brunch
매거진 쌍둥이네 안전한 생활 이야기

연이은 해킹 사고, 이제는 강력한 제재가 필요할 때

by 페르세우스
Sep 26. 2025


안녕하세요, 자녀교육에 진심인 쌍둥이아빠 양원주입니다.


지난 8월부터 9월까지 연이어 터진 해킹 사고들을 지켜보며 정말 화가 났습니다. 제가 이 주제로 또 글을 쓰려고 하니 입맛도 정말 씁니다. SKT와 YES24 해킹 사건의 기사 잉크가 마르기도 전에 KT 기지국 해킹으로 인한 소액결제 피해사건과 롯데카드 대규모 해킹사건이 터졌습니다.


이런 모습들을 보면서, 이제 정말 강력한 제재가 필요하다는 생각이 듭니다. 좋은 말로 했는데 듣지 않으면 매를 들 수밖에 없습니다. 그 매는 바로 징벌적 손해배상제 도입입니다.

maxresdefault.jpg



징벌적 손해배상제도란 가해자가 악의적으로 불법행위를 했을 경우 실제 손해액을 넘어서는 배상을 부과하는 제도입니다. 현재 우리나라도 2011년 하도급거래 공정화에 관한 법률을 시작으로 제조물책임법, 개인정보보호법 등에서 3배수 징벌적 손해배상제도를 도입한 상태입니다.


하지만 통신사나 금융사의 해킹 사고에 대해서는 아직 징벌적 손해배상이 적용되지 않고 있습니다. 이제 개인정보보호법이나 정보통신망법 등에 징벌적 손해배상 조항 신설이 검토되어야 합니다.


물론 징벌적 손해배상제도에는 기업의 리스크가 증가로 인한 투자 위축과 같은 부작용이 있습니다. 하지만 이런 부작용은 명확한 적용 기준을 법률에 규정하고, 배상액의 상한선을 설정하며, 기업의 재산 상태나 피해 구제 노력 정도를 고려하도록 하면 충분히 보완할 수 있습니다.

501608621_6544.jpg



KT 소액결제 해킹사건은 해커들이 불법 초소형 기지국을 승합차에 싣고 다니며 KT 고객들의 휴대폰을 해킹해 소액결제를 한 것으로 드러났습니다. 확인된 피해만 199건에 1억 2천6백만 원이었고, 5,561명의 개인정보가 유출되었습니다.


더욱 충격적인 것은 롯데카드 해킹입니다. 8월 14일부터 15일 이틀간 발생한 해킹으로 297만 명의 고객정보가 유출되었습니다. 롯데카드는 처음에 1.7GB 정도의 데이터 유출이라고 축소 발표했지만, 실제로는 200GB에 달하는 대규모 유출이었습니다. 당초 발표보다 무려 100배나 많은 규모였습니다. 이 중 28만 명은 카드번호, CVC번호, 비밀번호까지 모든 정보가 털렸습니다.

hq720 (1).jpg
hq720.jpg



그런데 여기서 우리는 왜 계속 이런 사고들이 우리나라에 생기는지도 궁금해집니다.


그동안 보안이 중요한 기업들은 폐쇄망, 일명 망(NETWORK)분리 정책을 고수해왔습니다. 그동안 이런 방식으로 운영하면서 해킹을 원천적으로 차단했는데 코로나19 펜데믹 때 재택근무가 활성화되면서 잠시 폐쇄망을 개방형(논리적 망분리)으로 전환합니다. 엔데믹이 된 뒤에 다시 폐쇄망으로 바꾸지 않으면서 해킹에 취약해졌습니다. 더욱이 AI기술을 발전시키고 활용하기 위해서는 폐쇄망으로는 불가능하기에 이때 취약해진 보안을 방비하기도 전에 해커들이 노리고 있는 상황입니다.



게다가 사이버 보안 인력이나 투자는 턱없이 부족하고 정부와 기업간의 협력도 원활하지 않다는 점도 큰 문제입니다. 특히 롯데카드의 경우 최대주주인 사모펀드 MBK파트너스(홈플러스 최대주주)가 보안보다는 수익 극대화에만 골몰했다는 비난을 고스란히 받고 있습니다. 특히 2017년에 패치가 제공된 구형 취약점을 8년 가까이 방치해뒀고 그로 인해 해킹이 발생했다는 점은 큰 귀책사유가 될 수 있습니다.

화면 캡처 2025-09-23 132131.jpg



이런 사고가 발생했을 때 기업에 대한 제재 방법은 크게 세 가지입니다.

첫째, 과징금이나 영업정지와 같은 행정제재

둘째, 형사처벌

셋째, 민사상 손해배상입니다.

문제는 이런 제재들이 솜방망이 처벌에 가깝고 모두 기업의 보안 투자 소홀이나 고의적인 은폐 행위를 억제하기에는 역부족이라는 점입니다.



미국은 징벌적 손해배상제도를 통해 기업의 악의적 행위에 강력히 대응하고 있습니다. 실제 손해액의 몇 배에서 수십 배까지 배상하도록 하여 기업이 비용편익 분석을 할 때 악의적 행위를 선택하지 않도록 강력한 인센티브를 제공합니다.


유럽연합은 GDPR(일반개인정보보호법)을 통해 개인정보 유출 시 전 세계 연매출의 4%까지 과징금을 부과할 수 있습니다. 2023년 메타(페이스북)에 13억 유로(약 1조 8천억 원)의 과징금을 부과한 사례처럼 기업 규모에 상응하는 강력한 제재를 가하고 있습니다. 독일 역시 기업의 보안 투자 의무를 법제화하여 매출의 일정 비율 이상을 반드시 보안에 투자하도록 의무화하고 있습니다.

201605091747247210_t.jpg



지금까지 정부는 기업들에게 보안 투자를 늘리고 고객 정보를 제대로 보호하라고 누누이 당부해왔습니다. 하지만 연이은 해킹 사고들을 보면 좋은 말만으로는 한계가 있음이 분명해 보입니다. KT는 해킹 사실을 끝까지 부인하다가 개인정보보호 위원회에 신고한 뒤에야 인정했습니다. 롯데카드는 피해 규모를 100분의 1로 축소 발표했다가 금융당국 조사에서 들통났죠.

Gemini_Generated_Image_j6hxk4j6hxk4j6hx.png



이런 기업들의 태도를 보면 더 이상 선의에만 기대할 수는 없습니다. 이러다가 더 큰 문제가 일어날 수도 있기 때문입니다. 이제는 징벌적 손해배상제도와 같은 다른 방식이 필요한 때입니다. 그래야만 기업들이 진정으로 고객 정보 보호에 나설 수 있습니다.


하지만 그와 더불어 정부에서도 해킹에 대한 대비를 더 철저히 해야합니다. 해커들은 기업과 정부를 가리지 않고 정보를 빼내기 위한 공격을 해왔고 앞으로도 계속 할 테니까요. 그것이 우리 모두의 안전한 디지털 생활을 보장하는 길입니다.

한 줄 요약 : 선의에 의한 변화를 기대할 수 없는 상황이라면 강제적으로 할 수밖에 없다

#KT해킹 #롯데카드해킹 #징벌적손해배상 #MBK파트너스 #개인정보보호 #사이버보안 #디지털안전 #기업책임 #정부기관해킹





keyword
페르세우스 가족 분야 크리에이터 소속 출간작가 직업 칼럼니스트 프로필
파이브 포인츠(Five Points) 저자

2011년생 쌍둥이 아들 둘을 키우는 아빠입니다. 브런치를 통해 자녀교육에 대한 내용을 글로 쓰고 있으며 이를 통해 활발한 소통을 하고 싶습니다.

구독자 6,307