[단독] 개인정보 유출, 올해 8월 사상 초유 ‘3000만’ 건 돌파…60%는 ‘해킹’

‘KT·롯데카드’ 유출 건도 포함 안 됐는데…작년 전체 건수 대비 ‘2배 이상’ 폭증
사상 최악의 ‘정보 유출 사고의 해’로 기록되나…최종 ‘5000만’ 건 돌파 우려도
정보 유출 핵심 원인은 ‘해킹’…과징금 받은 ‘10대 사고’도 모두 해킹에 울었다

(시사저널=변문우·정윤성 기자)

ⓒ챗GPT 생성

최근 SKT와 KT, 롯데카드에서 대규모 해킹과 개인정보 유출 사고가 잇따라 발생해 국민들의 보안에 빨간불이 들어온 가운데, 실제 올해 8월까지 공공기관과 민간기업에서 유출된 개인정보 건수가 기존 최고치였던 작년 기록보다 2배 이상 폭증해 '3000만' 건을 넘어선 것으로 확인됐다. 대한민국 총인구(올해 기준 5168만 명)의 절반을 웃도는 수치다.

특히 해당 통계는 최근 해킹으로 297만 건의 개인정보가 빠져나간 롯데카드 사고를 제외한 결과로, 사실상 올해가 '사상 최악의 개인정보 유출 사고의 해'로 기록될 전망이다. 정치권에선 해킹에 의한 대량 유출이 대부분인 만큼 범정부 차원에서 보안 강화 대책을 시급히 마련해야 한다는 지적이 나온다.

개인정보 유출 사고 1위는 SKT…'2300만' 정보 유출

25일 국회 정무위원회 소속 김상훈 국민의힘 의원실이 개인정보보호위원회로부터 제출받은 자료에 따르면, 올해 8월 말 기준 공공기관과 민간기업의 개인정보 유출 건수는 3038만4000건에 달했다. 2023년 말 1011만 건이던 유출 건수는 지난해 1377만 건으로 늘더니, 불과 2년 만에 3배 이상 폭증했다.

유출 사고는 대부분 민간기업에 집중됐다. 민간기업의 개인정보 유출 건수는 2947만 건으로 전체의 97%를 차지했다. 유출 기관 수 역시 민간 기업이 169곳으로 공공기관(82곳)보다 2배 이상 많았다. 공공기관의 유출 건수는 91만4000건으로, 지난해(390만7000건)를 밑돌고 있다.

민간기업의 개인정보 유출 규모를 끌어올린 핵심 사례는 SKT였다. 개인정보위 조사 결과 지난 4월 SKT DB에 저장된 이용자 2324만4649명의 휴대폰 번호와 가입자 식별번호, 유심인증키 등 25종의 정보가 유출된 것으로 확인됐다. 개인정보위는 이에 따라 지난달 28일 SKT에 대해 역대 최대인 1347억9100만원의 과징금과 과태료 960만원을 부과했다.

SKT 사태를 비롯해 개인정보위에 신고된 주요 유출 사례는 공통적으로 '해킹'에 의해 발생했다. 올해 개인정보위로부터 과징금을 받은 상위 10개 기관 모두 해킹에 의해 개인정보가 유출된 것으로 집계됐다. SKT의 뒤를 이어 과징금 규모가 섹타나인(14억7770만원), 에스케이스토아(14억3200만원), 비와이엔블랙야크(13억9100만원)이 해킹 사고에 따른 개인정보 유출로 과징금을 부과 받았다.

여기에 현재 조사가 진행 중인 KT와 롯데카드의 건까지 더해질 경우 올해 유출 규모는 더 늘어날 것으로 전망된다. KT는 최근 발생한 무단 소액결제 사고와 관련해 지난 8일 일부 지역에서 불법 초소형 기지국을 통한 고객 개인정보 유출 가능성이 있는 정황을 확인했다고 밝혔다.

롯데카드 역시 지난 8월 해킹으로 인해 카드번호, 비밀번호, 유효기간, CVC 번호, 고객정보 등 297만 명의 개인정보가 유출된 것으로 조사됐다. 해당 수치까지 통계에 합쳐질 경우 올해 개인정보 유출 건수는 최소 3300만 건을 이미 넘어선 셈이다. 일각에선 지금 추세면 올해 대한민국 총 인구수에 맞먹는 5000만 건에 육박할 수 있다는 분석도 나온다.

ⓒ변문우 기자

'해킹 무법천지' 된 금융사…올해만 최소 '2777만' 해킹 시도 적발

이처럼 보안이 핵심인 민간기업들이 '해킹 무법천지'가 된 원인은 무엇일까. 최근 AI(인공지능)를 비롯한 디지털 신기술 전환으로 해킹 범죄의 공격 기술 역시 함께 고도화된 점이 핵심 이유로 꼽힌다. 특히 최근 북한 등이 국가 주도 사이버 공격 대란을 벌이면서 해킹 범죄시도도 함께 폭증하는 추세다.

실제 올해 8월까지 금융보안원 회원사 200곳을 대상으로 한 해킹 시도 건수는 총 2777만1876건으로 집계됐다. 4년 전인 2022년만 해도 183만5668건에 불과했던 해킹 시도 건수는 이듬해인 2023년 5392만8050건으로 30배 이상 폭증하더니, 지난해의 경우는 6782만6211건으로 최고치를 경신했다.

금융보안원은 국내 대표 가상자산 거래소인 업비트와 빗썸 등 회원사들에게 보안 사고예방 체계 구축 및 운영, 기술지원 등을 폭넓게 제공하고 있다. 결국 규모가 크고 보안 신뢰도도 높은 금융사를 상대로도 해킹 시도가 빈번한데, 금융보안원 회원사가 아닌 전체 금융사로 범위를 넓히면 이번에 공개된 해킹 시도 수치는 '빙산의 일각'에 불과할 가능성도 있다.

정치권에선 해킹을 통해 개인정보 유출에서 그치는 것이 아니라 금융범죄 등 후속 피해까지 확산될 수 있는 만큼, 범정부 차원의 사이버 보안 대책 마련이 시급하다는 주장이 나온다.

김상훈 의원은 시사저널에 "사이버 해킹에 의한 개인정보 유출이 늘고 있는데 정부, 공공, 민간 영역이 통합 대응할 수 있는 법적 근거와 대응 체계가 미흡한 실정"이라고 지적했다. 그러면서 "공공과 민간이 함께 협력해 사이버 공격에 대한 효율적인 대처가 가능하도록 대응체계를 마련해야 하고, 사이버 안보에 관한 국가의 전략과 정책들을 통합적으로 수립해 추진할 필요성이 있다"고 강조했다.