"바빠서 여름휴가도 못 갔었는데, 알고 보니 내 개인정보가 대신 다녀왔더라고"

최근 한 지인은 모두투어에서 개인정보가 유출됐단 문자를 받았다며 씁쓸한 농담을 던졌다. 성수기에 쉬지 못한 본인이 서운하지 않도록, 여행 다녀온 사실도 알려주지 않았다고 한다. 추석 연휴 스팸선물세트 대신 스팸문자를 한가득 받게 됐다는 말은 덤이다.

실제로 모두투어가 해킹 사고를 인지한 시점은 지난 6월10일이다. 회사는 다음날 한국인터넷진흥원(KISA)에 신고를 접수했으며, 관계기관의 조사가 시작되고 약 한 달여 뒤 개인정보 유출이 발생했다는 사실을 통보받았다. 하지만 모두투어가 이 같은 사실을 홈페이지에 올린 시점은 해킹 발생 3개월 후, 그것도 추석 연휴 직전인 9월12일이다.

개인정보 보호법에 따르면 개인정보처리자는 개인정보 유출 발생 사실을 인지할 시 72시간 내 해당 사실을 신고 및 통지해야 한다. 모두투어 측은 관계기관엔 늦지 않게 신고했으나, 유출 내용을 파악하는 데 시간이 소요돼 통지가 늦어졌다고 한다. 개인정보위로부터 유출 통지 의무를 안내받았으나, 유출 통지 시점을 잘못 해석했었다는 설명이다.

결과적으로 보면 모두투어는 여행 업계 최대 성수기인 여름휴가 및 연휴 철 매출 피해를 방어하는 데 성공했다. 추석 연휴 직전에 올라온 공지에는 개별 피해 상황을 확인할 수 없었다. 아울러 적지 않은 수수료를 내고 임박한 여행 일정을 취소할 고객은 많지 않았을 것이다.

계산기를 두드려보면 고의성과 별개로 모두투어의 행위는 합리적으로 보인다. 개인정보보호법에 따르면 개인정보처리자의 법 위반행위가 적발될 경우 전체 매출액의 최대 3% 이하의 과징금을 부과할 수 있다. 모두투어의 지난해 매출은 약 1786억원으로 나올 수 있는 최대 과징금은 약 54억원이다. 모두투어는 올해 상반기 47억원의 영업적자를 기록했기에, 성수기 매출 피해를 최소화하려는 결정이 필요했을 수 있다.

기업은 개인정보 유출로 인한 2차 피해에 대한 책임을 지지 않는다. 이는 오롯이 피해 고객의 몫이다. 고객이 2차 피해와 개인정보 유출의 인과관계를 증명하기는 사실상 불가능하기 때문이다. 보이스피싱이나 스팸문자를 수신할 경우 유출된 개인정보의 출처를 막연히 추측해 볼 수 있는 정도다. 수년 간 취재에서 확인한 과거 경우에도 상장기업은 개인정보 유출로 인한 통지를 주식 거래시간이 종료된 금요일 저녁에 올리는 경우가 많았다. 

하지만 고객 신뢰는 계산기에선 확인할 수 없다. 이미 피해자들은 여름 동안 수신한 스팸문자의 출처로 모두투어의 이름을 거론하고 있다. 심지어 모두투어 개인정보 유출 피해 고객엔 탈퇴한 지 5년이 지난 고객도 포함됐다. 모두투어는 개인정보 무단 보관, 개인정보 유출로 인한 2차 피해를 방치한 기업이란 오명을 씻기 위해선 적지 않은 시간이 소요될 것으로 보인다.