주말의 내가 바쁘게 지냈다는 소식을 문자 메시지로 확인했다. 신용카드를 개설했고, 건강검진 통지서를 받았으며, 어딘가에선 쓰레기를 무단투기하고 도로교통법을 위반했다고 한다. 나는 주말 동안 집에 있었음에도 문자 목록 속 '나'는 바쁜 하루를 보내고 있었다.

현대 사회를 살아가는 사람이라면 유사한 내용의 피싱 문자를 수신한 경험이 없지 않을 것이다.

한국인터넷진흥원(KISA)에 따르면 지난해 스미싱(SMS피싱) 신고 및 탐지 건수는 50만3300건으로 직전년도 대비 13배 이상 급증했다. 보이스피싱에서 스미싱까지, 요즘 휴대전화엔 사람 낚는 어부가 인산인해를 이루고 있는 형국이다.

요즘엔 '개인정보는 공공재'라는 씁쓸한 우스갯소리도 나오고 있다. 피싱 문자는 대부분 유출된 개인정보를 기반으로 발송되기 때문이다. 심지어 피싱 문자는 수신자의 이름같은 신상 정보를 기재할 정도로 정교해졌다. 

정부는 이러한 피해를 막기 위해 개인정보가 유출된 기업에 대한 제재를 강화하고 있다. 하지만 명확하게 개인정보가 유출됐음에도 제재할 수 없는 사례도 있다. 개인정보에 대한 정의가 모호한 탓이다. 이 경우 이용자들은 피해 사실을 인지하지 못하고 피싱 문자와 같은 2차 피해에 노출되기도 한다.

최근 대전 유명 빵집 성심당은 홈페이지 공지사항을 통해 해킹 피해가 발생했다고 밝혔다. 해킹으로 인해 피싱 사이트로 이동하는 악성코드가 삽입됐단 설명이다. 해당 사건은 복수 언론사에서 '개인정보 유출사고'로 보도했다. 성심당 홈페이지에는 한 때 포털 계정을 통한 가짜 로그인창이 송출됐고, 이를 통해 일부 고객의 포털 계정 정보가 유출된 정황도 확인됐기 때문이다.

하지만 아이러니하게도 성심당에서 발생한 해킹 사건은 '개인정보 유출사고'가 아니다. 금번 해킹 사고로 유출된 포털 계정 정보는 기업에서 보관중인 데이터베이스(DB)가 아니기 때문이다. 개인정보보호위원회에 따르면 성심당은 개인정보 유출사고로 인한 제재를 받지 않을 전망이다. 따라서 성심당은 피해 사실을 이용자에 알릴 의무가 없었다. 

같은 경우라면 기업이 직접 해킹 피해 사실을 공개하지 않는 한, 소비자가 해당 사실을 알 방법은 없다. 당국 또한 신고 의무를 지키지 않을 수 있다는 이유로, 지난해부터 기업의 해킹 피해 사실을 외부에 공개하지 않고 있다. 스미싱 등으로 이어지는 2차 피해 책임은 오롯이 기업의 양심에 맡겨진 것이다.

그럼 기업이 책임질 의무가 없는 소비자 피해를 막기 위해, 보안에 구멍이 뚫렸단 사실을 공개하려 할까? 안타깝게도 수년간 취재에서 확인했었던 해킹 피해 기업들은 성심당을 제외하곤 대부분 피해 사실을 함구하길 택했다.