소상공인 72% "고객정보 유출 시 대응 방법 모른다"… 디지털 보안 사각지대
개인정보보호위원회, 소상공인 대상 '개인정보 보호 가이드라인' 긴급 배포
"해킹은 대기업만의 문제가 아니다… 소상공인이 더 취약"
 |
| ▲ 위 사진은 기사 내용과 무관하게 AI(인공지능)가 생성한 이미지입니다. 연쇄 해킹 뉴스를 지켜보며 고객정보 보안을 걱정하는 소상공인 모습. (사진 = 챗GPT) |
2025년 5월, 대한민국에 연쇄 해킹 사태가 터졌다. 구인구직 플랫폼 알바몬에서 약 230만 명, 글로벌 명품 브랜드 디올 한국 법인에서 약 10만 명, 온라인 서점 예스24에서 약 450만 건의 개인정보가 유출됐다. 불과 한 달 전 SK텔레콤 2,696만 명 유출 사건에 이은 연쇄 해킹 사태에 국민적 불안이 극에 달하고 있다.
이 사태는 소상공인에게도 중대한 경각심을 불러일으키고 있다. 소상공인들은 고객 전화번호, 예약 정보, 결제 내역 등 민감한 개인정보를 보유하고 있지만, 대부분 체계적인 보안 시스템 없이 운영되고 있기 때문이다. 한국인터넷진흥원(KISA) 조사에 따르면 소상공인의 88.4%가 "개인정보 보호를 위한 별도의 보안 조치를 취하고 있지 않다"고 답했다.
◇ 소상공인 72% "유출 시 대응 방법 몰라"… 보안 사각지대
개인정보보호위원회가 5월 긴급 실시한 '소상공인 개인정보 보호 실태조사'(응답자 1,500명)에서 충격적인 결과가 나왔다. 소상공인의 72.3%가 "고객 개인정보가 유출되었을 때 어떻게 대응해야 하는지 모른다"고 답했다. 63.8%는 "개인정보 보호법에 따른 의무 사항을 모른다"고 응답했다.
실제로 소상공인이 보유한 개인정보의 규모는 적지 않다. 네일숍·미용실의 고객 예약 앱에는 이름·전화번호·시술 이력이, 동네 카페의 포인트 적립 시스템에는 이름·전화번호·방문 이력이, 온라인 쇼핑몰을 운영하는 소상공인에게는 이름·주소·결제 정보가 저장돼 있다.
서울 강남구에서 피부과 의원 옆 피부관리실을 운영하는 이 모 씨(42)는 "고객 300명의 이름, 전화번호, 피부 상태 기록을 스마트폰 앱에 저장하고 있다"며 "해킹당하면 어떻게 되는지 생각하면 무섭다. 하지만 보안을 어떻게 강화해야 하는지 모르겠다"고 말했다.
◇ 개인정보보호위, 소상공인 대상 긴급 가이드라인 배포
개인정보보호위원회는 연쇄 해킹 사태를 계기로 '소상공인을 위한 개인정보 보호 실천 가이드라인'을 긴급 배포했다. 가이드라인은 소상공인도 개인정보처리자로서 법적 의무를 갖고 있음을 강조하며, 7가지 핵심 실천 사항을 제시했다.
첫째, 수집하는 개인정보를 최소화할 것. 둘째, 고객 정보 저장 기기(PC·태블릿·스마트폰)에 비밀번호와 암호화를 적용할 것. 셋째, Wi-Fi 비밀번호를 주기적으로 변경하고 영업용과 고객용 네트워크를 분리할 것. 넷째, 직원에게 개인정보 취급 교육을 실시할 것. 다섯째, 불필요한 고객 정보는 즉시 파기할 것. 여섯째, 개인정보 유출 시 24시간 내에 개인정보보호위원회와 고객에게 통지할 것. 일곱째, 한국인터넷진흥원의 무료 보안 점검 서비스를 활용할 것.
개인정보보호위원장은 "소상공인은 보안 전문 인력이 없지만, 기본적인 보호 조치만으로도 상당 부분의 해킹 위험을 줄일 수 있다"며 "가이드라인을 쉽고 실천 가능한 수준으로 만들었다"고 설명했다.
 |
| ▲ 위 사진은 기사 내용과 무관하게 AI(인공지능)가 생성한 이미지입니다. 소상공인 매장의 보안 점검을 실시하는 KISA 전문가. (사진 = 챗GPT) |
◇ KISA, 소상공인 무료 보안 서비스 확대
한국인터넷진흥원(KISA)은 소상공인 대상 무료 보안 서비스를 대폭 확대한다. 기존에 연 5,000건이던 소상공인 매장 보안 점검 서비스를 올해 3만 건으로 6배 확대하고, 점검 신청은 KISA 홈페이지와 전화(118)로 가능하다.
보안 점검 서비스는 전문가가 소상공인 매장을 방문해 POS 시스템, Wi-Fi 보안, 결제 단말기, CCTV 네트워크 등의 보안 상태를 점검하고 개선 권고를 제공한다. 점검 소요 시간은 약 2시간이며, 비용은 전액 무료다.
또한 KISA는 소상공인 전용 '보안 앱'을 6월 중 출시할 예정이다. 이 앱은 매장의 Wi-Fi 보안 상태, 연결된 기기의 보안 위험도, 악성 앱 설치 여부 등을 자동으로 진단하며, 보안 위험 발견 시 푸시 알림으로 알려준다.
KISA 관계자는 "대기업은 연 수십억 원을 보안에 투자하지만, 소상공인은 사실상 무방비 상태"라며 "정부가 보안 인프라를 제공하지 않으면 소상공인은 스스로 보호할 수 없다"고 강조했다.
◇ "개인정보 유출 사고, 소상공인도 법적 책임… 예방이 최선"
법률 전문가들은 소상공인도 개인정보 유출 시 법적 책임을 져야 한다는 점을 환기한다. 법무법인 율촌의 개인정보 전문 김 모 변호사는 "개인정보보호법은 매출이나 사업 규모에 관계없이 개인정보를 처리하는 모든 사업자에게 적용된다"며 "고객 정보가 유출되면 소상공인도 1인당 최대 300만 원의 손해배상 책임을 질 수 있다"고 경고했다.
김 변호사는 "고객 100명의 정보가 유출되면 최대 3억 원의 손해배상 소송에 직면할 수 있다"며 "예방이 최선이고, 기본적인 보안 조치라도 취하고 있었음을 입증하면 책임이 크게 줄어든다"고 조언했다.
알바몬·디올·예스24 해킹 사태는 사이버 보안이 더 이상 IT 기업이나 대기업만의 과제가 아님을 보여주고 있다. 고객 한 명의 전화번호라도 저장하고 있다면, 모든 소상공인은 개인정보 보호의 주체다. 연쇄 해킹의 공포가 소상공인들의 보안 인식을 바꾸는 계기가 되어야 할 것이다.
소상공인포커스 / 김영란 기자 suputer@naver.com
[ⓒ 소상공인포커스. 무단전재-재배포 금지]
