[기자수첩] "보상해 드립니다"… 쿠팡 유출보다 무서운 '2차 가해'

"고객님, 쿠팡 개인정보 유출에 따른 피해 보상을 정부 지침에 따라 진행해 주세요."

이 문구 앞에서 평범한 사람들은 흔들린다. 낯설지 않은 브랜드, 실제 뉴스로 접한 유출 사고, 익숙한 공공기관의 이름. 마치 현실과 가짜의 경계가 사라진 듯 정교하게 짜인 메시지 속에서 사람들은 의심보다 '신청' 버튼을 택한다. 그렇게 또 한 명이 사기범이 설계한 덫으로 걸어 들어간다.

최근 발생한 쿠팡의 개인정보 유출 사고를 빌미로, 이를 악용한 스미싱과 피싱 시도가 기승을 부리고 있다. 한국인터넷진흥원(KISA)과 과학기술정보통신부는 지난 11월 29일 보안 공지를 통해 경고했다. 핵심은 단순하다. 지금의 구조에서 개별적인 "즉각 보상"은 없다.

이번 피싱의 특징은 악랄하면서도 정밀하다는 점이다. 범죄자들은 피해자에게 유출 사실을 구체적으로 통보하며 금융감독원이나 소비자보호원 등 권위 있는 기관을 사칭해 신뢰를 얻는다. 기사 링크를 첨부하거나 일부 사례에서는 ‘얼마를 보상한다’는 식의 구체 금액을 제시해 신청을 유도한다는 얘기도 있다. '피해 보상 신청을 텔레그램으로 하라'는 황당한 지시조차 그럴싸한 절차로 포장된다.

여기에 악성 앱 설치 유도나 "범죄에 연루됐다"는 식의 보이스피싱 협박까지 더해지면, 단순한 해킹 사고는 한 사람의 일상을 파괴하는 '전인적 범죄'로 확장된다. 실제로 쿠팡 유출 알림을 사징한 문자에 이어 검찰과 경찰을 사칭하고 안전 계좌 이체를 요구하는 수법까지 포착됐다.

문제는 피해자들이 보상 심리와 공포감 사이에서 범죄를 '신뢰'하게 된다는 점이다. 정부는 "유출에 대한 보상은 개인에게 즉각 지급되지 않으며 메신저로 접수하지 않는다"고 명확히 밝혔다. 그러나 현실에서 이 경고는 범죄자의 치밀한 시나리오 앞에서 힘을 잃기 일쑤다.

쿠팡 유출 사고 자체보다 더 무서운 것은 그 이후에 벌어지는 2차, 3차 파생 범죄다. 여기엔 개인정보를 단순한 디지털 숫자로만 취급하는 구조적 허점이 자리한다. 기업이 실질적인 피해 구제나 신속한 대응보다 주가 방어와 이미지 관리에 급급한 사이, 정작 정보의 주인인 소비자는 범죄의 사각지대에 방치된다.

개인정보 유출이 단순한 보안 사고를 넘어 생존의 위협이 된 지금, 대응은 형식적인 사과문 수준을 넘어서야 한다. 기술적 보안만큼 중요한 것이 사후 관리다. 쿠팡을 비롯한 모든 기업은 이제 정보 관리와 '신뢰 관리'를 동일선상에 놓고, 피해자를 위한 실질적 보호 조치와 사회적 책임을 다해야 한다.

신뢰는 기술보다 느리게 쌓이지만, 무너지는 속도는 훨씬 빠르다. 지금 우리는 해킹이 아니라 신뢰의 붕괴를 목격하고 있다. 그 신뢰를 다시 세울 수 있을까. 이 질문에 답해야 할 책임은 유출 당사자에게만 있지 않다.