쏟아진 해킹, 사라진 책임···‘플랫폼 보안 구조’ 빈틈

[사진=프리픽]

[이뉴스투데이 김진영 기자] SKT, 알바몬, 예스24 등 생활밀착형 플랫폼에서 해킹 피해가 잇따르고 있다. 유출된 정보는 일자리 신청 이력, 온라인 구매 내역, 통신 가입 정보 등 일상과 밀접한 내용이 포함된 것으로 알려졌지만, 사고 발생 이후 공지 시점이나 대응 방식은 업체마다 엇갈렸다. 반복되는 해킹에도 불구하고, 법과 제도가 플랫폼 구조나 책임 분산 문제를 충분히 반영하지 못하고 있다는 지적이 나온다.

한국인터넷진흥원(KISA)에 따르면 2024년 한 해 동안 사이버 침해사고 신고 건수는 총 1887건에 달했다. 이 중 개인정보 유출 사고는 307건으로 전체의 약 16%를 차지했다. 유출 사고 원인 중 56%는 해킹으로 관리자 페이지 침입, 악성코드 유포, SQL 인젝션 등이 주요 경로였다. 업무 과실 등 인재(人災) 비중도 30%에 달했고, 공공기관은 절반에 가까운 사고가 내부 관리 부주의로 발생한 것으로 나타났다.

주요 원인에도 불구하고 기업 대응은 플랫폼별로 달랐다. 알바몬은 “비정상 접근 탐지 즉시 IP 차단하고 즉시 신고·공지했다”고 밝혔고, 예스24는 사건 초기 ‘시스템 점검’ 공지를 내며 피해 규모에 대한 정보는 공개하지 않았다. SKT는 4월 22일 해킹 사실을 공개했으나 유심 교체나 문자 알림 등 후속 조치는 한 달 가까이 지연됐다. 사고 인지와 대응 사이 간극은 제도적 기반의 미비함을 보여주는 사례로 거론된다.

문제는 개별 기업의 대응을 넘어 플랫폼 운영 구조에서 비롯된다는 분석도 있다. 다수 IT 플랫폼은 외주 서버 기반 클라우드 인프라를 활용, 자체 보안 인력을 확보하지 않은 경우도 적지 않다. 때문에 사고 발생 시 데이터 책임이 플랫폼, 위탁업체, 클라우드 제공사에 분산돼 책임 소재가 불분명해지는 사례가 반복되고 있다.

그러나 현행법적 책임 체계는 여전히 ‘서비스 제공자’ 중심에 머물러 있다. 개인정보보호법과 정보통신망법은 단일 사업자를 중심으로 규율, 위탁사·클라우드 제공사·외주업체 등 다층화된 구조에서는 법적 책임이 분산될 수밖에 없다는 해석이 뒤따른다. 이런 구조적 현실에도 불구하고 법적 책임 범위에 대한 논의는 아직 충분히 이뤄지지 않고 있다.

현행 개인정보보호법은 개인정보 유출 시 3일 이내 통지를 의무화하고 있지만, ‘정당한 사유가 있는 경우’ 기한 연장이 가능하다. 통지에 포함될 항목도 최소화돼 있어 유출 경로나 대응 계획 없이도 요건이 충족되는 구조다. 사고 발생 후 ‘언제, 무엇을, 어떻게’ 알릴지는 기업 판단에 맡겨져 있다. 플랫폼 중심 사회로의 전환이 빠르게 이뤄지고 있으나 책임 통지 제도는 사업자 재량에 의존하고 있다는 평가다.

전자금융거래법은 금융사에 대해서는 사고 즉시 통지를 의무화하고 책임 소재를 명확히 규정한다. 다만, IT 플랫폼·통신사업자·콘텐츠 기업은 적용 대상에서 제외된다. 데이터 기반 사회로의 전환이 가속화되고 있음에도 산업별 규율 체계가 단절된 현실을 반영한다. 일각에서는 법체계가 기능 중심이 아닌 업종 중심으로 짜여 있다는 점이 한계점으로 지목된다.

정보통신망법은 일정 규모 이상의 정보통신서비스 제공자에게 보안 조치를 의무화한다. 그러나 전문가들은 해당 기준이 불명확하고 중소 규모 플랫폼은 규제의 사각지대에 놓여 있다고 진단한다. 정보 보호 필요성은 강조되나 실제 적용 범위와 강제 수단은 명확히 정의되지 않은 상황이다. 제도적 공백에 대한 부담이 이용자에게 전가될 수 있다는 우려가 제기된다.

플랫폼 기반 서비스가 점차 공공 기능을 대체하는 상황에서 보안 사고는 개인 피해를 넘어 사회적 접근권 문제로도 확장되고 있다. 보안 업계 관계자는 “통신 인증, 교육 콘텐츠, 복지 포인트 등 공공에 준하는 기능을 수행하는 민간 플랫폼이 늘어나고 있지만, 이에 상응하는 규제 체계는 부재한 상황”이라며 “서비스가 중단될 때 일상 기능이 정지될 수 있는 만큼 해킹은 단순 유출을 넘어서는 사안으로 봐야 한다”고 설명했다.

일각에서는 기업으로써 사고를 조기에 알릴 유인이 크지 않다는 점도 문제로 언급한다. 개인정보보호법은 통지 시점을 ‘정당한 사유가 있는 경우’ 유예할 수 있도록 허용, 피해 규모 산정 기준 역시 불명확한 것으로 평가된다.

보안 시스템 구축 비용은 기업이 부담하는 반면, 사고로 인한 피해는 정보 주체와 사회가 떠안는 경우가 많다는 지적도 있다. 책임과 부담의 방향이 어긋나는 구조는 민간 서비스 운영에서는 일정 부분 수용되기도 하지만 공공 기능을 일부 대체하는 플랫폼은 통제력 부재로 이어질 수 있다.

또 다른 소프트웨어 보안 업계 관계자는 “보안 시스템 구축보다 사고 이후 책임을 회피하는 방식이 더 일반화된 측면이 있다”며 “보안 책임자 지정 및 사고 통지 기준에 대한 명확한 법적 기준이 필요하다”고 말했다. 이어 “개인정보 유출은 단순한 평판 리스크를 넘어 이제는 명확한 법적 책임 체계를 전제로 논의돼야 할 문제”라고 강조했다.