“기업 해킹 3배 급증”…KISA·개인정보위, 피해 대응 한계 도마 위

국내 기업 대상 해킹 위협이 최근 3년 만에 3배가량 급증하며 정보보안 산업과 정책 전반에 경종을 울리고 있다. 한국인터넷진흥원(KISA)이 집계한 정보침해 신고 건수는 2021년 640건에서 2024년 1887건으로 치솟았으며, 올해 8월까지 1500건이 이미 접수됐다. 특히 2024년 상반기 주요 통신·금융사 해킹에 이어 SK텔레콤, KT, 롯데카드 등 대규모 침해 사고가 발생해, 업계와 보안 전문가들은 “국내 해킹 대응력이 심각한 분수령에 서 있다”고 진단한다.

이상휘 국회 과학기술정보방송통신위원회 소속 의원이 KISA와 개인정보보호위원회 자료를 분석한 결과, 2021년부터 2024년 8월까지 기업 정보침해 신고는 6447건에 달한다. 같은 기간 개인정보 유출 사고로 인한 행정처분도 451건이나 집계됐으며, 이 가운데 해킹이 원인의 절반 가까이(197건)를 차지했다. 2021년 이후 유출된 개인정보 건수는 8854만여 건으로, 사실상 국내 전 국민 규모에 해당한다.

기술적으로 해킹 수법은 랜섬웨어, 피싱, 시스템 취약점 악용 등으로 다각화되고 있다. 조직적 공격이 이뤄지면서 기존 방화벽·침입탐지 솔루션만으로는 실질 대응이 쉽지 않은 상황이다. 특히 카드·통신·플랫폼 사업자인 경우, 대규모 개인정보 DB를 보유한 만큼 인공지능 기반 위협탐지와 실시간 대응 체제 전환이 필요하다는 지적이 많다.

피해는 산업계 전반에 걸쳐 심각하다. 개인정보 유출은 사용자의 2차 금융사기 위한 매개가 되며, 국내 기업 신뢰도 및 글로벌 경쟁력 저하로도 직결된다. 실제로 여러 사고 사례에서 침해 확인과 추가 피해 방지까지 1주일 이상 소요돼 대응 속도 역시 한계가 드러났다.

개인정보 유출 시 부과되는 법적 제재 수준도 산업계와 시민사회에서 문제로 지적된다. 현행 개인정보 보호법상 전체 매출액의 3% 이내에서 과징금, 최대 5000만원의 과태료가 규정돼 있지만, 실제 부과 규모는 각각 약 877억원(125건), 249억원(405건)에 불과하다. 이는 EU GDPR이 전체 매출 4%까지 과징금, 미국의 강력한 징벌적 손해배상제도와 비교해 상대적으로 낮은 수준이다.

전문가들은 사후 제재 중심의 정책만으론 해킹 리스크를 줄이기 어렵다고 본다. 실시간 위협 탐지와 기업의 보안 투자 의무화, 사건 발생 즉시 통합 대응 가능한 범정부 시스템 구축이 필요하다고 제언한다. 미국·유럽 등 주요 국가는 위협 인텔리전스 공유체계 확립, 주요 인프라 강제 보안인증 도입 등 선제적 정책으로 대응 중이다.

이상휘 의원은 “국민 개인정보와 재산 보호가 정부의 기본 책무임에도 실효성 있는 대책이 미흡하다”며 “제재 수준 대폭 상향과 범정부 차원의 통합 대응 시스템 구축이 시급하다”고 강조했다.

산업계는 대규모 해킹 위협에 IT·바이오 융합 산업 내 정보보호 패러다임 전환이 불가피하다는 지적이 확산되고 있다고 평가했다. 기술·제도·윤리 간 조화를 통한 지속가능한 보안 체계 확립이 업계의 당면 과제로 떠오른 모습이다.