해킹·노출 인지 지연, 사후 대응도 혼선
전문가 "기본 보안조치도 안 지켜…경영 책임 강화 시급"
[수원=뉴스핌] 박승봉 기자 = 최근 대형 플랫폼, 통신사, 글로벌 프랜차이즈를 잇달아 강타한 개인정보 유출 사고가 심각한 사회적 경고등을 켜고 있다. 인터파크·SK텔레콤·파파존스·머스트잇 등 각기 다른 업종에서 벌어진 이 사건들은 모두 기초적인 기술적·관리적 보안조치 미흡이라는 공통된 구조적 문제를 드러낸다.
27일 제보자는 "개인정보가 벌써 2번째 유출됐다는 소식에 말문이 막혔다. 그렇지만 더 황당한 것은 이러한 개인정보가 유출된 이후 이상한 문자가 많이 온다는 것"이라고 밝혔다. 또한 그는 "알지 못하는 주식이나 불법도박사이트 문자가 하루에도 수십개가 온다"며 "잘 모르는 전화가 오면 보이스피싱이 아닌가 하는 생각에 받지 않는 경우도 있다"고 불만을 터트렸다.
◆ 인터파크, 8년 만에 또 유출..."평문 비번에 탐지 실패까지"
지난 2016년 피싱 메일로 시작된 해킹 사건으로 1030만 명의 개인정보가 유출된 인터파크는, 2024년에도 크리덴셜 스터핑 공격에 의해 78만 명의 계정 정보가 추가 유출됐다. 당시 관리자 계정의 비밀번호가 평문으로 저장되어 있었고, 반복 로그인 탐지 기능이 작동하지 않은 점이 핵심 원인으로 지적됐다.
2020년 법원은 피해자 2400명에게 1인당 10만원씩 배상 판결을 내렸다. 그러나 반복된 사고에 대한 기업 차원의 보안 투자는 여전히 부족하다는 비판이 이어지고 있다.
◆ SKT, 핵심 인증 서버 뚫려..."2695만 유심 정보 해킹"
2025년 4월, SK텔레콤의 가입자 인증 서버(HSS)가 해킹돼 전 가입자의 유심 정보가 유출되는 초유의 사태가 발생했다. IMSI, 인증키 등 핵심 통신정보뿐 아니라 일부 서버에서는 이름·생년월일·전화번호 등 민감정보까지 유출 가능성이 제기됐다.
이번 사고는 국가 통신망 보안 취약성과 함께, 사고 인지 후 5일간 공식 발표를 미룬 점, 유심 교체 대응 혼선 등도 논란이 됐다. 전문가들은 "심스와핑 등의 2차 금융 범죄로 연결될 위험이 매우 높다"고 지적한다.
◆ 파파존스, 주문정보·카드번호까지 7년간 노출
한국파파존스는 2025년 6월, 2017년부터 7년간 홈페이지 내 소스코드로 고객명, 주소, 연락처 등 주문정보가 고스란히 노출된 사실이 확인됐다. 일부 고객의 경우 신용카드번호 16자리와 유효기간까지 포함돼 금감원도 긴급 조사에 착수했다.
처음엔 "카드번호는 마스킹 처리됐다"던 회사 측은 이후 "전체 번호가 유출된 사실을 인지했다"며 번복했다.
개인정보보호위원회는 유출 경위와 보관 기간 위반 등을 중점 조사 중이다.
◆ 머스트잇, 인증 없는 API로 개인정보 조회 가능
명품 거래 플랫폼 머스트잇은 한국인터넷진흥원(KISA)의 통보로 비인가 접근에 의한 개인정보 유출 가능성을 인지했다. API에서 인증 없이 최대 9개 항목(이름, 휴대전화, 생년월일 등)이 조회 가능한 구조였고, 5월과 6월 두 차례 이상 비정상 접근이 확인됐다.
머스트잇은 "문제 API를 즉시 차단하고, 전체 보안 점검을 완료했다"고 밝혔으나, 설계 단계부터의 심각한 취약점 노출이라는 점에서 질타를 피하긴 어려운 상황이다.
◆ "기본도 안 지켰다"...공통 원인은 기술·관리·인식의 부재
네 사건은 서로 다른 산업군이지만, 모두 관리자 시스템의 허술함, 탐지 및 차단 실패, 보유기간 초과, 사고 통지 지연이라는 패턴을 공유한다.
개인정보보호법에 따르면, 사고 발생 시 24시간 이내 신고 및 피해자 통지가 의무지만, 대부분 이 기준이 지켜지지 않았다. 특히 SKT와 파파존스는 사고 인지 후 수일이 지난 뒤 공지, 피해자들 사이에서 불신이 커지고 있다.
◆ 피해자 불안 확산..."카드까지 털렸다, 이제 뭘 믿나"
인터넷 커뮤니티에는 "파파존스에서 카드를 자주 썼다. 이제 배달앱도 못 믿겠다", "통신사도 해킹 당하면 끝이다"는 반응이 이어진다.
일부 고객은 "번호를 바꾸겠다", "비밀번호를 모두 바꿔야 할지 모르겠다"며 불안을 호소했다. 또한 "보험회사나 보이스피싱 의심 전화를 자주 받고 있다"며 "스팸처리하는 전화가 많아져, 도대체 어디까지 개인정보가 흘러들어 갔는지 불안하다"고 토로했다.
◆ 전문가 "보안은 비용 아닌 책임"...정부 개입 시급
한 보안 전문가는 "이번 연속 사고는 민간 부문의 보안 인식이 여전히 미흡하다는 방증"이라며 "특히 프랜차이즈·통신사의 설계 취약은 사각지대가 아니라 구조적 방임"이라고 지적했다.
개인정보보호위원회는 "홈페이지 설계 취약점, 관리자 접근 제어 미비, 데이터 과다 보관 등은 모두 법 위반 소지가 있다"며 "사건별 조사 후 강력한 조치를 취할 예정"이라고 밝혔다.
열린모임 시민단체 관계자는 "계속되는 개인정보 유출 사고는 단순한 일회성 사고가 아닌, 산업 전반의 보안 체계 붕괴를 드러내는 구조적 현상"이라며 "이제는 사후 조치보다 예방 중심의 기본 보안 시스템 점검, 기업 경영진의 법적·윤리적 책임 명문화, 피해자 중심의 투명한 대응 체계 구축이 시급하다"고 콕 집어 말했다.
1141world@newspim.com
