쿠팡 개인정보 유출 파장이 계속 확산일로다. 쿠팡이 미국 기업이기 때문이다. 한국 내에서 정보 유출이 발생했고 유출사태에 대한 쿠팡의 대응이 매우 미온적이었다. 이에 대해 한국정부는 강도 높은 제재를 가하려 들고 있는데 미국은 이에 대한 반기를 노골적으로 들고 나왔다. 자국 기업 보호 차원이다. 이런 국가 간 갈등 사태의 발단은 개인정보 유출에 대한 양국 간 사건을 보는 현저한 해석 차이에 기인한다.

쿠팡은 법적으로 미국 기업이다. 미국이 자국 기업의 개인정보 유출 자체를 대수롭지 않게 보는 이유는 유출로 인한 피해가 크지 않고 2차 피해로 이어지는 경우가 없어서다. 1차 피해에 대한 조치로서 고작해야 신용카드 재발급으로 모든 사태가 마무리되지만 한국에서는 거기서 끝이 아니라는 점이 크나큰 차이다. 2차, 3차 또는 그 이상의 피해로 이어질 수 있어 두고두고 불씨가 거의 영구히 사라지지 않는다. 그래서 정보유출에 대한 국가적 대응과 처벌 수위의 차이는 다를 수밖에 없다.

그렇다면 정보유출로 인한 피해 규모가 왜 국가마다 다를 수 있나. 그 차이점은 각종 개인정보 전체를 아우르는 ‘절대반지’ 격 정보가 있느냐 없느냐에 달려 있다. 한국에는 강력한 절대반지인 주민번호가 있다. 반면 미국에서 사용하는 사회보장번호는 절대반지라고 볼 수 없는 존재다. 왜냐하면 그 번호는 세금 고용 사회보장에만 국한해 사용될 뿐 일상생활을 지배하는 번호가 아니기 때문이다.

양국간 사건을 보는 현저한 해석 차이

하지만 한국의 주민번호는 은행 의료 고용 교통 학원 등 모든 대금결제에 이르기까지 일상 모든 구석구석에서 사용된다. 그래서 영화 속의 절대반지급 위용을 유감없이 발휘한다. 게다가 한국의 주민번호 뒷 7자리 중 여섯 자리는 성별 출생지 등의 깊은 의미가 담겨있는 정보들이다.

반면 사회보장번호 9자리 전체는 무작위 번호로서 무의미형이다. 또 문제가 생기면 전화번호처럼 아무 때나 변경 가능하다. 하지만 우리의 주민번호는 평생 번호다. 여간해선 못 바꾼다. 어느 주체(국가)에게는 평생 편리한 번호일 수도 있으나 어느 다른 주체(개인)에게는 평생 족쇄 번호로도 작용한다는 뜻이다.

쿠팡 개인정보 유출 파장이 계속 확신일로에 놓일 수밖에 없는 또 다른 이유는 쿠팡이 피의자로서 범행 규모를 스스로 은폐하려는 시도가 다분했다는 데 있다. 그것은 시간벌기 차원에서 이뤄졌을 것이라는 정황이 파악된 것은 최근이다. 경찰 조사에 의하면 쿠팡 자체 조사가 실제 유출 규모를 1만분의 1로 줄인 것으로 드러났다. 쿠팡 셀프조사 결과는 오직 3000건이었으나 경찰이 발표한 유출 규모는 3000만건 이상이었다.

그렇다면 주민번호 같은 절대 식별자 존재 유무의 차이가 불러 일으키는 파장의 차이는 얼마나 다를까. 절대식별자가 없을 때에는 데이터 유출의 영향은 일반적으로 1차 사고 범위 내에서 억제된다. 반면 한국에서는 단 한번의 유출이 2차, 3차 나아가 4차 피해로 이어지는 연쇄적인 고리를 제공하는 일이 가능하다.

한국의 상황이 훨씬 더 복잡해질 수밖에 없는 근거는 해커들이 유출된 주민번호를 중심축으로 활용해 새롭게 취득한 데이터와 기존에 확보해 저장해 둔 데이터 간에 데이터 퍼즐 합성에 들어간다. 개인정보 추가 유출이 또 발생할 때마다 해커들은 그런 추가 정보까지 암암리에 입수해 새로운 정보를 종전보다 더 큰 퍼즐에 통합하며 향후 공격을 위한 표적을 지속적으로 더욱 정교하게 다듬는 작업에 들어간다.

한국은 이처럼 동시다발적이고 순차적인 피해를 겪는다는 점에서 유례가 없다. 왜냐하면 한국처럼 민간 부문에서 일상적으로 절대식별자를 사용하는 나라는 어디에도 없는 까닭이다. 따라서 후속 피해를 없애기 위해서는 정부는 민간 부문의 주민번호 사용을 금지하는 법안을 통과시켜야 마땅하다. 하지만 이게 쉽지 않은 이유는 한두가지가 아니다.

무엇보다 정부 스스로 주민번호가 순차적 피해의 핵심 촉매제라는 사실을 인정하기를 거부하고 있는 사실이 가장 큰 걸림돌이다. 책임 소재가 불분명한 점은 또 다른 걸림돌이다. 정보유출이 발생할 때마다 과학기술부 개인정보보호위원회 국정원 등이 나서지만 정작 주민번호의 주무부처인 행정안전부는 어디론가 사라져 버린다. 공직 사회 전반에 팽배한 과거 자기 부정 문화로 인해 과거의 시스템적 부작용과 실패를 조금도 인정하지 않으려 든다.

데이터 유출 관련 국제적 마찰 계속될 듯

상기한 점들은 대한민국 개인정보 관리의 현주소를 극명하게 보여준다. 왜 지구촌 어느 나라는 이 문제를 경미하게 보고 또 다른 나라는 매우 심각하게 보는지 제대로 인식해야 한다. 미국과 국제 이해관계자들도 이러한 한국의 독특한 구조적 결함을 이해하지 못하는 한 데이터 유출 처리에 관한 국제적 마찰은 불행히도 앞으로도 계속될 전망이다.

카이스트 경영대학원 명예교수