[서울=뉴스핌] 남라다 기자 = 올해 들어서 국내 유통·명품업계 전반에 걸쳐 고객 개인정보 유출 사고가 줄을 잇고 있다. 

올 들어 고객 정보가 줄줄이 새어나간 업체만 해도 열 손가락이 모자랄 지경이다. 구체적으로 보면 디올, 까르띠에, 루이비통, 아디다스, 테무, 써브웨이, 파파존스 등 글로벌 업체는 물론, GS리테일, 블랙야크, 예스24 등 분야를 가르지 않고 국내에서 운영 중인 온라인 플랫폼에서 광범위하게 발생하고 있다.

고객 이름, 연락처 등 기본 인적사항을 비롯해 구매 이력, 결제 수단 정보 등 개인 정보가 유출됐다는 뉴스는 대한민국에서 이제 더 이상 놀라운 소식이 아니다. "대한민국 국민의 개인 정보는 10원짜리"는 자조 섞인 말이 나올 정도다.

문제는 이 사태를 바라보는 기업들의 태도다. 해외에 본사를 둔 글로벌 명품 브랜드들의 대응은 더욱 심각하다. 우리나라 정부는 고객 정보 유출 사실이 확인된 이후 72시간 이내에 개인정보위원회(개보위)에 신고하도록 하고 있다. 그러나 글로벌 브랜드들은 한국 지사가 정보보호 공시 의무 대상이 아니라는 점을 방패 삼아 72시간 내 신고조차 제대로 지키지 않고 있다.

게다가 자사몰이나 온라인몰 홈페이지에는 이러한 사실을 알리지 않고 고객 개인 이메일을 통해서만 정보 유출 사실을 늦게 알리고 보상도 미미한 수준에 그치는 등 소비자 신뢰를 스스로 저버리고 있다.

그간 유통업계는 고객정보 수집에 누구보다도 적극적이었다. 빅데이터를 활용한 마케팅을 비롯해 큐레이션, 재구매 유도, CRM(Customer Relationship Management, 고객 관계 관리) 등 다양한 전략 수립에 고객 데이터를 적극 활용해 왔지만, 정작 이에 상응하는 정보보호 체계는 제대로 구축하지 않아 해커들의 표적이 되고 있는 실정이다.

해커들의 수법은 갈수록 지능화되고 있다. 분업형 해킹 조직은 감염부터 정보 탈취까지 걸리는 시간을 최소화하고, 흔적조차 남기지 않는다. 날로 해킹에 대한 위협이 커지고 있는 만큼 기업과 정부는 대응 체계를 더욱 고도화해야 한다.

정부는 더 이상 뒷짐만 져선 안 된다. 유통업계처럼 수천만 건의 개인정보를 다루는 산업에 대해선 실효성 있는 관리·감독이 필요하다. 정보보호 공시 대상 확대가 대안이 될 수 있다. 매출 기준이나 사용자 수만 따질 게 아니라, 해킹에 노출된 빈도와 위험도를 고려해 공시 대상 기준을 새롭게 설계할 필요성이 제기된다. 명품 브랜드들의 사례를 보면 알 수 있듯이, 해외에 본사를 둔 기업이라고 예외로 둬선 안 된다.

처벌 수위도 한층 강화해야 한다. 반복된 유출 사고에도 솜방망이 수준에 머문 제재는 기업들로 하여금 "이 정도면 괜찮다"는 잘못된 인식을 심어줄 수 있. 고의든 과실이든, 대규모 개인정보 유출에는 매출 연동형 과징금이나 강력한 제재로 기업에게 경각심을 줄 필요가 있다. 기업이 고객 개인정보를 수집하려면 그에 걸맞은 정보 관리 책임도 함께 져야 한다. 그것이 '데이터 시대'에 기업이 반드시 지켜야 할 기본 윤리다.

nrd@newspim.com