올해 개인정보 유출 신고 건수가 3분기만에 이미 지난해 전체 신고 건수를 넘어선 것으로 파악됐다. 최근 5년 중 가장 많은 유출 사건이 발생한 2023년보다 불과 7건 적은 수준이며 SK텔레콤 해킹과 KT 무단 소액결제 사건, 쿠팡 회원 정보 유출 등 치명적인 개인정보 유출 사건도 거의 매달 발생하고 있어 보안 관련 제도의 ‘대수술’이 시급하다는 지적이 나온다.

박충권 국민의힘 의원실이 개인정보보호위원회(개보위)로부터 제출 받은 자료에 따르면 올해 1월부터 9월까지 접수된 개인정보 유출 신고 건수는 311건에 달한다. 지난해(307건)는 이미 넘었고, 2021년(163건)과 비교하면 거의 2배가 됐다. 최근 5년간 가장 많았던 2023년(318건)과 비교해도 고작 7건 차이다. 9월 이후에도 쿠팡 등 여러 업체에서 개인정보 유출 사고가 발생했고, 12월도 아직 남아있다는 점을 고려하면 2020년대 가장 많은 유출 사고가 발생한 해가 될 가능성이 크다.

사건 수가 많았을 뿐 아니라 사회적 불안을 키운 대규모 유출 사건도 잇따랐다. 지난 1월, GS리테일은 지난해 12월 27일부터 지난 1월 4일까지 웹사이트 해킹으로 고객 9만여명의 이름과 성별, 생년월일 등 7개 항목의 개인정보가 유출됐다고 밝혔다. 약 한달 뒤인 2월 27일엔 “최근 1년간 기록을 추가 분석한 결과 해킹 공격으로 약 158만 건의 개인정보가 유출된 정황을 확인했다”고 추가 공지했다. 올해 발생한 첫 대규모 개인정보 유출 사고였다.

이후에도 ‘역대급’ 개인정보 유출 사건이 이어졌다. 지난 4월에는 SK텔레콤에서 이용자 약 2324만명의 정보가 유출됐다. 여기엔 기본 가입자 정보는 물론 개인을 특정할 수 있는 인증정보(가입자 식별번호, 단말기 식별번호 등) 등 모두 25종의 개인정보가 포함됐다. 전국민의 절반 가까이 피해를 입은 해당 사고에 대해 개보위는 지난 8월 역대 최대인 1347억 9100만원의 과징금을 부과했다.

5월에는 구인구직 플랫폼 알바몬이 해커로부터 공격 당해 이용자들의 이름과 휴대전화 번호 등이 포함된 임시 저장 이력서 2만2473건이 유출됐다. 이어 7월에는 대성학원 관계사인 대성학력개발연구소에서 학생 개인정보가 새나갔고, 다음 달인 8월엔 KT 무단 소액결제 사건이 발생했다. KT는 약 20여개의 불법 기지국 장비(소형 펨토셀)를 활용한 해당 범죄에 속수무책 당했고, KT와 수사 당국 등은 고객 약 2만 2200명의 개인정보와 인증정보가 유출된 것으로 추정했다. 이 중 368명은 무단 소액결제로 약 2억4319만원어치의 피해를 입었다.

그리고 세 달 뒤인 지난 11월, ‘역대 최악’이란 평가를 받는 쿠팡 개인정보 유출 사건이 일어났다. 3370만명의 기본적인 정보와 전화번호, 주소 등이 유출됐고 일부는 공동현관 비밀번호까지 새나갔다. 피해자들은 본사를 상대로 집단소송을 추진 중이다. 또 같은 달 롯데카드에선 해킹 사고로 297만 명의 고객 정보가 유출됐다. 이 중 28만 명은 카드 번호와 CVC번호, 주민등록번호 등 민감한 정보까지 새나가면서 2차 피해에 대한 공포가 확산됐다.

전문가들은 개인정보 관리 체계부터 재정비하고, 기업이 보다 적극적으로 개인정보 유출 방지를 위해 노력해야 한다고 입을 모았다. 황석진 동국대 국제정보보호대학원 교수는 “기업들은 개인정보 보호를 비용으로만 인식하기에 법정 기준만 충족하면 된다고 생각하는 경우가 많다”며 “시스템만 제대로 구축되었으면 발생하지 않을 수 있는 사고가 연이어 발생하는 건 체계가 허술하다는 뜻”이라고 지적했다. 이어 “쿠팡만 해도 인증을 7개나 갖고 있는데, 2021년부터 벌써 네 번의 사고가 발생했다”며 “인증 취소는 물론 정도가 심한 경우 다시 발급 받지 못하게 하는 등 더 강력한 조치가 필요하다”고 덧붙였다.

박춘식 서울여대 정보보호학과 교수는 “개보위와 과기정통부가 인증 기준을 따로 운영하는데다 공무원들이 순환하며 자리를 맡는 탓에 보안 관련 기구의 전문성이 떨어지는 것이 사실”이라며 “이를 보완하기 위해 사이버 보안청을 설립하는 등의 방법을 고민해볼 필요가 있다”고 말했다.