민간은 수천억 과징금, 공공은 고작 7억…드러난 공공 보안 민낯

더는 공공시스템도 보안 안전지대가 아닌 것으로 드러났다. 정부의 창업 프로젝트 ‘모두의 창업’ 합격자 5000명의 개인정보가 유출되면서다. 최근 공공 부문의 정보 유출 사고가 잇따르는 만큼, 보안 관련 투자를 늘려 전문성을 높여야 한다는 제언이 나온다.

23일 정부 등에 따르면 중소벤처기업부의 전 국민 창업 아이디어 경진대회 ‘모두의 창업’ 합격자 5000명의 개인정보가 유출된 것으로 22일 확인됐다. 유출 항목은 비공개로 처리된 이메일과 창업 아이디어, 심사평 등이다. 프로그램 참가자를 지원하는 인공지능(AI) 솔루션 업체가 해킹 당하면서 발생한 것으로 드러났다.

해킹 수법은 비정상적인 API 호출을 통해 비공개된 정보를 확보하는 방식이었다. 고난도 수법이 아니었던 만큼, 예방할 수 있었던 사고였다는 진단도 나온다. 심지어 발생 한 달 전에 유출 위험을 경고하는 제보도 있었다. 지난달 7일 사이버보안팀 젠토(zento)는 최근 사회관계망서비스(SNS) 게시글을 통해 모두의 창업 플랫폼에서 지원자 개인정보가 애플리케이션 개발 인터페이스(API) 응답을 통해 구조화돼 노출되는 취약점을 발견했다고 밝혔다.

최근 공공 부문에서 개인정보 유출 사고가 연이어 발생하면서 보안 수준에 대한 신뢰도가 흔들리는 모양새다. 지난 1월에는 서울시 공유자전거 ‘따릉이’의 회원 462만명의 정보가 유출된 정황이 뒤늦게 밝혀졌다. 이용자의 이름, 전화번호, 생년월일뿐만 아니라 몸무게 등 민감한 신체 정보까지 유출됐다.

국민의 신뢰를 기반으로 운영되는 법정 모금‧구호 단체들의 보안망도 뚫렸다. 지난 3월 사회복지공동모금회(사랑의열매)에서 647명의 개인정보가 유출된 데 이어, 전국재해구호협회(희망브리지)에서도 1000여명의 기부자 정보가 유출됐다. 도용 위험이 가장 큰 고유식별정보인 주민등록번호까지 직접 노출돼 파문이 일었다.

지난해에는 소방공무원 채용 사이트인 ‘119고시’가 보유한 수험생 5만여명의 아이디와 성명, 생년월일, 휴대전화 번호, 이메일 등이 유출되는 사고가 발생했다. 행정안전부가 운영하는 통합행정 서비스 포털 ‘정부24’에서도 지난 2024년 4월 생활기록부·졸업증명서·납세증명서 발급 과정의 소스코드 오류로 1233명의 개인정보가 노출됐다.

공공영역의 개인정보 유출 사고 증가는 통계로도 증명된다. 개인정보보호위원회에 따르면 2021~2025년 공공영역 유출 사고는 총 442건에 달했다. △2021년 49건 △2022년 32건 △2023년 104건 △2024년 180건으로 해마다 늘고 있다.

공공영역의 개인정보 유출 사고가 잇따르는 배경으로 제재 실효성이 낮다는 점이 꼽힌다. 이양수 국민의힘 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 2021년부터 최근까지 개인정보 유출로 공공기관에 부과된 최대 과징금은 올해 1월 한국연구재단의 7억300만원이다. 이어 전북대(6억2300만원), 한국공무원연금공단(5억3200만원), 한국사회복지협의회(4억8300만원) 순이다.

반면 민간 기업은 훨씬 더 많은 액수의 과징금을 부과한다. 쿠팡은 역대 최대 규모인 6246억8100만원의 과징금을 물었다. SK텔레콤(1347억원), 메타(216억원), 루이비통(213억원) 등도 수백억원대의 과징금을 냈다.

공공기관은 민간기업과 과징금 체계가 상이하기 때문이다. 개인정보보호법에 따르면 공공기관처럼 매출액이 없거나 매출액을 산정하기 힘든 경우엔 최대 과징금을 20억원으로 정했다. 민간기업은 전체 매출액에서 최대 3%를 과징금으로 부과하고 있다.

황석진 동국대 국제정보보호대학원 교수는 쿠키뉴스와의 통화에서 “공공기관은 과징금이 민간보다 적게 적용되는 데다 기관장이 책임을 물지 않는다”면서 “예방이나 점검 의무를 이행하지 않아도 제재가 약하다 보니, 기관 입장에선 보안 관리 비용을 줄이는 쪽으로 기울기 쉽다”고 지적했다.

전문가들은 공공부문 보안 수준을 높이기 위해 제재 실효성을 제고하고, 투자를 늘려야 한다고 제언한다.

김명주 서울여대 정보보호학과 교수는 “모두의 창업의 경우 한 달 전 유출 위험 예고가 있었음에도 대처하지 못한 것은 이를 실행할 인력이나 제반 여건이 받쳐주지 못했기 때문”이라며 “보안이나 시스템 관리 영역을 중요하게 인식하지 않고 관련 예산과 인력을 줄여온 구조적 문제가 작용한 것”이라고 진단했다. 이어 “보안은 건물의 주춧돌과 같아 하나만 무너져도 신뢰도 전체가 실추되므로, 보안을 비용이 아닌 필수 투자 개념으로 전환해야 한다”고 강조했다.

황 교수는 대안으로 ‘제로 트러스트(아무도 신뢰하지 않는다)’ 보안 모델 도입을 제시했다. 모든 네트워크 접근을 의심하는 보안 전략을 말한다. 황 교수는 “모든 접근을 원점에서 재검증하고 모니터링하는 체계가 필요하다”며 “다중요소인증(MFA) 구축과 세부적인 접근 권한 분류가 선행돼야 하며, 상시 모니터링을 통해 비인증 주체의 접근을 사전에 차단하는 예방 시스템을 갖춰야 한다”고 말했다.

김은빈 기자 eunbeen1123@kukinews.com