|
|
|
|
출퇴근하다 보면 지하철에서 스마트폰 화면을 들여다보며 은행 등 금융앱의 로그인 기록을 확인하는 모습을 적지 않게 볼 수 있다.
"혹시 나도 모르는 사이 접속된 기록이 있을까"하는 불안 심리 때문이다.
최근 국내에서 잇따라 발생한 대형 개인정보 유출 사건 이후 일상에서 보안 점검이 습관처럼 자리 잡고 있는 모습이다.
쿠팡에서 3천370만건의 정보가 새어 나가고 통신사의 AI 통화 앱에서 이용자 통화 요약이 엉뚱한 사람에게 보이는 사고가 발생하는 등 개인 정보 유출에 대한 불안은 사그라지지 않고 있다.
인공지능(AI) 보안업계 관계자는 "한국은 생활형 서비스가 몇 개 대형 플랫폼에 집중되기 때문에 사고가 발생하면 즉시 전국 규모 영향으로 확산하는 구조"라고 설명했다.
미국, 브라질, 중국 등에서 대규모 정보 유출 사고가 적지 않지만 우리나라는 인구 대비 사고 비율과 서비스 집중도가 높아 취약성이 두드러진다는 평가가 나온다.
지난 10여년간 국내에서 확인된 개인 정보 유출 규모만 3억건을 넘어서며 개인별 중복 노출 역시 구조화돼 있다는 분석도 제기된다.
◇ 한국만의 '플랫폼 집중 위험' 드러난 구조적 취약성
우리나라에서 발생한 개인정보 유출 규모는 절대치만 놓고 보면 미국보다 작지만 인구 대비 비율로는 세계적으로 높은 수준으로 평가된다.
정부·금융기관·병원·플랫폼 등에서 공개적으로 확인된 사건만 합산해도 3억건을 넘어서면서 상당수 국민이 반복적으로 여러 사고에 노출됐다고 볼 수 있다.
쿠팡과 네이버, 카카오, 통신 3사 등 생활밀착형 서비스를 제공하는 대형 플랫폼에서 중대 사고가 발생할 경우 수백만~수천만 명이 단번에 영향을 받는 구조도 위험을 키우는 요소다.
이에 비해 미국은 개인 정보 유출과 관련한 단일 사고 규모는 매우 크지만 산업이 넓게 분산된 편이라 특정 기업에 피해가 집중되는 경향은 약하다고 볼 수 있다.
미국의 2023년 데이터 유출 규모는 3억5천만건을 넘어섰지만 금융·의료·정부 등 다양한 분야에서 발생한다는 점에서 한국과 구조적 차이가 있다.
브라질의 경우 2021년 국민 절반 이상의 정보가 담긴 2억2천만명 규모 데이터베이스가 외부에 유출되는 초대형 사건이 있었다.
중국에서는 2022년 상하이 경찰 데이터베이스에 보관된 10억건 이상 자료가 유출된 사례가 주목받았다.
이들 국가는 개인 정보 유출 사고 규모가 매우 크지만 한국처럼 중대 사고가 연속으로 발생하는 패턴과는 다소 다른 모습이다.
우리나라의 특징은 중대형 개인 정보 유출 사고가 거의 매년 반복되면서 장기간 축적된다는 데 있다.
단일 사고 규모는 미국·브라질의 초대형 사건과 비교해 상대적으로 작지만 여러 사고가 계속되면서 국민 개개인이 중복으로 노출된 상태가 지속되는 구조인 셈이다.
특히 우리나라는 네이버, 쿠팡, KT 등 대형 플랫폼 중심의 산업 구조를 가지고 있어 개인 정보 유출이 발생하면 쇼핑·결제·배달·메신저 등 일상 영역에 직접 영향을 미치게 된다.
국제기관들의 분석에서도 우리나라의 개인 정보 유출 위험도는 구조적 요인 때문이라는 지적이 나온다.
기술적 보안 능력 자체가 낮아서가 아니라 대형 플랫폼 집중과 디지털 의존도 확대 때문에 개인 정보 유출 사고가 발생했을 때 피해 반경이 넓어진다는 의미다.
국내 보안 업계는 "한국은 개인 정보 유출 사고가 나면 바로 사회 전반으로 충격이 확산할 수밖에 없는 유형의 국가"라고 보고 있다.
◇ 10년간 3억건 넘은 누적 유출…'적층 위험' 현실화
우리나라의 개인정보 유출 위험 수준을 논할 때 가장 먼저 거론되는 사실은 지난 10년 동안 공개된 유출이 3억건을 넘는다는 점이다. 인구 대비로 보면 상당히 높은 비율이며 경제협력개발기구(OECD) 주요국 중에서도 상위권에 든다.
또한 중대형 개인 정보 유출 사고가 주기적으로 반복되고 사고마다 노출된 데이터 유형이 달라 여러 사건이 합쳐지면 개인을 자세히 식별할 수 있는 기반이 된다. 한 사람의 개인 정보가 쌓이는 '적층 위험'이 현실화하고 있다는 분석이 이 때문에 나오는 것이다.
그럼에도 우리나라가 '세계에서 개인 정보 유출이 가장 많은 국가'라는 표현은 적합하지 않다.
미국이나 중국이 개인 정보 유출에 있어 절대 규모가 훨씬 크며 인도·러시아 등에서도 정부 시스템과 대규모 플랫폼에서 초대형 사고가 일어난 적이 있기 때문이다.
우리나라의 보안 기술 수준이 낮아서 개인 정보 유출 사고가 잦다는 지적도 정확하다고 볼 순 없다.
우리나라 기업들의 보안 솔루션 도입률과 관리 체계가 평균 이상이라는 평가가 적지 않기 때문이다. 문제는 기술이 아니라 플랫폼 구조와 탐지·공개 체계의 미흡에서 찾는 게 바람직해 보인다.
우리 정부와 기업은 개인정보 유출과 관련해 명확한 기준과 절차를 갖고 있다. 개인정보보호위원회는 5천명 이상 정보가 노출된 사고를 중대 유출로 규정하고, 모든 유출은 72시간 이내 신고하도록 하고 있다.
한국인터넷진흥원(KISA)은 유출 원인을 해킹, 내부자 부주의, 시스템 설정 오류 등으로 분류해 조사하며 기업은 사고 발생 시 이용자 통지 의무를 부담한다.
이처럼 제도적 기준은 마련되어 있지만 탐지 속도와 선제적 경보 체계는 개선의 여지가 크다는 지적이 많다.
◇ 기업·정부 대응 강화 속 이용자 '자기 점검' 중요성 커져
우리나라 개인 정보 유출 위험의 핵심은 여러 플랫폼에서 흘러나온 데이터가 결합하면 개인 정보를 정밀하게 재구성할 수 있다는 점이다.
과거에는 이름·전화번호·주소 등이 단편적으로 유출되는 데 그쳤다면 최근에는 구매 내용, 로그인 기록, 배송 정보, 결제 패턴 등이 연결되며 개인의 일상 패턴 전체를 추정할 수 있는 수준까지 이르렀다. AI 기반 데이터 분석 기술이 고도화되면서 이런 재식별 가능성을 더 커졌다.
이에 따라 쿠팡, 네이버, 카카오, 통신사 등 업체들은 보안 투자와 모니터링 시스템 강화 작업을 진행하고 있다.
실제로 모의훈련 확대, 내부 접근 권한 통제 강화, 실시간 이상 징후 탐지 체계 개선 등이 잇따라 시행되고 있다. 보안 전문가 채용 확대도 이어지는 분위기다.
정부는 사고 조사와 제재 강화 외에도 사고 예방을 위한 가이드라인 개정 작업을 지속해 나가겠다는 입장이다.
이처럼 개인정보 유출 위험이 높아진 상황에서는 이용자가 자신의 정보 흐름을 스스로 점검하는 것이 중요하다.
같은 비밀번호를 여러 서비스에서 사용하는 관행은 적층 위험을 키우는 요인이 될 수 있다.
로그인 기록 확인, 2단계 인증 설정, 비밀번호 정기 변경 등 기본 조치만으로도 피해 가능성을 상당히 줄일 수 있다.
기업과 정부가 보호 체계를 강화하는 것과 별개로 이용자 역시 자신의 정보가 어떤 플랫폼에서 어떻게 사용되고 있는지 주기적으로 확인할 필요가 있다.
개인정보 보호는 제도와 기술, 그리고 이용자 인식이 맞물릴 때 효과를 발휘할 수 있다는 점을 명심해야 한다.
president21@yna.co.kr
<연합뉴스>
