사회·기획 사건/사고

개인정보 유출에 징벌적 과징금 추진

2025-09-12 13:00:03 게재

개인정보위, 유사 원인 반복 기업 대상

통신사에서만 10년간 수천만건 유출

정부가 같은 원인으로 반복해서 개인정보 유출 사고가 발생하는 기업에는 과징금을 가중하고 중장기적으로 징벌적 과징금 도입을 검토한다. 반면, 개인정보보호를 위해 노력한 기업에는 인센티브를 준다는 계획이다.

개인정보보호위원회는 11일 이러한 내용이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.

이에 따르면 개인정보위는 유사 사고를 예방하기 위해 주요 개인정보처리시스템의 취약점을 제거하고 이상징후를 탐지하는 ‘공격표면관리’를 강화한다. 주요 정보에 대한 암호화 적용도 확대한다.

◆선제적 보호 조치에는 인센티브 = 평소 선제적 보호조치를 한 기업에는 과징금 감경 등 인센티브를 제공하고 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지해 2차 피해를 차단한다.

개인정보위는 또 개인정보 유출 사고가 반복되는 기업엔 과징금을 가중하고, 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 검토해 나가기로 했다. 피해가 예상되면 실제 유출된 사람뿐 아니라 유출 가능성이 있는 사람까지 통지 대상을 넓히는 한편 과징금을 피해자 구제에 활용하는 방안도 추진한다. 과징금은 전액 국고에 귀속되는 만큼 실제 피해자 구제에 도움이 되지 못한다는 지적에 따른 것이다. 개인정보위가 부과한 과징금은 2022년 1018억원, 2023년 232억원, 지난해 611억원에 달했다.

이밖에 ‘개인정보 옴부즈만’을 설치해 시장 감시와 권리구제를 지원하고, 전문 인력 양성과 신기술 대응 체계도 강화한다.

고학수 개인정보위 위원장은 “대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 고객의 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하고, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”고 말했다.

◆신고 건수, 유출 건수 해마다 증가 = 이같은 조치는 국내 기업과 공공기관 등에서 개인정보 유출이 일상화되는 추세에 따른 것이다. 최근 통신·금융·신용평가·유통·식품 등 업종을 가리지 않고 연일 개인정보유출 사건이 발생하고 있다. 업계에서는 ‘한국인 개인정보는 공공재’라는 자조적 농담까지 나온다.

개인정보보호위원회 자료에 따르면 2022~2024년 유출신고 건수는 매년 약 300건 내외였다. 하지만 올해는 1~4월 넉 달간 113건이 발생했다. 유출 건수도 2022년 64만8000건, 2023년 1011만2000건, 2024년 1377만건으로 계속 증가하고 있다.

가입자가 많아 유출되면 피해가 큰 통신업계의 경우 지난 10년간 수천만 건의 개인정보가 유출됐다.

먼저 KT는 2012년 영업 시스템 전산망이 해킹당해 가입자 873만여명의 개인정보가 유출됐다. 유출된 정보에는 이름, 휴대전화번호, 주민등록번호, 사용 단말기 모델, 요금제, 요금액, 기기 변경일 등이 포함됐다.

2014년에는 해커 일당이 신종 해킹 프로그램을 개발해 KT 홈페이지 가입 고객 1600만명 중 1200만명의 고객정보를 탈취해 휴대전화 개통·판매 영업에 활용한 사건이 발생했다.

◆해킹 배후 못밝힌 사례도 = LG유플러스는 2023년 1월 해킹으로 약 30만건의 고객 정보가 불법 거래 사이트로 유출됐다. 유출된 정보는 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·유심(USIM) 고유번호 등 26개 항목에 달했다.

KT와 LG유플러스는 현재 미국의 보안 전문지 ‘프랙’이 제기한 해킹 의혹으로도 개인정보위 조사를 받고 있다. 앞서 프랙은 북한 배후 추정 해킹그룹 ‘김수키’가 KT의 인증서(SSL 키), LG유플러스의 내부 서버 관리용 계정 권한 관리 시스템(APPM)의 소스 코드 등을 빼돌렸을 수 있다고 주장했다.

가장 최근인 올해 4월에는 SK텔레콤에서 사실상 고객 전체인 2324만4000여명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 유출됐다.

해킹을 통한 유출 사고의 경우 그 배후를 밝히지 못해 이를 둘러싼 추측만 무성한 사례들이 대부분이다.

유출된 개인정보는 또 다른 범죄수단으로 악용되기도 한다.

경찰 등에 따르면 보이스피싱 수법은 과거 무작위·대량 메시지를 활용하던 방식에서 진화해 개인정보를 활용한 ‘타깃형 범죄’로 정교해지고 있다.

실제로 전문가들 사이에서 해킹 등으로 인한 개인정보 유출이 증가하면서 피해를 더 키우고 있다는 지적이 나온다.

장세풍 기자 spjang@naeil.com

장세풍 기자 기사 더보기