잊을만하면 대형사고 터지더니… “이러니 안심 못하지” 국민들 ‘분통’, 무슨 일?

백만 명 넘는 고객 정보 유출 위기
보안 투자는 미국의 절반 수준에 불과

롯데카드 해킹 피해 규모가 당초 예상을 훨씬 뛰어넘는 ‘백만 명 단위’로 확대될 가능성이 제기되면서 국민적 불안감이 커지고 있다.

이러한 대형 해킹 사고가 잇따르는 가운데, 국내 기업들의 사이버 보안 투자는 미국의 절반 수준에 그치는 것으로 드러났다.

백만 명 넘는 고객정보 유출… 롯데카드 사태 심각

금융당국과 카드업계에 따르면 롯데카드는 현재 해킹 사고로 인한 정보 유출 및 피해자 규모를 확인하는 막바지 작업을 진행 중이다.

당초 롯데카드가 금감원에 보고한 유출 데이터 규모는 1.7기가바이트(GB) 수준이었지만, 금융당국 현장 검사 결과 피해 규모가 예상보다 훨씬 심각한 것으로 밝혀졌다.

금융당국 관계자는 “피해 규모가 알려진 것보다 훨씬 클 것으로 추정된다”며 “이번 주 안에 결과를 발표할 수 있을 것”이라고 전했다. 롯데카드 측도 “유출 규모가 파악했던 것보다 크다”고 인정했다.

피해자 규모는 당초 예상했던 수만 명 수준을 넘어 백만 명 단위에 이를 것이란 관측도 나오고 있다.

금융감독원은 국회 강민국 의원실에 “카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다”며 고객정보 유출 가능성을 이미 염두에 두고 있었다.

기업들의 미흡한 보안 투자, 문제의 근본 원인

이러한 대형 해킹 사고가 반복되는 근본적인 원인으로 국내 기업들의 부실한 보안 투자가 지목되고 있다.

한국인터넷진흥원(KISA)의 조사에 따르면, 2024년 국내 773개 기업의 총 정보기술(IT) 투자 대비 정보보호 투자 비중은 6.29%로, 4년째 6%대 초반에 머물고 있다. 이는 미국 기업들의 보안 투자 비율인 13.2%의 절반에도 미치지 못하는 수준이다.

개별 기업 사례를 살펴보면 더욱 충격적이다. 대규모 해킹 사태를 경험한 SK텔레콤조차 전체 IT 예산의 4.2%만을 정보보호에 투자했으며, 이는 KT(6.3%)나 LG유플러스(7.4%)보다 낮은 수치다.

삼성전자는 국내 기업 중 가장 많은 3562억 원을 정보보호에 투자했지만, 이는 전체 IT 예산의 5.4%에 불과했다.

보안 중요성 인식과 실제 투자의 괴리

국내 기업들은 보안의 중요성은 인식하면서도 실제 투자로 이어지지 않는 모순된 행태를 보이고 있다.

KISA가 작년 6500개 기업을 대상으로 조사한 결과, 응답 기업의 79.0%가 정보보호의 중요성을 인식하고 있다고 답했지만, 실제 정보보호 예산을 집행한 기업은 49.9%에 그쳤다.

더 우려스러운 점은 이 비율이 지속적으로 하락하고 있다는 사실이다. 2022년 67.9%였던 보안 예산 집행 비율은 2023년 57.8%로 하락한 뒤 지난해에는 50% 아래로 떨어졌다.

예산 규모도 전체 기업의 75.8%가 정보보호 예산이 500만 원 미만이라고 응답했으며, 1억 원 이상을 투자한다고 답한 기업은 고작 0.6%에 불과했다.

이러한 상황에서 이재명 대통령은 “최근 통신사, 금융사에서 해킹 사고가 잇따르고 있어 국민이 매우 불안해하신다”며 “보안 사고를 반복하는 기업들에 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라”고 지시했다.

전문가들은 정부 차원의 지원 대책이 필요하다고 입을 모은다. 조영철 한국정보보호산업협회 회장은 “정보보호 투자에 대한 세금 감면과 함께, 보안 인증을 받은 기업에는 정보 침해 사고 발생 시 과징금 책정에서 일정 부분 정상 참작해주는 방안도 검토해볼 만하다”고 제안했다.