KT·롯데카드 등 잇단 해킹·무단 결제 사태로 불신 확산해킹 신고 매년 급증… 솜방망이 처벌에 국민 피해만 반복제재 수준 미미·대응 기관 분산… '보안 신뢰 위기' 지적
  • ▲ 조좌진 롯데카드 대표이사를 비롯한 임원들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대한 사과를 하고 있다.ⓒ서성진 기자
    ▲ 조좌진 롯데카드 대표이사를 비롯한 임원들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대한 사과를 하고 있다.ⓒ서성진 기자
    롯데카드 해킹, KT 무단 소액 결제 사태가 시간이 갈수록 피해 규모를 키우며 기업과 정부의 무책임한 민낯을 드러내고 있다. 기업들의 초기 대응 부실과 안일한 보안 의식, 여기에 정부의 솜방망이식 처벌이 겹치면서 사태는 '팔수록 더 큰 구멍이 드러나는' 형국이다. 이번 사태를 계기로 한국의 정보보호 체계 전반을 근본적으로 재점검해야 한다는 주장이 힘을 얻고 있다.

    ◇"서초·동작·일산까지" … KT 소액결재 피해지역 더 있었다

    21일 KT가 국회 과학기술정보방송통신위원회 소속 황정아 의원에게 제출한 자료에 따르면 무단 소액결제 피해 지역은 당초 알려진 서울 서남권·경기 일부를 넘어 서울 서초구·동작구, 경기 고양시 일산동구 등지로 확대됐다. 피해 건수도 처음 발표된 527건에서 764건으로, 피해자 수도 278명에서 362명으로 늘었다.

    자동응답전화(ARS) 인증 탈취 방식에만 피해를 국한해 집계해온 KT의 방식이 피해 규모를 축소했다는 지적이 나온다. 실제 피해자들 진술에 따르면 패스(PASS) 인증이나 카카오톡 무단 로그인 경험을 겪은 경우도 상당수였다. 일각에서는 집계에서 누락된 피해자가 더 있을 수 있다는 관측도 나온다. 

    롯데카드 사태도 크게 다르지 않았다. 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고 금융당국에 신고했으며, 당시 유출 데이터 규모는 1.7기가바이트(GB) 규모에 불과하고 이로부터 보름 가까이 ‘정보 유출은 없다’는 공지까지 게시했다. 

    그러나 실제 조사 결과 200GB에 달하는 고객 정보가 유출된 것으로 확인됐다. 이는 당초 발표한 1.7GB의 100배가 넘는 규모다. 특히 28만 명은 주민등록번호와 카드번호, 유효기간, CVC 번호 등 민감한 금융정보까지 빠져나간 것으로 드러나 여론의 뭇매를 맞았다. 피해 회원 수는 전체 960만명의 3분의 1인 297만명에 달했다.

    ◇늘어나는 해킹, 무뎌진 기업 보안 의식

    KT와 롯데카드 해킹사태는 기업 내부의 안일한 보안 의식과 초기 대응 부실이 직접적 원인이었다. 이는 최근 몇 년간 기업 해킹 사례가 급증하고 있는 현실과 맞물려 있다.

    국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 2020년부터 올해 9월 14일까지 당국에 접수된 기업의 정보 침해 신고 건수는 7198건에 달했다. 금융위원회 소관 금융사 해킹 사례까지 포함한 수치다. 

    연도별로 보면 2020년과 2021년 각각 603건, 640건이었던 신고 건수는 2022년 1142건으로 급증했다. 이후 2023년 1277건과 2024년 1887건으로 늘었고, 올해는 아직 3개월 이상 남았음에도 1649건으로 지난해 전체 건수에 근접했다. 즉, 해킹 시도가 기하급수적으로 늘어나는 상황에서 기업들이 위기감을 갖지 못하고 있는 현실이, KT와 롯데카드 사태 같은 대형 사고로 이어지고 있는 셈이다.
  • ▲ 구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 소액결제 피해 관련 대응 현황을 발표하고 있다.ⓒ연하뉴스.
    ▲ 구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 소액결제 피해 관련 대응 현황을 발표하고 있다.ⓒ연하뉴스.
    ◇미국·EU, 수조원대 과징금 … 한국은 과태료 3000만원

    기하급수적으로 늘고 있는 해킹에도 정부의 대응은 미흡하다. 미국과 유럽 등 선진국들은 개인정보 유출 기업에 막대한 징벌적 손해배상과 과징금 등 조치로 강력하게 대응하고 있다. 

    미국 연방거래위원회(FTC)는 이용자 8700만명의 개인정보를 여론조사 기관에 임의로 유출한 페이스북(현 메타)에 2019년 50억 달러(한화 약 6조원)에 달하는 과징금을 부과했다. 메타는 이에 앞서 지난 2018년 2900만개의 페이스북 계정이 해킹 피해를 보자 유럽연합(EU) 당국으로부터 2억5100만유로(약 3800억원)의 과징금을 부과받기도 했다. 

    반면 한국은 해킹 24시간 이내 신고제가 의무화됐음에도 이를 어긴 기업에 부과되는 제재는 3000만원 이하의 과태료가 전부다. 기업이 "인지하지 못했다"고 주장하면 사실상 면책될 여지도 있다.

    실제 이해민 조국혁신당 의원이 KISA로부터 제출받은 자료에 따르면 지난 1년간 해킹 사고 발생 후 24시간이 지나서야 당국에 신고했거나 아예 신고하지 않은 사례는 총 66건에 달했다. 제도는 존재하지만 처벌이 약해 실효성이 없는 셈이다. 결과적으로 정부의 솜방망이 처분이 기업의 무책임한 보안 문화를 방치해 온 구조적 문제가 이번 사태를 키웠다는 지적이 힘을 얻는다.

    해킹 사태 후 대응 역할 기관도 분리돼있다. 과기정통부 산하에 한국인터넷진흥원(KISA)이 민간 분야 개인정보보호나 보안 침해사고 대응 등의 역할을 맡고 있다. 그러나 금융 관련 해킹이나 개인정보 유출 사고는 금융위원회 산하 금융보안원이, 공공·안보 분야는 국가정보원이 대응하는 등 보안 관련 조직이 여러 분야에 쪼개져 있다.

    업계 관계자는 "기업들이 '걸리면 벌금 내면 된다'는 태도를 버리지 않는 한 같은 문제가 반복될 수밖에 없다"며 "정부도 솜방망이 처벌에서 벗어나 실질적인 책임을 물어야 한다"고 지적했다. 이어 "KT와 롯데카드 사태는 특정 기업의 문제가 아니라 한국 사회 전반의 '보안 신뢰 위기'를 드러낸 사건"이라며 "근본적 대책 마련 없이는 제2, 제3의 피해가 이어질 수밖에 없다"고 경고했다.