무심코 넘긴 개인정보 유출사고가 보이스피싱, 금융사기, 개인정보 도용 등 또 다른 범죄가 되어 돌아온다. 한국인터넷진흥원(KISA)에 따르면 2008년부터 발생한 대형 개인정보 유출사고는 수 십건에 달하며 유출 개인정보는 2억3000만건이 넘는다. 이외 개인 이메일 유출 등은 한해 수백건에 달할 정도로 사고는 지속된다.
전 국민 개인정보가 중국에서 거래된다는 말은 이제 우스갯소리를 넘어 공포로 다가온다. 보이스피싱 조직은 사회공학적 방법을 동원해 상대방을 속여 매년 수천억원대 피해를 입힌다.
◇2008년부터 계속된 개인정보 유출...2차 피해로 돌아왔다
2008년 2월 옥션은 1863만명 회원 개인정보를 유출했다. 같은 해 9월 GS칼텍스에 등록한 회원 1150만명 정보도 털렸다. 한해만 인구 절반에 가까운 개인정보가 해커 손에 들어갔다. 이후에도 개인정보 유출사고는 끊임없이 발생했다. 한해도 거르지 않고 크고 작은 사건은 계속됐다. 통신사, 카드3사, 금융사, 여행사, 암호화폐 거래소 등 이름만 대도 알만한 대형 사이트 개인정보는 너무나 쉽게 해커를 통해 빠져나갔다.
대기업보다 비교적 보안이 허술했던 상호저축은행, 3금융권은 더 심각했다. 금융정보 등 취득이 상대적으로 부족하거나 경제적 어려움을 겪는 이들을 노린 사기로 피해는 더 컸다.
3금융권을 통해 대출 등을 문의한 이들을 대상으로 실제 대출이 이어지기 전 별도 연락을 취해 고금리 상품을 유혹하는 방식이다.
상호저축은행 등 3금융권 금융사는 한 번 털렸던 고객 정보를 또 다시 털리기도 했다. 실제 A대부업체는 고객정보가 지속 빠져나가자 전화번호 마지막 4자리를 자동 난수, 암호화되는 조치를 취했을 정도다. 해커가 가져가도 악용하지 못하게 하려는 급조된 조치였다.
류승우 씨엔시큐리티 대표는 “해커가 대부업체 등 고객정보를 탈취하고자 하는 목적은 대출에 관심있는 대상에 3금융 이하 고리대 등을 제안하기 위한 목적이 강하다”면서 “월, 일, 시간 등 고객 정보를 언제 탈취했느냐에 따라서 판매되는 데이터베이스(DB)정보 가격이 천차만별로 달라질 정도로 구체화된 시장을 형성하고 있다”고 말했다.
지난해 8월에는 중국 최대 온라인 쇼핑몰에 '프로듀스 101' 프로그램 투표를 위해 G마켓 아이디와 비밀번호를 판매하는 글이 올라왔다. 회원정보는 개당 10위안(1600원)에 거리가 돼 충격을 줬다. 당시 G마켓 측은 해당 정보 글을 확인, 시스템 점검했지만 해킹 등 정황은 발견하지 못했다고 밝혔다.
이외에도 음란사이트 방문자, 성형외과 이용자 등을 상대로 무차별 보이스피싱이 이어졌다. 가입자 정보를 악용해 개인 신상, 성형외과 기록 등을 외부에 노출하겠다는 협박이 뒤따랐다. 피해자는 영문도 모른 채 돈을 지불한다.
직장인 A씨는 “불법행위를 위한 온라인사이트를 가입하지도 않았고, 윤락업소 등은 방문 하지 않았지만 나에 대해 너무나 구체적으로 알고 있어 기억을 의심했을 정도였다”면서 “경찰, 지인 등을 통해 관련 협박 등이 있다는 사실만 알고 무시했다”고 말했다.
문제는 대부분 사용자가 개별 사이트 아이디와 비밀번호를 같거나 유사하게 생성하면서 2차 피해로 자연스럽게 이어진다. 수많은 사이트를 모두 다른 아이디로 관리하는 게 어려워 동일 아이디를 생성하지만, 이는 해커 먹잇감이 된다. 개별사이트가 아무리 보안을 강화한다고 할지라도 타 계정이 한 번 해커손에 들어가면 속수무책이다.
보안 업계 관계자는 “기존에 유출된 개인정보는 여러 유출 데이터와 결합해 구체적이고 새로운 개인정보로 재탄생한다”면서 “한 번 유출된 개인정보가 계속해서 거래돼 아이디, 패스워드를 변경하지 않으면 또 다른 사고를 막기는 사실상 어렵다”고 말했다.
◇교묘해진 공격...유출사고 예방뿐 아니라 사후 모니터링 강화 대책 필요
개인정보 유출 후 정보를 회수하는 것은 어렵다. 디지털 정보는 무제한 복사되기 때문이다. 게다가 개인정보 유출 후 2, 3차 피해는 일정 시간이 흐른 뒤 발생한다. 어디서 새나간 정보가 나에게 피해로 다가올지 알 수 없다. 무엇보다 개인정보 유출 관리가 먼저다.
대부분 개인정보 유출이 해킹으로 발생한다. 전문가는 사업자가 취약점과 보안장비 이상 징후 점검에 나서는 것이 기본이라고 조언한다.
한국인터넷진흥원 관계자는 “기본적으로 망법, 개인정보보호법에서 요구하는 기준에 충족하고 추가적으로 이상 징후 로그 등 관리로 공격 사전 작업을 차단해야 한다”면서 “개인이 취할 수 있는 관리대책은 주기적인 암호변경 등으로 밖에는 없다”고 조언했다.
사후 조치 강화에 대한 목소리도 높다. 개인정보 유출로 인한 2, 3차 피해를 호소하기도 어려워 관련 연구도 해야 한다는 설명이다. 실제 개인정보 유출 피해 소송 대부분 유출 자체로 인한 피해를 호소할뿐 2, 3차 피해에 대해서는 제대로 다뤄지지 못했다.
현재 KISA 등을 중심으로 개인정보 거래 발견 시 즉시 삭제 조치 등을 취한다. 하지만 거래자 대부분 신분을 속이는 경우가 많아 거래를 뿌리 뽑는 것은 사실상 불가능하다.
김승주 고려대정보보호대학원 교수는 “개인정보 유출로 2, 3차 피해 지속 발생하지만 관련 연구 자료 부족 등으로 피해 소명이 어려운 것이 현실”이라면서 “개인정보 유출 자체를 방지할뿐 아니라 이에 대한 사후대책 마련에도 많은 노력이 필요하다”고 덧붙였다.
정영일기자 jung01@etnews.com