대규모 해킹이 잇따라 터지면서 국민이 불안 속에 내몰리고 있다. SK텔레콤의 유심 해킹, KT의 펨토셀 해킹, LG유플러스의 해외 해킹 조직 공격 의혹까지, 사실상 통신 3사가 모두 뚫린 셈이다. 공통적으로 드러난 건 기술적 허점만이 아니다. 기업은 '조사 중', '정황 없음'이라는 무책임한 발표로 시간을 끌었고, 정부는 '자료 제출 요구' '자진신고 권고'라는 소극적 조치에 그쳤다. 이 사이 피해는 눈덩이처럼 불어났다.

문제는 구조다. 기업은 해킹 의혹이 제기되면 고객 보호보다 먼저 '법적 책임 최소화'에 몰두한다. KT의 사례처럼 서버를 조기 폐기하고 뒤늦게 로그 백업을 발견했다는 해명은, 결과적으로 피해자 입장에서는 '증거가 사라진 뒤에야 의혹이 불거진' 꼴이 된다. 규제 당국도 크게 다르지 않다. 사후에만 움직이고, 조사는 기업의 자진 보고에 기대는 방식이 반복된다. 책임은 늘 소비자의 몫으로 귀결된다.

이번 사건에서 피해자들은 계좌에서 뜻밖의 소액결제 내역을 확인하고서야 상황을 알았다. 그마저도 통신사의 공지는 늦었고, 정확한 피해 범위조차 수차례 정정됐다. 소비자들은 본인도 모르게 금전적 피해를 입고, 카드사와 경찰서, 통신사를 오가며 직접 피해를 입증해야 한다. 제도가 '피해자 중심'으로 설계돼 있지 않다는 사실이 명확히 드러난 대목이다.

더 큰 문제는 재발 방지를 위한 구체적 대책이 나오지 않는다는 점이다. '제로트러스트' '컨트롤타워 신설' 같은 선언적 구호가 쏟아지지만, 현장에서 소비자가 체감할 변화는 없다. ISMS-P 같은 보안 인증은 사고 이후에도 그대로 유지되고, 피해자 구제는 각사 재량에 맡겨진다. 금융권과 연동된 결제 피해마저 소비자가 은행과 카드사, 통신사 사이에서 책임을 떠넘기는 핑퐁을 감내해야 한다.

결국 기술발달을 따라가지 못하는 제도와 기업의 안일한 대응이 국민을 무방비 상태로 내모는 셈이다. 통신사 해킹은 단순히 기업의 문제로 끝나지 않는다. 전 국민의 일상, 금융, 안전망이 한순간에 흔들리는 국가적 사안이다. 그러나 지금의 제도는 피해자를 보호하는 장치가 아니라, 피해자를 방치하는 구조에 가깝다.

소비자가 감당할 수 없는 리스크를 짊어진 채 '알아서 조심하라'는 식의 대응이 계속된다면 같은 참사는 반복될 수밖에 없다. 이제는 기업의 책임 회피와 정부의 미봉책을 넘어, 실질적이고 강제력 있는 제도 개선이 시급하다. 그렇지 않다면 통신망은 언제든 '열린 문'이 될 것이고, 대가는 애꿎은 국민이 떠안을 수밖에 없다.