SK텔레콤, 롯데카드, KT 등 국내 주요 대기업들의 보안이 뚫리며 국민 불안이 커지고 있지만, 책임을 묻는 장치는 여전히 허술하다. 솜방망이 처벌만 반복되니 기업은 보안을 비용으로 여긴다. 이에 해외처럼 징벌적 손해배상을 도입하고, 범정부 차원의 사이버보안 컨트롤타워를 세워야 한다는 목소리가 커지고 있다.
최근 해킹 사고는 단순한 기술적 우연이 아니다. 올해 4월 SK텔레콤에서 2300만명의 고객정보 유출 정황이 드러난 데 이어, 제조업, 의료, 게임 등 산업 전반에서 크고 작은 보안 사고가 잇따라 보고되고 있다. 공통된 원인은 기초적 보안의 허점이다. 서버 패치·업데이트 지연, 관리자 계정 방치, 외주업체 관리 소홀 등 상식적 수준에서 막을 수 있었던 사례가 다수다.
문제는 공격 방식도 고도화되고 있다는 점이다. 이달 초 KT 해킹 사고에서는 불법 초소형 기지국(펨토셀)을 악용해 고객 5561명의 유심 정보가 탈취되고 무단 소액결제가 발생했다. 이 사건은 '예견된 참사'였다. 2012년 한국인터넷진흥원(KISA) 연구보고서에서 펨토셀의 보안 취약성이 경고됐지만, 후속 조치는 사실상 없었다. 당시 지적된 인증토큰 복제, MITM(중간자 공격) 가능성은 13년 뒤 현실이 됐다. 책임 기관의 경고를 흘려들은 결과라는 비판이 쏟아질 수밖에 없다.
지난 18일 롯데카드의 온라인 결제 서버가 뚫려 200GB(기가바이트) 분량의 데이터가 유출되었고, 전체 고객의 약 30%에 해당하는 297만명의 개인정보가 외부로 빠져나간 것이 확인됐다. 이 중 28만명분은 카드 비밀번호, CVC 등 결제 정보까지 포함돼 금융 피해로 직결될 위험이 크다. 롯데카드는 최근 3년 연속 정보보호 예산을 줄였으며, 올해는 절반 수준만 집행한 것으로 확인됐다. 보안 투자 축소가 대규모 개인정보 유출로 이어졌다는 비판이 나오는 이유다.
그런데도 법적·제도적 책임은 턱없이 약하다. 개인정보 유출에 대한 건당 과징금 환산액은 미미한 수준에 머물고, 피해 입증의 부담은 고스란히 피해자에게 전가된다. SK텔레콤 사례는 시사하는 바가 크다. 개인정보보호위원회가 역대 최대인 1347억9100만원을 부과했지만, 2300만명 규모의 피해를 고려하면 실효적 억지력이 되기 어렵다는 지적이 나온다.
미국에서는 에퀴팩스(Equifax)의 2017년 개인정보 유출 사고에서 7억달러의 합의금이 나왔다. 메타, 아마존, T모바일도 개인정보 유출이나 규제 위반으로 수천억에서 수조원대 배상에 직면했다. 유럽은 GDPR(일반개인정보보호법)을 통해 위반 시 전 세계 매출의 최대 4%까지 과징금을 부과할 수 있다. 이러한 환경에서는 기업이 보안을 단순한 비용이 아니라 생존의 조건으로 인식할 수밖에 없다.
제도적 대응도 한국은 여전히 뒤처진다. 금융은 금융보안원, 통신사 등 민간은 과학기술정보통신부와 한국인터넷진흥원(KISA), 공공은 국가정보원, 국방은 사이버사령부가 따로 움직인다. 칸막이 구조 속에서 사고 대응은 늦고, 정보 공유는 단절된다. 대형 해킹이 터질 때마다 각 부처와 기관의 브리핑이 따로 열리며, 초동 대응은 지연되고 국민 불안은 커졌다. 대선 때마다 '사이버보안 컨트롤타워 신설' 공약이 나왔지만 흐지부지되는 경우가 많았다.
이번에도 대통령실은 뒤늦게 대응에 나섰다. 국가안보실은 이달 말 과기정통부, 금융위, 개인정보위, 국정원 등 관계 부처와 민간 전문가가 참여하는 '정보보호 종합대책'을 발표하겠다고 밝혔다. 국가 전체 보안 취약점 점검과 이용자 보호 체계 강화, AI·양자컴퓨팅 등 신기술 대응 방안까지 포함된다는 설명이다. 그러나 이번에도 땜질식 사후 대책에 머문다면 근본적인 변화는 어렵다. 징벌적 손해배상과 집단소송제 도입, 범정부 차원의 사이버보안 컨트롤타워 신설 같은 구조적 개편이 반드시 병행되어야 한다.
사이버보안 컨트롤타워를 세울 기회는 지금이 아니면 다시 오지 않을 수 있다. 보안은 더 이상 기업의 비용 절감 대상이 될 수 없다. 징벌적 손해배상 강화와 집단소송제 도입으로 기업 책임을 현실화하고, 정보보호 예산 확대와 신기술 대응 투자까지 뒷받침돼야 한다. 이러한 결단은 '해킹 공화국'이라는 오명을 벗기는 동시에, 정부의 업적으로 남을 수 있을 것이다.