“개인정보 암호화 해제 서버 급증”…국가 차원 정보보호 TF 시급

개인정보 암호화·보호 체계 부실이 다시 사회적 논란의 중심에 섰다. 최근 롯데카드에서 발생한 대규모 개인정보 유출 사건이 암호화가 해제된 서버와 부적절한 로그 기록 관리가 맞물리면서 피해를 키웠다는 지적이다. 업계에서는 이 문제를 ‘국가 안보 위협으로까지 확대된 정보보호 경쟁’의 분기점으로 해석하고 있다.

김승주 고려대 정보보호대학원 교수는 24일 국회 과학기술정보방송통신위원회 청문회에서 이번 사태의 구조적 위험을 짚었다. 김 교수는 “롯데카드는 핵심 민감 정보를 암호화했다고 발표했으나, 실제로는 암호화 해제 상태에서 대규모 유출이 발생했고, 개인정보가 평문으로 로그 서버에 24시간 이상 남아 있었던 것이 확인됐다”고 밝혔다. 국내 개인정보보호법은 로그 기록에는 주요 정보가 저장되지 않아야 하며, 암호화 등 보호 조치를 의무화하고 있다. 그러나 해당 기준이 제대로 지켜지지 않은 실태가 드러난 셈이다.

또한 SK텔레콤 역시 암호화 규정 위반이 없다고 밝혔지만, 전수조사 결과 임시 서버 2대에서 암호화되지 않은 개인정보가 일정 기간 보관된 사실이 드러났다. 이에 대해 김 교수는 “해커가 서버에 악성코드를 심었지만 유출 여부조차 로그가 미비해 명확한 확인이 어렵다. 핵심은 기업들이 보유한 데이터 자산 자체에 대한 관리 부실”이라고 진단했다.

문제는 민간 기업을 넘어서 정부 시스템까지 영향을 미치고 있다는 점이다. 김 교수는 최근 미국 보안매체 프랙이 공개한 사례를 인용, KT 등 기업뿐 아니라 정부 부처의 해킹 정황까지 언급했다. 해커가 산하기관 계정을 통해 행정 업무의 핵심 플랫폼인 온나라시스템에 침투하고, 통일부·해수부 직원 계정 탈취로 회의록·메모·공인인증서 소스코드 등 민감 내부 정보가 유출된 정황이 확인됐다는 설명이다. 피해 범위 파악도 불분명하다.

특히 통신사가 보유한 통화상세기록(CDR)이 유출될 경우 피해는 훨씬 심각하다. CDR에는 주요 인사의 이동 경로와 접촉 상대, 통화 내역 등 고도의 민감 정보가 포함된다. 김 교수는 “실제 2023년 미국 9개 통신사 해킹 사건에서도 감청장비 접근 및 주요 공직자 통화 내역 유출까지 확인됐다”며 국내도 안심할 수 없다고 경고했다.

결국 근본 대책은 국가 차원의 정보보호 컨트롤타워 구축에 있다는 분석이다. 김 교수는 “부처간 사이버보안 협력과 정보 공유 체계가 제대로 작동하는지 근본적으로 재검토해야 한다”며 “국가 정보보호 태스크포스(TF) 구성이 시급하다”고 강조했다.

업계는 이번 대형 해킹 사고를 계기로 정보보호가 기업 및 정부 모두의 지속가능 성장 조건임을 재확인했다는 분위기다. “산업계는 이번 기술이 실제 시장에 안착할 수 있을지 주시하고 있다.”