[게티이미지뱅크]

[헤럴드경제=김빛나·박지영·김영철 기자] 개인정보는 ‘돈’이 된다. 쇼핑몰이나 인터넷사이트들은 회원가입을 받거나 경품 제공을 미끼로 개인정보를 수집한 뒤 이를 팔아 막대한 수익을 챙긴다. 범죄자들도 ‘개인정보=돈’이라는 사실을 안다. 기업들의 개인정보 유출 사고가 해마다 빈번하게 발생하는 이유이기도 하다. 하지만 각종 공격에 대비해 보안능력을 강화해야 한다는 지적에도 선제적 대응은 여전히 미흡하다.

“우리는 계속해서 한국의 공공 네트워크와 정부 네트워크를 해킹할 것이다.” 지난달 중국 해커집단인 ‘샤오치잉(晓骑营)’이 대한건설정책연구원 사이트를 공격한 뒤 사이트에 띄운 메시지다. 샤오치잉은 공개적으로 ‘한국 공격’을 선언했다. 학술단체 수십곳을 공격해 12곳을 성공했다며, 개인정보를 유출하기도 했다. 경색된 한중 관계 상황에서 정치적인 목적이 있는 공격이라는 분석이 많다. 하지만 결국 이들이 탈취한 개인정보는 돈으로 연결될 수밖에 없다.

국내 및 해외 해커들의 공격으로 보안 사고가 발생하는 건 어제오늘의 일이 아니다. 기업들의 개인정보 유출 사고도 빈번하게 발생한다. 최근에도 한 대형 통신사에서 개인정보가 유출돼 논란이 됐다. 중국 해커조직을 비롯해 최근 한국을 겨냥한 북한 해커조직의 사이버 공격 정황도 다수 발각됐다. 북한 해커조직 ‘김수키’는 포털사이트를 위장한 피싱메일로 이용자들의 비밀번호를 빼내려 시도한 정황이 발각됐다. 북한 해커조직들은 또 국세청의 ‘세무조사 출석요구 안내통지문’을 사칭해 해킹 공격을 시도하기도 했다.

해킹이 발생해도 범죄자를 추적하기는 쉽지 않다. 해외 서버 등을 활용한 범죄가 많기 때문이다. 9일 경찰청 범죄통계에 따르면 2021년 정보통신망 침해범죄 중 해킹·디도스 범죄의 검거율은 30%에 불과했다. 정보통신망 침해범죄 중 해킹·디도스 발생 사건은 2853건이었으나 검거는 947건에 불과했다. 1년에 1000건 이상 발생하는 범죄 유형 중 검거율이 30%대인 유형은 정보통신망 침해가 유일하다.

문제는 해킹이나 디도스 공격 등 보안 사고를 대비한 기업의 선제적 대응이 미흡하다는 점이다. 개인정보 유출로 피해를 본 소비자들의 피해 보상도 부족한 실정이다. 미국과 유럽은 보안 사고가 발생했을 때 소비자가 집단 소송에 들어가거나 정부로부터 ‘징벌적 손해배상(피해금액보다 더 많은 비용을 배상하도록 하는 것)’ 고소를 당하기도 한다.

보안전문가인 김승주 고려대 정보보호대학원 교수는 “미국 등 다른 나라에서도 개인정보 유출 사건이 자주 발생한다”며 “하지만 규제 방식이 우리와 다르다. 미국은 기업의 자율성 면에서 보안 사고가 발생했을 때 해당 기업에 엄중하게 책임을 묻는 ‘네거티브 규제’인데 한국은 정부가 가이드라인을 제공하는 ‘포지티브 규제’”라고 지적했다. 포지티브 규제를 채택할 경우 해킹 사건이 발생해도 기업이 “정부의 가이드라인을 지켰다”면 책임을 물을 소지가 작아진다.

때로는 기업이 수집한 개인정보를 제대로 관리하지 않거나 불법으로 정보를 수집해 처벌을 받기도 한다. 이용우 더불어민주당이 개인정보보호위원회(개보위)로부터 제출받은 자료에 따르면 지난해 과태료 결정을 받은 민간 기업 146곳 중 81곳이 개인정보 유출에 따른 처분이었다. 과태료는 총 5억390만원이었다. 기업이 개인정보 판매로 끌어올리는 수십억원의 매출과 비교하면 과태료는 턱없이 낮은 수준이다. 다만 과징금을 포함할 경우 지난해 구글과 메타가 개인정보를 불법으로 수집한 것에 대해 총 1000억원을 내는 등 금액이 큰 편이다.

개보위 관계자는 “기업의 정보보호 현황을 일반인에게 공개하는 정보보호공시제도 등을 운용하고 있다”며 “기업이 공시 대상이 아니더라도 관심을 두고 정보보호에 힘써야 한다”고 말했다.