#1. 미국 3대 이동통신사 중 하나인 T-모바일은 2021년 7660만 명이 넘는 고객들의 이름, 생년월일, 사회보장번호, 운전면허증 번호가 포함된 신용조회 데이터가 대거 유출되는 사고를 겪었다. 이에 소비자들은 법원에 소송을 제기했고, T-모바일은 3억5000만 달러(약 4590억원)를 배상하기로 합의했다. 이후 T-모바일은 2023년까지 1억5000만 달러(약 2000억원)를 자사 사이버 보안 분야에 투입했다.
#2. 미국 주택용품 소매업체 홈디포는 2014년 해킹사고로 5600만 건의 신용카드·체크카드 및 이메일 정보가 유출됐다. 법적 비용과 보상금, 피해 복구비 등으로 2억 달러(약 2200억원)를 지출했고, 회사의 보안 강화를 위해 1억 달러(약 1100억원)를 투자했다. 그로부터 수년 뒤 홈디포 고위관계자는 “사고 수습을 위해 고객, 조사기관과 적극 소통했다”고 말했다.
#3. 미국에 본사를 둔 글로벌 인터넷 포털 야후는 2010년대 중반 해커들에 의해 약 30억 건의 사용자 계정 정보가 노출됐다. 이 사고로 인해 소용 비용 5000만 달러(약 570억원)에 과징금 3500만 달러(약 380억원)를 지불했을 뿐 아니라 인수 협상에서 회사 가치가 3억5000만 달러(약 4000억원) 이상 떨어졌다. 무엇보다 업체 신뢰도와 평판이 무너지며 이용자가 급감했다.
이처럼 미국의 주요 기업들도 정보유출 사고로 막대한 피해를 겪었다. 아예 망한 기업도 적지 않다. 대표적 사례 중 하나가 정보관리기업 NPD로 이 회사는 2023년 해킹 공격을 당해 2만7000만 명의 사용자 개인정보가 노출됐다. 이어진 소비자 집단 소송과 사법 당국의 조사, 고객 이탈 등에 대응하는 과정에서 재정적으로 큰 피해를 입었으며 결국 1년도 버티지 못하고 폐업을 결정했다.
이 같은 사고가 늘어나면서 미국 기업들은 정보 보안에 투자를 아끼지 않고 있다. 글로벌 보험사 히스콕스의 지난해 발표에 따르면 미국 기업의 IT 투자액 대비 사이버 보안 투자 비율은 11%였다. 지난해 과학기술정보통신부 자료상 국내 주요 기업의 IT 투자 대비 정보보호 투자 비중은 평균은 6.1%로 미국이 두 배 남짓 더 높다.
이 같은 배경에 대해 한 국내 정보통신 업계 전문가는 “미국은 개인정보 유출사고가 일어나면 배상금과 과징금 규모가 상당하다”며 “피해 규모를 봤을 때 사전 예방으로 투자하는 게 오히려 효과적이라고 판단하게 때문”이라고 짚었다.
실제 위의 사례 외에도 미국 점유율 1위 통신사 AT&T가 고객 독점 네트워크 정보 유출사고로 연방통신위원회(FCC)에 1300만 달러(약 170억원) 규모의 과징금을 지불해야 한 적도 있다. AT&T는 지난해에도 개인정보 유출 사건이 일어나 FCC 조사를 받고 있으며 고객들이 제기한 소송 또한 진행 중으로 거액의 과징금과 보상액을 지출할 가능성이 높다.
문제는 사이버 보안에 대한 투자를 늘렸음에도 사실상 매년 개인정보 유출 사고가 반복되고 있다는 점이다. 이는 곧 해커 조직의 공격력이 보안 기술을 뛰어넘는다는 의미로, 일부 해커 조직은 국가적 지원을 받는 것으로 알려졌다.
지난해 말 미국의 3대 이동통신사 포함 9개 회사의 네트워크에 침투한 해커그룹 ‘솔트타이푼’은 중국 정부와 연관됐다는 게 현지 매체들의 보도로 알려졌다. 당시 월스트리트저널은 ‘과거 기업의 업무상 기밀이나 개인정보 탈취 등에 집중하던 해커들이 이제는 미·중 파워게임의 최전선에 나서는 군사 전력으로 변모했다’고 보도한 바 있다.
최근 국내 SK텔레콤의 유심 해킹 사태을 일으킨 것으로 지목된 ‘레드멘션’도 중국 정부가 배후라는 설이 있다. 2010년대 중반 야후의 해킹 사건에는 러시아 연방 요원이 개입했으며, 2014년 소니픽처스의 내부 시스템에 침입한 해커들은 북한의 지원을 받았다는 이야기도 있다.
이처럼 사이버 보안이 국가전의 양상을 띄는 가운데 백악관 내 국가안보국을 둔 미국처럼 한국도 정부 차원에서 대응 역량을 키워야 한다는 지적이 나오고 있다. 사이버안보법 마련이 대표적이다.
최근 국회에서도 사이버안보법 제정에 나섰다. 국민의힘 유용원 의원은 최근 국가 사이버 안보법 제정안을 대표 발의했다. 대통령 직속 위원회와 국정원 주관의 단일 컨트롤타워를 중심으로 한 실질적인 대응체계를 처음으로 법에 명문화한 제정안이다. 유 의원은 “사이버 공간은 더 이상 기술의 문제가 아니라 국가 생존과 직결된 안보의 문제이며, 이 법은 실효성 있는 법적 토대를 마련하는 첫걸음”이라고 강조했다.
박재림 기자 jamie@segye.com
