SK텔레콤, 예스24, GS리테일 등 주요 기업에서 대형 개인정보 유출 사고가 잇따르고 있지만, 이를 조사하는 개인정보보호위원회(개인정보위)의 인력은 4년째 31명에 머물러 있어 조사 지연 우려가 커지고 있다.
9일 정부에 따르면 개인정보위 조사 인력은 2022년부터 현재까지 31명으로 변동이 없으며, 이 가운데 6명은 '한시 정원' 인력이다.
문제는 해킹과 유출 규모가 급증하고 있다는 점이다. 개인정보위가 최근 착수한 사건만 봐도 KT 무단 소액결제, 롯데카드 고객정보 유출, SK쉴더스 다크웹 유출 등 굵직한 사건들이 대부분이다. 여기에 KT 서버의 악성코드 'BPF도어(BPFDoor)' 감염과 관련한 개인정보 유출 여부도 조사 중이다.
유출 건수는 폭증세다. 개인정보위 집계에 따르면 유출 규모는 2022년 64만8000건에서 2023년 1011만2000건, 지난해 1377만건으로 늘었다. 올해는 1∼4월에만 SK텔레콤 해킹사고(약 2500만건)를 포함해 총 3600만건이 유출된 것으로 집계됐다.
한정된 인력으로 다수의 사건을 병행 조사하다 보니, 올해 초 착수한 GS리테일 조사나 지난 6월 시작된 예스24 사건은 아직 결론이 나지 않은 상태다.
송경희 개인정보위원장은 최근 기자간담회에서 "조사 건수가 급증해 인력 배분이 쉽지 않다"며 "규모가 큰 사건에 인력을 집중하다 보니 상대적으로 경미한 사건의 처리가 늦어지는 경우가 있다"고 말했다. 이어 "2022년 조사관 수는 그대로인데 처분 건수는 56%, 사고 규모는 500% 이상 늘었다"고 덧붙였다.
개인정보위는 사건의 경중에 따라 조사관 수를 조정하고 있다. 올해 초 발생한 SK텔레콤 유심정보 유출 사건의 경우 파급력을 고려해 조사 인력을 집중 투입했고, 착수 4개월 만인 지난 8월 SK텔레콤에 1347억9100만원의 과징금을 부과했다.
그러나 이처럼 대형 사건에 인력을 집중하면 다른 사건이 지연될 수밖에 없는 구조다. 개인정보위 관계자는 "SKT 사건 때는 위원회 인력 4~5명에 한국인터넷진흥원(KISA) 등 외부 인력을 더해 전담팀을 꾸렸지만, 모든 사건에 그렇게 투입하긴 어렵다"며 "최근 해킹 수법이 고도화돼 조사와 예방을 병행하기가 쉽지 않다"고 말했다.