개인정보 새나가자 대출 문이 닫혔다… 스팸 문자 넘어 신용 타격[박재혁의 데이터로 보는 세상]

사고 직후 소비자의 행동 변화 보니, 사생활 침해 우려에도 3주 만 회귀
독점 플랫폼일수록 못 떠나는 현실… 기업 방임 대가로 개인 경제적 피해
유출 뒤 대출 거절 22% 급증하기도… 유출 사고를 ‘사회적 재난’ 인식해야

《개인정보 유출 피해, 그 이후


데이터 과학자로서 2025년을 되돌아볼 때, 올해 국민들에게 가장 많은 불안을 남긴 키워드 중 하나는 단연 ‘개인정보 유출’이다. 4월 SK텔레콤 이용자 2324만4649명의 개인정보가 유출된 유심 해킹 사건을 시작으로, KT 망을 이용한 소액결제 해킹, 최근 발생한 쿠팡의 대규모 개인정보 유출 사건까지, 올해 대한민국은 개인정보 유출의 공포 속에 살았다. 특히 쿠팡 사태의 전모는 상당히 충격적이다. 유출된 개인정보는 무려 3370만 건으로, 이름과 이메일은 물론이고 배송지 주소록, 상세 주문 내역, 공동현관 비밀번호까지 포함됐다.》

박재혁 KDI 국제정책대학원 교수

그렇다면 이러한 유출 이후 우리는 어떻게 행동할까? 분노해 서비스를 탈퇴할까? 또 우리에게 남는 실질적인 피해는 무엇일까? 이 질문에 답해줄 두 연구를 소개한다.

첫 번째 연구(연구①)는 세계를 떠들썩하게 했던 한 불륜 만남 사이트의 해킹 사건을 대상으로 정보 유출 직후 소비자의 행동 변화를 추적했다. 이 사이트의 정보 유출은 사용자의 은밀한 사생활이 폭로되는 치명적인 사건이었다. 연구진은 ‘시간적 인과 추론(TCI)’과 ‘시간적 인과 포리스트(TCF)’라는 고도화된 방법론을 사용했다. 쉽게 말해, 해킹 사실이 공표되기 직전에 가입한 사람들의 행동 패턴을 그보다 먼저 가입해 이미 활동 중이던 사람들의 데이터와 매칭해, 만약 해킹이 없었다면 보였을 행동을 예측해 낸 것이다.

분석 결과는 인간의 심리 및 행동 변화를 잘 보여준다. 유출 사건 발생 1주차에는 자신의 신원을 감추기 위해 ‘사진 삭제’ 기능 사용이 평소보다 2배 이상 급증했고, 메시지 전송이나 검색 활동은 뚝 떨어졌다. 하지만 놀라운 점은 비교적 짧은 기간에 나타난 회복탄력성이었다. 사건 발생 불과 3주가 지나자 사용자들의 행동 패턴은 해킹이 없었을 때의 예측 경로로 조금씩 회귀하기 시작했다. 즉, 치명적인 프라이버시 침해를 겪고도 대부분의 소비자들은 평소와 다름없는 일상으로 돌아가기 시작한 것이다.

3주차 이후의 행동을 확인할 수는 없지만, 이 연구의 실증 데이터는 대체재가 없는 독점적 플랫폼 서비스에서 소비자들은 분노하지만 결국 떠나지 못한다는 씁쓸한 현실을 어느 정도 보여준다. 기업들은 이 연구 결과를 보며 안도할지도 모른다. 실제 “어차피 고객은 돌아온다”는 믿음으로 소액의 보상금이나 쿠폰과 사과문 몇 줄로 사태를 무마하려 하는 경우도 많다. 하지만 이용자들의 피해는 거기서 끝일까?

두 번째 연구(연구②)는 개인정보 유출이 개인의 삶에 드러나지 않게 미칠 수 있는 치명적인 피해를 보여준다. 연구팀은 2012년 미국 사우스캐롤라이나주 세무국(DOR)에서 발생한 대규모 해킹 사건을 분석했다. 당시 주 전체 납세자의 정보가 유출됐는데, 이 사건이 주민들의 주택담보대출 승인에 미친 영향을 추적했다. 유출 피해를 입은 사우스캐롤라이나주와 인접해 있으나 피해가 없었던 노스캐롤라이나주와 조지아주의 경계 지역 거주민들을 비교 분석한 결과는 충격적이었다.

정보 유출 사건 이후 피해 지역 주민들이 주택 리파이낸싱이나 주택 개량을 위해 신청한 대출이 거절될 확률은 이전 대비 22.1%나 증가했다. 금액으로 환산하면 1인당 연간 약 179달러(약 25만 원) 규모의 대출이 추가로 거절당한 셈이다. 내 정보가 범죄자들의 손에 넘어가 명의 도용이나 금융사기에 악용되고, 이것이 나도 모르는 새 신용점수를 하락시켜 정작 큰돈이 필요할 때 은행 문턱을 넘지 못하게 만든 것이다. 이러한 피해는 흑인이나 히스패닉 등 사회적 취약계층에서 더 크게 나타났다. 데이터 유출은 누구에게나 동등하게 발생했지만 그 피해는 불평등하게, 그리고 아주 오랫동안 지속됐다.

두 연구의 메시지는 명확하다. 거대 플랫폼에 록인(lock-in)된 현대인들은 개인정보 유출을 겪어도 서비스를 쉽게 떠나지 못한다. 기업은 이 점을 악용하지만 그 방임의 대가는 국민 개개인의 자산 손실과 기회 박탈로 이어질 수 있다. 우리가 겪는 피해는 당장의 스팸 문자 몇 통이 아니라, 몇 년 뒤 내 집 마련 꿈의 좌절이 될 수 있다. 데이터 유출을 단순한 전산 사고가 아닌 사회적 재난으로 인식해야 하는 이유다. 정부와 국회는 기업에 징벌적 손해배상을 포함해 강력한 책임을 물을 수 있도록 하고, 나아가 기업이 보안을 ‘비용’이 아닌 ‘생존 조건’으로 인식하게끔 법적·제도적 환경을 재정비해야 한다.

연구① Turjeman, Dana, and Fred M. Feinberg. “When the data are out: measuring behavioral changes following a data breach.” Marketing Science 43.2 (2024): 440-461.

연구② Pang, Min-Seok, and Anthony Vance. “Breached and Denied: The Cost of Data Breaches on Individuals as Mortgage Application Denials.” MIS Quarterly 49.2 (2025): 465-494.

박재혁 KDI 국제정책대학원 교수