[사사건건]개인정보 유출, 끝이 아니라 시작이다.

쿠팡 개인정보 유출 사태를 바라보는 시민들의 시선은 두 갈래로 갈린다. 하나는 "또 터졌구나"라는 체념이고, 다른 하나는 "이제 나도 당하는 것 아니냐"는 불안이다. 이 불안은 막연한 공포가 아니다. 개인정보 유출은 그 자체로 끝나는 사건이 아니라, 대부분 2차 범죄의 출발점이 되기 때문이다.

이번 사태로 외부에 노출된 정보에는 이름과 연락처, 주소는 물론 구매 이력, 배송 정보까지 포함됐을 가능성이 거론된다. 이 정보들은 각각만으로도 위험하지만, 서로 결합하는 순간 범죄의 정밀도가 전혀 다른 차원으로 올라선다. 과거 무작위로 뿌려지던 스팸 문자나 보이스피싱과 달리, '실제 주문 기록'을 알고 접근하는 범죄가 가능해진다. "최근 주문하신 상품에 문제가 발생했다", "환불 처리가 필요하다", "기사님이 오배송을 했다"는 문장은 더 이상 낯설지 않은 사기 수법이다.

이런 맞춤형 범죄는 피해자의 경계를 무너뜨리기 쉽다. 자신의 실명과 실제로 주문한 제품명이 언급되고, 배송 주소까지 정확히 일치하는 순간 피해자는 그것이 범죄인지조차 인식하기 어려워진다. 특히 고령층이나 디지털 환경에 익숙하지 않은 이들에게는 '공식 안내'와 '사기 메시지'의 경계가 이미 무너진 지 오래다. 정보가 구체적일수록 사람은 더 쉽게 속는다. 유출된 정보는 전화금융사기, 스미싱, 계정 탈취, 명의도용은 기본이고, 최근에는 택배 기사나 고객센터 직원을 사칭한 방문형 범죄에까지 악용된다. 개인정보 유출은 더 이상 화면 속 위험에 머물러 있지 않다.

더 심각한 것은 유출된 정보가 단발성으로 소모되지 않는다는 점이다. 한 번 어둠의 시장에 올라간 정보는 재판매되고, 다시 유통되며, 수개월에서 수년 동안 반복적으로 범죄에 활용된다. 번호를 바꾸고, 카드를 재발급받고, 계좌를 변경해도 이미 흘러나간 정보는 계속해서 다른 형태의 범죄에 동원된다. 피해는 한 번으로 끝나지 않고 장기화된다.

이런 장기적 위험을 떠안는 주체는 늘 개인이다. 기업은 사과문과 함께 일정 수준의 보상안을 내놓고, 국가기관은 사고 원인을 조사한 뒤 과징금과 시정명령을 논의한다. 하지만 반복적으로 걸려오는 보이스피싱 전화, 의심스러운 문자와 링크, 스팸 계정 접근 시도, 불법 광고 메시지에 대한 대응은 전적으로 개인 몫으로 남는다.

이 구조 속에서 책임은 기묘하게 분해된다. 정보 유출의 1차 책임은 기업에 있고, 2차 피해의 직접 가해자는 범죄자이며, 실제 회복 비용과 불안의 대가는 피해자가 치른다. 그 사이에서 행정과 제도는 사건 이후에야 뒤늦게 작동한다. 국가가 기업에 부과하는 과징금과 시정명령은 '재발 방지'라는 이름으로 포장되지만, 이미 노출된 정보로 인해 발생하는 2차 피해를 원천적으로 차단하지는 못한다. 상시적 보안 점검과 기업의 정보 관리 실태를 실질적으로 통제할 권한을 강화해야 하고, 유출로 인한 2차 피해까지 포괄하는 책임 구조를 법적으로 명확히 해야 한다. 기업 또한 실제로 경영 리스크로 체감할 수 있는 수준의 책임을 지지 않는 한, 보안 투자는 비용으로만 취급될 가능성이 크다.

쿠팡 개인정보 유출 사태는 우리가 어떤 방식으로 데이터를 넘기고, 기업은 어떤 방식으로 이를 축적해왔으며, 국가는 어떤 수준의 책임을 강제하지 못했는지를 보여주는 사회적 경고다. 유출은 끝이 아니라, 더 정교하고 더 집요한 범죄로 이어지는 출발선이다. 이 구조를 지금 끊어내지 못한다면, 또 다른 피해자가 반복해서 등장할 수밖에 없다.