최근 쿠팡에서 대규모 개인정보 유출이 발생한 가운데 올해 개인정보 유출 건수가 사실상 최근 5년 중 가장 많을 것으로 나타났다.
7일 국민의힘 박충권 의원실이 개인정보보호위원회(개보위)로부터 받은 자료에 따르면 올해 1월부터 9월까지 접수된 개인정보 유출 신고는 311건이다. 이같은 수치는 지난해 307건과 비슷한 수준인데, 올해 11월 쿠팡의 대규모 유출 사태와 남은 기간을 고려하면 사실상 더 많은 개인정보 유출 신고가 있었을 것으로 보인다.
올해 1~9월까지 발생한 개인정보 유출의 원인으로는 해킹이 197건으로 가장 많고 업무 과실이 92건, 고의 유출과 기타가 각각 11건으로 나타났다. 지난 1월 GS리테일 개인정보 유출, 4월 SK텔레콤 2300만 건 개인정보 유출, 6월 YES24 랜섬웨어 해킹, 9월 롯데카드 카드번호·CVC 번호 등 민감정보 유출 등 거의 매달 사고가 잇따르고 있다.
2023년 개인정보 유출 신고는 318건이었으며, 2022년 167건, 2021년 163건이었다. 최근 5년 동안 개인정보 유출 신고가 증가세였던 것이다.
신고 내역을 세부적으로 보면, 올해 개인정보 유출 신고는 공공기관 93건, 민간기업 218건이었다. 지난해 공공기관 104건과 민간기업 203건과 비교해 공공기관 신고는 줄고, 민간기업은 소폭 늘어난 모습이다. 2023년에는 공공기관 41건, 민간기업 277건이었으며, 2022년 공공기관 23건, 민간기업 144건, 2021년 공공기관 22건, 민간기업 141건으로 각각 집계됐다.
지난해부터 공공기관 개인정보 유출 신고가 급증한 배경에는 개인정보 보호법 개정이 영향을 미친 것으로 보인다. 개보위 측에 따르면, 2023년 9월 개정된 개인정보 보호법에 따라 공공기관의 신고 기준이 민감정보 또는 고유식별정보가 1건 이상 유출되더라도 신고가 의무화됐다. 또 2023년 민간기업을 중심으로 개인정보 유출이 급증한 원인에는 특별한 사고 보다는 개인정보와 데이터 활용이 많아진 환경이 영향을 준 것으로 분석된다.
국민의힘 박충권 의원은 "쿠팡의 허술한 보안으로 3400만 명의 정보가 유출된 사태는 민간기업 전반에서 보안 점검과 위험관리 체계가 제대로 작동하지 않는다는 점을 드러낸 상징적 사례"라며 "이제는 기업 자율이 아니라, 정부가 전수조사와 강력한 제재에 나서야 한다"고 밝혔다.
서울여대 정보보호학과 박춘석 교수는 "개인정보 유출은 한 번만 된 것이 아니라 여러 번 계속되고 있다. 모순적으로 말해서 개인정보가 아니라 공공정보라고 불러야 할 정도"라며 "개인정보 보호에 대한 인식이 문제"라고 설명했다.
박 교수는 "기업은 개인정보 보호·보안을 투자로 보지 않고 비용으로 본다. 사고가 나지 않으면 보안에 대해 투자를 할 필요가 없는 것"이라며 "정부는 경영자들이 보안 인식을 가질 수 있도록 규제를 강화하고, 기업도 고객에 대한 책임을 지고 사고가 안 나도록 예방해야 한다. 또 개인도 개인정보를 함부로 제공하지 않는 등 소중하게 인식해야 한다"고 지적했다.