과기부·KISA·개인정보위·경찰·국정원·군 아우르는 컨트롤타워 필요
[포쓰저널=강민혁 기자] SK텔레콤의 유심(USIM) 정보 해킹사고가 사회적 충격을 안긴 지도 채 몇 달 되지 않았지만 그 이후에도 연달아 벌어진 개인정보 유출 사고들은 별다른 주목조차 받지 못한 채 지나가고 있다.
단순한 보안 관리 미흡 차원을 넘어 대한민국이 사이버 안보와 정보보호의 중대한 기로에 서 있다는 신호로 읽힌다.
5월부터 7월까지 개인정보보호위원회가 조사에 착수한 유출사고만 해도 일일이 열거하기 벅찰 정도다.
알바몬 이력서 정보 유출, 유퍼스트보험마케팅·하나금융파인드 고객정보 해킹, 디올·티파니 고객 계정 유출, 예스24 랜섬웨어 공격, 한국연구재단 12만건 유출, 써브웨이·파파존스 주문정보 노출까지 '해킹이 일상화 됐다'고 말해도 과언이 아니다.
특히 충격적인 것은 한국파파존스의 유출 건수다.
국회 과학기술정보방송통신위원회 최민희 위원장에 따르면 2017년부터 올해 6월까지 약 3730만건의 한국파파존스의 주문정보가 온라인에 무방비로 노출된 것으로 추정된다.
이는 SK텔레콤의 IMSI(가입자식별번호) 유출 규모 2696만건보다도 큰 수치다.
게다가 단순히 이름·전화번호를 넘어 카드번호·유효기간, 심지어 현관 비밀번호까지 유출됐다는 의혹까지 제기되고 있는 상황이다.
이에 대해 한국파파존스는 "카드정보 일부는 마스킹 처리돼 있다. 결제에 필요한 카드 유효기간·CVC 번호는 노출되지 않았다"고 했다.
하지만 SKT 사례를 상기해볼 필요가 있다. SKT는 "CDR(통화기록)은 암호화됐다"고 밝혔지만 민관합동조사단(이하 합조단) 최종 조사 결과 암호화되지 않은 평문이 존재했다는 사실이 뒤늦게 밝혀졌다.
SKT 류정환 네트워크인프라센터장은 "대중들과의 소통을 위해 (암호화라는) 그런 표현을 썼었다"라고 해명했다.
한국파파존스라고 해서 이와 같은 '대중과의 소통을 위한 입장문'을 내지 말라는 법은 없다.
정보통신망법에 따르면 과학기술정보통신부는 정보통신망에 중대한 침해가 발생했을 경우 민간·전문가가 함께 참여하는 합조단을 구성할 수 있다.
SKT의 경우 그렇게 조사가 이뤄졌지만 3730만건의 개인정보가 유출된 것으로 의심되는 한국파파존스 사고에 합조단이 구성됐다는 소식은 들리지 않는다.
그 이유는 무엇일까. 현실적인 예산·인력 제약 때문이다.
박용규 한국인터넷진흥원(KISA) 디지털위협대응본부 위협분석단장은 "사안의 복잡도에 대해선 당연히 판단을 할 것이고 허가 전수 같은 경우에도 지금 신고가 이루어져서 조사가 이루어지는 부분이다. 합조단 관련해서는 지금 당장 답변드리기는 어렵다"고 말했다.
관계 당국도 사안의 심각성은 충분히 인식하고 있지만 모든 사고마다 합조단을 꾸릴 수 없기에 당장 답변할 수는 없는 현실의 벽에 부딪히고 있는 것이다.
그러나 지금 벌어지고 있는 일들은 단순 기업 차원의 문제가 아니다. 국가 차원의 위기, 더 나아가 사이버 전시 상황으로 이해할 수밖에 없다.
신용석 전 국가안보실 사이버안보비서관은 "현재의 정보보호 대응 체계는 공공과 민간이 분리돼 있어 통합된 대응이 어렵다"고 진단했다.
그는 "국가 정보기관이 파이브 아이즈(미국·영국·캐나다·호주·뉴질랜드) 정보기관과 합동 조사 국제 공조를 해야한다. 이를 위한 컨트롤타워 조직 구성을 진지하게 검토해야 한다"고 강조했다.
정보보안은 이제 각 기업이 잘못해서 생긴 사건이라는 식의 프레임에서 벗어나야 한다.
해커는 특정 기업을 공격하는 것이 아니라 국가와 사회 전체의 정보 인프라를 무차별적으로 파괴하고 있다.
우리는 지금 개인정보위, 과기정통부, KISA, 경찰, 국정원, 군 정보기관까지 모든 국가기관의 역량을 총결집할 수 있는 사이버 보안 거버넌스를 구축해야 할 시점에 와 있다.
단지 규명에 그치는 조사가 아니라 국제 공조를 통한 추적과 방어·대응까지 가능한 범부처 통합 보안 체계가 시급하다.
지금 이 순간에도 누군가는 자신의 이름·주소·결제내역·메시지 등이 담긴 개인정보가 어디선가 팔리고 있다는 사실조차 모른 채 살아가고 있을 수 있다.
이는 개인 차원의 문제가 아니라 국가 전체의 존립 기반을 뒤흔드는 위협이다.
정부는 더 이상 사후적 조치에 그칠 것이 아니라, 사전 감시, 즉각 대응, 통합 추적, 글로벌 연계를 아우르는 정보보호 패러다임의 전환에 나서야 한다.
그것이 바로 국민의 정보주권을 지키는 진정한 공공의 역할이다.
관련기사
- [현장] "AI 활용 '제로 트러스트' 보안 적용해야..SKT사례 교훈"
- [현장] "SKT 해킹사고, '정보보안 거버넌스' 문제 있었다"
- [일문일답] SKT "고객신뢰 회복 최우선..단기적 비용상승·실적악화 예상"
- [SKT해킹] 과기부 "위약금 면제해야..회사 귀책사유"
- [기자수첩] 번호이동 통계 흘리는 KTOA..통신시장 혼란만 가중
- 한국파파존스 고객정보 유출 사고…"조사 적극 협조할 것"
- 보험대리점 2곳 1천여명 개인정보 유출...이름·주민번호 등
- 개인정보위, '보험대리점 개인정보 유출' 조사 착수
- '먹통 사태' 예스24 "KISA와 협력" 거짓말 논란
- "금융권 해킹 6년여간 27건...정보유출 5만명"
- SGI서울보증 "보증서 발급 재개"..'먹통' 사흘만에 복구
- [기자수첩] 랜섬웨어에 뚫린 서울보증..대응체계 정비 시급
- "개인정보처리자 일률적 인터넷망 차단조치 규제 개선"
- 미국·독일 정부기관도 피해..MS 셰어포인트 '제로데이' 해킹
- MS 셰어포인트 '제로데이' 해킹 피해 확산..미 국립보건원도 당해
- [기자수첩] 민주당의 증세 본능..'코스피 5천' 립서비스 그치나
- [기자수첩] 의료 AI시대, 의료 데이터 표준화 시급하다
- 개인정보위 '생성형 인공지능과 프라이버시' 세미나
- "SGI서울보증 13.2TB 데이터 유출..SKT의 1376배 규모"
- "카드사 정보보안 예산 비중 10% 그쳐…삼성카드 가장 낮아"