💌 후속 콘텐츠, 계속 받아보세요 ▶

01. 2025년도 주요 개인정보 유출사고 경향

“ 한국의 개인정보는 공공재다. ”

지난 4월 발생한 SK텔레콤(이하 SKT) 해킹 사태를 계기로 공공·민간 분야에서 개인정보 보안에 소홀했다는 비판의 목소리가 커지고 있다. 해커들이 탈취한 한국인의 개인정보가 다크웹(DarkWeb)에서 수십~수천만 원에 거래되며 ‘공공재’로 전락했다는 자조 섞인 반응도 나오고 있다. 그간 정보기술(IT) 강국으로 금융·행정·일상 서비스 등 모든 활동이 온라인에서 이뤄지고 있지만, 크고 작은 개인정보 유출 문제에는 무감각해 근본적인 대책 마련에 실패했다는 지적이 제기된다.

그렇다면 개인정보 유출은 비단 한국만의 문제일까? 지난해 IBM이 발표한 ‘2024 데이터 유출 비용 연구 보고서(2024 Cost of a Data Breach Report)’에 따르면 ’24년, 전 세계 데이터 유출(개인정보 관련) 사고 한 건당 평균 비용은 488만 달러(한화 약 67억 6,100만 원)에 달하는 것으로 분석됐다. 데이터 유출로 인해 상당한 또는 매우 심각한 업무 중단과 비즈니스 어려움을 겪었다고 응답한 기업은 70%에 달했으며, 평균 유출 비용은 전년 대비 10% 증가했다. 이는 개인정보 유출 관련 이슈가 단지 한국에서만 조명 받고 있지 않다는 것을 의미한다.

해당 보고서는 전 세계 604개 기업이 경험한 실제 데이터 유출에 대한 심층 분석을 기반으로 작성됐으며, 국내 28개 기업도 연구조사 대상에 포함됐다. 주목할 만한 점은 국내 기업의 평균 데이터 유출 비용이 ‘24년 48억 3,300만 원으로 한국 기업이 본 조사에 포함된 7년간 중 사상 최고치를 기록했다는 것이다.

이처럼 개인정보 유출은 큰 문제로 떠올라왔는데, 문제는 국내에서의 개인정보 유출 사례는 올해 들어 더욱 증가했다는 점이다. 절반 이상의 국민의 개인정보가 유출된 SKT 해킹 사태로 인해 올해 1~4월 국내에서 유출된 개인정보의 규모는 작년 대비 3배 가까이 증가했다. 해킹을 당한 기관을 구분해 보면 공공기관은 104건, 민간 기관은 203건으로 나타났다. 공공에서는 업무 과실로 인한 개인정보 유출(49%)이, 민간에서는 해킹(67%)이 주된 원인이었는데, SKT 해킹 사태가 발생했음에도 불구하고 공공과 민간 그리고 개인정보 처리자 등 모든 유형별 조직에서 지속적·대규모로 개인정보 유출 사례가 발생하고 있는 것이다.

SKT 해킹 사태 이전부터 국내 여러 공공·민간 조직에서는 크고 작은 개인정보 유출 사고가 잇따랐다. 취업 플랫폼 인쿠르트에서는 780만 명의 개인정보, 농촌진흥청에서는 57만 건의 계정 정보가 노출된 것이 대표적이다.

문제는 개인정보 유출 사고가 이처럼 폭증하고 있고 절반 이상의 국민의 개인정보가 유출된 사례(SKT 해킹)가 발생한 이후에도 끊임없이 개인정보 유출 피해가 발생하고 있다는 점이다.

지금까지도 수없이 많은 개인정보 유출 사태가 발생했음에도 불구하고 이처럼 개인정보 유출 사건이 지속되는 만큼 공공·민간 분야에서 개인정보 보안에 소홀했다는 비판의 목소리가 커지고 있다. 이러한 비판의 목소리가 커지는 배경에는 유출된 개인정보가 다크웹 등 불법 사이트에 유포돼 되돌릴 수 없는 피해를 일으킬 수 있다는 우려가 있다.

다크웹은 3중 암호화를 통해 접속자의 IP 주소를 알 수 없는 점이 특징으로, 무작위 코드로 링크를 변환해 추적을 따돌릴 수 있다. 그리고 다크웹에서는 실제로 한국인들의 개인정보가 거래되고 있다. 한 해커는 “한국의 한 중소기업 내부망에 접속할 수 있는 VPN 정보”라며 4,000달러(한화 약 556만 원)에 판다고 광고 중이었다. 사실이라면 기업 내부의 재무자료, 연구개발(R&D), 인사 등의 자료를 모두 볼 수 있는 셈이다. 공공기관도 예외는 아니다. 국가정보원도 지난해 해커 조직이 국가·공공기관 정부 서비스 이용자의 개인정보를 다크웹이나 텔레그램 등을 통해 유통하는 정황을 포착했다며 주의를 당부한 바 있다.

이러한 상황에 마주하자 개인정보위 고학수 위원장은 “유례없는 상황“이라고 정의했다. 문제는 그럼에도 불구하고 사회 전반적으로 개인정보 중요성에 대한 인식이 여전히 부족하다는 것을 나타낸 또 하나의 사건이 발생했다.
지난 5월 25일 새벽, 세종시에 위치한 테니스 코트를 찾은 시민은 하나의 정부 문서를 발견했다. 해당 문서는 “제10회 OOOO부 장관배 테니스 대회”였다. 지난 24일 해당 부처가 정부세종청사 스포츠센터 테니스장을 대관해 개최한 테니스 대회가 종료된 후 이를 버려둔 채 이석한 것으로 추정된다.

문제는 54페이지 분량에 달하는 문서에 해당 부처 및 유관기관 공무원 319명의 성명과 입사 연월, 전화번호, 이메일 주소 등이 포함됐다는 점이다. 그리고 해당 문건을 테니스 코트에 방치하고 간 행위는 명백한 「개인정보 보호법」 위반이다. 「개인정보 보호법」 제2조는 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’를 개인정보로 정의하고 있다. 또한 ‘23년 3월 14일 개정된 같은 법 제21조는 ‘개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.’라고 명시하고 있다.

물론 해당 사건을 단순 해프닝으로 바라볼 수 있지만, 극단적인 상황을 가정해본다면 아찔한 사건이다. 만약 사이버 공격자가 테니스장에 놓고 간 고위 공무원과 유관기관의 간부급 인사의 개인정보를 통해 해당 기관의 인사 DB나 시스템을 장악했다면, 그 피해는 수치로 따질 수 없을 만큼 커졌을 것이다. 이처럼 정부 부처가 시민이 걱정할 정도로 개인정보를 스스로 흘리고 다닌다면 국민들에게 개인정보에 대한 중요성을 더는 강조하지 못할 수도 있다.

02. 개인정보 유출 사고 대응 방안

① 이정문 의원, 「개인정보 보호법」 일부개정법률안 발의

개인정보 유출이 지속된다는 점 외에도 더 큰 문제가 존재한다. 바로 개인정보가 유출되고 난 후의 사후 대책이다. 피해자(국민)가 느끼기에 기업의 대응은 통상 진정성 없는 사과와 재발 방지라는 수사로 일관되고 있다. 특히 자신의 개인정보가 다크웹 등 불법 거래 사이트를 유통되더라도 국민들은 그 사실에 대해 인지조차 못 할 수 있다. 기업은 피해자에게 사과하고 벌금(과태료)을 물면 그만이지만, 민감한 개인정보가 노출된 피해자들은 그 후에도 2차 범죄에 무방비로 노출될 수 밖에 없다.

문제는 기업들은 이러한 2차 피해에 대해서는 크게 관심이 없다는 점이다. 유출된 개인정보가 어떤 범죄에 구체적으로 이용됐다는 것이 ‘과학적’으로 검증되지 않는 한 소비자들은 피해를 당하고도 구제를 받거나 보상을 받을 길이 없다. 바로 현행 「개인정보 보호법」에는 유출된 개인정보의 불법 유통을 추적하고 확산을 방지하는 사후 조치에 대한 의무가 없으며, 단지 개인정보 유출 시 의무적으로 신고해야 한다는 내용만 담겨져 있기 때문이다.

이러한 문제로 인해 최근 개인정보 유출 사고 뒤 기업의 ‘사후 무대책’에 대한 의무적 대응 마련이 국회에서 법제화되고 있다. 지난 5월 1일, 더불어민주당 이정문 의원(더불어 민주당, 정무위원회)은 개인정보 유출 기업과 기관의 사후 책임을 강화하는 「개인정보 보호법」 일부개정법률안을 대표 발의했다. 해당 개정안은 일정 규모 이상의 개인정보 유출 사고 발생 시 기업에 추가적인 의무를 부과하는 내용을 담고 있는데, 구체적인 내용은 다음과 같다.

이정문 의원은 개정안과 관련해 “개인정보 유출로 인한 피해는 단순히 유출 자체에서 그치지 않고, 2차·3차 피해로 확산되는 경우가 많다.”라며 “기업과 공공기관들이 개인정보 유출 이후에도 지속적으로 유출된 정보에 대한 책임을 지고 사후 관리를 철저히 하도록 하는 것이 개정안의 취지”라고 밝혔다.

② 이해민 의원, 「개인정보보호법」 일부개정법률안(개별통지 의무화법), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정법률안(이행강제금 도입법) 대표발의

이와 함께 국회 과학기술정보방송통신위(과방위) 소속 이해민 조국혁신당 의원은 지난 6월 12일 개인정보보호법 일부개정법률안(개별통지 의무화법), 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(이행강제금 도입법)을 대표발의했다. ‘개별통지 의무화법안’은 개인정보 유출 사고가 발생하면 기업이 정보주체(개인)에게 전화·문자·이메일·서면 등의 수단을 활용해 개별적으로 통지하도록 의무화했다.

특히 통지 내용 조항을 현재 ‘~관한 정보’에서 ‘~에 관한 구체적인 정보’로 개정해 정보 유출 피해자의 알 권리를 더욱 두텁게 보장한다. 

이와 함께 기업이 재발 방지 대책과 피해자 보호 계획 등을 정보주체와 개인정보보호위원회에 통보하도록 규정함으로써 기업의 책임성과 사후 대응체계도 강화하는 내용도 담았다. SKT 해킹사고는 이용자의 민감정보가 외부에 대규모로 유출된 중대한 침해사고임에도 불구하고 피해자에게 사고 사실이 늦게 통보됐고 그 통보 내용 또한 부실하다는 지적이 제기됐다. ‘이행강제금 도입법안'은 정부의 침해사고 조사 과정에서 사업자가 자료 제출을 거부하거나 허위자료를 제출할 경우 매출과 연계한 이행강제금을 부과하도록 하는 것을 뼈대로 한다. 해당 기업의 매출액 산정이 어려운 경우에도 하루 200만 원의 이행강제금을 부과할 수 있게 해 현행 1천만 원 이하의 과태료보다 제재의 실효성을 높였다.

③ 김상훈 의원, '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 개정안 발의

이어 김상훈 국민의힘 의원도 지난 6월 11일, SK텔레콤 등 이동통신사의 해킹 예방을 위해 정보보호 인증제도의 실효성을 높이는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 개정안을 발의했다.

이번 개정안은 이동통신사 등 보안 관련 고위험 산업군에 대해서는 보다 엄격한 인증 기준을 적용할 수 있도록 하고, 정보보호 관련 법령을 중대하게 위반했을 때는 인증을 취소할 수 있도록 했다. 또한 서류심사 중심이었던 인증 사후관리에 현장심사를 병행하게 하고, 인증 미이행 시 과징금을 부과할 수 있게 함으로써 제도의 실효성을 높였다.

④ 개인정보위, 정보보호 투자 의무화 추진

개인정보위 역시 칼을 빼 들었다. 개인정보위는 지난 21일, 한국 CPO(개인정보보호책임자) 협의회와 공동으로 주최한 ‘개인정보 정책포럼’을 통해 기업·기관의 정보보호 투자 비중을 전체 IT 예산의 15%까지 확대하도록 유도하겠다는 내용이 담긴 ‘개인정보 안전관리 대책’을 발표했다. 개인정보위는 유출 사고 발생 시 일시적으로 대응하는 사후 조치 위주의 체계로는 반복되는 유출 사고를 막기 어렵다고 진단했다. 대규모 개인정보 처리자를 중심으로 △즉각적·기술적 조치사항 △상시적·전사적 내부통제 강화 △정보 주체의 권리구제 실질화 등 크게 세 가지 정책 방향을 수립하고 이를 적용하기 위한 과제를 공개했다.

이번 추진 과제에는 공공·민간 등 전 분야를 대상으로 개인정보보호 인력과 예산 기준을 구체화하는 내용이 담겼다. 이는 국내 기업의 정보보호 투자 비중이 여전히 낮다는 현실을 반영한 것이다.

[표 4] ‘개인정보 안전관리 대책’ 추진안 주요 내용 (출처: 개인정보위, 재구성: 이글루코퍼레이션)

보안 연구기관인 IANS리서치(IANS Research)·아티코 서치(Artico Search)가 지난 ‘23년 발표한 보고서에 따르면 미국 기업의 정보보호 투자 비중은 IT 예산 대비 평균 10.5%를 기록했다. 이에 비해 국내는 지난 ‘21년~’23년 6.1% 수준에 그치고 있다. 뿐만 아니라 CPO에 대한 인식과 중요성 역시 널리 전파되지 못한 것이 현실이다. 이러한 상황을 타개하기 위해 개인정보위는 “국민의 개인정보 보호 체계를 더욱 공고히 하고, 개인정보와 관련해 대두되는 정책 현안에 기민하게 대응하는 개인정보 컨트롤타워로 자리매김할 수 있도록 협의회와 함께 적극 노력해 나가겠다.”라고 전했다.

03. 마무리

일례로 싱가포르에서는 쓰레기를 무단 투기하거나 길거리에 버릴 경우 첫 적발 시 최대 2,000 싱가포르 달러(한화 약 170만 원)가 부과된다. 이후 적발 시 벌금은 2배 단위로 증가한다. 이 때문에 타 국가들과 비교했을 때 싱가포르의 길거리에서는 담배꽁초 하나 찾아볼 수 없을 만큼 청결함이 유지된다. 만약 싱가포르의 쓰레기 무단 투기에 대한 철저함이 개인정보 유출에도 적용됐다면 개인정보가 이처럼 쉽사리 유출되는 경우는 찾아보기 어려웠을 것이다. 고학수 위원장의 발언처럼 개인정보 유출은 심각한 수준에 도달한 만큼, 국회에서는 입법 활동을 강화해 ’제2의 SKT’, ‘제3의 SKT’ 사태를 방지하고자 하는 움직임이 보이고 있다. 입법 활동 강화를 통한 개인정보 유출 방지도 좋지만, 이와 함께 개인정보의 중요성에 대한 인식 확대가 필요한 시점이다.

04. 참고자료

“IT예산 15% 보안에 써야”…개인정보위, 정보보호 투자 의무화 추진, 이데일리:
https://www.edaily.co.kr/News/Read?newsId=03588326642171216&mediaCodeNo=257&OutLnkChk=Y
"올 1∼4월에만 개인정보 유출 3천600만건, 전년比 3배 폭증“, 연합뉴스:
https://www.yna.co.kr/view/AKR20250521082300530
[SKT 해킹 사태] 국회, 개인정보 유출 기업에 ‘칼’ 빼든다, 보안뉴스:
https://m.boannews.com/html/detail.html?idx=137077
조국혁신당 이해민 SKT 해킹 방지법안 발의, '개인정보 유출 피해자 개별통지' 포함, 비즈니스 포스트:
https://www.businesspost.co.kr/BP?command=article_view&num=398768
"이통사 해킹 예방 강화"···김상훈 의원, 정보통신망법 개정안 발의, 서울파이낸스:
https://www.seoulfn.com/news/articleView.html?idxno=559762
디올 이어 티파니도 뚫렸다 … 고객 개인정보 유출, 뉴데일리:
https://biz.newdaily.co.kr/site/data/html/2025/05/26/2025052600415.html
명품 '디올' 개인정보 유출 '쉬쉬', "오프라인 구매자도 털려“, 노컷뉴스:
https://www.nocutnews.co.kr/news/6339832
인크루트서 또 개인정보 유출…＂규모 확인 중“, ZDNet:
https://zdnet.co.kr/view/?no=20250311083403
KB라이프, 임직원 정보 유출 우려…"네트워크 차단·전면 재점검 실시“, 이투데이:
https://www.etoday.co.kr/news/view/2473764
"SKT 사고 잊었나"…공무원 '개인 정보' 담긴 문서 테니스코트에 방치, 네이트뉴스:
https://news.nate.com/view/20250526n14222

💌 후속 콘텐츠, 계속 받아보세요 ▶