참고사진= 개인정보보호위원회

하루가 멀다 하고 터지는 개인정보 유출 사고에 국민들의 불안과 분노가 극에 달하고 있다. 2025년 상반기에만 GS샵, 올리브영, SK텔레콤 등 굵직한 기업들의 개인정보 유출 사고가 연이어 발생했다. 최근에는 쿠팡에서 국민 4명 중 3명 수준인 약 3370만명의 고객 개인정보가 무단으로 노출되는 초유의 사고가 벌어지면서 국민 불안이 소위 포비아(공포증) 수준으로 치닫고 있다.

개인정보보호를 전담하는 정부기관이 엄연히 존재함에도 불구하고, 왜 이런 사고가 끊이지 않는 것일까. 개인정보보호위원회의 무능함인가, 아니면 기업들의 무책임한 태도 때문인가. 전문가들은 정부와 기업 모두에 경각심을 촉구하고 있다.

개인정보보호위원회와 한국인터넷진흥원이 발간한 보고서에 따르면 2024년 접수한 유출 신고 건은 총 307건이었다. 유출 원인은 해킹이 56%(171건)로 가장 높은 비중을 차지하였으며, 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로 나타났다. 2024년 상반기에만 공공기관에서 개인정보가 유출되었다고 신고한 곳이 50곳으로, 전년도 41건 대비 24% 이상 증가했다. 더욱 충격적인 것은 해킹에 의한 사고가 전년 대비 늘어났다는 점이다. 보안 기술이 발전하고 있다고 하지만, 해커들의 공격 기법 역시 더욱 정교해지면서 피해는 오히려 확대되고 있는 실정이다.

올해 상반기는 그야말로 개인정보 유출 대란의 해였다. GS샵에서는 2024년 6월 21일부터 2025년 2월 13일 사이 약 158만 건의 개인정보 유출 정황이 확인되었다. 올리브영은 2025년 3월 11일 22시 09분부터 3월 12일 03:54분까지 외부로부터 해킹 공격을 받았고 크리덴셜 스터핑 수법으로 확인되었다. 약 6만여 개의 IP로 로그인 시도가 있었고, 이 중 4,900건 정도가 실제 로그인에 성공한 것으로 파악된다.

가장 충격적이었던 것은 SK텔레콤 사태다. SK텔레콤은 지난 2021년 8월부터 4년 간 해킹 공격을 받았다. 해커가 28대의 서버를 공격해 33개의 악성코드를 심어 개인정보를 유출시킨 것으로 확인되었다. 유출된 개인정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 유출된 개인정보의 규모는 9.82GB, IMSI 기준 약 2,696만 건이다.

그리고 최근 쿠팡 사태다. 쿠팡은 지난 6월 24일부터 5개월 동안 지속된 개인정보 탈취 시도를 전혀 파악하지 못했다. 5개월이나 해킹이 진행되는 동안 이를 감지조차 하지 못했다는 것은 기업의 보안 체계가 얼마나 허술한지를 단적으로 보여준다.

개인정보는 단순한 데이터가 아니다. 그것은 한 사람의 삶 전체를 담고 있는 '디지털 정체성'이다. 이름, 주민등록번호, 전화번호, 주소, 이메일, 계좌번호, 신용카드 정보 등은 모두 그 사람의 사회적·경제적 활동의 흔적이다. 개인정보가 유출되면 그 피해는 상상을 초월한다. 보이스피싱 범죄자들은 유출된 정보를 활용해 교묘한 사기를 치고, 스미싱 문자를 통해 악성 앱을 설치하게 만들어 추가 피해를 일으킨다. 신용카드 정보가 유출되면 본인도 모르는 사이에 불법 결제가 이뤄지고, 주소와 전화번호가 노출되면 각종 스팸과 범죄의 표적이 된다.

IBM의 보고서에 따르면 전 세계 데이터 유출 사고의 평균 피해액은 사상 최고치인 488만 달러(약 67억 원)에 달했으며 이는 전년 대비 10% 급증한 수치다. 이는 단순히 기업의 손실에 그치지 않는다. 피해를 입은 개인들의 경제적·심리적 고통은 금액으로 환산할 수 없을 정도로 크다. 더욱 심각한 것은 한 번 유출된 개인정보는 다크웹을 통해 계속 거래되며 영구적으로 악용될 수 있다는 점이다. SK텔레콤 유출 사고에서 피해자들의 개인정보는 다크웹 해킹 포럼에서 15,000달러에 거래되고 있다. 즉, 내 정보가 범죄자들의 손에 넘어가 돈으로 거래되고 있는 것이다.

개인정보보호위원회는 2020년 8월 국무총리 소속 장관급 중앙행정기관으로 격상되면서 행정안전부, 방송통신위원회, 금융위원회의 개인정보 보호 기능을 일원화했다. 개인정보 보호를 위한 컨트롤타워로서 막강한 권한을 갖고 있다. 그러나 현실은 어떤가. 하루가 멀다 하고 개인정보 유출 사고가 터지고 있다. 공공기관과 민간기업 할 것 없이 국민들의 소중한 정보가 해커들에게 고스란히 넘어가고 있는데, 개인정보보호위원회는 사후 약방문 격으로 과징금을 부과하는 것 외에 별다른 예방책을 내놓지 못하고 있다.

공공기관의 개인정보보호책임자의 전문성이 민간기업에 비해 현저히 낮다는 점도 문제다. 민간기업의 개인정보보호책임자는 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유해야 한다. 하지만 공공기관은 관련 경력 없이 급수만 충족된다면 맡을 수 있다. 이는 개인정보보호위원회가 공공기관의 보안 체계를 제대로 감독하지 못하고 있다는 방증이다.

개인정보보호위원회는 매년 개인정보 유출 신고 동향 보고서를 발간하고, 예방 방법을 안내하고 있다고 하지만 실효성은 의문이다. 보고서만 발간하면 뭐하나. 실제로 기업들이 보안 시스템을 제대로 갖추고 있는지, 정기적으로 점검하고 있는지를 철저히 감독해야 하는 것 아닌가. 더욱 답답한 것은 사고가 터진 후에야 과징금을 부과하는 '사후약방문식' 대응이다. 2024년 상반기 과징금 규모가 1억 이상으로 가장 컸던 카카오톡의 경우 151억 4,196만 원의 과징금을 부과받았다. 하지만 이미 유출된 개인정보는 되돌릴 수 없다. 과징금을 아무리 많이 부과해도 피해를 입은 국민들의 고통은 사라지지 않는다.

개인정보보호위원회는 스스로 묻고 답해야 한다. 과연 국민의 개인정보를 제대로 지키고 있는가? 아니면 그저 형식적인 기관으로 존재하는 것은 아닌가?

참고사진= SKT

한국 통신소비자 보호센터(KTPC) 조수형 대표는 "개인정보의 중요성을 명확하게 인지하고 정부의 단호한 대처와 기업의 이중 삼중 보호 시스템을 갖춰야 한다"고 강조했다. 조 대표는 "통신 소비자의 정보를 이처럼 허무하게 해킹을 당하는 것은 정부와 기업 모두가 책임을 져야 하는 문제"라며 "특히 해킹을 당하면서도 이를 인지하지 못했다는 것은 보안 체계가 완전히 무너져 있었다는 뜻"이라고 지적했다.

그는 또 "개인정보보호위원회는 단순히 사고가 난 후 과징금을 부과하는 것을 넘어, 사전에 기업들의 보안 시스템을 정기적으로 점검하고 취약점을 개선하도록 강제해야 한다"며 "통신 소비자의 권리를 지키는 것은 정부의 가장 기본적인 책무"라고 목소리를 높였다. 조 대표는 "기업들도 개인정보 보호를 단순한 규제 준수 차원이 아니라, 소비자 신뢰를 지키는 핵심 가치로 인식해야 한다"며 "이중, 삼중의 보안 시스템을 갖추고, 해킹 시도를 실시간으로 탐지할 수 있는 기술적 통제 수단을 반드시 마련해야 한다"고 강조했다.

그는 끝으로 "통신 소비자들은 자신의 정보가 안전하게 보호받을 권리가 있다"며 "정부와 기업이 이 권리를 제대로 지키지 못한다면 소비자들은 집단행동에 나설 수밖에 없을 것"이라고 경고했다.

일부 카드사의 경우 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 지 2주 만에 침해 사고가 발생했다. 이는 보안이 일회성 감사나 인증서 획득으로 완성되는 것이 아니라 지속적인 운영 프로세스임을 명백히 보여주는 사례다. ISMS-P는 개인정보보호위원회가 인증하는 정보보호 및 개인정보보호 관리체계다. 하지만 이 인증을 받았다고 해서 정말 안전한 것일까? 인증을 받은 지 2주 만에 해킹 사고가 터진 사례는 현재의 인증 제도가 얼마나 형식적인지를 단적으로 보여준다.

ISMS-P 심사는 패치 관리 정책의 '존재' 여부를 확인하지만 그 정책이 실제로 '실행' 되고 있는지 그리고 효과적인지를 검증하는 데는 한계가 있다. 즉, 서류상으로는 완벽해 보이지만 실제 운영에서는 허점투성이일 수 있다는 것이다. 개인정보보호위원회는 이러한 인증 제도의 허점을 개선해야 한다. 단순히 체크리스트를 확인하는 수준이 아니라, 실제로 시스템이 안전하게 작동하고 있는지를 검증할 수 있는 실질적인 심사 방식을 도입해야 한다.

기업들의 무책임한 태도도 큰 문제다. 쿠팡은 5개월간 지속된 개인정보 탈취 시도조차 인지하지 못했다. 이는 실시간 모니터링 시스템이 제대로 작동하지 않았거나, 아예 없었다는 의미다. 2025년에 발생한 공격의 시작점이 2017년에 발견된 취약점이라는 사실은 소유한 IT 자산의 관리라는 가장 기본적인 수칙조차 지켜지지 않았음을 의미한다. 8년 전에 이미 알려진 보안 취약점을 방치한 것은 명백한 직무유기다.

기업들은 보안에 투자하는 비용을 '비용'으로만 생각하지, 소비자 신뢰를 지키는 '투자'로 보지 않는다. 당장 눈에 보이는 이익이 아니기 때문에 보안 시스템 구축을 미루고, 최소한의 규제 기준만 맞추려 한다. 하지만 한 번 사고가 터지면 그 피해는 막대하다. 기업 이미지는 추락하고, 고객들은 떠나간다. 쿠팡의 개인정보 유출 피해 고객인 구정순씨는 "회사가 정확한 진단이나 대책을 내놓지 못해 정보가 유출된 피해자만 발을 동동 구르고 있다"며 사태가 터지자마자 쿠팡을 탈퇴했다. 

개인정보 유출 사고가 연이어 터지자 네티즌들의 분노가 폭발하고 있다. 온라인 커뮤니티에서는 "매일 개인정보 유출 소식만 들린다. 개인정보보호위원회는 대체 뭐하는 기관이냐", "사고 터지면 과징금만 부과하면 끝? 그 돈으로 국민들 피해 보상이나 해줘라", "개인정보보호위원회 해체하고 차라리 민간 전문가들한테 맡기는 게 낫겠다"는 등 정부를 향한 비판이 쏟아지고 있다.

기업을 향한 분노도 만만치 않다. "국민을 바보로 보나", "쿠팡은 5개월 동안 뭐했냐. 그 많은 정보가 빠져나가는데 아무도 몰랐다는 게 말이 되나", "올리브영도, GS샵도, 다 대기업이잖아. 돈은 많이 버면서 보안에는 투자 안 하나"는 등의 댓글이 이어졌다. 특히 "내 정보가 다크웹에서 팔리고 있다는 게 너무 소름 돋는다", "개인정보 유출되면 보이스피싱 전화 미친 듯이 온다. 진짜 너무 힘들다", "쿠팡 공동현관 비밀번호까지 유출됐을 수 있다는데, 이제 집도 안전하지 않은 거냐"는 등 불안감을 호소하는 목소리도 많았다.

일부 네티즌들은 "이제 기업들 믿을 수가 없다. 개인정보 최소한만 제공하고, 비밀번호는 사이트마다 다 다르게 설정해야 한다", "2단계 인증 반드시 설정하고, 의심스러운 문자는 절대 클릭하지 말자"며 자구책을 공유하기도 했다. 또한 "집단소송 해야 한다. 우리 정보 팔아서 번 돈으로 제대로 보상받자", "개인정보보호위원회 국민청원 올리자. 이 기관 제대로 일 안 하면 해체해야 한다"는 등 적극적인 대응을 촉구하는 목소리도 높아지고 있다.

전문가들은 입을 모아 "예방이 최선"이라고 강조한다. 이미 유출된 개인정보는 되돌릴 수 없기 때문이다. 개인정보보호위원회는 형식적인 보고서 발간과 사후 과징금 부과를 넘어, 실질적인 예방 시스템을 구축해야 한다. 기업들의 보안 시스템을 정기적으로 점검하고, 취약점이 발견되면 즉시 개선을 명령하며, 이를 이행하지 않을 경우 강력한 제재를 가해야 한다.

기업들도 개인정보 보호를 최우선 과제로 삼아야 한다. 최신 보안 기술을 도입하고, 실시간 모니터링 시스템을 구축하며, 직원들에 대한 보안 교육을 강화해야 한다. 무엇보다 '설마 우리 회사가?'라는 안일한 생각을 버려야 한다. 국민들의 개인정보는 그들의 삶 그 자체다. 이를 지키는 것은 정부와 기업의 가장 기본적인 책무다. 더 이상 국민들을 불안에 떨게 해서는 안 된다. 지금 당장 정부와 기업 모두가 각성하고, 실질적인 대책을 마련해야 할 때다.