“비밀번호를 변경하시기 바랍니다”, “수상한 문자메시지에 주의하시기 바랍니다”, “피싱 피해가 의심되면 신고센터에 연락하시기 바랍니다.”

15일 ‘개인정보 유출 조회 안내’라는 제목으로 발송된 한 메일에 담긴 문구로, 개인정보 유출을 알리는 기업의 사과문이다.

잊을 만하면 반복되는 개인정보 유출 사고에 대한 대응은 이번에도 크게 다르지 않았다. 공공기관과 민간기업에서 개인정보 유출 사실이 확인되자 이용자들에게 각종 피해 예방 수칙이 안내됐다. 한국인터넷진흥원 신고 방법과 보이스피싱 대응센터 연락처도 함께 공지됐다.

문제는 그 다음이다.

왜 개인정보가 유출됐는지, 어떤 관리상 허점이 있었는지에 대한 설명보다 이용자가 무엇을 해야 하는지에 대한 안내가 더 길다. 유출은 기관이 당했는데, 뒤처리는 이용자가 하는 모습이다.

개인정보는 현대 사회에서 또 다른 주민등록증이자 중요한 자산이다. 한 번 유출되면 회수할 수 없고, 범죄에 악용될 가능성은 오랫동안 남는다.

범죄자들은 유출된 개인정보를 통해 이름과 연락처를 알고 있다. 사는 지역도 알고, 가입한 서비스도 안다. 그렇기에 보이스피싱과 각종 사기 범죄는 더욱 정교해지고 피해 규모도 커진다.

개인정보가 유출되면 이용자는 비밀번호부터 바꾼다. 혹시 모를 피해를 막기 위해 문자와 전화를 의심하게 된다. 스미싱 링크를 조심해야 하고, 수상한 애플리케이션은 삭제해야 한다. 계좌를 확인하고 카드 사용 내역도 수시로 살펴야 한다.

심지어 보이스피싱이나 해킹 피해가 발생하면 이용자가 직접 신고센터를 찾고 피해 구제 절차를 밟아야 한다.

결국 개인정보는 기관이 유출하고, 시간과 비용, 그리고 불안은 이용자가 부담하는 구조가 반복되고 있는 셈이다.

이제는 “어디가 털렸는가”보다 “내 정보가 이번 유출 명단에 포함됐는가”를 먼저 걱정해야 할 정도가 됐다.

개인정보 유출 사고가 끊이지 않는데도 사고 이후의 풍경은 늘 비슷하다. 기관은 사과문을 내고, 이용자는 비밀번호를 바꾼다. 책임과 부담의 무게는 결코 같지 않다.

앞으로 개인정보 보호는 선택이 아니라 기본이다. 유출 이후의 사과와 수습에 그칠 것이 아니라, 애초에 사고를 막을 수 있는 보안 관리 체계와 책임 구조를 더욱 강화해야 한다.

더 이상 “또 개인정보가 털렸네”라는 말이 당연하게 들리지 않는 사회가 돼야 한다. 그것이 개인정보 보호의 출발점이자, 기업과 기관이 져야 할 최소한의 책임이다.