올해는 유난히 대규모 개인정보 유출사건이 많다. 지난 4월 SK텔레콤 2324만 건, 8월 롯데카드 297만 건, 지난달 쿠팡 3370만 건만 합쳐도 5991만 건에 이른다. 대한민국 인구 5112만 명을 훌쩍 넘어선다.
유출된 정보 내용을 보면 영장 없이는 수사기관도 열람할 수 없는 민감 정보가 포함됐다. 불법 데이터 시장에서 가치가 높은 유출 정보다. 피해자들은 보이스피싱, 스미싱, 사기 결제 등 금전적 피해에 촉각을 곤두세운다. 그러나 나의 정보 촉각은 다른 방향을 가리킨다. 이런 정보가 북한 정보 당국 손에 들어가면 끔찍한 사태가 벌어질 수 있다.
1997년 이한영 정보 입수, 살해
2021년엔 서울대병원 해킹도
쿠팡 등 5991만 건 재구성하면
심리전 질적 변화, 공동체 분열
주소 정보 등이 남파 간첩 손에 들어가 1997년 2월 집 앞에서 권총으로 살해된 이한영이 트라우마처럼 되살아난다. 건장한 경찰관이 24시간 그림자처럼 붙어 다니는 탈북자 A와 B의 경계심 가득한 얼굴이 떠오른다. 탈북자들의 신원 정보가 북한에 넘어가진 않았을까. 퇴직한 지 꽤 오랜 시간이 지났어도 여전히 불안을 떨치지 못하는 직업병이다. 그만큼 북한의 정보 악용은 무섭다.
탈북 인사 정보 파악해 끝내 살해
2015년 6월 미국의 인사관리국(OPM)이 중국 기반 해커에게 당한 사실이 드러났다. 미국 전·현직 공무원의 이름·생년월일·주소는 물론 지문까지 2210만 건의 개인정보가 유출됐다.
각국 정보기관은 국가안보와 관련된 요소를 탐지하기 위해 인터넷의 비공개 영역에서 정보활동을 수행해 왔다. 2013년 에드워드 스노든이 폭로한 국가안보국(NSA)의 PRISM 감시 프로그램이나 2017년 중국의 국가정보법처럼 각국은 정보 수집을 전략 자산으로 간주하고 이를 제도적으로 정당화하려는 흐름을 보였다. 현재까지 SK텔레콤·롯데카드·쿠팡 개인정보 유출의 배후는 확인되지 않았지만, 5991만 건에 이르는 정보가 이미 불법 데이터 시장에 광범위하게 퍼졌을 가능성은 매우 크다. 특히 이번 유출 정보는 국가급 규모 데이터이기에 그 전략적 가치가 작지 않다. 2009년 디도스 공격과 2014년 한수원 해킹 등을 거치며 사이버 작전을 심리전·정보전의 핵심 도구로 발전시켜 온 북한이 이런 기회를 놓칠 이유도 없다.
모사드식 정보 활용 교육한 북한 당국
북한군 총참모부는 지난 7월 28~29일 이스라엘-이란 전쟁 사례를 바탕으로 정보전 중심의 전략 교육을 했다. 모사드가 전쟁 직후 이란의 핵심 군 인사를 제거해 지휘체계를 마비시킨 사례를 강조하며 적 지휘부를 정보·첩보 활동으로 조기에 흔드는 것이 승패를 좌우한다고 평가했다. 이스라엘은 지난 6월 불과 12일간 진행된 전쟁에서 군사 작전과 병행해 개인정보 기반 맞춤형 심리전을 구사했다. 정보 요원들은 페르시아어로 대상자에게 직접 연락해 가족 구성, 위치, 생활 정보까지 언급하며 공포를 극대화했다. 고위 인사의 가족 정보 활용을 통해 군사 공격보다 더한 혼란과 공포를 극대화한 사례로 평가된다.
북한이 이스라엘 사례를 학습한 만큼 정보가 유출된 한국 국민을 타깃으로 정밀한 심리전을 시도할 가능성이 제기된다. 사회 불안 조성, 특정 인물·조직을 겨냥한 신뢰 붕괴 전략, 사이버 공간에서의 여론 교란 등이 대표적이다. 북한은 정보 노출이 가져오는 심리적 충격과 조직 혼란을 누구보다 잘 이해하고 있기에 직접적인 군사 도발 없이도 한국 사회 내부에서 공포·혼란·불신을 확산시키는 비대칭 심리전을 강화할 것으로 전망된다.
통신·위치·플랫폼 정보는 개인의 행동 양상과 인간관계 구조를 들여다보게 한다. 금융·결제 기록은 경제적 취약성 파악을 통해 각종 공작의 단서가 될 수 있다. 전자상거래·배송 정보 역시 거주지, 가족 구성, 생활 패턴에 착안한 공포 조성에 악용된다. 이러한 정보가 단일 경로에서 유출되더라도 심각한데 SK텔레콤·롯데카드·쿠팡 등 서로 다른 출처의 데이터가 결합할 경우 개인의 각종 생활 패턴이 고해상도로 재구성되면서 위험성이 배가된다.
여러 회사 유출 정보 결합하면 끔찍
북한의 대남 심리전·정보전 관점에서 보면 다중 출처 정보의 결합은 사회공학적 기법을 훨씬 교묘하게 만드는 핵심 기반이 된다. 북한은 늘 한국 사회의 분열 조장, 여론 교란, 특정 계층·직업군에 대한 표적 심리전 등을 추구해 왔는데 복합 데이터 세트가 확보될 경우 어떻게 진화할지 걱정이다.
결국 다중 경로를 통해 축적된 정보의 결합은 북한이 활용하는 심리전의 질적 변화를 야기할 수 있으며 이는 단순한 해킹이나 정보 유출보다 훨씬 광범위하고 장기적인 사회적 피해로 이어질 수 있다. 개인의 사생활 침해를 넘어 사회적 신뢰 붕괴, 공동체 내 갈등 확대, 특정 직군·공직자·여론 주도층에 대한 맞춤형 교란 등 안보적 측면까지 영향을 미치는 복합적 위협으로 상승한다.
의료·건강 정보는 특히 민감한 개인정보다. 질병·정신건강·치료 이력 등이 유출되면 누군가가 자신의 신체적·정신적 취약점을 알고 있다는 사실만으로도 강한 심리적 압박에 시달린다. 공직자, 군 장교, 국가·기업 핵심 인사의 건강기록은 협박, 명예 훼손, 사생활 폭로 위협을 통한 심리 불안 조성에 악용될 가능성이 매우 크다. 이러한 특성 때문에 의료보험 및 진료 기록 DB의 보안 강화는 국가 안보 차원에서도 최우선 과제로 평가된다.
쿠팡 사태는 개인 넘어 국가 안보 위협
실제로 2021년 6월 서울대병원에서 약 83만 명의 개인정보가 유출되는 사고가 발생했다. 2023년 경찰은 북한 정찰총국 산하 해킹조직 ‘킴수키(Kimsuky)’ 등이 관여한 것으로 판단하고, 서울대병원이 보유하고 있던 고위 인사들의 진료 정보 확보가 주요 목적일 수 있다는 분석을 내놨다. 의료정보가 북한의 대남 심리전·정보전에 얼마나 매력적인 표적이 될 수 있는지를 단적으로 보여 주는 사례다. 건강보험심사평가원(HIRA), 국민건강보험공단(NHIS), 대형병원·상급종합병원 등이 북한 해킹의 주요 표적이 될 수 있다.
국내 정보보안 업체들의 조사에 따르면 지난 5월 기준 4억 건이 넘는 한국인의 개인정보가 이미 다크 웹에서 유통되고 있는 것으로 추정된다. 개인정보가 유출되었다고 해서 이름을 바꿀 수도 없고, 이사를 하거나 주민등록번호를 변경하는 것도 현실적으로 쉽지 않다. 결국 올 한 해 계속된 대형 정보 유출 사태는 개인 차원의 위기를 넘어 경제와 국가안보를 흔드는 중대한 위험이라는 사실을 직시해야 한다.
장석광 국가정보연구회 사무총장
![[AI 사건 리포트] 통일교 의혹 10곳 압수수색...카카오 폭발물 협박글 수사](https://img.newspim.com/news/2025/09/15/250915120552936.jpg)
![[보안칼럼] OSINT, 사이버 기반 조직범죄 꿰뚫다](https://img.etnews.com/news/article/2025/12/01/news-p.v1.20251201.c74c100cde1f4c978ffad6ab339ad7fa_P3.png)
![[단독] 쿠팡 때문에 불안…'털린 내 정보 찾기' 10만명 몰렸다](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/15/1bf2acf5-753d-4b5d-a998-6becf84b6a75.jpg)
