"집 비밀번호, 택배 공동현관 코드, 심지어 개인통관번호까지…. 이 정도면 개인정보가 아니라 누구나 볼 수 있는 공용 데이터죠."

올해 연달아 터진 초대형 개인정보 유출사고로 인해 한국 사회가 사실상 '개인정보 무방비 시대'로 접어들었다는 우려가 커지고 있다.

2일 개인정보보호위원회는 최근 5년간 확인된 국내 개인정보 유출 규모가 1억1924만건이라고 밝혔다. 이는 조사와 처분이 끝난 사례만 반영한 수치다. 아직 최종 조사가 남아 있는 롯데카드 297만건, KT 2만건, 그리고 최근 논란의 중심에 선 쿠팡 3370만여건을 포함하면 전체 피해 규모는 1억5593만건으로 치솟는다.

올 10월 기준 대한민국 총인구가 약 5114만명임을 고려하면, 국민 개개인이 최소 3건 이상 개인정보 유출을 겪은 셈이다. 사실상 '전 국민이 피해자'가 된 구조다.

◆올해만 7516만건…전년 대비 13배 폭증

올해는 그 중에서도 유난히 심각한 해로 기록된다. 2024년 전체 유출 규모는 7516만여건으로, 전년 593만건의 13배 이상으로 폭증했다. 보안 업계에서는 "올해 통계는 사고가 아니라 붕괴"라는 말까지 나온다.

SK텔레콤에 이어 쿠팡까지 대형 플랫폼 기반 사업자가 연달아 사고를 내면서 전체 통계가 '기형적 급증'을 보였기 때문이다.

이 과정에서 유출된 정보도 더 민감해지고 있다.

과거에는 전화번호·이메일이 흔했지만 최근엔 배송주소, 공동현관 비밀번호, 신용카드 정보, 생체정보, 개인통관부호 등 고위험군 정보가 포함되는 사례가 늘고 있다.

정보 범위가 넓어질수록 2차 피해인 스미싱·보이스피싱·계정탈취 가능성도 함께 커지는 구조다.

◆"기술 발전 속도 못 쫓아간 관리체계"…기업·정부·개인 모두 취약

전문가들은 사고가 반복되는 이유로 '구조적 취약성'을 첫 번째로 꼽는다.

가천대 최경진 교수는 "데이터 활용이 폭증하는 속도에 비해 보안관리 체계는 10년 전 수준에 머물러 있다"며 "정부는 점검 주기를 늘리고, 기업은 직군별 접근권한을 철저히 분리해야 한다"고 지적했다.

특히 AI·클라우드·자동화 시스템이 확산하면서, 관리 부실 한 번으로 대규모 정보가 한꺼번에 새 나갈 가능성도 크게 높아지고 있다는 분석이다.

개인 차원의 보안 의식도 문제로 지적된다. 최 교수는 "비밀번호 재사용, 이중인증 미설정 등 기본적인 보호조차 하지 않는 경우가 많다"며 "데이터 유출이 상시화된 환경에서는 개인도 보안 습관을 스스로 강화해야 한다"고 강조했다.

◆퇴사자 토큰 방치…기본 중의 기본도 안 지킨 기업들

올해 사고가 특히 비판받는 이유는 유출 규모뿐 아니라 '원인 자체가 너무 기초적이기 때문'이다.

최민희 더불어민주당 의원실은 쿠팡 사고의 원인을 "퇴사한 직원이 사용하던 인증관리자의 액세스토큰을 방치한 탓"이라고 지적했다.

기업 내부에서 기본적인 권한 회수·폐기 절차가 이뤄지지 않은 것이다. 이는 단순 실수가 아니라 관리 체계가 작동하지 않았다는 증거이며, 비슷한 유형의 사고가 다른 기업에서도 반복될 수 있음을 시사한다.

◆정부도 '강경 모드' 전환…"징벌적 손배 사실상 무용지물"

정부는 뒤늦게 제도 개선을 예고했다. 강훈식 대통령비서실장은 쿠팡 사고와 관련해 "징벌적 손해배상이 사실상 기능하지 않는 현실에서는 대규모 사고를 막을 수 없다"며 "기업 책임이 명확한 경우, 제도가 실제로 작동하도록 개선 방안을 준비하라"고 지시했다.

그동안 한국의 징벌적 손해배상 제도는 실제 적용 사례가 극히 적어 '종이 호랑이'라는 비판을 받아왔다. 전문가들은 실효성 있는 제도가 마련되지 않으면, 정보 유출은 계속 반복될 것이고 피해 규모는 갈수록 커질 것이라고 우려한다.