쿠팡까지 탈탈 털렸는데…개인정보위, 조사 인력 턱없이 모자라

[아이뉴스24 윤소진 기자] "해킹 사실을 인지하자마자 즉시 관련 기관에 신고했지만, 수개월이 지나도록 아직 실사조차 받지 못한 기업도 있습니다."

AI 시대 개인정보의 전략적 가치가 급격히 커지면서 탈취 공격도 더 정교해지고 있는 가운데, 일부 기업은 사고 직후 신고를 했음에도 조사 일정조차 잡히지 않은 채 수개월을 기다리는 상황이 반복되고 있다. 올해 SKT·롯데카드·쿠팡까지 대형 사고가 연쇄적으로 발생하면서 감독 기관의 조사 역량이 제자리인 구조적 한계가 다시 드러난 셈이다.

8일 업계에 따르면 개인정보보호위원회(개인정보위)의 침해사고 전담 조사인력은 2022년부터 올해까지 31명 수준에 머물고 있다. 대형 사고가 터지면 10명 이상이 단일 사건에 투입되는데, 이 경우 다른 조사 일정은 수개월씩 지연되는 구조다. 실제 신고 후 1년 가까이 실사조차 받지 못한 기업도 있는 것으로 알려졌다.

개인정보위 관계자는 “한정된 인력이 대형 사건에 집중되면 다른 사건 일정이 지연될 수밖에 없다”고 설명했다.

문제는 AI 모델 학습에 활용될 수 있는 고객 데이터까지 해킹 표적이 확대되면서 공격의 목적과 수법이 더 고도화되고 있다는 점이다. 쿠팡의 경우 고객 주문 내역 등 행동 데이터까지 유출 대상에 포함됐고, 금융사·통신사의 경우 고객 정보 외부 노출로 인한 후속 피해 우려도 커지고 있다.

침해사고 조사는 현장 포렌식, 서버·DB 점검, 로그 분석, 기술 검증, 행정처분 검토까지 이어지는데 모든 절차를 소수의 조사관 그룹이 수행해 병목이 상시화되고 있다는 지적이 나온다.

업계 관계자는 “최근 침해 시도가 단순 개인정보 탈취를 넘어 AI 모델 학습용 데이터까지 노리는 양상”이라며 “사고는 늘어나는데 조사 착수까지 기다리는 시간이 길어지면서 기업의 대응 부담이 커질 수 밖에 없다"고 말했다.

유럽 주요국 개인정보 감독기구, 한국의 2~6배

한국 개인정보위 전체 정원은 170명대로, 해외 주요국의 단일 감독기관과 비교하면 규모 격차가 크다. 한국과 동일하게 중앙집중형 개인정보 감독기관 체계를 운영하는 국가는 프랑스와 영국이 대표적이다.

프랑스 개인정보보호 감독기구 국가정보자유위원회(CNIL)의 인력 규모는 300여명, 영국 개인정보 감독기구 정보위원회(ICO) 규모는 1000명 이상이다. 두 기관 모두 한국과 같이 단일 감독기관이 민간·공공 전 부문을 총괄하며 연간 수백 건의 조사·제재를 직접 수행한다. 독일은 감독 권한이 연방·주로 분산된 구조지만, 전체 집행 인력은 1000명대로 한국을 크게 웃돈다.

반면 한국은 전체 조직 170여명 중 침해사고 조사를 전담하는 인력은 31명(18%)에 그친다. 조직 전체 규모 자체가 프랑스의 절반, 영국의 5분의 1 수준으로 기본적인 집행 역량 자체가 절대적으로 부족하다는 평가가 나온다.

내년도 개인정보위 예산은 729억 원으로 올해보다 70억 원 증가했지만, 증액분은 AI·다크웹 대응, 기술 분석, R&D 등 사전 예방 중심에 배정됐다. 이에 업계에서는 사전 예방과 사후 대응 역량을 동시에 확보하는 구조적 개선이 필요하다는 지적이 나온다.

이에 개인정보위는 별도의 인력 증원을 관계부처와 협의 중이다. 개인정보위 관계자는 "조사 인력 확충은 행안부 협의를 마쳤고, 기재부와 예산 조정이 마무리되면 규모가 확정될 것"이라며 “현재 기준으로는 상당 부분 늘어날 가능성이 크고, 대부분이 조사 부문에 배정될 예정"이라고 설명했다.