|
사이버 침해 사고 증가는 작년에만 국한되지 않는다. 사이버 공격의 고도화, 정교화로 최근 몇 년새 해킹 사고가 늘어나는 추세를 보이고 있다.
27일 개인정보보호위원회 '2025 개인정보 보호 연차보고서의 개인정보 유출 및 디지털 범죄 현황'에 따르면 국내 개인정보 유출 신고건수는 2021년 163건에서 2024년 307건으로 급증했다. 3년 만에 두 배 가까이 늘어났다. 특히 유출 원인으로는 해킹이 171건, 전체의 56%를 차지했다.
대기업조차 해킹 사고를 막지 못하면서 사이버 침해가 일상이 되는 모습이다. 사전 예방이 최선이지만, 해킹의 고도화로 완벽한 예방이 쉽지 않다. 이쯤에서 시각을 바꿔볼 필요가 있다. 사고를 왜 막지 못했는지 비난하기보다는 사고 이후 어떻게 대처했는지에 주목해야 한다. 사고 이후 기업이 어떤 태도와 대응을 보이는지가 중요하다는 얘기다.
무단 소액결제 사고가 발생한 KT의 경우 해킹 정황을 인지하고도 신고하지 않은 사실이 드러났고, LG유플러스는 증거인멸 의혹이 제기됐다. 사과와 후속 조치가 미흡하다는 사례도 있다. 쿠팡은 '탈팡러시'(회원탈퇴) 움직임 속에서 회원 1인당 5만원 규모의 쿠폰을 제공했다. 하지만 자세히 들여다보면 쿠팡과 쿠팡 계열사에서 사용할 수 있는 이용권을 제공하면서 사실상 또 다른 마케팅 기회로 활용했다는 지적이 제기됐다.
반면 롯데카드는 해킹을 초기에 탐지한 즉시 유관기관에 신고하고 사고조사에 적극 협조했다. 그 결과 해킹으로 인한 2차 피해는 발생하지 않았다. 다른 기업들과 달리 모범적인 대응을 했다는 평가가 나오는 이유다.
송경희 개인정보보호위원장은 지난해 국정감사에서 개인정보 유출 시 정해진 72시간보다 더 빨리 신고하는 기업들에게 가점을 주겠다고 언급한 바 있다. 영국 정보보호위원회(IOC)에서는 사고 이후 기업이 조사에 성실히 협조하고 보안 조치 등 사후 대처를 시행한 경우 이를 반영해 과징금을 대폭 감경한 사례도 있다.
이처럼 해킹 사고가 발생한 기업에 대한 제재 수위를 결정할 때에도 사후 대응을 감안해줄 필요가 있다. 피해 발생 이후 관계 기관에 신속 신고해 조사에 협조한 기업과 자체 조치 명목으로 은폐한 기업을 동일선상에 놓고 평가하는 것이 합리적인지 의문이 들 수밖에 없다. 불가피하게 사이버 침해 사고가 발생했을 때, 빠른 대응을 통해 피해를 최소화한 기업이 오히려 손해를 보지 않도록 하는 제도적 장치가 필요해 보인다.
