상반된 해킹 피해 대응법 [최승호의 위기대응의 정석]

최승호 와이즈파트너즈 대표 해킹 피해 이후 상반된 대응에 관한 모습을 묘사한 AI 이미지. 해킹을 당한 기업은 피해자다. 그러나 피해자라는 사실이 면죄부가 되지는 않는다. 한국에서는 법적 책임과 별개로, 도의적 책임에 대한 기대가 매우 높게 형성되는 경향이 있다. 고객의 정보를 맡은 기업이 그 정보를 지키지 못했다면, 공격자가 누구든 책임의 무게는 기업에게 먼저 쏠린다. 억울해도 어쩔 수 없다. 위기는 공정하지 않다. 그러나 진짜 문제는 그 다음에 있다. 1차 피해는 과거의 사건이다. 이미 일어났다. 되돌릴 수 없다. 그러나 2차 피해는 미래의 사건이다. 아직 일어나지 않았다. 막을 수 있다. 인간은 통제할 수 없었던 피해보다, 막을 수 있었는데 막지 않은 피해에 훨씬 강한 분노를 느낀다. 해킹 자체는 일정 부분 불가피한 리스크로 인식되기도 한다. 그러나 2차 피해를 방치한 기업은 용서받기 어렵다. 여론은 그것을 태만이자 무관심으로, 때로는 무능력의 증거로 읽는다. 유출된 정보는 조용히 움직인다. 보이스피싱, 스미싱, 명의도용, 유심 복제 등 한 번 흘러나간 정보는 오래, 반복적으로, 여러 사람의 손을 거쳐 쓰인다. 1차 피해가 사건이라면, 2차 피해는 재난이다. 2023년 1월, LG유플러스 고객 정보가 다크웹에서 발견됐다. 스스로 발견한 것이 아니었다. 한국인터넷진흥원이 먼저 알아채고 통보했다. 사실 확인과 내부 보고 과정에서 시간이 소요됐다는 설명이 있었지만, 첫 공지는 통보로부터 8일이 지나서야 나왔다. 홈페이지에 조용히 올라갔다. 공지 내용은 “개인정보가 부적절하게 이용될 수 있으니 유의하라”는 한 줄이었다. 비밀번호를 바꾸라는 말도, 이상 금융거래를 신고하라는 말도, 보이스피싱을 조심하라는 말도 없었다. 고객은 혼자였다. 2차 피해의 문은 열린 채로 8일이 흘렀다. 이후 피해 규모는 세 차례 정정됐다. 18만 명에서 29만 명, 다시 39만 6천 명으로. 개인정보보호위원회는 과징금 68억 원을 부과했다. “타사 대비 현저히 저조한 정보보호 투자”라는 공식 판단이 기록으로 남았다. 막을 수 있었던 피해를 막지 않은 것은 피해를 만든 것과 다르지 않다. 이를 부작위(不作爲) 책임이라 부른다. 행동하지 않음으로써 발생하는 책임이다. 여론은 2차 피해를 방치한 기업을 가해자와 사실상 동일하게 판단한다. 2025년 4월, SK텔레콤은 해킹으로 2,300여만 가입자의 유심 인증 정보가 유출됐다. 초기 공지가 고객의 불안을 키웠다는 비판을 받았다. 그러나 SKT는 방향을 바꿨다. 원인 공방 대신 2차 피해 차단으로 전선을 이동했다. 전국 매장에서 전 가입자 유심 무상 교체를 시작했다. 유심보호서비스 가입 시 2차 피해 100% 보상을 약속했다. 금융당국이 비대면 계좌개설 차단 서비스 이용을 권고했고 가입이 급증했다. 핵심은 하나였다. 이미 유출된 정보의 효력을 소멸시키는 것. 1차 피해를 되돌릴 수 없다면, 그 피해가 2차로 번지는 경로를 끊는 것. 개인정보보호위원회는 결국 대규모 과징금을 부과했다. 그러나 보안 전문가들은 2차 피해 차단 조치만큼은 “선제적이고 현실적”이라고 평가했다. 현재까지 공개된 범위에서 대규모 2차 피해는 확인되지 않았다. 개인정보 유출 위기에서 기업이 지켜야 할 원칙은 세 가지다. 첫째는 속도다. 2차 피해는 유출 직후부터 시작된다. 안내가 하루 늦으면 피해의 가능성은 하루 더 열려 있다. 둘째는 구체성이다. “유의하라”는 말은 안내가 아니다. 무엇을 바꾸고, 어디에 신고하고, 어떻게 대처해야 하는지를 말해야 한다. 셋째는 선제성이다. 피해가 보고된 뒤의 수습은 대응이 아니다. 피해가 생기기 전에 움직이는 것이 진짜 위기대응이다. 위기의 전선은 해킹이 발생한 그 순간에 결정되지 않는다. 그 이후, 기업이 무엇을 했는가에 의해 결정된다. 해킹은 기업을 피해자로 만든다. 그러나 2차 피해를 방치한 기업은 스스로 가해자가 된다. 최승호의 위기대응의 정석