
[KJtimes=정소영 기자] 지난 9일 새벽, 국내 최대 인터넷서점 예스24가 랜섬웨어 공격을 받아 전면적인 시스템 마비 사태를 겪은 가운데, 지금까지도 이용자들의 불안은 가시지 않고 있다. 특히 예스24의 초기 대응이 허위 공지와 거짓 해명 논란으로 이어지며, ‘개인정보 보호’라는 기업의 기본 의무가 뒷전으로 밀렸다는 비판이 거세지고 있다.
GCN 녹색소비자연대는 지난 13일 발표한 성명서를 통해 “예스24의 허술한 내부 보안 시스템과 위기 상황에서의 무책임한 대응이 사태를 악화시켰다”며 “이와 같은 기업의 반복적인 책임 회피가 결국 소비자 피해를 키우고 있다”고 지적했다.
실제로 예스24는 사건 직후 이틀간 홈페이지에 “시스템 점검 중”이라는 공지만을 띄운 채, 랜섬웨어 공격 사실을 은폐했다. 이후 언론과 국회를 통해 해킹 사실이 드러난 뒤에야 마지못해 랜섬웨어 피해를 인정했다. 개인정보 유출 여부에 대해서도 “정황 없음”이라던 기존 입장은 곧 “유출 시 개별 연락”이라는 식으로 슬그머니 바뀌었고, 관련 기관인 한국인터넷진흥원(KISA)과 개인정보보호위원회(개보위)에 사실과 다른 정보를 전달해 해명 논란까지 자초했다.
◆ “KISA의 모의 훈련에도 참여하지 않는 등 전반적인 보안 체계 허술”
녹색소비자연대는 “예스24는 이미 과거 두 차례 개인정보 유출로 과태료 처분을 받은 전력이 있음에도 KISA의 모의 훈련에도 참여하지 않는 등 전반적인 보안 체계가 허술한 상태였다”며 “기업이 ‘사고 은폐’로 일관하는 현실은 결국 기업 이미지 보호가 개인정보 보호보다 우선시되고 있음을 보여준다”고 비판했다.
이번 사태는 지난 4월 발생한 SK텔레콤의 USIM 해킹 사건과도 유사하다는 지적이 제기된다. 당시에도 사건 초기 기업은 명확한 입장 발표를 미루고, 피해자들에게 필요한 정보 제공이 늦어져 대규모 혼란이 발생한 바 있다.
현행 개인정보보호법은 해킹 등 사고 발생 시 지체 없는 통지와 감독기관 신고, 피해 최소화 조치를 의무화하고 있으며 이를 위반할 경우 과태료 및 손해배상 책임이 부과된다. 하지만 현장의 법 집행력은 여전히 미비하다는 비판이 나온다.
이에 녹색소비자연대는 예스24 사태에 대해 ▲개인정보 유출 여부의 즉각적이고 투명한 공개 ▲피해 소비자 대상 긴급 상담창구 개설 ▲정부의 철저한 조사와 강력한 법적 제재 ▲기업의 보호조치 의무 강화 ▲소비자 집단소송제·징벌적 손해배상제 도입 등을 촉구했다.
녹색소비자연대는 “소비자 정보는 기업의 자산이 아니라 소비자의 권리”라며 “그 권리를 침해한 기업이 정당한 책임을 지지 않는다면, 제2, 제3의 예스24 사태는 언제든 반복될 것”이라고 경고했다.
정부와 기업이 더 이상 책임을 회피하지 말고, 소비자의 신뢰를 회복할 수 있는 근본적 변화를 이끌어야 한다는 시민사회의 목소리가 그 어느 때보다도 커지고 있다.