세계일보

3년간 대형 학원의 웹사이트 관리 업무를 맡아오던 김명호(가명)씨는 계약이 끝난 뒤 업체가 보유하고 있던 수강생들의 개인정보를 해킹으로 대량 빼돌렸다.

김씨는 2015년부터 2년5개월간 해당 학원의 웹사이트 제작과 유지·보수를 담당하며 전국 지점별 수강생 등록 현황과 결제 자료에 접근할 수 있는 권한을 갖고 있었다. 이 같은 업무상 특권을 악용해 김씨는 2018년 업체와 계약이 종료된 이후로도 관리 사이트에 10개월가량 무단으로 접속했다. 업체 대표와 관리자 몰래 새로운 관리자 계정을 만든 뒤 수강생 현황과 결제 자료를 무단으로 들여다봤다.

학원 측이 의심스러운 접속 기록을 발견하자 김씨는 더욱 교묘한 수법을 동원했다. 2019년 5월 해킹파일을 설치해 관리자의 로그인 정보를 알아낸 뒤 자신의 접속 흔적을 모두 지우고, 수강생 1만3361명의 개인정보와 3만4389건의 결제정보를 모두 빼냈다. 울산지방법원은 김씨에게 정보통신망 침해와 개인정보보호법 위반 혐의를 적용해 징역 8개월에 집행유예 2년을 선고했다.

최근 통신사와 카드사에서 연달아 해킹 피해가 발생해 사이버 보안에 대한 우려가 커지고 있는 가운데, 해킹 범죄자들에 대한 법원의 형량은 낮은 수준으로 나타났다. 개인정보가 온라인에 광범위하게 저장되고 인공지능(AI) 기술 발전으로 해킹 기법이 고도화되고 있음에도 실제 선고되는 처벌 수위는 제한적인 것으로 파악됐다.

21일 대법원 판결문 열람 시스템을 통해 2020년부터 올해 9월까지 5년9개월간 선고된 해킹 사건 1심 판결문 35건을 종합 분석한 결과, 실형을 받은 피고인은 49명 중 15명(30.6%)으로 나타났다. 정보통신망 침해 사건 중 실제 해킹 범죄가 있었던 판결문만 추려낸 결과다. 49명 중 집행유예는 22명(44.9%)이었으며 12명(24.5%)은 벌금형을 받았다.

의정부지법 고양지원은 2023년 전자금융업체를 해킹해 6억9448만여원을 편취한 A씨에게 징역 2년6개월에 집행유예 4년을 선고했다. A씨는 2022년 텔레그램을 통해 공범 B씨에게 간편결제 플랫폼 서비스 해킹을 제안했다. B씨는 해당 서비스의 개발소스를 입수한 뒤 코딩 프로그램 등을 이용해 무단 침입했다. 이들은 약 2주간 21차례에 걸쳐 피해 회사가 보유한 전자화폐 포인트를 다른 전자지갑으로 전송한 뒤 현금화하는 수법으로 범행했다.

정보통신망법은 허용된 접근 권한을 넘어 정보통신망에 침입하는 것을 금지하며, 이를 어기면 5년 이하의 징역 또는 5000만원 이하의 벌금에 처할 수 있다고 규정한다. 하지만 실제 약 6년간 실형을 받은 15명의 평균 형량은 1년8개월이었으며 최대 형량도 징역 3년에 그쳤다. 이마저도 개인정보보호법 위반, 도박공간 개설 등의 다른 혐의가 합쳐진 결과다.

사이버 해킹 피해는 갈수록 증가하는 추세다. 국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실이 한국인터넷진흥원으로부터 제출받은 자료에 따르면, 2020년부터 올해 9월14일까지 당국에 접수된 기업의 정보 침해 신고 건수는 7198건에 달했다.

연도별로 보면 2020년과 2021년 각각 603건, 640건이었던 신고 건수는 2022년 1142건으로 급증한 뒤 2023년 1277건, 2024년 1887건으로 지속 증가했다. 올해 9월까진 1649건으로 지난해 전체 건수에 근접했다.

특히 피해는 중소기업에 집중됐다. 대기업과 달리 보안 투자 여력이 제한적이라 사이버 해킹 문제에 더욱 취약했다. 기업 규모별로는 중소기업이 5907건으로 전체의 약 82%를 차지했다. 중견기업 553건, 대기업 214건 순이었다.

업종별로는 정보통신업이 침해사고에 가장 취약했다. 제조업, 협회 및 단체 수리 및 기타 개인 서비스업도 피해가 자주 발생했다.

황석진 동국대 교수(국제정보보호대학원)는 “해킹이나 개인정보 유출은 정확한 피해 경로를 파악해 책임소재를 입증하기가 어려워 처벌 수위가 낮다”며 “개인정보보호법은 유출 사고에 의무적으로 신고하라고 규정은 하지만, 구체적 처벌이나 사후 책무는 약하게 정하고 있다”고 지적했다.

이예림·소진영 기자 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지