[이데일리 이영민 기자] 지난해 12월 해외직구에 필요한 개인통관 고유번호(통관 부호)를 발급하는 관세청의 전자통관시스템 유니패스(UNI-PASS)가 멈췄다. 쿠팡의 회원 개인정보 유출이 알려지면서 통관 부호를 새로 발급받으려는 이용자가 몰린 탓이었다. 온종일 먹통이 된 시스템은 개인정보 유출에 대한 불안이 상당함을 단적으로 보여줬다.

때늦은 발표는 불안을 더 키웠다. 쿠팡은 지난해 11월 노출된 정보가 고객의 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 해명했다. 하지만 유출정보는 다른 정보와 결합해 2차 범죄에 악용될 수 있다. 온라인에서는 정보 이동이 빨라서 신속한 사후 대처가 중요하다. 그럼에도 한 달이 지나서야 이뤄진 유출 안내에 이용자들은 분통을 터뜨렸다. 이로부터 또 한 달 뒤에 나온 김범석 쿠팡 창업주의 사과에는 ‘탈팡’(쿠팡을 탈퇴하거나 이용을 줄이는 행위)으로 대응했다.

탈팡은 여러 이들에게 개인정보 보호에 대한 경종을 울렸다. 그 울림이 사라지기 전 서울시설공단에서 발생한 개인정보 유출은 쿠팡처럼 대응이 더뎠다. 서울시의 공공자전거 ‘따릉이’를 관리하는 서울시설공단은 2024년 6월 개인정보가 유출된 정황을 알고도 숨긴 것으로 드러났다. 따릉이 애플리케이션은 그해 6월 28일부터 30일까지 디도스 공격을 받았다. 공단은 같은 해 7월 서버를 관리하는 KT 클라우드 측으로부터 정보 유출 정황이 있다는 보고서를 받았다. 이 보고는 서울시로 전달되지 않았고, 제때 초동조치가 이뤄지지 않으면서 회원들은 1년 6개월간 피해에 무방비로 노출됐다.

‘따릉이 사태’는 혼란을 잠재울 책임자가 보이지 않는다는 점에서 더 뼈아프다. 지난달 27일 경찰이 공단에 정보유출 정황을 통보한 뒤 열흘이 지났지만 유출된 정보의 규모와 내용, 보상 방법은 모두 불명확하다. 6일 서울시가 부랴부랴 브리핑을 열어 유출 정황을 발표했지만, 보고 누락 과정을 설명해야 할 서울시설공단 이사장은 정작 어디에도 보이지 않았다. 공단 측은 이날 브리핑 전 서울시의 참석 요청이 없었다고 해명했다. 보고 체계와 누락 정황에 대해서는 “수사가 진행 중인 만큼 조사가 더 진행돼야 답변을 드릴 수 있다. 경찰 조사 및 관련 기관 조사에 성실히 임하겠다”고만 말했다.

여러 사람의 침묵이 이어지는 동안 따릉이 회원들은 유출 피해를 따질 길이 묘연해졌다. 해를 넘긴 긴 시간 동안 유출된 정보 무엇이고, 어떤 피해에 영향을 줬는지 파악할 기회를 놓쳤다. 막연한 불안이 더 퍼지지 않도록 상황을 정확히 알리는 책임과 진정 어린 사과가 필요하다.