최근 랜섬웨어에 대한 기사로 뒤덮이다 보니 한 편으로 조용해진 사고들이 있다. 바로 스미싱, 파밍, 피싱 등 각종 금융사고와 관련된 사고에 대한 기사들이다.
과연 이런 사고가 급격히 줄어들어서 많은 기사가 나오지 않는 것인가 라는 질문에 대한 답변은 NO가 맞다. 단순히 랜섬웨어에 대한 피해사례가 급증하다 보니 노출되는 사례가 줄어들었을 뿐이다.
우리는 먼저 스미싱, 파밍, 피싱에 대해 얼마나 알고 있는 것일까 스미싱, 파밍, 피싱에 대해 구분을 해보면 아래와 같다. 3가지 모두 개인의 돈을 탈취하는 목적을 가지고 벌어지는 사고들인 것은 동일하다.
이 3가지 형태의 공통된 특징은 개인에게 발송된 문자와 이메일을 통해서 감염될 수 있다는 사실이다. 그것이 의미하는 건 현재까지 발생되었던 각종 카드 3사 유출사건, NATE 유출사건 등으로 전달된 개인정보가 활용되어 연계된 피해임을 배제할 수 없다는 사실이다.
과연 그렇다면 상기 유형들과 관련된 피해사례가 발생 시에 보상 과정은 어떠할까 해당 사고들의 경우 피해자들의 진술에 의존해 피해보상이 진행된다. 최초 신고 시 발생한 피해자들의 진술상 내용과 보상과정에서 그들이 진술한 내용이 그 보상에 대한 기준이 된다.
즉 피해를 조사하여 보상을 진행하는 과정에서 피해자들이 얼마나 많은 정보를 해커에게 전달하였는 가에 따라 보상기준을 세워놓고 업무를 진행한다는 사실이다. 그 기준은 진술만을 근거로 진행된다.
과연 그 기준은 적절한 것인가 이미 각종 대규모 개인정보 유출사건으로 인해 유출된 개인의 정보가 상기 유형의 감염경로에 활용될 수 있다는 가능성을 배제할 수 없다는 가정하에 본다면 적절하지 못하다.
재미난 사실은 과거 개인정보 유출사고로 인한 피해보상사례는 거의 없고, 이로 인해 발생할 수 있는 스미싱의 등의 사고에 대해서는 개인의 정보 전달 과실만을 물어 배상을 결정한다는 것이다. 실제 개인정보유출 사고에 있어 기업의 과실에 대해 피해자인 개인이 입증해야 하나, 정보통신기술에 대하여 전무한 개인이 그것을 입증할 방법이 없어 보상을 받은 경우는 거의 없었다.
그리고 유출사고 당시 개인정보 유출로 즉각적인 피해가 발생하는 경우도 드물었다. 결국 개인정보 유출 당시에도, 유출 이후에도 유출된 개인정보를 통해 향후 발생될 수 있는 각종 금융사고에 보상기준을 개인에게만 초점을 맞추고 있다는 사실이 아이러니할 뿐이다.
과거 개인정보유출사고와 관련된 보상 기준은 개인정보가 대출중개업체 마케팅 등에 활용된다는 등의 정신적 손해에 집중되었다. 이러한 개인정보가 기술적으로 스미싱, 파밍, 피싱 등에 실제 활용될 수 있다는 점을 배제했다고 보인다.
또한, 최근 개정을 앞두고 있는 개인정보보호법 또한 유출 피해 당시의 사실상 피해입증이 어려운 정신적 피해보상에 한정되어 있으며 그 배상 규모는 300만원 이하로 정해져 있다는 사실이다.
문제는 유출된 개인정보를 통해 발생할 수 있는 스미싱, 파밍, 피싱 등에 의한 피해규모는 발생형태 및 개인의 자산 규모에 따라 그 금액범위를 언제든 넘어설 수 있다는 것이다.
물론 그 피해액을 모두 개인정보가 유출된 업체와 연계하는 것 또한 문제가 있다. 하지만 스미싱, 파밍, 피싱 등의 사고조사 및 보상과정에 있어서 개인정보 유출사고와 연계하여 그 책임을 물을 수 있는 어느 정도의 법적 기준이 마련되지 않는 다면 각종 스미싱, 파밍, 피싱 등의 사고가 점차 진화되고 있는 시점에서 개인은 언제나 개인의 과실보다 큰 위험을 떠안아야 하는 구조적 문제가 발생하게 된다.
이제는 직접적인 개인정보 유출 사고 당시의 배상만이 아닌 이로 인해 발생할 수 있는 추가 피해에 대해서 국가가 고민해야 할 필요가 있을 것으로 생각된다.
