신용보고 기관들에겐 기업으로서의 책무를 다할 동기가 거의 없다. 하지만 에퀴팩스의 고객 데이터 유출 사건이 변화를 낳을 수도 있다.
전 에퀴팩스 CEO 리처드 스미스가 의회 청문회에서 증언을 하고 있다.사이버 공격이 만연한 시대에 살고 있지만, 에퀴팩스 Equifax 해킹 사태만큼 고객과 의원들을 바보로 만든 경우는 찾기 힘들다. 이 소비자 신용보고 기관은 미국 성인 대부분의 개인 정보에 해당하는 신용평가 정보를 보유하고 있다. 에퀴팩스 해킹 사건을 통해 1억 4,500만 명 이상의 개인정보 데이터가 유출됐다. 미국 인구의 약 절반(1가구 당 1명)에 달하는 수치다. 피해자들은 자신의 신분이 도용되고, 금융 계좌가 해킹되고, 신용도가 하락할 위험에 처해있다.
더욱 화나는 사실이 있다. 만약 에퀴팩스가 이미 알고 있던 소프트웨어 결함을 수정했다면, 이런 엄청난 사태는 일어나지 않았을 것이다. 회사는 아무 조치를 취하지 않은 채 몇 개월을 허비했고, 해커들은 5월에서 7월까지 고객들의 사회보장번호와 주소, 신용카드 번호 등의 정보를 빼내간 것으로 알려졌다. 회사가 사태를 알아차렸을 때 처음 취한 대응은 고객들에게 경고를 하지 않는 것이었다. 에퀴팩스는 거의 6주라는 시간을 허송하고, 9월이 돼서야 비로소 해킹 사태를 시인했다. 그리고 오히려 피해자들에게 돈을 내게 하는 전략을 취했다. ‘신용 감시 서비스’에 가입을 유도한 것이었다. 당초에는 고객 소송권을 인정하지 않는다는 작은 글씨의 문구가 포함돼 있었다. 이 정도의 무능함에 대해선 얼마의 벌금을 물려야 할까? 현재 법에 따르면 처벌은 미미하다. 식품, 의약품, 완구, 다른 소비재와는 달리, 고객 데이터를 부주의하게 다룬 기업을 처벌하는 형법이나 민법 조항은 많지 않다. 오리건 주 하원 의원 그레그 월든 GregWalden이 이번 해킹 사태와 관련한 하원 청문회에서 “어리석음을 처벌하는 법안을 통과시킬 수 있을지 모르겠다”며 만연한 무력감을 비판하기도 했다.
에퀴팩스와 경영진을 신랄하게 비판하는 건 쉬운 일이다(이들 중 일부는 해킹 사태 발표 전 수백만 달러 상당의 주식을 매각해 35%의 초기 손실을 회피했다). 하지만 문제는 여기에서 그치지 않는다. 에퀴팩스와 다른 두 개의 신용 보고 기관-익스페리언 Experian과 트랜스유니온 TransUnion-은 이 중요한 업계를 거의 독점하고 있다. 국립 소비자 법 센터(National Consumer Law Center)의 변호사인 치 치 우 Chi Chi Wu는 “고객 보호를 위한 정책에 제대로 투자하지 않는 것이 이 3대 기관의 기업 문화”라고 지적했다.
이들은 왜 적극적인 조치를 취하지 않을까? 고객 정보 보호에 대한 동기부여가 크지 않기 때문이다. 이 회사가 데이터를 판매해 수익을 얻는 진짜 고객들은 은행, 주택 담보 대출자, 그리고 마케팅 업체들이다(에퀴팩스의 지난해 매출 31억 달러 중 거의 3분의 2가 이들을 통해 발생했다). 사실 에퀴팩스는 이번 낭패를 통해 이익을 낼 수도 있다: 피해자 10명 중 1명만 신용 감시 서비스(첫 1년만 무료)에 가입해도 연 매출이 2배로 뛸 것이다. 에퀴팩스 서비스를 보이콧 하는 것도 여의치 않다. 신용평가 점수가 없다는 건 현대사회에서 금융 서비스를 포기하는 것과 매한가지다. 이 사건의 여파로 에퀴팩스 CEO에서 물러난 리처드 스미스 Richard Smith는 지난 10월 하원 청문회에서 “고객들이 신용 시스템을 포기하도록 방치한다면, 경제에 치명적인 악영향을 미칠 것”이라고 증언한 바 있다.
더 좋은 방법이 있다. 소수가 독점한 신용평가 업계를 개혁하는 것이다. 이와 관련해 매사추세츠 주 상원의원 엘리자베스 워런 Elizabeth Warren은 한 법안을 공동 발의했다. 이 법안은 ‘신용조사 기관들이 고객들에게 무료로 쉽게 신용을 동결할 수 있는 방법을 제공해야 한다’는 내용을 담고 있다. 또 다른 개혁안은 이 기관들이 사이버 보안을 조금 더 진지하게 다루도록 강제하고 있다. 예를 들면, 국가 기준에 맞는 기술이나 소프트웨어 업데이트를 의무 도입하는 것이다. 디지털 권익단체 퍼블릭 놀러지 Public Knowledge의 변호사이자 사이버 보안 전문가인 메건 스티플 Megan Stifel은 민감한 데이터를 보유하는 기업들이 해킹 보험에 들도록 하는 방안에 찬성하고 있다. 반면, 일각에선 개인정보 보호에 극도로 태만한 간부들을 형사처벌하는 법안을 도입해야한다고 주장하고 있다.
현재 양당 의원들이 고객정보 보호 법안을 발의하고 있지만, 업계의 강력한 반발에 직면할 것으로 보인다. 예컨대 트랜스유니온은 에퀴팩스 사건 발생 후 로비스트들을 고용했다. 물론 해킹 사건이 점점 더 광범위해지고 분노를 자아내고 있어, 고객정보 보호에 실패한 데이터 관리자들에게 실질적 벌금을 물려야 한다는 압박이 거세질 것이다.
서울경제 포춘코리아 편집부 / BY JEN WIECZNER AND JEFF JOHN ROBERTS
