대한민국이 이른바 '해킹 맛집'이 됐다. 통신3사, 금융회사, 취업포털, 골프장에 이어 보안 회사도 해커 공격을 받아 개인정보가 대규모로 유출되는 사태가 끊이지 않고 있다. 국내에서 개인정보유출 위협을 받지 않은 사람을 찾기 어려운 지경이다. 개인정보를 과도하게 수집해 수익활동에 활용하면서 이를 안전하게 보호하지 않는 기업들의 빠른 변화와 근본적 해결책을 서둘러 마련해야 한다는 목소리가 나온다.
최근 LG유플러스가 서버 해킹 정황을 사이버 보안 당국에 신고하면서, 올해는 통신3사 모두 해킹 사태에 휩싸였다. 앞서 SK텔레콤은 기본적 보안 업데이트뿐 아니라 암호화 조치를 하지 않아 지난 4월 2300만명에 달하는 가입자 개인정보 유출 사고를 냈다. KT는 해킹된 기지국을 통해 자사 가입자들의 계좌에서 돈이 빠져나가는 사태에 직면해 당국의 조사를 받고 있는데 피해 규모가 점점 확대되고 있다.
금융사 롯데카드의 경우도 해커가 이 회사 온라인 결제 서버에 침입해 총 200기가바이트(GB) 규모의 정보를 유출한 것으로 최근 확인됐다. SK텔레콤 해킹 사태와 비교하면, 가입자 유출규모는 적지만 유출용량은 훨씬 크다. SK텔레콤의 경우 가입자식별번호(IMSI) 기준 2696만명의 개인정보가 털렸으나 유출용량은 9.82GB로 롯데카드의 20분의 1 규모였다.
국내 대표적 보안회사가 해커의 공격을 받아 자사뿐 아니라 고객사 개인정보까지 유출되는 사건도 발생했다. 개인정보보호위원회는 지난 22일 오후 11시 SK쉴더스가 개인정보유출 신고를 했다며 즉시 조사에 착수했다. SK쉴더스는 해커가 자사 직원 개인 이메일 계정에 접근해 자사 및 고객사의 업무 담당자 이름과 전화번호, 이메일 등 개인정보가 포함된 업무 자료를 유출한 것으로 추정된다고 신고했다.
회원 규모가 730만명에 달하는 취업 포털 인크루트도 지난 2월 해킹으로 인해 전체회원 개인정보가 유출됐다. 유출된 개인정보는 이름과 성별, 휴대전화번호, 학력, 경력, 사진, 장애·병역·고용지원금 대상여부 등 18개 항목에 달한다. 이력서·자기소개서·자격증사본 등 회원 개인저장파일 5만4475건 등 총 438기가바이트(GB)에 달하는 취업 관련 정보도 유출됐다.
골프장도 해킹을 당해 회원 개인정보가 유출되는 사태가 있었다. 한양컨트리클럽(한양CC)·서울컨트리클럽(서울CC)은 9만명에 달하는 회원 정보를 해킹 당해 최근 개인정보위의 과징금 처분을 받았다. 해킹된 회원 개인정보는 도박 사이트로 연결되는 스팸 문자 발송에 활용됐다.
한양CC의 개인정보처리방침을 보면 회원을 상대로 성명, 주민등록번호(외국인등록번호), 사진, 휴대전화번호, 자택주소, 생년월일을 가입시 필수항목으로 수집하고 있다. 이와 함께 이메일주소, 직장명, 직장주소, 직업, 핸디캡, 차량번호도 선택 수집한다. 그런데 2023년 12월 골프장 회원으로부터 스팸문자를 수신했다는 민원 전화를 받고서야 개인정보 유출 사실을 인지할 정도로 대응 체계의 수준이 낮았다.
이처럼 기업들이 자사 사업을 위해 고객의 수많은 개인정보를 수집하면서, 정보보안 관리 체계는 엉망인 점을 빠르게 개선해야 한다는 목소리가 높다. 골프장 이용에 주민등록번호가 꼭 필요한 것은 아니다. 게다가 이러한 개인정보를 수집했다면 그 무게에 비례하는 보안기술·체계를 반드시 갖춰야 한다는 지적이다. 통신3사가 올해 해킹과 개인정보유출 사태에 직면한 이유도 쓸모 있는 정보를 대거 보유하면서도 기본적 보안 체계를 제대로 갖추지 않았기 때문이다.
통신업계 관계자는 "통신사는 CDR(통화세부기록) 때문에 해커의 관심을 더욱 끄는 것 같다"며 "(해커가) 적은 투자로 큰 수확을 노리려면 개인정보가 많은 쪽으로 몰리는 경향도 있을 것"이라고 했다. CDR이 털리면 특정 인물의 통화 상대와 통화 시간 등을 알 수 있어 민간의 개인정보유출 문제를 넘어 국가 안보에 위협이 될 수 있다.
정부의 대응 체계를 빠르게 점검해 개선해야 한다는 지적도 나온다. 보안업계 관계자는 "규제 준수 중심의 보안 관리, 사후 대응 중심의 관행이 남아있는 것도 일련의 사태가 발생하는 원인 중 하나가 될 수 있을 것"이라며 "보안은 단순한 구축이 아니라 지속적인 점검과 복구까지 고려한 체계적인 관리가 필요하다"고 말했다. 개인정보유출 주무부처인 개인정보위도 이같은 의견들을 반영해 제재 중심의 사후 대응에서 벗어나 선제적인 사전예방 체계로 전환할 방침이다.
