[이슈Law] AI 기술 발전에 개인정보 해킹도 진화…보안 사각지대 없애려면

최근 개인정보 유출 사건이 반복되고 있습니다. AI 발전과 관련돼 개인의 행동 패턴을 학습한 정교한 피싱이나 페이크 전화 등을 통한 대규모 유출 가능성도 제기됩니다. 개인정보 유출 사건이 반복되는 배경과 해결 방안 등을 허윤 변호사(법무법인 동인)와 함께 살펴보겠습니다.

▲ (게티이미지뱅크)

최근 대규모 개인정보 유출 사고 발생이 빈번하다. 무선통신 1위 사업자로 가입자 수가 2300만 명에 달하는 SK텔레콤은 19일 해커에 의한 악성 코드 공격으로 유심(USIM) 정보 등이 유출됐다.

티머니도 12일 고객의 이름·이메일·주소·휴대전화 번호가 유출되는 사고가 발생했고, GS리테일 사업부문인 GS SHOP‧GS25에서는 150만 명이 넘는 고객의 정보가 유출됐다. 이름, 연락처뿐 아니라 기혼 여부, 개인통관고유부호 등 민감한 정보까지 유출됐다고 한다.

개인정보에 대한 해킹 방식은 다양하다. 피싱(Phishing), 스미싱(Smishing), 랜섬웨어(Ransomware) 등 익숙한 수법 외에도 브루트포스(Brute Force), 맨인더미들(MITM), SQL 인젝션(SQL Injection) 등 공격이 활용된다.

GS리테일의 경우 ‘크리덴셜 스터핑’ 방식이 사용됐다. 기존에 유출된 이메일과 비밀번호 조합을 자동 대입해 로그인 시도를 반복하는 기법이다. 시도 횟수가 많을수록 성공 확률이 높아지기 때문에 보안의 사각지대를 노렸다.

AI 기술의 발전하면서 개인정보 해킹 방식은 더욱 진화될 것으로 보인다. 기존 피싱 공격은 사람이 작성한 이메일에 의존했지만, AI는 개인의 언어 패턴과 행동 데이터를 분석해 훨씬 정교한 맞춤형 사기 메시지를 생성할 수 있다.

여기에 음성 합성 기술까지 활용하면 실존 인물을 사칭하는 전화 사기도 가능하다. 사용자의 금융 기록, 위치 정보, 소셜미디어 활동 등을 종합적으로 분석해 일상적 거래 패턴을 모방하는 방식의 범죄까지 가능할 것으로 우려된다.

개인정보가 활용되는 AI 모델의 학습 과정에서도 유출 가능성이 커지고 있다. 기업이 사전 동의 없이 데이터를 AI 모델 학습에 활용하거나, 동의 범위를 넘어 학습하는 사례가 적지 않다.

개인정보 유출 사고가 발생하면, 기업의 대응은 대부분 비슷하다. 발표를 지연하거나, 공지하더라도 핵심 내용은 빠뜨린다. 일부 기업은 규제 기관의 조사나 압박이 있고 난 뒤에야 뒤늦게 입장을 밝히기도 한다.

흔히 ‘외부 해킹’이나 ‘고도화된 사이버 공격’이라며 책임을 외부로 돌리는 경우도 많다. 물론 외부 공격이 실제 원인일 수 있지만, 애초 강력한 보안 시스템 확보와 개인정보 수집·보관 최소화, 내부 감시체계 강화 체계를 갖췄다면 대규모 유출은 막았을 가능성이 크다.

▲게티이미지뱅크 개인정보 유출 (게티이미지뱅크)

이번 해킹 사례들을 보더라도 대부분 기업은 사과‧공지문을 통해 해킹 시도 IP 차단, 계정 잠금 조치, 정보보호위원회 신설 등 사후 대응을 강조할 뿐이다.

결국 피해자는 직접 대응에 나설 수밖에 없다. 개인정보보호법상 개인정보처리자가 고의 또는 과실로 유출한 경우 손해배상 책임이 있고, 정신적 피해에 대한 위자료를 청구할 수 있다. 실제 GS리테일 개인정보 유출 피해자들은 지난달 법원에 손해배상 청구를 제기했다.

개인정보위원회에 따르면 지난해 개인정보 분쟁조정 처리 건수는 전년보다 21% 증가한 806건으로 집계됐다. 해킹 등 개인정보 유출로 ‘안전성 확보조치 미비’가 드러난 데 따라 제기된 분쟁조정은 지난해 62건으로 전년(28건)보다 2배 늘었다.

하지만 현실에서 인정되는 위자료는 대개 10만~30만 원 수준이다. 유출 정보의 민감도가 크더라도 금액 차이는 적다. 수십만 명의 개인정보가 유출된 대형 사고에서도 기업이 감당해야 할 손해액은 수억 원에서 수십억 원 정도에 불과한 셈이다.

앞서 KB국민카드‧NH농협카드‧롯데카드는 2014년 고객정보 1억400만 건을 유출한 혐의로 기소돼 법원에서 벌금형(1000만~1500만 원)을 선고받았다. 이후 제기된 민사소송에서 법원은 “1인당 10만 원을 배상하라”고 판결했다.

개인정보보호위원회나 방송통신위원회는 기업에 과징금‧과태료를 부과할 수 있지만, 이마저도 기준이 모호하고 기업 규모에 비해 금액이 지나치게 낮은 경우가 대부분이다.

허윤 변호사는 “개인정보 유출 관련 지금의 법제도는 한계가 있다”며 “위자료 상향이나 과징금 인상뿐 아니라, 일정 규모 이상의 유출 사고가 발생했을 때 경영진에게도 책임을 묻는 방법도 고려해야 한다”고 말했다.

[도움]

허윤 변호사는 법무법인 동인 수사대응팀, 영장대응팀에서 근무하고 있으며, 방위사업청 옴부즈만, 고위공직자범죄수사처 검사, 서울중앙지방법원 연계 조기조정위원, 언론중재위원회 자문변호사, 기획재정부 사무처 고문변호사 등으로 활동하였습니다.