국내 대형 플랫폼의 개인정보 유출 사고가 수천만명 규모로 커지는 사례가 잇따르고 있다. 최근 온라인동영상서비스(OTT) 티빙에서 발생한 유출 피해는 1953만명으로, 정부의 초기 잠정치(1300만명)보다 650만명 이상 늘었다. 개인정보보호위원회의 제재 기준으로 역대 유출 규모 1~3위인 쿠팡(3756만명)·SK텔레콤(2324만명)·인크루트(728만명) 모두 최근 2년 사이에 확인된 사례다. 한 기업이 쇼핑·콘텐츠·통신 등 복수 서비스를 제공하면서 축적하는 개인정보의 양과 종류가 늘어난 것이 대형화의 배경으로 꼽힌다.
인공지능(AI)이 해킹 공격의 규모와 용이성을 동시에 키우고 있다는 분석이 나온다. 과거에는 해커가 직접 취약점을 탐색해야 했지만 이제 AI가 이를 대신 찾아준다는 것이다. 지난해 접수된 유출 신고 447건 중 276건(61.7%)이 해킹으로 발생했다. 여러 곳에서 탈취한 개인정보를 결합하면 활용 가치가 높아진다는 점에서, 기업이 보유한 대규모 이용자 데이터는 공격자에게 더욱 매력적인 표적이 되고 있다. 개인정보가 불법 거래 시장에서 금전적 가치를 갖게 된 것도 공격 동기를 강화하는 요인이다.
처벌과 예방을 동시에 강화해야 한다는 목소리가 높아지고 있다. 개인정보보호위원회는 쿠팡·SKT 등에 잇따라 대규모 과징금을 부과했으며, 오는 9월 개정 개인정보보호법이 시행되면 이후 발생한 사고에 대해 위반 기업에 전체 매출의 최대 10%까지 ‘징벌적 과징금’을 물릴 수 있게 된다. 탐지 기술 발전으로 과거에는 드러나지 않던 사고가 수면 위로 떠오르는 측면도 있다는 시각도 있다. 한 정보보호 인증 심사 전문가는 보안 장비가 고도화되면서 그동안 묻혀 있던 사고가 드러나는 경우가 늘고 있다고 설명했다.
전문가들은 처벌 강화만으로는 한계가 있으며 실질적 예방 역량을 키워야 한다고 강조한다. 김도승 전북대 교수는 기업이 개인정보 보호를 기본 원칙으로 삼는 거버넌스를 갖추는 동시에, 정보보호 관리체계(ISMS) 인증이 문서 중심에서 벗어나 실제 보안 역량을 높이는 방향으로 바뀌어야 한다고 밝혔다. 개인정보 보호법 개정으로 법적 기준이 높아지는 가운데, 기업이 AI 시대의 공격 환경 변화에 맞는 실질적 보안 투자를 늘려야 한다는 요구도 높아지고 있다.














