【 청년일보 】 2025년 한 해는 대한민국 보안 역사상 최악의 해로 기록될 전망이다. 국내 유통업체부터 개인 생활과 밀접하게 연관된 통신사, 카드사에 이르기까지 개인정보 유출 사고가 연이어 발생했다.

29일 업계에 따르면 쿠팡의 개인정보 유출 사건의 개인정보 유출 피해자는 약 3천300만 명에 달한다. 중국 국적의 전 직원이 내부 인증키를 탈취해 고객정보를 유출한 것이다. 이는 국내 단일 사고 기준 최대 규모다.

이에 정부는 이날 배경훈 과학기술부총리 주재로 '쿠팡 사태 범정부TF' 회의를 열고, 쿠팡 침해사고와 개인정보 유출 사고에 대한 쿠팡의 대응을 경고하는 한편 전방위적·종합적 대응에 나서기로 했다.

개인 소비 생활과 직결된 카드업계에서도 개인정보 유출이 이어졌다. 롯데카드는 8월 약 297만 명의 카드번호와 CVC, 비밀번호가 유출됐다. 이달 들어서는 신한카드 내부 직원이 영업 목적으로 19만2천여 개 가맹점 대표자의 정보를 무단 복제하는 등 내부 통제 부실이라는 허점이 드러났다.

통신업계도 예외는 아니었다. 4월 SK텔레콤에서 약 2천300만 명의 USIM 인증키 등 핵심 통신 정보가 유출되는 사건이 발생했으며, 8월에는 KT 가입자 5천여명이 '가짜 기지국' 공격에 노출되어 소액결제 피해로 이어졌다.

유통 분야의 기업들도 개인정보 유출이 발생했다. 온라인 서점을 운영하는 예스24(YES24)는 6월 랜섬웨어 공격으로 사흘간 서비스가 마비됐다. 관리자 계정 탈취로 인해 2,000만 명의 회원 정보가 조회된 것으로 확인됐다. GS리테일은 1월 크리덴셜 스터핑 공격으로 158만 명의 개인통관고유부호 등 10개 항목이 유출됐다.

연말에는 산업계의 기업 내부 인트라넷을 겨냥한 공격이 거세졌다. 이달 들어 아시아나항공과 신세계I&C는 인트라넷 해킹으로 임직원 및 협력사 관계자 수만 명의 이름 등이 유출됐으며, 대한항공 또한 기내식 등을 납품하는 회사가 해커의 공격을 받아 임직원의 개인정보가 유출됐다. 이 밖에도 알바몬 KS한국고용정보, 대성학력개발연구소 등 구직자와 수험생을 대상으로 한 유출 사고가 끊이지 않았다.

이처럼 업종을 불문하고 국내 기업들의 개인정보 유출 사고가 잇따르는 상황에서 주요 기업들의 최근 3년간 정보보호부문 투자는 정체 상태에 머물러 있는 것으로 파악됐다.

29일 기업정보분석업체 리더스인덱스에 따르면 국내 매출 상위 500대 기업 중 정보보호 공시 종합 포털에 자료를 공개한 87개 사의 정보기술부문 투자액은 2022년 16조4천667억원에서 2024년 21조6천71억원으로 31.2% 늘었다. 같은 기간 정보보호부문 투자는 9천602억원에서 1조2천756억원으로 32.8% 증가했다.

그러나 정보기술 대비 정보보호 투자액의 비중으로 보면 5.8%에서 5.9%로 0.1%포인트 늘어나 사실상 변화가 없었다.

정보보호부문 전담인력 역시 비슷한 흐름을 보였다. 조사 대상 기업들의 정보보호부문 전담인력 수는 2022년 3천44명에서 지난해 3천723명으로 22.3% 늘었다. 그러나 정보기술 부문 전체 인력 대비 비중은 6.4%에서 6.7%로 0.3%p 늘어나는 데 그쳤다.

특히 최근 개인정보유출 사고가 벌어진 쿠팡, SK텔레콤, KT 등 기업들의 정보기술 조직 내 정보보호 전담인력 비중은 오히려 낮아진 것으로 드러났다.

리더스인덱스 관계자는 "3년간 주요 기업의 정보보호부문 투자액과 전담인력은 절대 규모로는 증가했지만 비중 차원에서 보면 거의 변화가 없었다"며 "정보보호 전담인력 확대 속도가 정보기술 조직 전체의 확장세를 제대로 따라가지 못한 것"이라고 전했다. 이어 "정보기술 투자 확대 과정에서 정보보호 분야는 상대적으로 후순위에 있었다는 의미"라고 밝혔다.

한편 이재명 대통령은 지난 9일 국무회의에서 쿠팡 사태를 언급하며 과태료 기업에 부과하는 과태료를 현실화할 방안을 찾으라고 지시했다. 국회에서는 중대한 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안이 15일 정무위 법안심사1소위에서 심사·처리됐다.

【 청년일보=강필수 기자 】