올해 개인정보 유출 신고가 최근 5년 중 가장 많은 수에 이를 것으로 보인다. 민간기업에서는 해킹 피해가 증가하고 공공기관에선 업무 과실로 인한 피해가 반복되며 정보 보호 체계의 취약성이 드러나는 모습이다.
9일 박충권 국민의힘 의원실이 개인정보보호위원회로부터 받은 자료에 따르면 지난 1월부터 9월까지 접수된 개인정보 유출 신고는 311건이었다. 최근 5년간 가장 많았던 2023년(318건)과 비슷한 수준이다. 9월까지 집계된 숫자임을 감안하면 쿠팡 사례를 포함해 올해는 유출 신고가 가장 많이 접수된 해가 될 가능성이 크다. 공공기관이 93건, 민간기업이 218건이었다. 유출 원인으로는 해킹이 197건으로 가장 많았고 업무 과실이 92건, 고의 유출과 기타가 각각 11건이었다.
민간기업에서는 해킹 피해가 두드러졌다. 해킹에 의한 유출이 164건으로 전체의 75%를 차지했다. 해킹 피해는 2021년 50건, 지난해 135건으로 매년 증가 추세다. 올해는 주요 기업에서 대형 사고가 잇따랐다. 지난 1~2월에는 GS리테일 편의점·홈쇼핑 웹사이트에서 해킹 피해가 발생했다. SK텔레콤에서는 지난 4월 악성코드로 인해 약 2324만명의 유심 정보가 유출됐다. 개보위는 이 사고에 역대 최대 규모인 1347억9100만원의 과징금을 부과했다. 지난 9월엔 KT에서 불법 기지국을 통한 무단 소액결제와 유심정보 유출이 발생했다. 롯데카드는 외부 공격으로 297만명의 개인정보가 유출됐다.
반면 공공기관은 해킹보다 업무 과실로 인한 사고 비중이 높았다. 올해 공공기관 유출 93건 중 52건이 업무 과실로 인해 발생했다. 지난 4월 한국토지주택공사(LH)에서는 직원이 공공임대주택 신청자 1167명의 개인정보가 담긴 엑셀파일을 청약플러스 홈페이지에 잘못 게시하는 사고가 있었다. 개보위는 최근 담당자 실수로 개인정보를 유출한 공공기관들에 잇따라 시정조치를 내린 것으로 전해졌다.
민간·공공을 불문하고 유출이 반복되자 정부는 정보보호와 개인정보보호관리체계(ISMS-P) 인증제도의 실효성 강화를 위한 개편에 나섰다. 기존 자율 신청 방식으로 운영돼온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화할 계획이다. 통신사, 대규모 플랫폼 등 국민 파급력이 큰 기업엔 강화된 인증기준을 적용하고, 유출 사고 발생 시 중대 결함이 드러날 경우 인증을 취소할 수 있도록 하는 내용도 포함됐다.
신주은 기자 june@kmib.co.kr