경영성과를 측정하는 방법 중 투자수익률(ROI)이란 개념이 있다. 말 그대로 투자를 했을 경우 얼마만큼의 수익을 낼 수 있을지에 대한 개념이다. 경제활동 인구는 일상에서 구매 결정을 할 때 이러한 투자수익률을 염두에 두기 마련이다. 최근 잇따라 벌어지고 있는 해킹 사태를 보면 우리 기업들은 이러한 투자수익률이란 개념에 유달리 밝은 듯하다.
기업이 고객정보를 보호하기 위해 보안을 강화하는 것이 투자라면 개인정보를 수집해 활용하는 것은 일종의 수익으로 볼 수 있다. 이렇게 봤을 때 기업은 보안에 대한 투자가 개인정보 유출 확률과 이로 인한 피해액을 곱한 것보다 작다면 개인정보를 수집하는 것이 이익이다. 기업은 투자수익률에 근거해 최선의 선택을 하기 마련이므로 이는 합리적 의사결정이라 할 수 있다.
문제는 개인정보가 유출되더라도 기업이 져야 하는 부담이 현저히 낮다는 데 있다. 기업은 개인정보보호를 소홀히 했더라도 정보통신망법에 따라 2년 이하 징역 및 1,000만원 이하의 벌금만 부과 받는다. 결국 몇 억원씩 들여 고객정보를 엄밀히 관리하는 것보다 1,000만원 이하의 벌금만 내는 것이 기업 입장에서는 이익이다. 기업 이미지 실추 등을 고려한다 하더라도 보안에 투자할 유인 동기가 크지 않은 셈이다.
이윤 창출이 최대 목표인 기업에 보안 투자를 강요할 수 없다면 이를 감시할 정부의 책임이 크다고 할 수 있다. 정부가 해킹 등으로 개인정보가 유출된 기업에 엄청난 과징금을 부과한다면 보안에 자신 없는 기업들은 아예 개인정보 수집을 하지 않았을 것이고 이미 개인정보를 수집한 기업이라면 이에 대한 투자를 철저히 했음이 분명하기 때문이다.
기업이 이윤추구를 위해 도덕적 해이에 빠져 있고 정부는 방관하는 사이 국민 대부분 개인정보는 인터넷을 맴돌고 있다. 이재에 밝은 기업과 개인정보에 무지한 정부 덕분에 오늘도 대한민국 국민 대부분은 메신저 피싱과 스팸 문자에 시달린다. 최근의 해킹 사태는 애덤 스미스가 이야기한 '보이지 않는 손'의 대표적 실패 사례가 아닐는지.