[뉴스트래블=정인기 칼럼니스트] 여행을 준비하는 과정은 언제나 설렘으로 가득하다. 목적지를 고르고, 항공권을 예약하고, 숙소를 정하며 일정표에 작은 메모를 남길 때까지, 모든 순간은 기대와 흥분을 키운다. 그리고 우리는 당연하듯 이름, 생년월일, 연락처, 심지어 여권 번호까지 여행사에 맡긴다. “여기가 내 정보를 지켜줄 것”이라는 믿음 때문이다. 그러나 그 믿음이 깨지는 순간, 여행의 설렘은 곧바로 불안으로 바뀐다.

지난해 6월 발생한 모두투어 개인정보 유출 사건은 그 불안을 현실로 보여준 사례다. 해커는 웹사이트의 파일 업로드 기능을 악용해 ‘웹셸(Web Shell)’을 설치했고, 이를 통해 서버에 접근해 약 306만 건의 개인정보를 탈취했다. 피해자는 회원뿐 아니라 비회원까지 포함됐으며, 이름, 생년월일, 성별, 휴대전화번호 같은 기본적이면서도 민감한 정보들이 대량으로 흘러나갔다.

사건은 단순한 해킹 피해로 끝나지 않았다. 모두투어는 유출 사실을 인지하고도 피해자에게 이를 알리지 않은 채 두 달을 넘겼다. '개인정보 보호법' 제34조가 정한 신속 통지 의무를 어긴 것이다. 게다가 이미 탈퇴했거나 단순 조회만 했던 비회원의 정보 316만 건을 2013년부터 10년 넘게 보관하고 있었던 사실도 드러났다. 결국 개인정보보호위원회는 모두투어에 과징금 7억4700만 원과 과태료 1020만 원을 부과했다.

사건의 핵심은 기술이 아니다. 여행사가 소비자에게 가장 민감한 정보를 맡아 관리한다는 사실, 그 기본적 전제 자체가 무너졌다는 데 있다. 여권 번호와 결제 내역, 연락처는 단순한 데이터가 아니라 개인의 삶을 이어주는 끈이다. 그럼에도 모두투어는 파일 확장자 검증이나 실행 권한 제한 같은 최소한의 보안 장치조차 제대로 마련하지 못했다.

피해자들의 불안은 아직 끝나지 않았다. 여행 예약 이후 늘어난 스팸 문자와 낯선 전화는 '사건은 과거지만 피해는 현재'임을 증명한다. 소비자는 이제 “어디로 갈까”보다 “어디에 맡길까”를 먼저 고민하는 시대에 살고 있다. 화려한 광고나 편리한 예약 시스템도, 정보 보호라는 가장 기본적인 의무가 무너진다면 공허해질 수밖에 없다.

모두투어 사건은 하나의 기업을 넘어서, 업계 전체가 직면한 숙제를 드러낸다. 디지털 전환 속에서 여행업계는 고객 데이터를 자산으로 삼아 성장하고 있다. 그러나 그 데이터는 기업의 자산이기 전에 소비자의 권리이자 삶의 일부다. 이 단순한 사실을 잊는 순간, 설렘은 불신으로 바뀌고, 여행은 시작도 전에 무거운 그림자를 드리운다.

결국 이번 사건이 남긴 메시지는 분명하다. 여행은 선택일 수 있지만, 정보 보호는 선택이 아니다.

업계가 이를 진지하게 받아들이지 않는다면, 소비자의 질문은 계속 이어질 것이다.

“내 정보, 또다시 패키지로 팔리는 건 아니겠죠?”