유출된 정보는 온라인 회원 고객의 아이디, 비밀번호, 이름, 생년월일, 성별, 연계정보(CI), 주소, 이메일, 휴대전화 번호 등이다. BGF네트웍스는 “온라인 회원 고객에 대한 정보에 한하고, 발송 시 입력한 수하인 등 제3자의 정보는 포함되지 않았다”고 설명했다. 정확한 유출 규모는 아직 파악되지 않았으며 BGF네트웍스는 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 관계기관에 신고를 마친 상태다.
앞서 6월 3일에는 CJ ENM의 온라인동영상서비스(OTT) 티빙에서도 회원 개인정보 유출 사고가 발생했다. 유출된 정보에는 아이디, 이름, 생년월일, 성별, 연계정보(CI) 등이 포함됐다. 이 가운데 CI는 본인인증을 거친 이용자를 식별하기 위해 사용하는 고유값으로 주민등록번호를 기반으로 생성된다. 업계에서는 CI가 다른 경로로 유출된 개인정보와 결합될 경우 명의도용 등 2차 피해로 이어질 수 있다고 우려한다.
이 밖에도 올해 교원그룹, 언더아머, 듀오 등 업종을 가리지 않고 개인정보 유출 사고가 잇따른 가운데 신고 건수도 증가세를 보이고 있다. 개인정보보호위원회와 한국인터넷진흥원이 발표한 ‘2025년 개인정보 유출 신고 동향 및 조사·처분 사례’에 따르면 지난해 접수된 개인정보 유출 신고는 447건으로 전년(307건)보다 45.6% 증가했다.
잇따른 개인정보 유출 사고의 배경으로는 국내 기업들의 취약한 보안 역량이 지목된다. 다국적 기술기업 시스코(Cisco)가 발표한 ‘2025 사이버보안 준비 지수’에 따르면 국내 기업의 97%가 보안 인력 부족을 겪고 있다고 응답했다. 사이버보안에 IT 예산의 10% 이상을 투입한다고 답한 기업도 33%에 그쳐 전년보다 7%포인트 감소한 것으로 나타났다.
기업들의 보안 투자도 충분하지 않은 것으로 나타났다. 과학기술정보통신부와 한국정보보호산업협회가 실시한 ‘2025년 정보보호 실태조사’에 따르면 조사 대상(종사자 10인 이상 기업 5500개, 만 12~69세 인터넷 이용자 3000명 대상) 가운데 정보보호 예산을 별도로 편성·집행하고 있다고 답한 기업은 전체의 절반 수준인 54.8%에 머물렀다. 그마저도 예산은 보안 시스템 유지·보수나 CCTV 설치·증설 등 기본적인 보안 관리에 집중된 것으로 조사됐다.
반복되는 개인정보 유출 사고에 대한 우려가 커지자 정부도 제도 정비에 나섰다. 오는 9월 11일 시행되는 개인정보보호법 개정안은 반복적이거나 중대한 개인정보 침해 행위에 대해 전체 매출액의 최대 10%를 과징금으로 부과할 수 있도록 했다. 이와 함께 보안 투자 인센티브 확대, 유출 가능성 통지제 도입, 대표자 및 개인정보보호책임자(CPO) 책임 강화 등을 통해 기업의 예방 의무를 높인다는 취지다.
전문가들은 보안 투자를 늘려 사전 예방 체계를 구축해야 한다고 말한다. 개인정보보호위원회 관계자는 “개인정보 유출 사고 예방을 위해서는 충분한 보안 예산과 전문 인력 확보가 필수적”이라며 “공공기관은 전담 인력과 관리 체계를 강화하고, 민간기업은 개인정보보호책임자를 중심으로 대응 체계를 점검해야 한다”고 말했다. 이어 “수탁사를 통한 유출 위험이 커지고 있는 만큼 개인정보 처리 전 과정에 대한 관리·감독도 철저히 이뤄져야 한다”고 덧붙였다.
한승구 기자 win9@ilyo.co.kr
