개인정보 유출되든 말든 정부는 '솜방망이질' [추적+]

[이혁기 기자]

유출된 개인정보는 결국 2차 피해로 이어진다.[일러스트=게티이미지뱅크]

# 우리는 '흔들리는 개인정보 보안' 1편에서 최근 우후죽순으로 발생하고 있는 개인정보 유출 사건의 민낯을 살펴봤습니다. 대학부터 대기업, 정부기관까지 '개인정보 유출'에 속수무책이었는데, 이유는 꽤 명확합니다. 엄격한 관리 하에 개인정보를 다루는 단체가 그리 많지 않아서입니다. 비용을 들여 보안 솔루션을 들인 기업도 손에 꼽습니다.

# 문제는 이뿐만이 아닙니다. 수십만명의 개인정보가 털려도 처벌은 관대하기 그지 없습니다. 이런 저런 이유로 처음 부과된 과징금이 계속 줄어들기도 합니다. 결국 개인정보 유출의 최종 피해자는 국민입니다. 기업과 정부가 막지 못한 개인정보 유출 때문에 피해자들은 숱한 스팸 문자와 보이스 피싱 등 '2차 피해'에 시달려야 합니다. 이대로 괜찮은 걸까요? 더스쿠프 심층취재 추적+ '흔들리는 개인정보 보안' 2편입니다.

최근 기업은 물론 대학, 정부 기관 등 각처에서 시민의 개인정보가 유출되고 있습니다. 유출 규모도 심각합니다. 지난해 11월 스크린골프업체 골프존에선 총 221만명에 달하는 서비스 이용자와 임직원의 개인정보가 담긴 파일이 외부로 유출됐습니다. 지난 5일 홍익대에선 직원의 실수로 1만2367명의 개인정보가 제3자에게 메일로 발송되는 일이 벌어졌죠. 일주일 뒤인 12일엔 북한의 해킹 조직이 법원 전산망을 공격해 1TB(테라바이트)에 달하는 개인정보를 탈취했습니다.

이 사건들은 한국의 개인정보 보안 수준의 심각성을 여실히 보여주고 있습니다. 무엇보다 한국 기업들은 개인정보 보안을 위한 비용 투자에 인색합니다. 지난해 정보통신기획평가원의 설문조사에 따르면 6500개 기업 중 38.6%만이 '정보보호 정책을 보유하고 있다'고 답했습니다. 주먹구구식 운영도 문제입니다. 언급했던 골프존 사례의 경우, 주민등록번호 등을 암호화지 않고 서버에 저장하거나, 보유기간이 경과한 개인정보를 파기하지 않는 위반행위도 저질렀죠.

정부의 솜방망이 처벌도 기업들이 개인정보를 안일하게 다루는 원인으로 꼽힙니다. 일례로, 통신사인 LG유플러스는 2021년 12월 2만9546건의 임직원 개인정보를 유출한 바 있었습니다. 하지만 개보위가 LG유플러스에 부과한 과태료는 고작 600만원이었습니다.

카카오는 개인정보 보호 위반으로 역대 최고 수준의 과징금을 받았다.[사진=연합뉴스]

[자료 | 업계 종합]

기업의 편의를 봐주는 듯한 정부의 태도도 문제입니다. 지난해 말 정무위원회 소속인 박재호 더불어민주당 의원이 개보위로부터 제출받은 '개인정보 유출 사건에 대한 과태료 및 과징금 부과현황'에 따르면, 최근 3년간 24개 개인정보 유출사건에 개보위가 책정한 과징금은 126억8682만원이었습니다. 하지만 실제 부과한 금액은 이보다 57.4% 적은 53억9248만원에 그쳤습니다.

왜 과징금이 줄어든 걸까요. 개보위는 개인정보 보호 활동을 성실히 수행한 경우(40% 이내 감경), 조사에 적극 협력한 경우(30%), 유출 사실을 자진 신고한 경우(30%) 등 과징금을 감경할 수 있는 기준을 갖고 있습니다. 주목해야 할 건 이 과징금 감경이 의무가 아닌 선택사항이란 점입니다. 그럼에도 과징금이 크게 줄었다는 건 개보위가 그만큼 기업의 사정을 봐줬다는 것으로 해석할 수 있습니다.

문제는 개인정보 유출의 폐해가 고스란히 국민에게 되돌아온다는 점입니다. 불법 경로로 정보를 사들인 업체들은 스팸메일·스팸문자·보이스 피싱 등 다양한 방법으로 개인정보 유출 피해자들을 괴롭힙니다. 개인정보를 빼앗긴 피해자들은 이를 저지할 방법이 없습니다. 스팸메일·문자를 보낸 번호와 이메일을 차단하는 게 고작입니다.

개인정보 유출이 극심해진 탓인지 실제로 국민이 받는 불법 스팸도 늘고 있습니다. 지난 4월 5일 방송통신위원회가 발표한 '2023년 하반기 스팸 유통 현황'에 따르면 2023년 하반기 문자 국민 1인당 받은 월평균 불법 스팸 수신 건수는 상반기보다 43.0 % 늘어난 13.49개로 집계됐습니다.

그중 문자 스팸이 같은 기간 5.23개에서 8.91개로 크게 늘었습니다. 이메일 스팸 역시 2.12통에서 3.11통으로 46.6% 증가했습니다. 그나마 휴대전화 음성 스팸이 1.95통에서 1.47통으로 줄어든 게 불행 중 다행입니다. 폐해는 이뿐만이 아닙니다. 유출된 개인정보가 또다른 데이터와 결합해 더 큰 피해로 이어지는 경우도 있습니다.

김승주 고려대(정보보호학) 교수의 설명을 들어보시죠. "만약 해커가 서로 다른 경로를 통해 한 피해자의 금융 데이터와 비금융 데이터를 손에 넣었다고 가정해 보자. 해커는 두 정보를 조합해 더 가치가 높은 데이터를 만들어낼 수 있다. 이 정보를 구입한 마케팅 업체는 피해자의 면면을 자세히 아는 만큼 더 집요하게 마케팅을 펼칠 것이다. 그러는 사이 피해자는 더 많은 스팸 메일과 문자에 노출될 것이다. 최악의 경우엔 금전적인 피해가 발생할 가능성도 배제할 수 없다."

스팸 문자나 보이스피싱은 유출된 개인정보를 악용하는 대표적인 범죄 사례다.[사진=게티이미지뱅크]

물론 정부도 개인정보 유출을 막기 위해 힘을 쏟고 있습니다. 지난해 9월 15일 개인정보보호법 개정·시행으로 과징금 기준을 '개인정보 위반행위에서 기인한 매출의 3.0% 이하'에서 '전체 매출의 3.0%'로 바꾼 건 대표적인 사례입니다.

하지만 전문가들은 사후약방문보단 예방에 더 신경을 써야 한다고 지적합니다. 개인정보보호 전문강사협회 관계자는 "기업이 받는 개인정보보호 교육은 형식적인 교육에 그치는 경우가 많아 다변화하는 개인정보 유출에 취약하다"면서 "개인정보 단순 취급자·담당자·책임자 등으로 직원을 구분해 차별화한 교육을 실시하는 방법으로 예방책을 강구해야 한다"고 지적했습니다.

이처럼 한국은 개인정보의 사각지대에 놓여있습니다. 일반 기업은 물론이고, 법원 등 정부 부처까지도 해커들에게 속수무책으로 당하고 있습니다. 그럼에도 정부든 기업이든 뾰족한 해결책을 제시하지 못하고 있습니다. 이대로 괜찮을까요? 혹시 골든타임을 놓친 건 아닐까요?

이혁기 더스쿠프 기자

lhk@thescoop.co.kr

<저작권자 Copyright ⓒ 더스쿠프 무단전재 및 재배포 금지>