연이어 개인정보 털린 기업들, 공공기관도 '덜덜'

대구 통합전산센터 '사이버침해대응센터' 24시간 운영으로 보안나서
공공기관 최근 개인정보 유출 지난해 391만건 달해

국민연대, 투기자본감시센터 관계자들이 2일 서울 광화문광장에서 쿠팡 개인정보 유출 사고와 관련해 피해보상 등 대책을 촉구하고 있다. 연합뉴스

최근 통신사 및 쿠팡 등 온라인 서비스 기업들의 잇따른 대규모 개인정보 유출사태가 벌어진 가운데 개인정보를 다루는 공공기관들 역시 긴장하고 있다.

해킹 등으로 인한 개인정보 유출에는 각종 행정기관 및 지자체, 공기업 등 공공기관 역시 안전지대가 아니란 지적이다.

개인정보보호법이 규정하는 공공기관에는 국회·법원·헌법재판소·중앙행정기관 및 그 소속 기관 등 헌법기관과 중앙행정기관을 포함된다.

이처럼 오히려 사용자만이 등록하는 기업 서비스와 달리 공공기관에는 전국민의 개인정보가 등록돼 있는만큼 민간 기업 이상의 보안대책이 요구된다.

2일 이정문 더불어민주당 의원실이 개인정보보호위원회로부터 제출받은 자료에 따르면 국가기관(공공기관)의 개인정보 유출 규모는 2022년 65만건에서 2023년 352만건으로 급증했으며, 지난해에는 391만건에 달했다. 올해 7월까지 기준으로 91만건 이상의 유출신고가 접수됐다.

신고건수가 급증한 데는 2023년 9월 개인정보보호법이 개정되면서 주민등록번호 등 고유식별정보나 해킹 등 불법 접근에 따른 유출이 발생할 경우 건수와 상관없이 의무적으로 신고하도록 규정됐기 때문이다.

최근 5년 중 지역에서 가장 많은 정보 유출이 있었던 사례는 2022년 경북대 정보유출 사태 때다. 당시 56만2천여건의 개인정보가 유출됐으며, 이로 인해 경북대에는 과징금 5천700여만원, 과태료 720만원이 부과됐었다.

대구시에서는 통합전산센터 사이버침해대응센터를 운영, 시를 포함한 구·군, 지역 공공‧출자‧출연기관 정보시스템을 24시간 관제하고 있다.

대구시에 따르면 사이버침해대응센터에서는 웹 취약점 공격, 악성코드, 비인가접근 등의 정보탈취 및 침해 시도를 2023년 65만건 차단한데 이어 지난해는 85만건 차단했으며 올해도 지난 9월 기준 53만건의 공격을 막아냈다. 이는 그만큼 지역 공공기관에 정보탈취 공격이 빈번히 이뤄지고 있다는 것을 나타낸다.

우선 대구시와 각 지자체 등은 노후 보안장비 지속 교체, 전문업체 연중무휴 유지관리 용역으로 정보유출을 예방하고 모의훈련과 공무원 정보보호 수칙 교육 등으로 대비할 방침이다.

전문가들은 공공기관이 주민등록번호, 주소 등 개인의 민감 정보에 접근하기 쉬운 만큼, 유출 사고에 대한 대비를 더욱 철저히 해야 한다고 주문했다.

박동균 대구한의대 경찰행정학과 교수는 "공공기관은 지역민들의 민감 정보를 많이 수집하고 있지만, 해킹의 위협으로부터는 자유롭지 않다"며 "이번 쿠팡 사태를 계기로 외부 전문가로 구성된 TF를 가동해 보안망에 대한 총체적인 점검을 해야 한다. 이를 통해 예측 가능한 사이버 테러 유형 파악해서 솔루션 개발해야 한다"고 말했다.

전두용 영남이공대 사이버보안과 교수 역시 "공공기관은 일반 기업과 다르게 수집한 개인정보를 과도하게 활용하진 않지만 그래서 관리에 사각지대가 생길 수 있다"며 "기업 등에선 해커의 공격 시나리오를 가정해 대응책을 미리 준비해두는 '위협 헌팅'이라는 선제적 방법을 활용하고 있는데, 이를 공공기관에도 도입할 필요가 있다"고 했다.