SK텔레콤과 쿠팡, 신한카드 등에서 수천만 건 단위의 개인정보 유출이 잇따른 올해, 기업들의 정보보호 투자와 전담 인력 증가 속도는 오히려 둔화한 것으로 나타났다. 해킹 피해 통계와 공시 데이터가 동시에 보여주는 것은, 위험 성장 속도를 예산과 인력이 따라가지 못한다는 구조적 괴리다.

핵심 쟁점

해킹·유출 사고 건수와 피해 규모는 가파르게 늘었는데, 정보보호 투자와 전담 인력은 “늘고는 있지만” 증가율이 빠르게 떨어지고 있다.

이사회와 정부가 정보보호를 비용 항목 정도로 취급하는 한, 사고 이후 사과와 재발 방지 약속은 통계로 검증되지 않는다.

2025년 한 해에만 SK텔레콤에서 2300만 명이 넘는 고객 정보가 유출됐고, 쿠팡 사태에서는 약 3370만 계정이 영향을 받은 것으로 보도됐다. 통신·유통·금융을 가리지 않고 대기업에서 대규모 유출이 연쇄적으로 발생했고, 연말까지 항공사와 협력업체에서도 임직원 정보 유출 사고가 이어졌다. 대형 사고마다 기업은 사과와 재발 방지를 약속했지만, 같은 유형의 사건이 같은 업종에서 반복된다는 점이 문제다.

한국인터넷진흥원 사이버 침해사고 통계에 따르면 침해사고 신고 건수는 2023년 1277건에서 2024년 1887건으로 약 48% 증가했다. 같은 기간 서버 해킹과 정보 유출, 스팸 발송을 포함한 기타 유형이 크게 늘었다. 공격 빈도와 피해 범위가 빠르게 커지는 상황에서도, 기업의 정보보호 체계가 상시적인 위협 수준에 맞춰 강화됐다고 보기는 어렵다.

개인정보 유출 신고 건수도 간단하지 않다. 개인정보보호위원회 2024년 유출 신고 동향에 따르면 2024년 신고 건수는 307건으로 2023년 318건과 비슷한 수준이다. 이 가운데 해킹이 171건으로 56%를 차지했고, 업무 과실(30%)과 시스템 오류(7%)가 뒤를 이었다. 건수 기준으로는 큰 폭 증가는 아니지만, 해킹 비중이 늘고 있다는 점은 기업의 기술적·관리적 대비가 공격 양상 변화에 뒤처지고 있음을 보여준다.

2022~2024년 정보보호 투자·전담인력 추이

연도 총 투자액(억원) 전담인력(명)
2022 15,072 5,862.1
2023 18,318 6,742.3
2024 21,196 7,681.4

출처: 2024 정보보호 공시 현황 분석보고서, 한국인터넷진흥원

숫자만 보면 투자와 인력은 늘었다. 그러나 같은 자료를 보면 22~23년 정보보호 투자액은 21.5% 증가했지만, 23~24년 증가율은 15.7%에 그쳤다. 전체 정보보호 전담인력도 22~23년 15.0% 늘었지만 23~24년 증가율은 13.9%로 낮아졌다. 공격과 피해는 가팔라지는데 방패의 두께를 더하는 속도는 이미 줄어든 셈이다.

“투자 늘었다”는 말만으로는 충분하지 않다

매출과 디지털 의존도가 빠르게 늘어나는 대형 플랫폼·통신·금융 기업에서 정보보호 투자와 인력이 소폭 증가하는 것은 최소 조건에 가깝다. 문제는 침해사고 통계와 비교했을 때, 증가 속도가 위험 증가율을 따라가지 못한다는 점이다.

반복되는 대형 유출 이후에도 증가율이 둔화했다는 사실은, 사고를 겪은 뒤에도 예산 의사결정 구조가 바뀌지 않았다는 신호다.

공시 제도는 있지만 이사회 책임과 직접 연결되지 않는다

정보보호 공시는 상장사 등에 정보보호 투자액과 전담 인력, 인증 현황을 공개하도록 요구한다. 그러나 공시 수치가 일정 수준 이하일 때 이사회와 경영진에 대한 제재나 인센티브가 명확하지 않다.

사고가 발생한 뒤 과징금과 시정명령으로만 대응하는 구조에서는, 사고 이전 단계에서 예산·인력 배분을 과감히 바꾸려는 동기가 약해진다.

  • 해킹 비중이 전체 유출 신고의 절반을 넘는데도, 많은 기업에서 정보보호 조직은 여전히 IT 부서의 하위 기능으로 취급된다.
  • 전담 인력 비율은 조금씩 늘고 있지만, 외주와 단기 용역에 의존하는 구조가 유지돼 내부 보안 역량 축적이 어렵다.
  • 공시·인증 중심의 규제는 최소 요건 충족에는 도움이 되지만, 공격 양상 변화에 맞춘 공격적인 투자와 인력 확충을 이끌어내기에는 힘이 약하다.

개인정보 유출 신고 동향·예방 보고서는 해킹·업무 과실·시스템 오류가 여전히 주요 원인임을 반복해서 보여준다. 기술적 조치와 더불어 권한 관리, 점검 미흡 등 기본 관리 부실이 사고의 핵심 배경이다.

이는 보안 기술 수준보다 예산·인력·관리 체계의 우선순위가 문제라는 점을 뚜렷이 드러낸다. 고급 솔루션 도입만으로는 같은 유형 사고의 재발을 막지 못한다.

한파처럼 반복되는 유출을 막으려면, 투자와 인력에 최소 기준선을 세워야 한다

첫째, 일정 규모 이상 개인정보를 처리하는 기업에 대해 매출 또는 IT 투자액 대비 정보보호 투자 비율의 하한선을 법과 감독 규정으로 명확히 제시할 필요가 있다. 공시만으로는 부족하고, 최저 기준 미달 시 과징금과 경영진 제재가 함께 작동해야 한다.

둘째, 정보보호 전담 인력 비율 역시 IT 인력 대비 최소 기준을 설정하고, 연속 유출 사고가 발생한 기업에는 일정 기간 인력 확충 계획 제출을 의무화해야 한다. 인력을 줄이면서 투자액만 늘리는 식의 ‘숫자 맞추기’ 공시는 허용해서는 안 된다.

셋째, 반복 유출 기업의 경우 이사회 산하 감사·위험관리위원회에 정보보호 점검 결과를 정기 보고하도록 의무화하고, 점검 미흡이 확인되면 이사회 책임을 분명히 묻는 제도가 필요하다. 사고 이후 보여준 사과와 약속이 다음 해 공시 숫자로 검증되도록 만드는 장치다.

올해의 대형 해킹·유출 사고와 통계는 “사고가 많아지면 자연스럽게 보안 투자가 늘어난다”는 기대가 현실과 다르다는 점을 보여준다. 공격과 피해의 증가 속도에 맞춰 투자와 인력을 늘리도록 강제하지 않는 한, 내년 연말에도 비슷한 사고를 다시 쓰는 기사만 쌓이게 된다.

#정보보호투자 #개인정보유출 #해킹