뻥 뚫린 내부통제, ‘정보유출 포비아’ 키웠다 [무너지는 보안 방파제]

외부 칩입서 내부자 매수 등 진화
AI 성능 개발 몰두⋯ 보안투자 뒷전
'사고 후 규제' 정책 실효성도 떨어져

국내 디지털 생태계 전반에서 개인정보 유출 사고가 잇따르며 ‘안전지대는 없다’는 사회적 불안이 확산하고 있다. 최근 대형 플랫폼부터 금융, 통신까지 주요 서비스에서 유출이 반복되며 사실상 전 국민의 개인정보가 잠재적 위험에 노출된 셈이다. 사고 양상도 외부 해킹뿐 아니라 내부자 접근, 설정 오류, 협력사 관리 실패 등으로 확대되며 위험 지형이 한층 복잡해졌다는 평가다. 정부 정책이 여전히 ‘사고 후 규제’에 머물러 있어 실효성이 떨어진다는 지적도 제기된다.

7일 본지 취재를 종합하면 개인정보 유출 방식은 빠르게 다양화·고도화되고 있다. 과거 외부 침입 중심이었던 공격은 최근 내부 계정 탈취, 내부자 매수 등 ‘문 안쪽’의 취약점을 노리는 방식으로 진화했다. 쿠팡 사태의 경우 퇴사자의 접근 권한이 장기간 유지되는 관리 구멍을 통해 내부에서 정보가 반출된 것으로 파악됐다. 최병호 고려대 AI연구소 교수는 “해킹의 마지막 단계는 내부자 장악”이라며 “대규모 데이터를 결합해 활용하는 플랫폼일수록 해커들에겐 더 매력적인 목표물이 된다”고 말했다.

AI 기술 고도화 과정에서 발생한 오류가 사고로 이어진 사례도 등장했다. LG유플러스는 전일 AI 통화 애플리케이션(앱) ‘익시오(ixi-O)’ 서버 개선 과정에서 캐시 설정 오류가 발생해 36명의 통화정보가 다른 고객 101명에게 노출됐다고 개인정보보호위원회에 신고했다. 외부 공격이 아닌 내부 운영 과정에서 생긴 ‘휴먼 에러’가 원인이었다.

기업들의 보안 역량이 해킹 기법의 진화 속도를 따라가지 못한다는 지적도 꾸준히 제기된다. 김명주 서울여대 지능정보보호학부 교수는 “기업 규모는 커지는데 보안 투자는 상대적으로 줄어들면서 누적된 위험이 한꺼번에 터지는 상황”이라고 진단했다. AI 경쟁이 심화하면서 인력과 예산이 성능 개발로 몰리는 구조적 흐름도 문제로 지목된다. 최 교수는 “AI 경쟁이 심화할수록 보안·안전은 뒷순위로 밀릴 수밖에 없는 구조적 문제가 있다”고 꼬집었다.

사고의 파급력은 더욱 커지는 추세다. 국내 유니콘 기업 증가와 데이터 규모의 폭발적 확대로 인해 한 번의 유출이 과거보다 훨씬 큰 사회적·경제적 피해로 이어잘 가능성이 높아졌다. 한국이 국제 해커들에게 ‘매력적인 시장’으로 자리 잡았다는 분석도 있다. 디지털 서비스 이용률이 높고 IT 의존도가 큰 만큼 일단 침투하면 피해 범위가 급격히 확대되기 때문이다.

전문가들은 정부의 규제 체계 역시 선제적 예방 대신 사후 처벌 중심에 머물러 있다고 우려한다. 최근 정부가 모의 침투 평가 도입, 내부자 통제 강화, 기업별 책임 보안체계 개편 등을 추진하고 있지만 데이터·AI 기반 경제 구조가 이미 임계점에 도달한 만큼 규율 체계를 근본적으로 전환해야 한다는 요구는 더욱 거세지는 분위기다.

[이투데이/김연진 기자 (yeonjin@etoday.co.kr)]

▶프리미엄 경제신문 이투데이 ▶비즈엔터

이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지