사이버 공격으로 개인정보가 유출되었음에도, 공공기관과 민간기업은 피해자에게 이를 신속하게 알리는 데 계속 실패하고 있다. 규제 압력이 높아지고 대중의 감시가 강화되고 있음에도 불구하고, 개인 식별 정보(PII)가 유출된 최근 사건들을 보면 ‘적시 통보’는 여전히 예외적인 사례에 불과하다.

의료 플랫폼, 연방 규제기관, 민간 계약업체, 데이터 집계 기업 등 다양한 주체들이 침해 사고 발생 후 수개월 또는 그 이상 아무런 통보 없이 침묵을 유지하고 있으며, 이로 인해 수백만 명의 개인은 자신도 모르는 사이 사기·신원 도용 위험에 노출되고 있다. 이러한 침해 사건에서 공통적으로 드러나는 문제는 단순한 데이터 유출이 아니라, 기관들이 “법적 책임” 도는 “이미지 관리”를 우선하며 “투명성”과 “공공의 안전”을 후순위로 미루는 집단적 침묵의 태도이다.

사이버 공격이 더욱 정교해지고 빈번해지는 가운데, 침해 사실을 인지한 시점과 실제 피해자 통보 사이의 간극은 계속해서 벌어지고 있다. 그리고 법적 의무와 실효성 있는 처벌이 마련되지 않는 한, 이러한 간극은 해커에겐 기회의 창이 되고, 피해자에겐 또 하나의 함정이 될 수밖에 없다.

최근 사건들은 개인정보 보호에 대한 대중의 기대와 실제 책임 기관의 조치 사이의 간극이 커지고 있음을 드러낸다. 맥락은 다르지만, 이들 사례는 하나의 공통된 실패를 보여준다: 개인정보 보호는 여전히 많은 조직에게 ‘의무’가 아닌 ‘부차적 과제’에 불과하다는 점이다.

캘리포니아 롱비치(Long Beach)에서는 2023년 11월 발생한 대규모 데이터 유출 사고 이후 무려 1년 반 동안 주민들에게 아무런 통지가 이루어지지 않았다. 이 사고로 인해 30만 명 이상의 민감한 개인정보가 유출되었으며, 여기에는 사회보장번호, 생체 정보, 의료 기록까지 포함돼 있었다. 해커의 시 네트워크 무단 접근 사실은 초기부터 확인됐지만, 실제 통지문이 발송된 것은 2025년 4월, 즉 사고 발생 17개월 후였다.

이 기간 동안 유출된 정보가 범죄 조직이나 다크웹에서 유통됐을 가능성이 제기된다. 시 관계자들은 “디지털 포렌식 조사가 복잡했기 때문에 통지가 지연됐다”고 해명했지만, 피해자들에게 이는 설득력 없는 변명일 뿐이다. 사고를 인지하고도 침묵을 유지한 그 17개월간, 시민들은 무방비 상태로 방치되어 있었기 때문이다.

이번 유출 사고는 롱비치 시의 여러 부서를 가로질러 광범위하게 퍼졌으며, 단순한 이름·생년월일뿐 아니라 금융 계좌 번호, 의료 제공자 정보, 생체 정보까지 포함되었다. 이는 사이버 범죄자들이 신원 도용이나 금융 사기를 목적으로 가장 선호하는 민감 정보 유형이다.

렉스 리처드슨(Rex Richardson) 시장과 톰 모디카(Tom Modica) 시 행정관리관은 향후 보안 투자 및 투명성 강화를 강조했지만, 이미 실추된 시민 신뢰를 회복하기엔 역부족이었다. 사건 이후 마련된 콜센터 개설과 신용 모니터링 서비스 제공은 오히려 사전 예방이 아닌 사후 수습에 불과했으며, 그것조차 너무 늦고, 너무 미흡했다는 비판을 받고 있다.

롱비치 사건은 지방정부의 데이터 거버넌스가 심각하게 무너진 사례로 볼 수 있지만, 이는 결코 예외적인 일이 아니다. 가장 충격적인 사례 중 하나는 2024년 미국 전역을 강타한 National Public Data 유출 사건이다. 해당 기업은 미국 성인 대부분에 대한 방대한 기록을 수집·보유해온 상업용 데이터 브로커로, 2024년 4월, 보안 연구자들이 약 29억 건의 기록이 유출된 사실을 확인했다. 유출된 정보에는 이름, 사회보장번호, 실제 주소, 생년월일 등 신원 식별에 필요한 모든 핵심 정보가 포함되어 있었다.

그렇게 방대한 정보가 유출되었음에도 불구하고, National Public Data는 사건 발생 후 수개월이 지난 2024년 8월이 되어서야 유출 사실을 인정했다. 그 사이 피해자들은 자신의 가장 민감한 정보가 다크웹에 유포되었음에도 전혀 알지 못한 채 방치되었다. 이 사건은 즉각적인 초당적 비판을 불러왔으며, 회사의 보안 관행과 통지 지연을 둘러싼 연방 의회의 조사로 이어졌다.

또 다른 대규모 사고는 운송·물류·에너지 산업 전반에서 신원검증을 수행하는 DISA Global Solutions에서 발생했다. DISA는 2024년 4월 22일, 시스템에 대한 무단 접근 사실을 인지했지만, 피해자에 대한 통지는 무려 10개월 뒤인 2025년 2월에 시작되었다. 이 유출로 로드아일랜드 주민 1만4천여 명, 매사추세츠 주민 최소 36만1천 명 이상이 피해를 입었다. DISA 측은 “디지털 포렌식 조사와 규제 대응을 위한 시간이 필요했다”고 주장했지만, 비판 여론은 이러한 지연은 데이터 유출 통지법의 핵심 목적 – 즉, 소비자가 신속히 대응할 수 있도록 돕는 것 – 을 무력화시킨다고 지적했다.

가장 장기간 침묵한 사례 중 하나는 인도계 글로벌 IT 기업 인포시스(Infosys)의 미국 자회사인 Infosys McCamish Systems에서 발생했다. 2023년 10월부터 11월 사이, 해커들은 약 650만 건의 민감한 금융 데이터를 탈취했고, 금융서비스 기업들이 다수 연루되었다. 그러나 공식적인 공개는 무려 2024년 9월 6일까지 이루어지지 않았다. 피해자들은 거의 1년 가까이 비밀번호 변경, 신용 동결, 의심 거래 모니터링 등 아무런 대응도 할 수 없었다. 이 같은 지연 통보는 데이터 보호법 위반 여부는 물론, 기업의 위기 대응 전략 전반에 대한 중대한 의문을 제기했다.

서드파티 건강보험 관리사인 WebTPA 역시 Transamerica, The Hartford, Gerber Life 등 보험사 고객을 대상으로 한 데이터 유출 사고 이후 기본적인 통지 의무조차 제대로 이행하지 못했다. 회사는 2024년 3월에 고객사에는 관련 사실을 통보했지만, 연방 규제 당국에는 5월이 되어서야 공식 보고를 제출했다.

피해자 개인에게 보내는 통지는 더욱 뒤쳐졌다. 일부 사례에서는 건강 정보가 도난당한 사실을 알리는 우편이 사고 발생 후 1년이 지나서야 도착하기도 했다. 이 같은 지연 통보는 환자의 프라이버시를 위협했을 뿐 아니라, 보험사와 위탁 업체 사이에서 보건 정보 보호 체계가 얼마나 파편화되어 있는지를 적나라하게 드러냈다.

이와 유사하게, Comcast는 자사 채무 추심 위탁사인 FBCS에서 발생한 유출 사고로 인해 23만7천 명 이상의 고객 PII(개인 식별 정보)가 유출되며 비판에 직면했다. 유출은 2024년 2월에 발생했지만, FBCS는 7월이 되어서야 이를 인지했고, Comcast가 피해자들에게 통보한 시점은 10월, 즉 사고 발생 후 8개월이 지난 시점이었다. 노출된 정보는 이름, 주소, 생년월일, 일부 사회보장번호(SSN)까지 포함되었다. Comcast는 신원 도용 방지 서비스를 제공했지만, 다수의 피해자들은 수개월간의 침묵과 지연으로 인한 피해 위험을 상쇄하기엔 턱없이 부족했다고 지적했다.

심지어 연방 기관조차 심각한 관리 부실을 드러낸 사례가 있다. 최근 발생한 프라이버시 침해 사건은 미국 국립문서기록관리청(NARA)이 1963년 존 F. 케네디 대통령 암살 사건과 관련된 60,000여 페이지 분량의 기밀 해제 문건을 공개하면서 발생했다. 이 문건 공개는 도널드 트럼프 전 대통령의 역사적 투명성 강화 지시에 따른 조치였지만, 암살 사건과는 무관한 냉전 시대 정보기관 및 의회 조사와 관련된 인물들의 사회보장번호(SSN)와 기타 민감한 개인정보가 검열 없이 그대로 노출되는 사태로 이어졌다.

정보가 노출된 인물 가운데는 조지프 디제노바(Joseph diGenova), 전 상원 법률 고문이자 트럼프 캠프의 법률 고문도 포함되어 있었다. 그의 이름, 사회보장번호, 민감한 개인 정보가 편집되지 않은 문건에 그대로 포함되어 있었으며, 디제노바는 이에 대해 “NARA가 연방법상 개인정보 보호 의무를 위반했다”며 소송을 제기할 계획이라고 밝혔다. 그는 이번 사태의 원인을 “투명성을 향한 무리한 공개 시도”가 아니라 “문서 내 민감 정보를 선별·검열해야 할 담당자들의 무능”에 있다고 지적했다.

이에 대해 NARA는 사회보장국(SSA)의 지원을 받아 피해자들에게 새로운 사회보장번호 발급과 신용 모니터링 서비스 제공 등의 후속 조치를 진행 중이다. 하지만 이번 사태는 정부의 문서 공개 절차에 대한 여론의 비판과 감시를 더욱 고조시키는 결과를 낳았다. 백악관과 NARA 측은 이번 조치가 정부의 투명성 책무를 다한 것이라고 주장했지만, 비판 여론은 “아직 생존 중인 사람들의 프라이버시를 훼손하면서까지 이뤄진 투명성은 정당화될 수 없다”는 점을 지적하고 있다.

JFK 문서 사건은 디지털 시대의 핵심 과제를 적나라하게 보여준다. 바로 투명성, 역사적 기록, 개인정보 보호 간의 충돌이다. 공공의 이익이나 법적 의무 이행을 위해 기관이 정보를 공개하더라도, 개인의 개인정보 보호 책임은 결코 사라지지 않는다. 오히려 이러한 경우일수록 보호의 중요성은 더 커진다. 이번 사건에서 민감 정보에 대한 편집(삭제)을 생략한 결정은 당사자들을 위험에 빠뜨렸을 뿐만 아니라, 향후 다른 기록 공개 시에도 공익을 이유로 프라이버시가 희생될 수 있다는 나쁜 선례를 남겼다.

비슷한 사례는 앞서 2023년 3월에도 발생했다. 미국 소비자금융보호국(CFPB)에서 한 전직 직원이 25만6천 명 이상의 소비자 개인정보와 45개 금융기관의 정보를 개인 이메일 계정으로 무단 전송한 사실이 드러났다. 기관은 2월에 이 사실을 인지했고 3월에 의회에 통보했지만, 일반 대중에게는 4월 말이 되어서야 공개했다. 더 큰 문제는, 직접 피해를 입은 소비자들에게는 단 한 차례도 개별 연락을 하지 않았다는 점이다. 이에 대해 여야를 막론한 의원들은 CFPB의 투명성 결여와 피해자에 대한 무관심을 강하게 비판했다.

이러한 사례들은 단발성 사건이 아니라 구조적인 문제의 반복이다. 미국 대부분의 주와 연방법은 데이터 유출 발생 후 30~60일 이내에 피해자에게 통보하도록 규정하고 있지만, 실제로는 수많은 예외 조항, 모호한 정의, 준수 회피 수단으로 인해 기업과 기관들은 통보를 지연해도 사실상 처벌받지 않는 구조다. 많은 경우, 기업들은 수사 진행 중, 사법기관과의 협의, 내부 조사 미완료 등을 통보 지연의 이유로 내세운다. 그러나 이런 변명은 피해자들이 신원 도용, 허위 대출 신청, 의료 및 금융상의 피해를 겪는 현실 앞에서는 매우 공허하게 들릴 수밖에 없다.

미국 사례들이 지방자치단체와 연방 기관 모두에서의 제도적 실패를 보여준 반면, 캐나다는 보다 건설적인 대조 사례를 제시하고 있다. 2025년 3월, 캐나다 개인정보보호위원회(Office of the Privacy Commissioner of Canada)는 온라인 개인정보 유출 리스크 자가 평가 도구를 도입했다.

이 디지털 애플리케이션은 기업과 연방기관이 개인정보 유출 사고가 심각한 피해를 초래할 가능성이 있는지 판단할 수 있도록 구조화된 절차를 제공한다. 일련의 질문을 통해 유출된 정보의 민감도, 악용될 가능성 등을 평가할 수 있도록 구성되어 있으며, 그 결과를 바탕으로 해당 기관이 개인에게 유출 사실을 통보하고, 규제 당국에 보고해야 할 법적 의무가 있는지 여부를 판단할 수 있다.

필립 뒤프레인(Philippe Duresne) 캐나다 개인정보보호위원장은 이 도구는 개인정보 유출 사건의 규모와 심각성이 증가하고 있는 상황에 대응하기 위한 것이라고 설명했다. 특히 리스크 평가와 대응 절차를 보다 접근하기 쉽게 표준화하는 것이 목적이라고 강조했다. 캐나다의 개인정보 보호법(PIPEDA) 및 연방기관 관련 법령에 따르면, 유출로 인해 “실질적이고 중대한 피해의 실제 위험”이 존재하는 경우, 기관은 개인에게 통보하고 당국에 보고해야 한다. 여기서 말하는 피해는 단순한 금전 손실이나 신원 도용은 물론, 정신적 스트레스와 평판 손상까지 포함된다.

캐나다 모델의 차별점은 바로 선제적인 접근 방식에 있다. 단순히 피해가 발생한 이후 사후 대응하는 것이 아니라, 이 자가 평가 도구를 통해 실시간으로 리스크를 식별하고 조치할 수 있도록 조직을 돕는다. 이런 방식은 피해자의 권리를 더 빠르게 보호할 수 있을 뿐만 아니라, 기관 내부에 책임감 있는 개인정보 관리 문화를 조성한다. 또한 명확한 법적 기준과 기술적 가이드라인을 통해 유출 대응 프로세스를 체계적으로 내재화함으로써, 개인정보 보호와 실용적 리스크 관리의 균형을 실현하는 선진 모델로 평가받고 있다.