데일리연합 (SNSJTV) 김용두 기자 |  감사원이 정부 공공 전산 시스템을 대상으로 실시한 모의 해킹 결과는 단순한 행정 미비 수준을 넘어, 국가 개인정보 보호 체계가 사실상 무방비 상태에 놓여 있음을 보여준다. 개인정보보호위원회가 지정한 공공기관 전산시스템 가운데 개인정보 보유량이 많은 7개 시스템을 선정해 점검한 결과, 모든 시스템에서 손쉽게 개인정보 탈취가 가능한 취약점이 확인됐다. 이는 일부 기관의 문제가 아니라 공공부문 전반에 누적된 구조적 보안 실패이다.

감사 결과에 따르면 암호화되지 않은 접속 정보, 반복 조회 제한 미비, 비정상 접근 차단 실패 등 기본적인 보안 원칙조차 지켜지지 않은 사례가 다수 드러났다. 특정 시스템에서는 관리자 권한 탈취 시 13만 명의 주민등록번호 유출이 가능했고, 다른 시스템에서는 수법에 따라 수천만 명에 달하는 주민등록번호 조회가 이론적으로 가능했던 것으로 확인됐다. 이는 해킹 기술의 고도화 이전에, 관리와 책임 의식의 붕괴가 먼저 존재했음을 의미한다.

문제의 본질은 개인정보 유출이 단순한 ‘정보 사고’가 아니라, 국민 개개인의 삶을 직접 위협하는 범죄의 출발점이라는 데 있다. 주민등록번호와 전화번호, 주소, 보험·복지 정보는 보이스피싱, 스미싱, 명의도용, 금융사기, 불법 대출, 범죄 조직 자금 세탁에까지 활용되는 핵심 수단이다. 개인정보 한 건의 유출은 개인에게는 평생 지워지지 않는 피해로 남고, 사회 전체로는 범죄 비용과 행정·사법 처리 비용을 증폭시키는 경제적 손실로 이어진다.

특히 2021년부터 2025년까지 발생한 대규모 개인정보 유출 320건 중 대부분이 장기간 인터넷과 다크웹에 노출됐을 가능성이 있음에도, 관련 기관의 미신고로 인해 평균 81일, 최대 838일까지 방치됐다는 감사원 지적은 심각하다. 이는 사고 이후 대응 실패가 2차, 3차 피해를 키우는 구조임을 보여준다. 피해 사실을 조기에 차단하지 못한 책임은 관리 기관과 감독 당국 모두에게 있다.

더 큰 문제는 이러한 상황이 반복돼 왔음에도, 공공과 민간을 막론하고 개인정보 보호에 대한 책임 의식이 근본적으로 개선되지 않았다는 점이다. 일부 기관과 기업에서는 여전히 개인정보를 ‘관리 비용’이나 ‘운영 부담’ 정도로 인식하는 도덕적 불감증이 존재한다. 보안 투자보다 사고 발생 후 사과와 형식적 보완으로 넘어가려는 관행은, 결국 국민을 위험에 노출시키는 구조적 무책임으로 귀결된다.

이제 개인정보 보호는 권고나 자율의 영역이 아니라, 강력한 규제와 처벌이 전제돼야 할 국가 안보 수준의 과제가 되고 있다. 암호화 의무 강화, 접근 권한 자동 말소 시스템 의무화, 반복 조회 및 비정상 접근에 대한 실시간 차단, 유출 미신고에 대한 실질적 제재는 더 이상 선택이 아니다. 동시에 개인정보가 유출되더라도 범죄로 악용되는 것을 최소화할 수 있도록 휴대전화 번호 등 핵심 정보의 구조적 비식별화와 보안 설계 전환이 병행돼야 한다.

감사원이 지적한 ‘털린 내 정보 찾기’ 서비스의 실효성 강화 역시 중요한 과제이다. 국민이 스스로 피해 여부를 확인하고 즉각 대응할 수 있도록 하는 체계는 사후 구제가 아니라 최소한의 방어선이다. 그러나 궁극적으로는 사고 이후의 대응보다 사고 자체를 원천적으로 막는 규제 중심의 전환이 필요하다.

공공시스템의 보안 실패는 국가에 대한 신뢰 붕괴로 직결된다. 개인정보 보호를 소홀히 한 대가는 결국 국민이 치르고, 그 피해는 경제와 사회 전반으로 확산된다. 지금 필요한 것은 일회성 점검이나 임시 보완이 아니라, 관리 책임을 명확히 하고 위반 시 실질적 불이익이 따르는 강력한 제도 개편이다. 개인정보 보호는 더 이상 기술의 문제가 아니라, 국가와 기업의 윤리와 책임의 문제이다.