SK텔레콤 유심(USIM·가입자 식별 모듈) 해킹 사고 이전에도 국내 대기업의 개인정보 유출 사고 ‘흑역사(黑歷史)’는 반복됐다. 사고가 터질 때마다 대응 방식도 판박이였다. 향후 재발을 막기 위해서라도 해외 사례를 반면교사 삼아야 한다는 지적이 나온다.

최근에도 이동통신사 사고가 있었다. LG유플러스는 2023년 약 30만명의 고객 정보를 유출했다. 고객 이름과 생년월일, 전화번호, 집 주소, 단말기 모델명, e-메일, 유심 정보 등을 해킹당했다. 개인정보보호위원회(개인정보위)는 과징금 68억원과 과태료 2700만원을 부과했다.

규모로 보면 국내 스크린골프 1위 업체 골프존 피해가 더 컸다. 골프존은 같은 해 랜섬웨어(해킹한 데이터를 복구하는 대가로 거액을 요구하는 범죄) 공격으로 221만명의 이름과 e메일, 전화번호 등 개인정보를 유출했다. 개인정보위는 과징금 75억400만 원, 과태료 540만 원을 물렸다. 쿠팡도 2021·2023년 쿠팡이츠 배달원과 고객 등 15만명의 개인정보를 유출했다. 개인정보위는 과징금 15억8865만 원과 과태료 1080만 원을 부과했다.

개인정보에 대한 보호 의식이 상대적으로 낮았던 2010년대 이후로 범위를 넓히면 사고 규모가 훨씬 크다. SK커뮤니케이션즈는 2011년 중국발(發) 서버 해킹으로 네이트·싸이월드 회원 약 3500만명의 개인정보를 유출했다. 주민등록번호, 이름, 혈액형, 비밀번호 등 개인정보가 포함됐다. 이밖에 KT(2012년 870만명, 2014년 1200만명), 인터파크(2016년 1030만명) 등도 개인정보를 털렸다. 하지만 과징금 상한을 ‘위법 행위 관련한 매출의 3%’에서 ‘전체 매출의 3%’로 바꾼 2023년 이전이라 과징금 규모가 수천만~수억 원 선에 그쳤다.

사고를 일으킨 기업은 “사고 경위를 파악하는 데 시간이 걸렸다”라거나 “입점 업체 등 제3자에서 정보가 유출됐다”고 해명했다. “보안 투자를 강화하겠다”는 식의 재발 방지책도 뒤따랐다. 개인정보위가 “전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치를 마련하라”고 권고했지만 사고는 계속됐다.


해외에선 미국의 3대 이동통신사 중 한 곳인 T모바일이 2021년 고객 7660만명의 개인정보를 유출했다가 집단소송을 당해 3억5000만  달러(4590억 원)를 배상하는 데 합의했다. 1인당 배상액이 최대 2만5000달러(약 3200만 원)에 달했다. 페이스북·인스타그램을 운영하는 메타는 2018년 고객 2900만명의 개인정보를 유출한 사고에 대해 아일랜드 데이터보호위원회(DPC)에서 과징금 3800억 원을 부과받았다.

처벌이 능사는 아니다. 하지만 집단소송이나 징벌적 손해배상 제도를 갖추지 않은 상황에선 기업의 보안 수준을 높이는 데 한계가 있는 것도 사실이다. 임종인 고려대 정보보호대학원 석좌교수는 “개인정보 유출 사고에 대한 처벌이 강화했다 하더라도 여전히 기업에 비용 처리라는 ‘면죄부’ 이상의 압박을 주지 못하고 있다”며 “(사고가 나기 전부터) 사전 점검 과정에서 허점이 나오면 규제하고 경영진 책임을 강화하는 등 경고 수위를 높여야 한다”고 말했다.