주로 사용하는 네 개 계정을 조회하자, ‘1개 유출 이력 있음’이라는 붉은 표시가 눈앞에 떴다. 도둑이 남의 집만 털고 다니는 줄 알았던 착각이 그 자리에서 무너졌다.
올해 발생한 개인정보 유출 규모를 보면 이런 경험은 특별한 일이 아니다. 1월 GS리테일 홈페이지 해킹으로 9만여명의 회원 정보가 유출됐고, 4월 SK텔레콤 서버 해킹으로 2324만명의 개인정보가 새나갔다.
9월에는 롯데카드 회원 298만명의 정보가 유출됐으며, KT에서는 불법 기지국을 활용한 해킹으로 2만명의 개인정보가 빠져나갔다. 디올, 티파니, 까르띠에, 루이비통 등 글로벌 명품 브랜드의 온라인 채널에서도 유출 사고가 잇따랐다.
개인정보보호위원회에 따르면 올해 8월 말까지 접수된 민간기업의 개인정보 유출 건수는 3038만건에 달한다. 최근 쿠팡의 대규모 유출(3370만개) 사태까지 합치면 올해만 6000만건을 넘길 것으로 보인다. 우리나라 인구 수(5168만명)보다 많다. 이쯤이면 ‘누가 털렸나’가 아니라 ‘안 털린 사람이 남아 있긴 한가’로 질문이 바뀐다.
정작 사회 반응은 이상하리만큼 무덤덤하다. 온라인에선 “개인정보는 이미 공공재”라는 냉소가 떠돈다. 사고가 발생하면 집단소송에 나서는 이들도 있지만, 대다수가 잠시 분노했다가 금세 일상으로 돌아간다. 경각심이 사라지면 보안 사고는 기술보다 빠르게 확산한다는 사실은 쉽게 잊힌다.
문제는 그다음이다. 추경호 국민의힘 의원은 지난 국감에서 “다크웹 중 한국 관련 사이트만 35개에 이르며 이 안에서 3100만명의 한국인 개인정보 판매글이 올라온다”고 밝혔다. 다크웹, 블랙마켓, 텔레그램 등에서 50~60대 전화번호 1만건이 80만원에 팔렸고 주소와 구매 이력, 연락처가 묶인 ‘패키지 정보’는 15~65달러에 거래된다고 한다.
한 번 유출된 정보는 쉽사리 사라지지 않는다. 복제·가공·재판매되며 끊임없이 증식한다. 스미싱, 대출 사기, 협박, 계정 탈취 등 범죄는 이런 유출 데이터를 연료 삼아 정교하게 진화한다. 한국의 디지털 경제가 성장할수록 다크웹에서는 ‘한국인 정보 시장’이 함께 커지는 역설이 벌어진다.
그러나 정부의 대응 체계는 여전히 허술하다. 올해 개인정보보호위원회의 다크웹 대응 예산은 0원이었다. 조사관 인력도 2023년 출범 이후 계속 30명 남짓에서 늘지 않았다. 보안 사고는 기업의 신고나 언론 보도로 뒤늦게 드러나고, 정부의 조치는 사고 이후 조사와 과징금 부과에 머무른다. 주민등록번호가 여전히 사회의 ‘마스터키’로 쓰이는 상황에서 이 정도 대응으로는 유출을 막아낼 수 없다.
뒤늦게나마 예산이 늘기는 했다. 개인정보위의 내년도 예산은 729억원으로, 올해보다 70억원 증가했다. 다크웹 대응체계 구축에 4억원, 기술분석센터 운영에 20억원이 신규 편성됐고, 유출 예방·보안 강화 예산도 104억원에서 109억원으로 소폭 늘었다. 증액은 이뤄졌지만, 6000만건이 넘는 개인정보가 유출된 올해의 현실을 떠올리면, 이 정도의 예산 비중으론 실질적 개선을 기대하기 어렵다.
기업 책임도 가볍지 않다. 쿠팡은 해킹이 시작된 후 5개월 동안 침해 사실을 인지하지 못했다. 4500건이라던 유출 규모가 11일 만에 3370만건으로 급증한 것은 기본적인 이상행위 탐지, 접근권한 통제, 로그 분석이 제대로 작동하지 않았음을 보여준다.
IBM 조사에서 한국 기업이 데이터 유출 사고를 당했을 때 평균 48억원 규모의 수습 비용이 발생하는 것으로 나타났다. 그럼에도 많은 기업은 보안을 비용으로 취급하며, 사고가 난 뒤에야 인력과 투자를 늘리는 관행을 반복한다.
사실 문제의 본질은 단순하다. 한국 사회는 디지털 전환 속도에 열광하면서, 보안을 다지는 속도는 방치했다. 주민번호 체계는 구조적 위험을 안고 있고, 기업은 매출과 성장 앞에서 보안을 후순위로 밀어냈으며, 정부는 예산과 인력에서 보안을 가장 먼저 희생시켰다. 그 사이 국민은 무감각해졌고, 범죄자는 대담해졌다.
개인정보 유출은 더 이상 사고가 아니라 국가적 취약성이며, 우리 일상에 깊숙이 자리 잡은 구조적 위해다. 유출 여부를 조회하는 서비스가 일상이 된 지금, 이제는 ‘누가 털렸느냐’가 아니라 ‘왜 매번 털리는가’를 물어야 한다.
