“한번 뚫리면 수천만명”…AI가 키운 개인정보 유출 규모

쿠팡·SKT·티빙 잇따라 초대형 사고“처벌 넘어 예방…실질 역량 키워야”미리캔버스가 그린 일러스트.쿠팡 3756만명, SK텔레콤 2324만명, 티빙 1953만명. 최근 개인정보 유출이 발생하면 수천만명이 피해를 보는 초대형 사고로 커지고 있다. 한 기업이 쇼핑과 콘텐츠, 통신 등 다양한 서비스를 제공하면서 축적하는 개인정보의 양과 종류가 크게 늘어난 결과다.28일 보안업계에 따르면 가장 최근 대형 유출이 발생한 곳은 온라인동영상서비스(OTT) 티빙이다.티빙의 유출 피해 규모는 1953만명으로 정부 초기 잠정치(1300만명)보다 650만명 이상 늘었다. 유료 가입자(약 500만명)는 물론 월간활성이용자(5월 기준 882만명)도 크게 웃도는 규모다.유출 정보에는 아이디와 이름, 생년월일, 비밀번호, 환불 계좌번호, 연계정보(CI), 중복가입확인정보(DI) 등이 포함됐다.초대형 사고는 최근 2년에 집중됐다. 개인정보보호위원회 제재 기준 역대 유출 규모 1~3위인 쿠팡, SK텔레콤, 인크루트(728만명) 모두 최근 2년 사이 확인된 사례다.공격 환경의 변화가 배경으로 꼽힌다. 개인정보가 불법 거래 시장에서 금전적 가치를 갖게 되면서 공격 동기가 커진 데다, 해커가 직접 취약점을 찾아야 했던 과거와 달리 인공지능(AI)이 이를 대신 찾아주면서 공격이 한층 쉬워졌다는 것이다.실제 지난해 접수된 유출 신고 447건 중 276건(61.7%)이 해킹으로 발생했다. 여러 곳에서 탈취한 정보를 결합하면 활용 가치가 커져 해커 입장에선 기업의 개인정보가 ‘종합선물세트’나 다름없다는 지적도 나온다.이에 처벌과 예방을 함께 강화해야 한다는 목소리가 커지고 있다. 개인정보보호위원회는 쿠팡과 SKT 등에 잇따라 대규모 과징금을 부과했다. 오는 9월 개정 개인정보보호법이 시행되면 이후 발생한 사고는 위반 기업에 전체 매출의 최대 10%까지 ‘징벌적 과징금’을 물릴 수 있다. 아울러 처벌만으로 한계가 있는 만큼 예방 체계를 실질화해야 한다는 지적도 나온다.김도승 전북대 교수는 “기업이 개인정보보호를 기본 원칙으로 삼는 거버넌스를 갖추는 동시에 실질적 예방을 위한 제도 정비가 병행돼야 한다”며 “최소 기준인 정보보호 관리체계(ISMS) 인증부터 문서 중심에서 벗어나 실제 보안 역량을 키우는 방향으로 바뀌어야 한다”고 말했다.유출 사고가 급증했다기보다 그동안 묻혀 있던 것이 드러나기 시작했다는 시각도 있다. 한 정보보호 인증 심사 전문가는 “과거에는 보안 장비가 고도화되지 않아 정보가 빠져나가는지조차 모르는 경우가 많았다”며 “탐지 기술이 발전하고 개인정보 보호 제도가 강화되면서 그동안 묻혀 있던 사고가 드러나는 측면도 있다”고 말했다.