사회

검색
  • 댓글 0

실시간 랭킹 뉴스

SKT·쿠팡 등 '1년'간 약 '1억'건 개인정보 털려…왜 반복되나

노컷뉴스 이 시각 추천뉴스

구글 검색 선호 뉴스로 추가

이 시각 추천뉴스를 확인하세요

대기업부터 공공기관까지 개인정보 유출반복
지난 1년간 사고 합치면 털린 건수 1억 육박
"하도 흔한 일이 돼서 이제는 무감각해졌다"
전문가, 해킹 기술 고도화·기업 안일한 인식 지적
징벌 만능주의 벗어나 '당근과 채찍' 필요성도

    지난해 'SKT 유심 해킹 사고'에 이어 쿠팡, 티빙과 중소벤처기업부의 '모두의 창업'까지. 대기업과 공공기관을 가리지 않고 개인정보 유출 사고가 끊이지 않고 있다. 국민 대부분이 이용하는 플랫폼이 잇따라 털리면서 개인정보 유출은 사실상 일상이 됐다.

도대체 왜 이 같은 사고가 반복되는 걸까. 전문가들은 갈수록 고도화되는 해킹 기술과 정보보호를 '투자'가 아닌 '비용'으로만 바라보는 기업의 인식, 그리고 당근과 채찍을 적절히 사용해야 할 정부의 정책 부재 등이 결합된 문제라고 진단했다.

"SKT, 쿠팡, 티빙 다 개인정보 유출 피해 봤다"

구로구에서 사는 김민우(19)씨는 "SKT, 쿠팡, 티빙 다 개인정보 유출 피해를 봤다"며 "계속 애용했던 서비스고 믿었던 기업인데 뒤통수를 맞은 느낌이었다. 이후 대처도 미흡해 납득이 안 됐다"고 말했다. 이어 "최근 들어서 이런 유출 사고가 많이 터지고 있다는 생각이 드는데, 기업이 먼저 보안에 신경을 쓰면 좋겠다"고 덧붙였다.

양천구에서 직장을 다니는 송모(37)씨는 "솔직히 이제는 하도 흔한 일이 돼서 이제는 무감각해졌다"며 "쿠팡 같은 기업은 실생활에 자리 잡고 있으니 안 쓰는 게 더 불편하고, 이런 점을 기업들도 알고 있기 때문에 더 적극적으로 보안을 강화하지 않는 것 같다"고 했다.

지난해 4월 국민에게 큰 충격을 안긴 SK텔레콤 유심 해킹 사고의 핵심 원인은 기본적인 보안 허술이었다. 유심 정보와 가입자 식별변호 등 이용자 정보 25종, 약 2324만 건이 유출됐다.

개인정보보호위원회 조사 결과 SKT는 아이디와 비밀번호가 저장된 파일을 암호화하지 않은 채 관리해 온 것으로 드러났다. 보안시스템 업데이트나 해킹 탐지 등도 소홀했다. 개인정보위는 "회사가 꽤 오랜 기간 전반적으로 허술한 상태를 유지하고 있었고, 조치할 수 있는 상황들이 있었지만 그걸 놓쳤다"고 지적했다.

SKT에는 1348억 원의 과징금과 과태료 960만 원이 부과됐다. 일각에서는 과징금 수준이 낮다는 비판도 나왔다. 참여연대는 논평에서 "이번 과징금 처분은 상한인 SK텔레콤 매출액 3%에도 미치지 못하는 1% 수준에 불과하다"며 "기본적인 암호화 조치도 하지 않은 사안의 중대성과 SK텔레콤의 악의적인 후속 조치를 감안하면 그마저도 매우 적은 수준"이라고 지적하기도 했다.

대규모 불매 운동까지 이어졌던 지난해 12월 '쿠팡 개인정보 유출 사고'도 크게 다르지 않았다. 쿠팡 회원뿐 아니라 배송지에 등록한 비회원 개인정보까지 약 3755만 건이 유출됐는데, 개인정보위 조사 결과 기본적인 안전관리 체계 미비가 원인인 것으로 드러났다.

사고는 쿠팡 전직 직원의 소행인 것으로 추정되는데, 쿠팡은 퇴사자의 인증 서명키를 폐기하거나 갱신하는 등 적절히 관리하지 않았고, 개인정보가 담긴 페이지에 비정상적인 대량 접속이 발생했음에도 이를 제때 탐지하지 못했다. 탈퇴 회원 개인정보를 삭제하지 않은 채 보관한 사실도 확인됐다. 개인정보위는 지난 10일 쿠팡에 역대 최대 규모인 약 6246억 원의 과징금을 부과했다.

최근 대표적인 OTT 플랫폼 중 하나인 '티빙'에서도 1300만 건의 개인정보 유출 사고가 발생해 개인정보위 조사가 진행 중이다. 티빙은 지난달 2일 개인정보 저장 데이터베이스에 비인가 접근이 이뤄진 사실을 인지하고 신고했다.

공공기관도 예외는 아니었다. 서울시 공공자전거 '따릉이'에서는 회원 462만 건의 개인정보가 유출됐고, 중소벤처기업부 '모두의 창업' 프로젝트에서도 프로젝트 합격자 약 5천 명의 개인정보가 유출돼 경찰이 내사에 착수했다.

AI 생성 이미지AI 생성 이미지
이 외에도 최근 1년 사이 알바몬, 대성학력개발연구소, 롯데카드, 넷마블, 결혼정보업체 듀오 등 여러 기업에서 개인정보 유출 사고가 잇따랐다. 최근 1년간 확인된 유출 규모만 단순 합산해도 1억 건에 육박한다. 개인정보 유출이 일부 기업의 문제가 아니라 산업 전반으로 확산하는 양상이라는 우려가 커지고 있다.


해커는 더 강해졌는데 보안은 '비용' 취급

전문가들은 개인정보 유출 사고가 반복되는 배경으로 해킹 기술의 빠른 진화를 지적했다. 해킹 기술은 날로 발전하는데 비해 이를 방어하는 기술은 상대적으로 더디다는 것이다.

고려대 정보보호대학원 임종인 명예교수는 "해킹은 이미 하나의 비즈니스가 됐고, AI 등을 활용한 해킹으로 공격 비용은 계속 낮아지고 있다"며 "개인정보 등 데이터에 대한 수요가 늘어나고 돈벌이 수단이 되는 만큼 공격은 앞으로도 계속 고도화될 것"이라고 말했다.

이에 맞춰 보안 체계 시스템을 전면적으로 전환해야 한다는 조언이 나왔다. 아주대 사이버보안학과 신종회 교수는 신 교수는 "이제는 외부로부터의 침입을 감시하는 기존 성벽 보안 모델로는 한계가 있다"며 "내부에 들어온 사용자도 신뢰하지 않고 계속 검증하는 '제로 트러스트' 보안 체계로 전환해야 한다"고 말했다.

그러면서 "제로 트러스트 체계는 쉽게 말해 내부에 접속한 사람이라도 어떤 행위를 하는지 항시 모니터링하는 것인데, 여전히 대다수 기업은 이런 보안 체계가 구비되어 있지 않은 상황"이라고 설명했다.

나아가 전문가들은 근본적 원인은 기업들의 인식이라고 입을 모았다. 영리를 추구하는 기업들이 여전히 보안에 대한 투자를 최우선 순위로 두지 않고 있다는 것이다.

신 교수는 "최종 의사결정의 책임자인 경영진 등이 보안을 1순위로 인식하는 게 중요하다"며 "그런 인식을 바탕으로 투자를 늘리고 보안 거버넌스를 갖추지 않으면 사고는 반복될 것"이라고 말했다.

동국대 국제정보보호대학원 황석진 교수도 "기업은 영리를 추구하는 조직인 만큼 보안을 비용으로 보고 투자 우선순위에서 뒤로 미루는 경향이 있다"며 "정보보호를 비재무적인 활동이 아니라 기업 경쟁력의 일부로 인식하는 문화가 필요하다"고 지적했다.

다만 기업만 압박하는 방식으로는 반복되는 사고를 막기에 한계가 있다는 의견도 있었다. 정부는 오는 9월부터 3년 내 반복 위반이 발생했거나 1000만 명 이상 피해가 발생한 경우 과징금 규모 최대 매출액 10% 수준을 부과하기로 했다.

임 교수는 "징벌적으로 사고가 발생한 기업에 대해 과징금만 높이는 방식으로는 정보보호 수준의 전반적 향상을 끌어내기 어렵다"며 "회초리만 때린다고 공부를 잘할 수 있는 게 아닌 것처럼 채찍과 함께 당근도 필요하다"고 말했다. 이어 "기업이 할 수 있는 최선의 보안 투자를 했는데도 불가항력적인 사고가 발생했다면 일정 부분 책임을 경감해주는 미국식 '세이프 하버(Safe Harbor)' 정책도 검토할 필요가 있다"고 조언했다.

정부의 더 적극적인 지원이 필요하다는 의견도 많았다. 신 교수는 "정보보호 인증이나 공시 제도를 충실히 이행한 기업에는 실질적인 혜택을 주는 등 인센티브를 함께 마련해야 한다"고 조언했다. 황 교수 역시 "보안 투자에 적극적인 기업에는 세제 혜택 등을 제공하고 중소기업의 정보보호 투자도 정부가 지원해야 한다"고 덧붙였다.

0

0

실시간 랭킹 뉴스

오늘의 기자

※CBS노컷뉴스는 여러분의 제보로 함께 세상을 바꿉니다. 각종 비리와 부당대우, 사건사고와 미담 등 모든 얘깃거리를 알려주세요.

상단으로 이동