내 개인정보는 공공정보야! 이젠 놀랍지 않으신가요?
작성자: 초스코스
/
날짜: 2025-12-30
/
조회수: 71
초스코스
최근 개인정보 유출 사건이 빈번하게 발생하고 있습니다. 통신·전자상거래·금융과 같은 기업에서 무분별로 정보가 대량 유출되며 허술한 보안의 위험성에 대한 우려가 발생하고 있는데요. 예로 최근 한 전자상거래 기업에서 유출된 고객 계정은 당초 4500건이었지만 이후 3370만 건의 규모로 늘어난 상황이어서1) 막대한 피해 규모가 예상됩니다. 그렇다면 왜 이러한 사건이 끊임없이 발생하는지, 해결책은 무엇인지 의문을 갖게 되는데요. 따라서 이와 관련한 이야기를 다뤄보도록 하겠습니다.
▶ 보안 시스템의 이미지 / 출처: TheDigitalArtist / Pixabay
개인정보 유출 피해 사례
우선 역대 개인정보 유출 피해 사례의 규모는 어느 정도 됐었는지 살펴볼까요? 관련 통계를 찾아보았습니다. 다음은 과학기술정보통신부가 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」에 따라 정보통신서비스 제공자로부터 접수된 사이버 침해 사고 신고를 분석한 결과인데요. 예로 2023년 1,277건, 2024년 1,887건, 2025년 상반기 1,034건이 접수됐습니다. 특히 올해 수치는 전년 동기 대비 15% 상승하여 약 3년간 전반적인 증가세를 기록했는데요. 이에 대한 원인으로 lot 등을 활용한 DDoS 공격, Web Shell(원격 조종용 악성 스크립트)과 악성 URL 삽입을 통한 서버 해킹 등을 들 수 있습니다.2)
그렇다면 대규모 유출 사건이 발생했던 구체적인 사례는 무엇이 있을까요? 2014년 여러 카드사에서는 경제활동 인구의 75% 즉, 약 2,000만 명의 고객이 보유한 8,000만 건의 개인 정보*가 유출됐습니다.3) 올 초 한 통신사에서는 약 2,300만 명의 고객 정보**가 침해돼 사실상 국민 절반이 피해를 입었습니다.4) 또한 앞서 언급한 전자상거래 기업 사례에서는 정보 유출뿐만 아니라 정부 기관을 사칭한 피싱과 스미싱 범죄의 2차 피해도 발생하고 있어 문제가 되고 있습니다.5)
* 기업/가맹점/사망자 배제한 개인 정보
** 법인·공공기관 회선 및 다회선 등을 배제한 실제 이용자 고객 정보
이러한 사고가 과거부터 지금까지 개선되지 않고 발생하는 이유는 분명 있을 텐데요. 따라서 주요 원인을 세 가지의 측면에서 분석해 보았습니다.
개인 정보 유출의 원인
1. 기업의 안정적인 정보 보안 시스템 체계를 구축하는 투자가 미비합니다.
기업의 서버 보안 체계에 대한 미비한 투자는 불안정한 보안 환경을 만듭니다. 예로 데이터 백업6), 레거시(기존 시스템) 구조 교체, 설정 오류 개선 등의 요소7)를 갖춘 시스템에 대한 투자가 부족한 경우가 많았습니다. 또한 유효 인증키 관리 미흡8)으로 인한 DB 접속 인증 체계의 취약점도 문제가 됐는데요. 근본적으로 개인정보 피해 원인을 연구하고 분석하는 활동 부족 등의 요소도 거론됐습니다.
실제 앞서 언급한 통신사 해킹 사건의 경우 과거 해커의 중요 시스템에 접근하는 관리자 권한 확보9)와 BPFDoor 악성 프로그램 유입 등이 원인으로 밝혀졌지만 기업에서는 유심 정보의 암호화와 패치 같은 보안 시스템에 600억 원의 미비한 투자10)를 실행해 피해를 키운 사례가 있습니다.
▶ 휴대전화 개인정보 유출을 보고 놀란 사람의 모습 / 출처: ⓒ AI 생성 이미지
2. 기업의 정보 보안 문제를 담당하는 조직 관리에 소홀한 경우가 많습니다.
기업의 보안 사고를 담당하거나 연관된 내·외부 인력의 권한 통제 체계가 미흡한 경우가 많습니다. 이에 대한 주요 원인으로 인력 부족11), 접근 권한 관리의 소홀함, 관제 시스템의 실패12)를 꼽는데요. 예로 앞서 언급한 전자상거래 기업 해킹 사건에서도 전직 직원의 유효 인증키의 방치가 피해 원인으로 분석됐지만 고객 정보 유출이 회원의 신고로 먼저 알려졌다는 한계가 있었습니다.13)
또한 CIO(IT 운영 조직)·CTO(IT 개발 조직)의 보안 업무 범위 문제와 CISO(정보보호최고 책임자)의 제한적 보안 점검 및 조치 권한과 관련한 조직 체계 문제14)도 주목받고 있습니다. 이로 미루어 보아 기업 내·외부 인력 관리의 한계가 존재한다는 사실이 드러났습니다.
3. 정보 보안 관련 법의 미흡함과 기업의 보안 인식 부재가 존재합니다.
현행 보안 관련 주요 법에는 개인정보보호법과 정보통신망법이 있는데요. 우선 개인정보보호법은 개인정보 분실·도난·유출 시 개인정보처리자의 72시간 이내 알림15) 및 기술적·관리적·물리적 안전조치와 전체 매출액의 3%를 초과하지 않는 과징금 조항이 있습니다.16) 하지만 사후 처리, 낮은 경제적 제재, 모호한 안전조치 시행이라는 비판들도 존재합니다.
아울러 정보통신망법에서는 침해 사고 인지 후 정보통신서비스 제공자의 24시간 이내 우선 신고 및 24시간 이내 보완 신고와 재발 방지 조치 이행 ‘명령’·시정명령 불이행 시 3,000만 원 이하의 과태료 부과 조항*이 있는데요.17) 하지만 66건의 늦은 혹은 미신고의 발생과 기업들의 한국인터넷진흥원 기술 지원 거부율이 58.3%를 기록해 당국의 관련 자료 제출 요구만 발생한다는 한계도 드러났습니다.18)
*과태료 5000만 원 상향 조정 및 시정명령 불 이행시 매일 이행강제금이 발생하는 개정안이 국회 법사위를 통과한 상태19)이므로 추이를 지켜봐야 합니다.
동시에 기업의 보안 인식 부재도 문제가 되는데요. 비용 절감, 기업 윤리 부족, 미비한 처벌 등의 이유로 보안 체계의 부족함이 드러나고 있는데요. 실제 민·관 영역에서 유출된 개인정보는 근 5년간 8천854만 건에 달했지만 건당 과징금은 평균 1천 원 정도의 매우 낮은 금액을 기록했습니다.20)
지금까지 기업의 개인 정보 유출 사건에 대한 원인을 분석해 보았는데요. 그렇다면 이에 대해 정부, 기업, 시민사회는 어떠한 해결책을 갖추고 있는지 혹은 제시해야 할지 정리해 보았습니다.
정부의 해결책
1. 민·관이 건강한 사이버 보안 생태계를 갖출 수 있도록 지원해야 합니다.
정부는 민·관의 원활한 사이버 보안 생태계를 구축하려 노력해야 합니다. 이를 「범부처 정보보호 종합대책」21)을 통해 실천하고자 하는데요. 예로 약 1,600개의 생활 기반 IT 시스템 보안 점검 및 보안 인증 제도(ISMS, ISMS-P) 현장 심사·관리, 모의해킹 및 화이트 해커를 통한 보안 훈련 강화 조치를 마련하였습니다. 또한 소비자 피해 방지를 위한 이용자 보호 매뉴얼 및 과징금 기반의 피해자 지원 기금 신설을 계획하였습니다.22)
나아가 공공데이터 보안을 위해 공공 정보 보호 예산·인력 확보, 민간 상장사의 정보보호 공시 의무·보안 능력 등급화를 확대하였습니다. 동시에 국제 보안 환경 수준에 부합하는 AI 기반 이상 탐지 시스템, 획일적인 물리적 망 분리의 데이터 보안 중심화, IT 제품군의 보안 평가를 계획하였습니다. 정보 보호 산업을 육성하기 위한 차세대 보안 기업·전문가 확충, 양자내성 암호 기술 개발, 정보보호 서비스 확대 방향도 제안하였습니다.23)
이를 위해서 범국가적인 교류도 필요한데요. 따라서 핵심 정보통신 기반 시설 지정 확대, 민·관 합동의 국가사이버위기관리단과 정부의 유기적인 해킹 예방·대응 협력을 진행한다고 밝혔습니다.24)
▶지문 인식 보안 프로그램의 이미지 / 출처: kalhh / Pixabay
2. 사이버 보안과 관련된 인재 양성과 민·관 조직 체계를 혁신하도록 지원해야 합니다.
높은 진입장벽과 수요 폭발 등의 이유로 부족한 사이버 보안 전문가를 활발하게 육성하는 사업을 진행해야 합니다. 예로 과학기술정보통신부는 2026년 30%까지의 사이버 보안 R&D 확대와 인력 지원, 보안 교육·창업 지원 ‘S-개발자’ 프로그램, 화이트 해커 양성 ‘화이트햇 스쿨’ 등을 통해 10만 명의 사이버 보안 인재를 양성하겠다고 밝혔습니다.25)
또한 조직 혁신을 위해 CEO의 보안 책임 조항을 법제화하고 CISO·CPO(개인정보 보호 책임자)에게 높은 권한을 보장할 예정입니다. 반면 소규모 사업체에는 정보보호지원센터의 도움을 제공할 예정입니다.26) 나아가 사이버전(戰)·범죄 대응 전략도 마련하였는데요. 민·관·군 협의체를 기반으로 사이버 작전·수사 분야의 대학 육성, 군 사이버 안보 종사자 취·창업 연계의 ‘사이버 탈피오트’ 체계, NATO “락드 쉴즈”·美 “사이버 플래그” 등의 국제 훈련 참가 계획을 수립하였습니다.27)
결과적으로 정부는 이에 기반한 국가 전반의 안전한 데이터 망을 건설하고자 합니다.
3. 개인정보보호법을 강화하고 업계의 정보 보안 인식 제고를 위한 지원을 병행해야 합니다.
미비한 개인정보보호법을 제정·개정하여 합당한 처벌과 피해 보상이 되는 사회를 만들어야 합니다. 예로 정부는 보안 사고 발생 시 한국인터넷보안기구와 개인정보보호위원회의 강제 조사 권한인 특사경(특별사법경찰권) 도입, 피해자 집단소송, 최근 3년간 “제일 매출액이 높은 연도의 3% 과징금” 및 지속적이고 상당한 규모의 개인정보 침해 시 “매출액의 최대 10%까지 부과하는 특례” 도입을 고려하겠다고 밝혔습니다.28)
아울러 업계의 정보 보안 인식을 제고할 지원책도 고민해 봐야 합니다. 예로 한 통신사는 올해의 해킹 사건에 대해 정부의 구독 취소 수수료 면제 연장29)과 1인당 30만 원 배상 조정안30)을 거부하였고 특정 전자상거래 기업은 피해 규모 축소와 실질 보상책 마련에 미완적인 태도를 보이며 지적을 받기도 했습니다. 2014년 카드사 유출의 경우 신용평가사 직원이 개인정보를 유출시켜 발단됐지만 기업의 책임 회피와 KCB 무료 개인정보보호 서비스 1년 제공의 조치31) 이외에는 피해 보상이 제대로 이루어지지 않았다는 비판도 존재하였습니다.
따라서 기업의 안일한 문제 인식 해결을 위해서 정부는 CEO·임원진 보안 의무 교육, 우수 보안 기업 인센티브제, 중소·영세기업의 보안 패키지 보급 활성화 등의 지원을 병행할 수 있습니다.
기업의 해결책
1. 기업은 사이버 보안 시스템에 대한 적극적인 투자를 시행해야 합니다.
개인정보 침해 사고는 기업뿐만 아니라 사회 전반에 악영향을 끼칩니다. 따라서 기업은 체계적이고 안정적인 통합 보안 시스템 마련에 대한 활발한 투자를 시행해야 합니다. 즉, 사고 발생-원인 분석-대응의 프로토콜을 마련하는 것인데요. 예로 SOC(보안 관제센터)를 설립해 이상 로그를 실시간으로 분석하고 적절한 대응 방식을 구축하는 시스템을 마련해야 합니다.
또한 보안 프로그램의 변화도 추구해야 하는데요. 예로 레거시 구조에서 벗어나 고객·인사·상품 등의 데이터 분류, 우선순위 위험 평가, 정기 점검 프로그램을 통해 정보 보호력을 높일 수 있습니다. 동시에 전반적인 관리·운영 체계도 필요한데요. 대표적으로 Secure SDLC(보안 내재형 개발) 시스템을 통해 데이터 접근·권한 관리를 진행하고 유지·보수 자동화 프로그램을 통해 OS·서버·클라우드 등의 정보를 정기 업데이트해야 합니다.
▶ 악성 바이러스를 검사하는 사이버 보안 전문가의 모습 / 출처: ⓒ AI 생성 이미지
2. 기업의 사이버 보안을 담당하는 조직 체계를 변화시켜야 합니다.
기업의 일원화된 의사결정 조직을 통해 사이버 보안에 대응하는 구조를 만들어야 합니다. 즉, IT 팀·개발팀·운영팀 등 개별 부서의 책임 회피 대신 CISO·보안 위원회에 유출 사고 책임 권한을 부여하고 전 부서가 유기적으로 이에 대응하는 체계를 갖추어야 합니다. 또한 외부 민·관 업체, 시민 단체, 전문가의 사이버 보안 조직 혁신 주제의 컨설팅·세미나에 적극적으로 참여하는 노력을 해야 합니다.
특히 보안을 부가적인 항목이 아닌 기업의 성과 요소로 바라봐야 합니다. 즉, 조직의 유출 사고 처리 기간·대응 방식·보안 개선율 등의 지수를 상시 점검해 경영 평가에 반영하여 하나의 투자 사업으로 고려해야 합니다. 나아가 외부 인력 운영·관리에도 집중해야 하는데요. 예로 협력사 공동 보안 기준·교육 마련, 계정 발급·회수 인증키와 권한 표준 마련, 접속 로그 공동 관리 등의 방침을 통해 효율적인 사이버 보안 조직 체계를 구축해야 합니다.
3. 기업의 부족한 개인정보보호 의식을 함양하는 프로그램을 구축해야 합니다.
종종 기업은 개인정보 보호 영역보다 단기적이고 가시적인 이익을 창출하는 분야에 상대적으로 투자를 진행하는 모습을 보이기도 합니다. 아울러 부족한 CSR의 실천으로 사고 책임을 회피해 부가적인 피해를 발생시키기도 하였습니다. 하지만 미래의 기업은 보안 사고 방지와 해결책을 고심하며 안전한 사이버 문화를 형성해야 한다는 책임 의식을 가져야 합니다.
따라서 사고 방지-사고 대응-사후관리에 맞춘 보안 전략을 마련해야 합니다. 예로 사고 방지 단계에서는 직원·외부 인력 대상 필수 보안 교육 및 훈련과 피드백의 절차를 통해 직원들의 보안 의식을 고취시켜야 합니다. 또한 사고 대응 단계에서는 관련 방침 숙지와 훈련을 실시하고 사후관리에서는 사고 현황을 투명하게 공개한 뒤, 상담 창구를 운영해 피해 구제·보상 절차를 안내해야 합니다. 이를 통해 결과적으로 기업의 신뢰를 높여 새로운 부가가치를 생성해야 합니다.
시민사회의 해결책
1. 사이버 보안 프로그램의 발전과 보안 생태계에 대한 연구를 진행해야 합니다.
시민 사회는 민·관의 안전한 사이버 보안망을 마련하기 위해 활용될 프로그램을 연구·개발하는 활동에 참여해야 합니다. 예로 사고 발생 전·중·후 절차에 따른 권한 운영·관리 시스템, SOC의 침해 사고 대응 시스템, 피해 고객 데이터의 분석·보상 시스템의 마련을 들 수 있습니다. 무엇보다 소규모 기업도 쉽게 접근하고 사용할 수 있는 모델을 구축하는 데 앞장서야 하고 기관 혹은 기업 대상 체험·자문을 제공하며 홍보 활동도 병행해야 합니다.
아울러 사이버 보안 생태계의 현실과 해결책은 무엇인지에 관한 연구 활동도 진행할 수 있는데요. 기본적으로 기업·정부 등 관계자와의 이해관계에서 벗어나 정확한 연구 보고서를 제공하고자 노력해야 합니다. 예로 보안 구조의 취약점·개선책 분석, 조직의 비효율성·극복 전략, 사이버 보안 인식·문화 체계 등을 연구 주제로 삼을 수 있습니다. 이를 기반으로 건강한 보안 생태계를 조성하기 위한 활동을 지속해야 합니다.
▶ 고객 개인정보 유출 사건에 대한 토론을 진행하는 시민단체·정부·기업의 모습 / 출처: ⓒ AI 생성 이미지
2. 민·관의 사이버 보안 조직 혁신을 지원하는 활동을 펼쳐야 합니다.
민·관을 아우르는 사이버 보안 조직의 발전을 지원하는 활동을 통해 사회의 신뢰를 회복해야 합니다. 예로 정부·기업·전문가가 참여하는 공개 토론회·공청회에 참여하여 반복되는 개인정보 유출 사고의 피해와 조직의 문제점에 관해 얘기하고 사회에 경종을 울릴 수 있습니다. 나아가 보안 인력의 형식적 배치 금지, 외부 보안 인력의 책임과 권한 문서화, 조직 공동 대응 훈련 등의 원칙을 제시하고 이를 실행하기 위해 이해당사자와 충분히 교류할 수 있습니다.
또한 외부 전문가와 연계하여 조직 혁신에 필요한 교육과 자문을 제공할 수 있는데요. 나아가 ‘보안 조직 적합성 진단’ 등과 같은 수치를 제공해 책임자의 권한·조직 투명성·보안 프로그램의 체계성 등의 평가를 실행하고 분석하여 조직 발전을 꾀할 수 있습니다. 한편 보안 협의체도 구성해 관련 이슈와 해결책을 제공하는 도움을 공유할 수 있는데요. 이러한 노력은 시민사회 전반의 보안 생태계에도 큰 영향을 줄 것입니다.
3. 유출 사건에 대한 강력한 처벌과 기업의 보안 인식 개선을 위한 활동을 펼쳐야 합니다.
대부분의 정보 유출 사건의 피해자는 시민들 대상인 경우가 많기에 시민사회가 적극적으로 문제 해결에 나서야 합니다. 우선 정부에 피해 규모에 따른 합당한 처벌을 촉구할 수 있습니다. 예로 버그 바운티(취약점 제보 보상 제도), 과징금 상향, 고의/중과실 기준 강화 등의 내용을 법제화하기 위한 국민 캠페인을 벌일 수 있습니다. 또한 반복 유출 기업의 사건에 관한 정보 즉, 피해 원인, 행정처분 수위, 피해 규모 등의 내용을 공공데이터로 만들어 국민의 알 권리를 보장받는 운동을 전개할 수 있습니다.
또한 기업의 정보 보안 인식 강화를 위한 다양한 활동도 전개할 수 있는데요. 정부 혹은 시민 단체끼리 연대하여 사이버 보안 체계 구축과 문화 형성에 대한 교육을 진행할 수 있습니다. 동시에 합동 포럼을 열어 타 기업의 긍정·부정 사례 분석과 조언을 통한 새로운 비전을 수립할 수 있습니다. 또한 시민 합동 체험·토론을 통해 업계의 보안 인프라 구축은 ‘비용’이 아닌 ‘합리적인 투자’라는 인식을 형성하게끔 도와줄 수 있습니다.
일상생활에서 자동화 기기에 노출될 때마다 세상의 변화에 어색할 때도 있었지만 대한민국이 IT 강국임을 몸소 체감하며 인상 깊었던 적도 많았는데요. 하지만 기술의 발전과는 다르게 유출 이슈는 지속되며 우리 사회의 건강하지 못한 사이버 보안 문화가 안타깝다는 생각도 들었습니다. 과연 오늘의 고민이 평화로운 ‘보안 세계관’으로 작용할까요? 혹여 그렇다면 K-디지털 세상은 세계에 더욱 큰 영감을 줄 것이라고 감히 말씀드려도 될까요?
첨부파일