확산되는 개인정보 유출 사고, 무엇이 문제인가

SK텔레콤 2324만 명 정보 유출 이어
통신사 KT·LG유플러스 해킹 사태
업비트는 솔라나 코인 외부로 전송돼
54분간 총 444억 8000만 원 빠져나가
유통업계도 올해에만 쿠팡 사태 외에
GS리테일·예스24·디올 등 잇단 사고
기업들 ‘책임 회피’에 피해 구제 한계
집단소송제·보안 규정 대폭 강화해야

그래픽=류지혜 기자 birdy@·클립아트코리아

통신사 해킹에 이어 금융사, 유통사까지 개인정보 유출 사고가 계속되고 있다. 소비자들은 ‘유심 교체’ ‘신용카드 비밀번호 변경’에 이어 ‘공동현관 비밀번호’까지 바꿔야 하는 상황이다. 정신적·물질적 피해가 쌓이지만 해킹 사고를 낸 기업들은 ‘보상 중재안’을 거부하거나 ‘면책 조항’을 내세워 책임을 회피하는 모습이다. 이 때문에 집단소송제 등 소비자 피해 구제를 위한 제도 강화가 필요하다는 지적이 힘을 얻고 있다.

■해킹 무방비 통신업계

올해 개인정보 유출 사고는 통신사에서 시작됐다. 업계 1위인 SK텔레콤은 지난 4월 해킹 사태로 가입자 대부분에 해당하는 2324만 명의 휴대전화번호, 가입자식별번호(IMSI) 등이 유출됐다. 이후 KT에서 불법 기지국을 이용한 해킹 사태가 발생했고 이를 조사하는 과정에서 지난해 10월부터 해킹이 이뤄진 사실도 드러났다. 또 LG유플러스에서는 인공지능(AI) 통화 비서 서비스에서 가입자의 일부 통화 내용이 다른 가입자에게 노출됐다.

해킹 사태로 SK텔레콤, KT 가입자 수천만 명이 유심을 교체하는 불편을 겪었고 KT 가입자 일부는 소액 결제 피해를 입었다. SK텔레콤은 8월 통신요금 반값 등 보상안을 내놓았지만 가입자 1인당 30만 원의 배상을 권고한 개인정보 분쟁조정위원회의 조정안은 거부했다.

통신사 해킹의 경우 개별 소비자의 피해가 소액에 그쳐 실질적인 보상이 어려운 상태다. 피해자가 보상을 받기 위해 개별적으로 권리를 행사할 가능성이 낮다는 분석이 나온다. 소비자 피해 구제 수단인 집단소송제가 증권 분야에만 제한적으로 허용된 것도 문제로 지적된다. 국회입법조사처는 최근 보고서에서 “피해를 입은 정보주체가 실질적인 보상을 받지 못한다는 불만과 개인정보 침해가 증가하는 현실을 고려하면 집단소송이 하나의 해결책이 될 수 있다”고 분석했다.

통신업계에선 AI 기술의 고도화가 개인정보 보호와 충돌한다는 지적도 나온다. 대화형 AI, 자율주행 자동차 등 다수의 AI 기술은 상당수가 개인정보로 볼 만한 소지가 있는 데이터를 기반으로 학습되고 있다. 특히 AI 알고리즘은 복잡한 구조를 갖고 있어, 기초 데이터가 어떠한 방식으로 수집·처리·삭제되는지를 명확히 파악하기 곤란한 상태다.

■터지면 대형 피해 가상자산업계

가상자산 업계에서도 연이은 해킹 사고에 금융당국이 골머리를 앓고 있다. 가상자산거래소 업비트 운영사 두나무는 2019년에 이어 지난달 27일에도 대규모 해킹 사고가 발생했다. 이번 해킹 시도는 오전 4시 42분부터 오전 5시 36분까지 총 54분간 이뤄졌다. 54분간 솔라나 계열 코인 24종이 총 1040억 6470만 4384개가 외부로 전송됐다. 피해액은 총 444억 8059만 4889원으로 1초당 1373만 원(코인 3212만 개)이 빠져나간 셈이다.

업비트는 2019년에도 거래소에 보관된 580억 원 규모의 가상자산 ‘이더리움’이 유출된 바 있다. 업비트가 이 같은 해킹 피해 사실을 금융당국에 늑장 신고했다는 점도 논란을 키우고 있다. 이와 관련 업비트 운영사인 두나무와 네이버파이낸셜 합병 행사가 끝난 이후로 사고 공지와 신고를 의도적으로 미룬 게 아니냐는 의혹이 제기된다.

금융업계에선 규제 당국의 오락가락 행보도 문제라는 지적이 나온다. 금융당국은 지난해 2월에는 금융보안체계의 ‘유연성’을 강화하는 내용의 전자금융감독규정 개정안 규정 변경을 추진한 바 있다. 건물·설비·전산실 관리와 내부통제·사업운영에 대해 금융사의 자율성을 대폭 확대하는 내용이었다. 그러나 업비트 해킹 이후 금융 당국은 다시 규제 강화로 방향을 전환하고 있다.

■해킹 범죄 먹잇감 된 유통업계

유통업계의 경우 개인정보 유출이 쿠팡 사태에 한정된 게 아니라는 분석이 제기된다. 이커머스(전자상거래)등 주요 소비재기업은 고객 이름과 주소, 전화번호 등을 기반으로 운영하지만 개인정보 관리에는 소홀하며 해킹 범죄집단의 먹잇감이 됐다는 지적이다.

실제로 지난 1~2월에는 GS리테일에서 개인정보 유출 사고가 발생했다. 당시 GS25 홈페이지를 통해 9만여 명의 개인정보가 유출된 데 이어 GS홈쇼핑 웹사이트에서도 158만 건의 추가 유출 정황이 확인됐다. 지난 5월 스포츠 의류 브랜드 아디다스는 해킹으로 고객 개인정보가 유출되는 사고가 발생했다며 당국에 이를 신고했다. 국내 최대 온라인서점인 예스24 역시 6월과 8월 두 차례 랜섬웨어에 서비스가 마비되며 취약한 보안 실태를 드러냈다.

명품 브랜드도 정보 유출 사고가 발생했다. 지난 5~7월에는 디올과 티파니, 까르띠에, 루이비통 등 명품 브랜드들이 잇따라 고객 정보 유출 사고가 발생했다고 밝혔다. 외식업계 중에서는 한국파파존스에서 고객의 개인정보 유출 사고가 발생해, 지난 6월 이를 고객에게 공지했다.

보안 전문가들은 이커머스의 성장으로 유통업계가 고객 데이터 취급량은 급증하지만, 정보보안 투자와 조직체계는 걸음마 단계라고 꼬집는다. 한 정보보안 전문가는 “이커머스는 개인정보 취급량이 많은 만큼 보안이 허술하면 범죄집단이 노리기 좋은 대상”이라고 지적했다.

김종우 기자 kjongwoo@busan.com , 이정훈 기자 leejnghun@busan.com , 박지훈 기자 lionking@busan.com