TTESays

개인정보 유출이 일상이 된 사회는 왜 국가안보에 취약해지는가

Donghwi Shin

Published: 08:00, 01 May 2026 (Updated: 10:20, 01 May 2026)

이란 연계 해킹 그룹으로 알려진 Handala Hack은 최근 페르시아만 지역에 배치된 미 해병대원들의 개인정보를 공개했다고 주장했다. 보도에 따르면 이 그룹은 텔레그램 채널을 통해 미 해병 2,379명의 개인정보를 공개했다고 밝혔고, 미 국방부는 이 주장에 대해 조사 중인 것으로 알려졌다. 미국 측은 공개된 이름 중 일부가 실제 현역 군인과 일치한다는 점도 확인한 것으로 전해졌다. 이 사건을 단순한 해외 해킹 뉴스로 읽으면 이야기는 짧게 끝난다. 이란과 미국 사이의 긴장이 고조되는 가운데, 이란 연계 해킹 조직이 미군을 겨냥해 개인정보를 공개했다는 사건으로 정리할 수 있다. 그러나 이 사건의 본질은 조금 더 불편한 곳에 있다. 문제는 정보가 유출됐다는 사실 자체가 아니라, 그 정보가 어떤 방식으로 사용되었는가에 있다.

Handala는 개인정보를 공개하는 데서 멈추지 않았다. 일부 보도에 따르면 중동 지역에 배치된 미군 장병들은 WhatsApp을 통해 자신들이 감시받고 있으며, 드론과 미사일의 표적이 될 수 있다는 식의 협박성 메시지를 받은 것으로 전해졌다. 즉, 개인정보는 데이터베이스 안에 머무르는 기록이 아니라, 특정 개인을 향해 전달되는 심리적 압박의 언어가 되었다.

이 지점에서 사건의 성격은 바뀐다. 이것은 단순한 개인정보 유출 사고가 아니다. 이름과 전화번호, 소속과 위치가 결합되는 순간, 개인정보는 군사적 압박과 심리전의 재료가 된다. 공격자는 반드시 총을 쏘거나 미사일을 발사할 필요가 없다. “우리는 당신이 누구인지 알고 있다”는 메시지만으로도 충분히 사람을 흔들 수 있다. 그리고 전장에서 사람을 흔드는 일은 곧 조직을 흔드는 일이 된다.

개인정보는 언제 무기가 되는가

개인정보는 오래전부터 공격의 재료였다. 공격자는 피싱 메일을 정교하게 만들기 위해 이름과 직책을 사용했고, 보이스피싱 조직은 전화번호와 가족관계을 활용했으며, 계정 탈취에는 이메일과 생년월일, 과거 비밀번호를 사용했다. 그러나 이번 사건이 보여주는 것은 다른 방향으로의변화이다. 공격자가 개인정보를 단순히 사기나 계정 침해의 보조 수단이 아닌, 군 영역에서 직접적인 압박 수단으로 사용한 것이다.

군인의 개인정보는 일반인의 개인정보와 다르다. 공격자에게 군인의 이름은 소속의 추론을, 전화번호는 접근 경로로, 가족 정보는 협박 수단이 된다. 위치 정보나 근무 지역을 결합하면 작전 환경과 연결 시킬 수 있고, SNS와 메신저 계정을 확인하면 심리전의 출발점으로 사용할 수 있다. 결국 정보 하나하나는 완전한 기밀이 아닐 수 있으나 결합되는 순간 이야기는 달라진다.

보안에서 위협이 될 수 있는 정보가 반드시 ‘기밀’이라는 이름표를 달고 있지 않다. 오히려 공격자에게 더 유용한 정보는 공개 정보와 유출 정보 사이에 흩어져 있는 경우가 많다. 누가 어디에서 일하는지, 어떤 조직과 연결되어 있는지, 어떤 번호로 연락할 수 있는지, 가족은 어디에 있는지, 어떤 생활 패턴을 갖고 있는지 알 수 있다면 공격자는 훨씬 적은 비용으로 표적을 좁힐 수 있다. 국가안보의 관점에서 개인정보가 중요해지는 이유가 여기에 있다.

Handala의 사례가 특히 중요한 이유는 이 그룹의 활동이 단순한 해킹을 넘어 심리전과 연결되기 때문이다. 미국 법무부는 2026년 3월 이란 정보보안부, 즉 MOIS의 해킹 및 초국가적 억압 활동에 사용된 4개 도메인을 압수했다고 발표했다. 법무부는 이 도메인들이 해킹으로 확보한 정보를 게시하고 심리전적 목적의 활동을 수행하는 데 사용됐다고 설명했다.

즉, 사이버 공격은 시스템을 망가뜨리는 행위에만 머물지 않고 있으며 훔친 정보를 공개하고, 그 공개 사실을 선전하며, 특정 개인에게 공포를 전달하는 과정까지 발전한다. 결국 개인정보 유출이 기술적 사고를 넘어, 사람을 겨냥한 작전의 일부로 활용되는 상황으로 전개 된다.

문제는 유출보다 체념이다

이 사건을 우리 사회의 관점에서 다시 읽어야 하는 이유는 우리에게 개인정보 유출은 이미 너무 익숙한 사건이 되었다. 대형 플랫폼, 통신사, 병원, 교육기관, 공공기관, 금융 관련 서비스에서 개인정보 유출 사고가 반복될 때마다 사람들은 처음에는 분노하지만, 시간이 지나면 곧 체념한다. “이미 내 정보는 다 털렸다”는 말은 어느새 한국 사회에서 농담처럼 쓰인다. 그러나 이 농담은 단순한 냉소가 아니라, 방어 기준이 낮아지고 있다는 신호에 가깝다.

개인정보보호위원회와 한국인터넷진흥원이 발표한 2024년 개인정보 유출 신고 동향에 따르면, 2024년 접수된 개인정보 유출 신고는 총 307건이었다. 원인별로는 해킹이 171건, 56%로 가장 많았고, 업무 과실이 91건, 30%, 시스템 오류가 23건, 7%를 차지했다. 전년도와 비교하면 전체 신고 건수는 비슷한 수준이었지만, 해킹으로 인한 유출은 151건에서 171건으로 증가했다. 누구나 예상할 수 있듯이 2025년의 침해사고가 상당히 많았으며 이를 통해 유출된 개인정보는 상당하다.

앞선 숫자와 2025년의 상황을 보면 개인정보 유출이 더 이상 예외적 사고가 아니라 반복되는 구조적 현상에 가깝다는 점이다. 더 큰 문제는 반복이 만들어내는 사회적 둔감화다. 유출 사고가 잦아질수록 기업은 사고 이후의 부담을 예측 가능한 비용으로 계산하게 되고, 이용자는 보호받을 수 있다는 기대를 포기하게 된다. 정부와 규제기관은 사건마다 조사하고 처분하지만, 사회 전체의 감각은 점점 무뎌진다.

그 순간 개인정보는 지켜야 할 전략적 자산이 아니라, 이미 유출되었으며 언젠가 유출될 수밖에 없는 자산으로 생각한다. 하지만 공격자가 유출 정보를 바라보는 시선은 다르다. 우선 공격자는 개별 사고를 분리해서 보지 않기 때문에, 이름, 전화번호, 주소, 이메일, 직장, 가족관계, 결제 이력, 통신 기록, 위치 정보 등의 정보를 통합하여 하나의 프로파일로 결합한다. 결국 개인은 체념한 데이터라고 하더라도 공격자에게 축적한 자산이며, 충분히 축적된 개인정보는 단순한 사기 범죄의 재료를 넘어, 특정 조직과 직업군을 겨냥하는 정보전의 기반이 될 수 있다.

국가안보의 공격 표면은 서버만이 아니다

우리가 국가안보를 말할 때 군사기밀, 방산기술, 통신망, 정부 시스템 등을 떠올린다. 물론 이들이 여전히 중요한 정보이나, 현재 공격자에게 주어진 공격 표면은 상당히 넓다. 방산기업 직원, 반도체 연구자, 배터리 엔지니어, AI 개발자, 공공기관 담당자, 통신사 운영 인력, 보안기업 분석가, 군 관련 협력기업 직원의 개인정보 등은 공격자가 수행하기 위해 생각하는 기획서에서 활용할 정보이다. 공격자는 협력기업의 직원 이메일과 휴대폰 번호를 찾고, 가족관계와 거주 지역을 확인하고, 과거 유출된 비밀번호를 조합하며, 업무 맥락을 가장한 메시지를 보내는 방식 등의 다양한 시나리오로 접근할 수 있다. 결국 유출된 개인정보가 공격의 결과가 아닌 공격의 시작점이 되는 것이다.

이 구조는 우리에게 특히 중요한 질문을 던진다. 우리나라는 군사적 긴장이 일상화된 국가이자, 방위산업/반도체/배터리/AI/통신 인프라가 국가 경쟁력과 직접 연결된다. 이와 동시에 개인정보 유출 사고가 반복되어 왔으며, 사회적으로 “또 일어난 일”이라는 피로감이 쌓여 있다. 이 두 조건이 만나면 위험은 달라진다. 유출된 개인정보는 단순한 소비자 피해의 문제가 아니라, 특정 산업과 기관, 직업군을 겨냥하는 정보전의 기초 자료로 활용될 수 있기 때문이다.

이런 흐름이 반드시 개인정보 유출이 국가안보에 해당하는 사고라는 논리를 만들어주진 않는다. 그러나 반복적으로 유출된 개인정보의 축적과 그 사이에서 식별 가능한 직업군, 조직, 산업 등의 정보 그리고 부가적인 상황들이 조합되면 상황은 달라진다. Handala 사례는 이 가능성을 선명하게 보여주는데, 민간의 연락처와 신원 정보처럼 보이는 데이터가 군사적 긴장 상황에서는 심리전의 재료가 되었기 때문이다.

사후 통지를 넘어, 축적 위험을 관리해야 한다

우리나라에서 개인정보 유출 사고가 발생하면 거의 동일한 흐름의 대응이 반복된다. 기업/기관은 공지문을 올리고, 피해 가능성을 알리며, 비밀번호 변경과 스미싱 주의를 안내한다. 감독기관은 조사에 착수하고, 위반 사항이 확인되면 과징금이나 과태료를 부과한다. 물론 이와 같은 절차는 꼭! 필요하다. 그러나 국가안보의 관점에서 보면 이것만으로 충분하지 않다. 우리의 대응은 사고를 개별 사건으로 처리하는 데 익숙하다. 하지만 공격자는 유출 정보를 개별 사건으로 소비하지 않는다. 공격자는 데이터를 결합하고, 오래 보관하며, 특정 개인과 조직을 식별하기 위해 활용한다.

따라서 해결 방향도 사후 통지 중심에서 축적 위험 관리 중심으로 바뀌어야 한다. 첫 번째로 필요한 것은 개인정보 유출 사고를 단순히 “몇 명의 정보가 유출됐는가”로만 평가하지 않아야 한다. 물론 유출 규모도 중요하지만, 더 중요한 것은 어떤 정보가 어떤 맥락에서 유출되었는지 확인하는 것이다. 이름과 전화번호만 유출된 사고라도, 해당 정보가 군인, 방산업체 직원, 공공기관 담당자, 연구자, 통신망 운영자처럼 국가 핵심 기능과 연결된 집단에 속한다면 위험도는 달리 판단해야 한다. 같은 전화번호라도 누구의 전화번호인지에 따라 가치가 달리지기 때문이다.

두 번째로, 핵심 산업과 공공 영역에 종사하는 인력에 대해서는 별도의 개인정보 보호 기준이 필요하다. 지금까지 보안은 주로 시스템과 문서, 네트워크를 중심으로 설계됐다. 그러나 실제 공격은 사람을 경유해 들어오는 경우가 많다. 방위 산업 협력사 직원, 반도체 장비업체 엔지니어, 통신사 운영 인력, 보안관제 담당자, 공공 시스템 유지보수 인원의 개인정보가 반복적으로 노출되면, 유출 정보는 공격자에게 조직 내부망 침투를 위한 공격 인프라로 변화한다. 이런 상황을 고려한다면, 업무용 연락처와 개인 연락처의 분리, 외부 공개 정보 최소화, 임직원 대상 유출 정보 모니터링, 스피어피싱 대응 훈련, 가족을 사칭한 사회공학 공격 교육을 포함한 가족에 대한 교육도 함께 이뤄져야 한다.

세 번째로, 기업과 기관은 개인정보를 수집한 뒤 보관하는 방식 자체를 줄여야 한다. 한국의 많은 서비스는 가입과 인증, 마케팅, 고객 관리라는 이유로 필요 이상의 정보를 오래 보관해 왔다. 그러나 오래 보관된 개인정보는 시간이 지날수록 자산이 아니라 부채가 된다. 수집 최소화, 보관 기간 단축, 비식별화와 암호화, 접근권한 분리, 로그 기반 접근 감시가 기본이 되어야 한다. 특히 주민등록번호, 휴대전화 번호, 주소, 가족관계, 직장 정보처럼 결합 가치가 높은 정보는 단순 암호화 여부를 넘어 “정말 계속 보관해야 하는가”를 먼저 물어야 한다.

결혼정보회사 듀오 제재 사례는 위와 같은 문제의식이 단지 이론이 아니라는 점을 보여준다. 개인정보보호위원회가 듀오에 12억 1천만 원의 과징금을 부과했으며, 유출 정보에 전화번호와 주소뿐 아니라 체중, 혈액형, 결혼 이력, 학력, 직장 등 민감한 생활 정보가 포함됐다고 전했다. 이에 따라 위원회는 불필요한 정보 보관과 미흡한 삭제 조치를 문제로 지적했다. 이런 정보는 단순한 연락처보다 훨씬 위험하다. 한 사람의 사회적 위치와 사적 취약성을 함께 보여주기 때문이다. 결혼 이력, 직장, 주소, 신체 정보, 가족관계가 결합되면 공격자는 단순한 피싱을 넘어 더 정교한 사칭과 협박, 회유를 설계할 수 있다. 개인정보 보호가 사후 통지로 끝나서는 안 되는 이유가 여기에 있다. 결국 필요한 정보만 최소한으로 저장하며 필요하지 않은 정보는 과감하게 삭제해야 한다.

네 번째로, 유출 사고 이후의 안내도 달라져야 한다. 지금처럼 “비밀번호를 변경하라”는 안내만으로는 충분하지 않다. 유출된 정보가 앞으로 어떤 공격에 쓰일 수 있는지, 어떤 유형의 피싱과 사칭을 경계해야 하는지, 피해자가 어떤 기간 동안 어떤 방식으로 모니터링해야 하는지를 구체적으로 알려야 한다. 전화번호와 주소가 유출된 경우에는 택배·금융·수사기관 사칭 가능성을 경고해야 하고, 직장 정보와 이메일이 함께 유출된 경우에는 업무 협조 메일을 가장한 공격 가능성을 안내해야 한다. 피해 통지는 형식적 의무가 아니라, 이후 공격을 줄이기 위한 방어 지침이 되어야 한다. 그리고 이와 같은 안내는 피해 기업이 많은 고민을 통해 최대한 가능성 있는 시나리오를 만들어 제시하고 안내/교육해야 한다.

다섯 번째로, 국가 차원의 유출 정보 결합 위험 평가가 필요하다. 지금까지 개인정보 유출 사고는 기업별, 기관별로 조사되는 경우가 많았다. 그러나 국가안보의 관점에서는 이미 유출된 여러 데이터가 결합될 때 어떤 위험이 발생하는지를 봐야 한다. 특정 산업군, 특정 공공기관, 특정 지역, 특정 직무군의 정보가 반복적으로 노출되고 있다면, 이는 개별 기업의 사고가 아니라 국가적 공격 표면의 확대로 봐야 한다. 개인정보보호위원회, KISA, 국정원, 국방부, 과학기술정보통신부 등 관련 기관이 각자의 역할 안에서 분리 대응하는 것을 넘어, 핵심 산업과 공공 기능을 기준으로 유출 위험을 통합적으로 평가할 필요가 있다. 결국 정보는 언제 어디서든 결합되어 활용될 수 있기 때문이다.

“이미 털렸다”는 말에서 다시 출발해야 한다

“이미 다 털렸다”는 말은 결론이 되어서는 안 된다. 오히려 그 말은 새로운 출발점이 되야 한다. 이미 많은 정보가 유출되었다면, 이제 필요한 질문은 “어쩔 수 없다”가 아니다. 어떤 정보가 이미 유출되었고, 그것이 어떤 정보와 결합될 수 있으며, 그 결과 누구를 겨냥하는 공격으로 이어질 수 있는지를 물어야 한다.

Handala 사건은 바로 이 질문을 던진다. 미국과 이란 사이의 사이버 갈등 속에서 공격자는 미 해병대원의 개인정보는 단순한 데이터가 아니라 심리전의 재료로 사용했다. 이름과 전화번호, 소속과 위치는 공격자가 “우리는 당신을 알고 있다”고 말하는 근거가 되었다. 우리나라가 이 사건에서 읽어야 할 지점도 여기에 있다. 개인정보는 유출되는 순간 끝나는 것이 아니다. 유출된 정보는 이동하고, 결합되면서 맥락을 얻는다. 그리고 어느 순간 특정 개인과 조직을 압박하는 도구가 되어 돌아온다.

우리는 개인정보 유출에 너무 익숙해졌다. 그러나 이미 유출된 정보라는 것이 안전함의 증거는 아니다. 오히려 익숙함은 방어 기준이 낮아졌다는 신호일 수 있다. 국가안보의 빈틈이 반드시 중요 기밀문서의 유출로만 일어나지 않는다. 때로는 이름과 전화번호, 직장과 가족관계가 너무 쉽게 흘러나가고, 모두가 그것을 당연하게 받아들이는 순간부터 시작될 수 있다.

지금 필요한 것은 체념이 아니라 재정의다. 개인정보 보호는 프라이버시 보호를 넘어, 사람을 겨냥한 공격을 줄이는 국가적 방어 체계의 일부가 되야 한다. 유출 사고를 한 번의 기업 사고로만 처리하는 사회는 같은 사고를 반복할 것이다. 우리는 이미 이러한 상황에 놓여 있다. 하지만 유출된 정보가 어떻게 축적되며, 결합되고, 사람을 겨냥하는 공격으로 전환되는지 보기 시작하는 사회는 다른 방어 기준을 만들 수 있다. 개인정보가 무기가 되는 시대라면, 개인정보 보호 역시 더 이상 사후 처리의 문제가 아니다. 그러므로 이제 개인정보 보호라는 것인 국가가 국민을 지키는 방식의 일부가 되어야 한다.