KT 개인정보 유출, 결코 그냥 넘어가선 안될 이유

KT에서 개인정보 유출 사고가 벌어졌다. 피해규모는 약 870만명으로 KT 휴대전화 가입자(1600여만명)의 약 절반규모. 유출된 개인 정보는 ▲휴대전화번호 ▲주민등록번호(법인번호) ▲고객번호 성명 ▲사용모델명 ▲요금제 ▲기본요금 ▲요금합계 ▲기기변경일 등이 모두 포함됐다.

…물론 당연히, 이번에도 변함없이, 피해자엔 본인도 포함됐다. ㅜ_ㅜ

기존 개인정보 유출이 마케팅 목적이었던 것을 생각해보면, 이번엔 아예 대놓고 영업을 하려고 모든 정보를 빼내간 꼴이다. 이로 인해 이 사고를 저지른 장본인들이 거둔 부당 수익은 약 10억 1천만원. 2명이 구속되었으며 7명은 불구속 입건. 그동안 줄기차게 걸려왔던 스팸 전화엔 다 이유가 있었던 셈이다.

개인은 언제까지 피해자여야 하는가?

스팸 전화는 이제 공해수준이 됐다. 하루에도 네다섯건씩 정말 쓸데없는 전화가 걸려오기도 하고, 한밤중에 한번만 울리고 끊는 전화가 오기도 하며, 심지어 작년엔 협박성 스팸 문자까지 돌아다니기도 했다. 오죽하면 아는 번호가 아니면 아예 전화를 받지 않는 지경에 이르렀을까.

이런 공해가 만들어진 배경에, 그동안 지속적으로 유출된 우리의 개인정보가 있었음은 물론이다. 그런데 이번엔 좀 크다. 무작위 텔레마케팅이 아니라 타겟팅으로 텔레마케팅을 할 수 있는 모든 정보를 담은 개인DB가 적에게(?) 넘어간 꼴이다. 그러니 10억이나 벌 수 있었겠지. 그런데도 KT는 여전히 피해자 코스프레다. 범죄자들에게 자신이 당한 양 이야기한다. 사과문 하나 달랑 올리고 피해 생기면 전화달라고 한다.

하지만 진짜 당한건 개인이다. KT의 고객들이다. 집지키라고 열쇠를 맡겼더니 열쇠를 뺏기고선 도둑탓이나 하고 있는게 지금 KT의 꼴이다. 올초부터 여러차례 병크를 터트려왔지만, 이번엔 그 병크중에도 좀 큰 병크다. 그런데 이 개인들은 할 수 있는 것이 없다. 집단 소송 움직임이 있지만 언제 끝날지 알 수 없고, 경실련에선 즉각 보상을 하라고 하지만 역시 묵묵부답.

그냥 사과문 내고 우린 할 일 다 했으니 그 다음은 나는 모름-
이게 과연 올바른 자세일까?

사건의 본질은 따로 있다

사실 이 사건의 본질은 따로 있다. 바로 이통사간의 지나친 경쟁. 그리고 그에 따른 연간 수천억원대의 휴대전화 보조금 마케팅. 이 사건의 범인들이 작업을 시작한 것이 지난 2월. LTE 경쟁에서 밀려버린 KT가 공격적 마케팅을 시작한 그때였다. 실제로 범인들은 “KT가 가장 많은 마진”을 주기 때문에 KT 가입 고객들을 대상으로 정보를 빼냈다고 말했다.

그에 비해 개인 정보 관리는 너무나 허술했다. 특정 대리점이 무려 870만건이나 정보를 조회하는데, 거기서 이상징후를 포착하지 못했다는 것이 말이 될까? 그리고 어쩌면 이미 옥션 사건등을 통해 빼내진 개인 정보가 이번 범죄에 사용됐을 가능성도 높다. 통신사의 전산망을 조회하려면 이름과 주민등록번호등을 알아야 하는 것으로 알고 있다. 이들이 조회를 위해 사용한 기본 정보는 대체 어디에서 구했을까? 그게 아니면 고객DB가 간단한(?) 해킹에 뚫릴 정도로 엉망이었단 걸까?

…결국 지나친 보조금 + 허술한 보안 + 과도한 욕심이 어우러져 이번 사건이 일어난 셈이다.

추가 피해 우려와 방통위의 수수방관

위험은 거기에서 끝나지 않는다. 이 고객정보 프로그램을 개발한 사람은 이 프로그램을 판매했다. 거기에 별도의 악성코드를 심어서, 구매자들이 프로그램을 이용해 취득한 정보까지 자신들이 빼돌리도록 설계했다. 다시 말해 이 프로그램 자체는 지금도 떠돌아다니고 있을지도 모른다.

그런데도 이런 추가 피해 위험에 대해선, 다들 수수방관이다. 대책을 마련했다는데 그 대책이 대체 어떤 대책인지 모르겠다. 지금 KT는 올림픽 열기에 스리슬쩍 묻혀, 이 사안을 조용히 넘어가고 싶어하기 때문이다. 정보가 담긴 서버를 압수수색했다고 하지만, 정말 서버만 압수하면 끝나는 일일까?

이렇게 KT가 버티는 것은 처벌을 받아도 솜방망이 처벌로 끝날 가능성이 높기 때문이다. 방통위가 조사에 나섰지만, 과징금을 물릴 수는 있지만, 현행 법률에 개인 정보 유출에 관해 관련 피해 보상 기준이 없다면서, KT에 피해보상을 명령할 계획은 없다고 했다.

그럼 어떻게하면 좋을까? 결코 그냥 넘어가선 안된다. 지난 번 옥션 사태때 법원이 적당히 판결하고 넘어갔더니, 그 다음부턴 기업들이 줄줄이 개인정보를 유출해도 슬그머니 ‘어쩌겠어~’하는 마인드로 넘어갔다. 그렇게 유출된 개인정보는 스팸전화등으로 우리 생활을 좀먹고 있는데도.

그런데 솔직히 막막하다. 정말 손해배상 소송에 참여하는 것외에는 대책이 없다. 이 와중에도 언론에선 개인에게 암호나 또 바꾸라고 말하지만, 이건 비밀번호로 끝날 사안이 아니다.

진짜, 그냥 KT 해지라도 해야하는 걸까? 아니면 텔레마케팅 자체를 제안할 법안이라도 청구하도록 국회의원들에게 요청해야 하는 걸까?