객정보 보호

케이티 휴대전화 가입자의 절반이 넘는 870만명의 개인정보가 해킹으로 유출됐다고 한다. 정보 유출 사고는 종종 있었지만 주로 게임사나 인터넷업체였고, 이동통신사에서 대규모로 정보가 유출된 일은 처음이다. 이동통신 가입자들의 충격은 그만큼 더 클 수밖에 없다. 실제로 유출된 정보가 텔레마케팅에 이용됐고 보이스피싱 우려도 있다고 하니 무엇보다 추가 피해를 막는 일이 급하다.

케이티는 유출된 정보가 전량 회수됐다는데 디지털 정보는 기술적으로 무한복제가 가능해 그러지 못했을 가능성이 크다. 파문 축소에 급급해 안이하게 대응할 게 아니라 후속조처에 만전을 기해야 한다. 이번에 유출된 개인정보는 주민등록번호 등 기본적인 정보 외에 휴대전화 가입일, 단말기 모델, 요금제 등 휴대전화와 관련된 대부분의 정보가 포함됐다고 한다. 집단소송 움직임도 있는 만큼 고객 피해가 더 생기지 않도록 해야 한다.

케이티가 해킹 피해를 봤다지만 케이티의 보안불감증이 해킹을 불러온 측면이 크다. 고객정보는 영업대리점이 케이티 고객정보시스템을 조회하는 것처럼 가장해 빼갔다고 한다. 지난 2월부터 최근까지 5개월간 매일 조금씩 자의적으로 정보를 유출해 인지가 힘들었다고 하는데, 관리 및 보안시스템이 허술한 것을 자인한 셈이다. 매일 조금씩이라고 해도 하루 수만건인데, 몇달을 모르고 지낸 것은 변명의 여지가 없다. 케이티가 고객정보 보호조치를 제대로 했는지 철저히 조사해야 한다.

이통사들은 가입자 확보를 위해 연간 수천억원의 돈을 휴대전화 보조금 등 마케팅 비용으로 지출하는 데 반해 개인정보 보호에 투자하는 비용은 연간 투자금액의 1%에도 못미친다고 한다. 당장 수익이 나지 않는다고 투자를 게을리 함으로써 고객이 피해를 입는 일이 더는 되풀이돼선 안 된다. 개인정보를 다루는 업체들은 보안에 대한 투자를 늘려 전방위적 보안성을 강화해야 한다. 이번 사건에서 보듯 특정 대상을 노린 지능형 지속가능위협 공격이 정교해지고 잦아지고 있는 만큼 이에 대한 대비도 필요하다.

개인정보가 해킹으로 유출된 경우 법원은 번번이 해당 기업에 대해선 충분한 주의를 기울였으므로 배상 책임이 없다는 판결을 내린 바 있다. 이처럼 기업의 책임을 소극적으로 물어서는 보안시스템을 제대로 구축하고 개인정보와 사생활을 철저하게 보호하기 어렵다. 업체의 고의성이 있는 경우는 물론 직원의 행위나 해커의 침입 등 모든 정보 유출에서 그 궁극적 책임은 기업에 있다는 인식이 뿌리내리도록 처벌 강도를 높여야 한다.