옥션, GS칼텍스 등의 대규모 개인정보유출 사고로 인해 치러야 하는 혹독한 대가는 늘 피해를 입는 고객들 몫이라는 생각이 새삼 다시 든다. 최근 리니지2 대법원 최종 판결만 해도 그렇다.
2005년 5월 엔지니어의 과실로 리니지2 이용자들의 아이디, 비밀번호 등이 노출됐다. 개인정보유출 사고로는 최초로 집단소송이 진행된 사건이었다. 고객의 개인정보를 소중히 다루지 못한 기업의 대가가 과연 얼마나 클지가 이 사건을 지켜보는 많은 이들의 관심거리였다.
피의자인 엔씨소프트에는 피해자 31명에게 10만원씩 배상하라는 판결이 내려졌다. 피해자들이 초기 1인당 100만원씩 손해배상금을 요구한 것에 비하면 턱없이 낮은 금액이 아닐 수 없다. 담당 변호사 역시 법원 판결에 대해 "사회적 책임을 다하지 않은 기업에게 가해진 배상금 치고는 터무니없이 작은 액수다. 다른 기업들이 '보안 조치를 안 하면 큰일 나겠구나' 라고 각성시키기 힘든 금액"이라고 전했다.
이번 판결이 앞으로 남아 있는 LG텔레콤, 옥션, GS칼텍스 등의 개인정보유출 집단소송 결과에까지도 영향을 미칠 것으로 보인다. 대규모 개인정보유출 사고를 내고도 금전적인 손실이 크지 않다면 소잃고 외양간 고칠 기업 조차도 없을 것이다.
과거에도 기업들은 DB암호화 등 보안 조치를 하지 않을 경우 과태료가 부과됐다. 하지만 다수의 기업들은 보안 조치를 하는데 드는 비용보다 과태료가 낮았기 때문에 '차라리 과태료 내고 말자'는 식이었다.
최근에도 은행, 통신사, 소셜네트워크 사이트 등에 저장된 우리 정보는 줄줄이 새고 있다. 10만∼15만원에 1000건의 개인정보가 팔리고 월 만원이면 원하는 정보를 마음대로 습득할 수 있는 세상이다.
보안에 대한 인식이 최근 높아지고 있다는 것에는 공감한다. 하지만 고객 정보부터 지키기 위해 자발적으로 나선 기업이 과연 몇이나 될지 미심스럽다. 사고가 나도 자사의 이미지 먼저 챙기느라 정신 없는 기업들을 볼때면 한숨부터 나온다.
여전히 기업들이 '눈가리고 아웅' 식 보안을 할 수 밖에 없게 만드는 법 제도부터 정비되어야 한다. 또 '해도 그만 안해도 그만, 여유 있을때 하자'는 생각부터 반드시 뿌리 뽑아야 할 것이다.
김정은 기자
jekim@itdaily.kr