어학원·유학사이트 해킹에 취약...블랙마켓서 개인정보 거래 늘어
#“당신의 아이를 데리고 있다. 계좌로 돈을 보내지 않으면 우리가 당신 아들을 어떻게 할지 모른다.”
최근 A씨는 황당한 전화를 받았다. 자신을 납치범이라고 소개한 이는 독일로 유학간 아들 학교, 이름, 나이 등을 대며 납치했으니 몸값을 달라고 요구했다. 수화기 너머로 아들의 비명이 들리자 혼비백산할 수밖에 없었다. 서둘러 아들에게 전화를 했지만 시차 탓인지 연락이 닿지 않았다. 다행스럽게 메신저에 아들이 응답하면서 보이스피싱이었음을 알고 가슴을 쓸어내렸다.
최근 서울 강남권 등지 중심으로 유학생 자녀를 둔 학부모 대상 보이스피싱 사기가 극성을 부리는 이유는 개인정보 유출 때문인 것으로 드러났다.
사이버 위협정보 서비스 전문업체 씨엔시큐리티에 따르면 지난해부터 인터넷 블랙마켓에서 어학원, 유학정보 사이트, 공무원·교사·의사 학부모 개인정보 데이터베이스(DB) 거래가 증가했다.
지난날 게임, 금융, 정치권에 한정된 개인정보 DB는 이제 특정 지역·학부모 등으로 세분화했다. 거래 정보는 단순 이름, 전화번호 등을 넘어 특정 학교나 유치원 등으로 구체화됐다. 암시장에 올라온 유치원 DB는 원생의 이름·생년월일부터 입학식 날짜와 수업료, 부모 이름·주민번호·주소·결혼기념일까지 포함한다.
어학원과 유치원, 학원 등은 학생 DB를 보유하고 있지만 정보보호 수준은 미흡하다. 개인정보관리자는커녕 제대로 된 보안 솔루션조차 갖추지 못했다. 이런 곳의 상당수는 학생 DB가 해킹돼도 외부로 유출된 사실을 인지하지 못한다.
류승우 씨엔시큐리티 대표는 “보이스피싱 타깃 선정이 기존에는 불특정 다수를 대상으로 진행됐다면 최근에는 교육기관, 학부모, 연구원, 협회 관계자, 병원 종사자, 특정연령·성별 등 매우 세분화된 분야에서 맞춤형 사기 수법으로 접근하고 있다”면서 “전화, 메신저 등 금전을 요구하는 경우 반드시 보이스피싱을 의심해야 한다”고 조언했다.
금감원 자료에 따르면 지난해 1~10월 중 보이스피싱 피해액은 3340억원으로 집계 돼 역대 최고치를 기록했다. 보이스피싱 피해액은 2016년 1924억원에서 2017년 2431억원으로 26.3% 증가했지만, 지난해 10월 기준 전년 말 대비 83.9%(1524억원) 증가했다.
금융감독원 관계자는 “최근 신종 기법을 이용한 보이스피싱 사기가 많다 보니 일일이 확인하고 대응에 나서기가 쉽지 않은 상황”이라면서 “금감원 차원에서 금융이용자 피해를 막기 위해 주의사항 안내 등 대응에 나설 예정”이라고 밝혔다.
보이스피싱 증가 원인은 결국 개인정보 유출로 인한 2차 피해다. 2008년부터 시작된 옥션, 현대캐피탈, EBS, KT, 카드 3사, 인터파크, 여기어때 등 계속된 개인정보 유출 사고는 또 다른 범죄 악용으로 이어졌다. 해커는 유출된 정보를 조합해 최신 개인정보로 가공한다.
김승주 고려대 정보보호대학원 교수는 “개인정보는 유출 후 빠르게 복사되면서 전파되기 때문에 회수가 불가능할 뿐만 아니라 2, 3차 피해는 일정 시간이 흐른 뒤 발생해서 원인을 찾기도 어렵다”면서 “개인정보 유출 자체를 철저하게 관리하는 동시에 다크웹, 블랙마켓 등 모니터링을 강화해 발견 시 즉각 삭제 등 관리가 뒤따라야 한다”고 말했다.
정영일기자 jung01@etnews.com, 박윤호기자 yuno@etnews.com