공공기관의 개인정보 등이 해커들의 손쉬운 먹잇감이 되면서 정부 차원의 대책이 필요하다는 지적이 나오고 있다.
한국인터넷진흥원 자료에 따르면 2023년 기준 공공기관에서 제기된 개인정보 유출 신고 건수는 300만건을 이미 넘어섰다.
전북대에서는 지난해 7월 발생한 해킹으로 학생과 졸업생을 포함해 약 32만5000명의 개인 정보가 탈취됐고, 2021년부터 23년에 걸쳐서는 북한 해커 조직인 라자루스가 법원 전산망을 장기간 해킹한 것으로 뒤늦게 밝혀져 심각한 파장을 일으켰다.
지난 2월 발생한 한국지능정보사회진흥원(NIA) 개인 정보 유출 사건의 경우 외부가 아닌 내부 직원에 의한 정보 유출이 주요 원인으로 밝혀져 관리 부실이 도마 위에 오르기도 했다.
보안 업계에서는 해킹 수법이 갈수록 지능화·고도화하고 있어 한층 정교하고 전방위적인 예방책을 체계적으로 마련할 필요가 있다고 조언하고 있다.
당장 논란이 된 KT 무단 소액결제 사건만 해도 중국에 뿌리를 둔 거대 범죄조직이 전문가를 동원해 팸토셀을 이용, 기상천외한 사기 수법을 사용했다.
또 통신사 해킹의 경우 은밀하게 잠입한 해커들의 뿌리를 초기에 차단하지 못해 화를 키웠다.
대용량 클라우드 서버에 대규모 데이터를 보관하는 것이 일반화된 만큼 보안 허점이 노출될 경우 대규모 피해로 이어질 수 있다는 우려도 제기된다.
특히 인공지능(AI) 발전과 함께 이전과 비교할 수 없이 값싸게 고도의 해킹 기술을 손에 넣을 수 있게 됐다는 지적도 나온다.
업종 별로는 최근 몇 년 사이 모조리 정보 유출 사고에 노출된 통신사의 경우 대규모 고객 정보를 관리해야 한다는 업종 특성상 범죄 타깃이 되기 쉽고, 금융권의 경우 민감한 결제·인증 관리의 취약점이 이번에 노출된 것이란 분석을 내놓는다.
지난 4월에는 SKT 서버가 해킹 공격을 받고 총 2696만건의 고객 유심 정보가 유출되는 최악의 해킹 사고가 벌어져 전국적으로 큰 파문을 던졌다.
무엇보다 통신사 서버는 광범위한 고객 정보를 보관하는 만큼 유심 복제를 포함한 2차 금융 범죄 가능성에 큰 우려가 제기되기도 했다.
해커들은 SKT 내부 네트워크에 침입하기 위해 악성코드를 사용한 것으로 전해지며, SKT는 이미 2022년 2월 이를 발견하고도 신고하지 않아 논란을 가중했다.
개인정보보호위는 지난 8월 사실상 SKT 가입자 대부분의 휴대전화 번호를 포함해 민감 정보가 다수 빠져나간 이번 사태와 관련, 1348억원의 역대 최대 규모 과징금을 부과한 상태다.
국내 최대 인터넷 서점인 예스24는 연달아 랜섬웨어 공격의 표적이 되기도 했다.
예스24는 6월 9일 미상의 단체 랜섬웨어 공격으로 5일간 전면 서비스가 마비됐고, 이어 두 달만인 8월 11일 또 다시 랜섬웨어 공격을 받아 7시간 동안 서비스가 중단되는 사태를 겪었다.
업계에선 1차 해킹으로 인한 예스24의 직접적 손실이 약 100억원에 이르고, 해커와 협상 과정에서 수십억원의 자금을 지출했을 것으로 추정하고 있다.
게다가 개인정보 유출이 없었다는 발표와 달리 개인정보보호위 조사 결과 시스템에서 비정상적 회원정보 조회 정황이 발견되며 유출 가능성에 대한 우려도 제기된다.
2023년 1월에는 LG유플러스 약 30만명의 고객 개인정보가 해킹으로 유출되는 사건이 발생하기도 했다. 유출 정보에는 이름, 휴대전화 번호, 가입일, 이메일 주소 등이 포함됐다.
해커는 시스템 취약점을 이용해 내부 데이터베이스에 침투해 정보를 빼돌렸고, 유출 정보가 다크웹 불법 거래 사이트에서 거래되는 정황이 포착돼 2차 스미싱 및 보이스 피싱 등 우려를 낳기도 했다.
정부는 해킹 사태들이 지속되는 만큼 보안 업계와 협력을 통해 안전한 시스템 구조를 만들어야 할 것이다.