김승주 고려대학교 정보보호대학원 교수는 24일 국회 과학기술정보방송통신위원회에서 열린 KT‧롯데카드 해킹 청문회에 참고인으로 출석해 “프랙 보고서는 KT, LG유플러스 해킹뿐 아니라 행정안전부와 외교부, 통일부, 방첩사령부 등의 해킹 문제를 담고 있다. 명백한 국가적 안보 위기”라고 짚었다. 실제로 미국 보안 전문지인 프랙의 보고서는 KT와 LG유플러스의 해킹 의혹에 대한 내용보다 더 큰 부분을 한국 정부기관에 대한 이야기로 채웠다.
보고서에 따르면 국방부, 외교부, 방첩사령부, 대검찰청 등을 겨냥한 북한 해커들의 피싱 공격이 잇따랐다. 행안부의 행정전자서명(GPKI) 인증서, 외교부 내부 메일 서버 소스코드, 통일부·해양수산부의 ‘온나라’ 소스코드와 내부망 인증 기록 등이 유출됐다는 것이다.
국회 정무위원회 소속 더불어민주당 이정문 의원이 개인정보호호위원회에서 제출받은 ‘최근 3년간 국가기관 개인정보 유출 현황’을 보면 공공부문 개인정보 유출은 2022년 65만건, 2023년 352만건, 지난해 391만 건으로 증가하고 있다. 신고 건수도 2022년 23건, 2023년 41건, 2024년(7월 기준) 104건으로 집계됐다. 올해 7월 기준 72건의 신고가 들어왔고, 총 91만건의 개인정보가 빠져나갔다.
그럼에도 개인정보 관리 인력과 예산은 부족한 실정이다. 개인정보위의 2024년 개인정보보호수준 평가 전 사전 제출 자료에 따르면 개인정보 보호 예산이 1000만원 미만인 기관은 83곳(10.4%)으로 조사됐다. 관계부처인 개인정보위와 한국인터넷진흥원 등도 인력 부족에 시달리고 있다. 정부 차원의 뒷받침이 이뤄지고 있지 않은 것이다. 정부는 개인정보 보호에 대한 예산조차 마련하지 않으면서 기업들의 보안의식을 문제 삼는다.
기업들은 머리를 숙이고 적극적 투자를 약속했다. KT는 향후 5년간 1조원을 투자해 보안 시스템을 강화하고 보안 인력을 확충하겠다는 계획을 밝혔다. SK텔레콤과 LG유플러스도 5년간 7000억원을 투자하기로 했다.
기업은 현재 정부 인증마저 믿을 수 없는 처지다. 정부에게 안전하다고 평가를 받아도 안심할 수 없으며 과징금을 감수해야 한다. 그럼에도 정부는 인증 제도 빈틈엔 눈을 감고, 기업 보안 체계가 허술하다는 지적을 내놓는다. 롯데카드는 온‧오프라인의 개인카드 결제 서비스(심사받지 않은 물리적 인프라 제외)에 대해 올해 7월29일 정보보호 관리체계 인증(ISMS-P)을 받았으나 2주 만에 해킹을 당했다.
국회 과방위는 SK텔레콤, KT, 롯데카드 등을 세워 해킹 문제에 대한 청문회를 열고 있다. 최민희 과방위원장은 정보통신망법을 개정하는 ‘침해사고 조사심의위원회 설치법’을 대표발의한 바 있다. 기업이 침해사고를 자진신고 하지 않더라도 공무원이 기업에 우선 출입해 사고 여부와 원인을 조사할 수 있도록 하는 것이 법안의 골자다. 김민석 국무총리도 사업자의 사고 은폐‧축소 의혹을 낱낱이 규명하겠다며 조사 권한 강화, 보안 의무 위반 제재 강화 등 철퇴를 휘두르겠다고 나섰다. 그러나 철퇴의 손잡이를 잡고 있는 정부기관 역시 해킹에서 자유로울 수 없는 상태다.
정부가 해킹처럼 파장이 큰 사고를 놓고 기업의 책임을 강조한 것은 이번이 처음이 아니다. 산업 현장의 안전을 확보하기 위한 중대재해처벌법은 2022년 1월부터 시행되고 있으나 산업재해는 좀처럼 줄어들지 않고 있다. 해당 법은 사업주, 경영책임자, 법인과 함께 공무원도 처벌 대상에 포함돼 있다. 그러나 공무원의 처벌 사례는 없었다.
개인정보 보호를 위해 기업뿐 아니라 정부도 변화가 필요하다. 미국의 경우 지난 2015년 인사관리국(OPM)에서 대규모 데이터 유출 사고가 발생했을 때 고위 책임자가 해임된 사례가 있다. 현 시점에서 이재명 정부의 ‘AI 3대 강국’을 위한 첫 번째 과제는 기술 개발이 아닌 보안이 됐다. 모두를 위한 AI가 자칫 국민의 개인정보를 유출하는 도구가 되지 않도록 정부의 능동적 대처가 필요하다.
