[와이라노] ‘공용정보 된 개인정보’…해킹에 속수무책

김영섭 대표이사 등 KT 임직원이 최근 발생한 소액 결제 피해와 관련해 고개 숙여 사과하고 있다. 연합뉴스

아버지를 아버지라 부를 수 없는 시대는 가고, 개인정보를 개인정보라고 할 수 없는 시대가 온 듯합니다. 최근 뉴스에서 하루가 멀다고 ‘유출됐다’ ‘해킹당했다’ ‘털렸다’는 말이 들립니다. 이제는 어떤 개인정보가 유출됐는지, 어디서 해킹당한 건지, 어디까지 털렸는지 가늠조차 못 할 지경에 이르렀죠. 나도 알고, 기업도 알고, 해커도 알고, 또 다른 누군가도 알고 있는, 그렇게 ‘공용정보가 된 개인정보’는 지금 이 순간에도 낯선 곳을 떠돌고 있을지 모릅니다.

올해만 해도 SK텔레콤과 KT를 비롯해 롯데카드 예스24 등 업종을 가리지 않고 대형 해킹 사고가 발생했습니다. 지난 4월 SKT 서버가 해킹 공격을 받으면서 고객 유심 정보 2695만 건이 유출됐습니다. 해커들은 SKT 내부 네트워크에 침입하기 위해 악성코드를 사용한 것으로 전해졌는데요. 개인정보보호위원회는 지난 8월 사실상 SKT 가입자 대부분의 휴대전화 번호를 포함해 민감정보 다수가 빠져나간 이번 사태와 관련, 1348억 원 규모 과징금을 부과했습니다.

국내 최대 인터넷 서점 예스24는 랜섬웨어 공격의 표적이 됐습니다. 지난 6월 9일 단체 랜섬웨어 공격으로 5일간 서비스가 전면 마비됐고, 이어 두 달 만인 8월 11일 또다시 랜섬웨어 공격을 받아 7시간 동안 서비스가 중단되는 사태를 겪었습니다. 업계에서는 1차 해킹으로 인한 예스24의 직접적 손실이 약 100억 원에 이르고, 해커와 협상 과정에서 수십억 원의 자금을 지출했을 것으로 추정합니다.

KT에서는 ‘무단 소액 결제 사건’이 발생했습니다. 지난 7월 중국 범죄 조직이 불법 초소형 기지국 장비를 이용해 단말기를 속이고 가입자 식별정보를 탈취해 인증 절차를 우회, 소액 결제를 유발한 것인데요. 이달 들어 피해가 폭증했고, 피해액은 2억4000만 원까지 불어납니다. 게다가 이와 별개로 서버가 뚫린 정확도 확인됐습니다. SKT 해킹 사태 이후 진행한 조사에서 서버 침해 흔적 4건과 의심 정황 2건을 발견했죠.

롯데카드 해킹 사고는 지난 18일 발생했는데요. 신원 미상 해커가 롯데카드의 온라인 결제 서버에 침입해 악성 프로그램을 설치, 총 200GB(기가바이트)의 정보를 유출했죠. 여기에는 롯데카드 전체 고객(960만 명)의 약 3분의 1인 297만 명 회원 정보가 포함됐습니다. 이 중 28만 명은 연계정보(CI), 주민등록번호뿐만 아니라 카드번호와 유효기간, CVC 번호까지 유출된 것으로 확인됐습니다.

국회 과학기술정보방송통신위원회 더불어민주당 황정아 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료를 보면 2020년부터 이달 14일까지 당국에 접수된 기업의 정보 침해 신고는 7198건에 달했습니다. 연도별로 ▷2020년 603건 ▷2021년 640건 ▷2022년 1142건 ▷2023년 1277건 ▷2024년 1887건으로 점차 증가하는 것을 알 수 있는데요. 올해는 아직 3개월 이상 남았는데도 1649건으로 지난해 전체 건수에 근접했습니다.

이처럼 해킹 사고가 끊이지 않는 원인으로 ‘기업의 안일한 보안 인식과 투자 부족’이 꼽힙니다. 과학기술정보통신부와 한국정보보호산업협회의 ‘2024 정보보호 실태 조사’ 결과 자체 정보 보호 정책을 수립한 기업은 51.6%, 보안 조직을 가진 곳은 32.6%에 그쳤는데요. 특히 매출과 직결되지 않는다는 이유로 기업의 절반 가까이는 보안 예산을 전혀 책정하지 않았고요. 있다고 하더라도 500만 원 미만이 75.8%인 것으로 나타났습니다. 1억 원 이상을 투자하는 곳은 0.6%뿐이었죠.

기업의 해킹 대응 체계도 심각한 수준입니다. 조국혁신당 이해민 의원이 KISA로부터 제출받은 자료를 보면 지난 1년간 해킹 사고 발생 후 24시간이 지나서야 당국에 신고했거나, 아예 신고하지 않은 사례는 66건이나 됩니다. SKT는 2022년 2월 자사 내부 네트워크에 침입하려고 해커들이 악성코드를 사용한 것을 발견하고도 신고하지 않았고요. KT는 서버 침해 사실을 인지하고 3일이나 지나서야 KISA에 보안 사고 발생 사실을 알렸습니다. 롯데카드도 해킹을 알아차린 지 무려 6일이 지나서야 신고했죠.

지난해 정보통신망법 개정 이후 ‘해킹 발생 24시간 이내 신고제’가 의무화됐지만, 이를 어긴 기업에는 3000만 원 이하 과태료 처분이 전부라서 제도 자체가 유명무실하다는 지적도 나옵니다. 그마저도 기업이 해킹을 아예 인지하지 못했다고 주장하면 면책될 여지가 있는데요. 해킹과 관련해 자진 신고하면 손해를 보고 늑장 신고하면 ‘솜방망이’ 처벌만 받는 기이한 구조를 가졌죠. 이에 해킹 예방을 위해서는 소비자에게 피해를 주고도 사고를 은폐하거나 늑장 신고로 사태를 키우는 기업에 막대한 수준의 징벌적 손해배상이 필요하다는 주장이 나왔습니다.

언제까지 소 잃고 외양간 고칠 수는 없습니다. 사고가 발생하기 전 예방해야 합니다. 현재는 민간 분야 개인정보 보호나 보안 침해 사고 대응은 과기정통부 산하 KISA, 금융 관련 해킹이나 개인정보 유출 사고는 금융위원회 산하 금융보안원, 공공·안보 분야는 국가정보원이 대응하는 등 보안 관련 조직이 여러 분야에 쪼개져 있습니다. 이들을 하나의 독립 기관으로 합칠 필요가 있고요. 정부는 기업이 보안에 돈을 쓸 수 있게 법으로 강제해야 합니다. 지금이라도 대응하지 않는다면 대형 해킹 사고는 언제든 반복될 것이 분명합니다.