나도 모르는 나의 정보 유출

해킹당해 개인정보 유출돼도 회사는 경찰에 신고할 의무도 없어…사교육 업체 정보유출은 부모정보까지 포함돼 보이스 피싱 등 악용 소지 더 높아

» 해마다 개인정보 유출 사건이 발생해 그로 인한 피해가 잇따른다. 2008년 옥션 회원 1800만여 명의 개인정보가 유출된 뒤 노회찬 전 진보신당 대표(맨 오른쪽)를 비롯해 시민단체 활동가들이 같은 해 4월 서울 여의도에서 개인정보 유출 방지를 위한 정부 대책을 촉구하고 있다. 한겨레 이종근

“엄마, 엄마! 짐승들이야.”

딸은 수화기 너머에서 절규했다. 전화를 받아든 엄마는 가슴이 철렁했다. 이어 전화기에 등장한 남자는 은행 계좌번호를 일러주며 인터넷 뱅킹으로 1천만원을 보내야 딸이 안전하다고 말했다. 인터넷 뱅킹에 가입하지 않았다고 하자, 아빠에게 전화해 돈을 보내라고 요구했다. 동시에 아빠와 통화할 휴대전화를 전화기에 밀착시키도록 하는 것도 잊지 않았다. 엄마가 하는 말을 남자도 들으려는 것이었다.

그래도 엄마는 문자로 먼저 아빠에게 납치 소식을 전했다. 뒤이은 전화에서 엄마는 “친구 아버지가 돌아가셔서 돈 1천만원을 보내야 한다”는 말만 되뇌었다. 아빠는 통화하면서 동료를 통해 딸 학교에 전화를 했다. 받는 사람이 없었다. 딸 휴대전화로도 전화했다. 받지 않았다. 아빠도 철렁했다. 조금 지나 딸은 문자로 “수업 중인데, 왜?”라고 답했다. 그제야 사기임을 알아챘다.

<font size="3"><font color="#006699"> 범인을 잡고 나서 아는 정보유출</font></font>

지난 6월17일 회사원 안아무개씨가 보이스피싱(전화 금융사기)을 당할뻔한 사례다. 그나마 안씨는 재빠른 대처로 사기의 덫에 걸리지 않을 수 있었지만 해마다 그 피해자가 늘고 있다. 수법도 나날이 진화하고 있다. 안씨는 어떻게 사기범들이 딸 이름과 집 전화번호를 알게 됐는지 짐작조차 못하고 있었다.

그런데 사정을 미뤄 짐작할 수 있는 경찰의 발표가 최근 있었다. 서울 수서경찰서는 지난 1월부터 중국 해커와 짜고 저축은행, 카드사, 콜센터 등 100여 개 업체를 해킹해 개인정보를 빼낸 정아무개(26)씨 등 2명을 구속하고 6명을 불구속 입건했다고 6월23일 밝혔다. 경찰은 이들이 100여 개 업체를 해킹해 1천만 명 이상의 개인정보를 빼낸 것으로 파악했다. 개인정보에는 이름과 주민등록번호, 개인 ID와 패스워드 등이 담겨 있었다.

정씨 등은 빼낸 정보를 1건당 10~30원을 받고 팔았다. 판매처는 주로 대부업체, 도박, 인터넷 가입 모집업체였다. 경찰 관계자는 “압수 자료에는 국내 저축은행과 카드사 고객의 것으로 분류된 개인정보도 있었다”며 “실제 저축은행 등을 해킹했는지도 수사할 것”이라고 밝혔다.

같은 날 경기도 부천 오정경찰서도 개인정보를 불법으로 유통시킨 혐의로 김아무개(26)씨 등 3명을 구속했다고 밝혔다. 김씨 등이 갖고 있던 휴대용 저장장치(USB 메모리)에는 약 1900만 건의 개인정보가 담겨 있었다. 심지어 은행과 카드사 등 금융기관 고객들의 인터넷 뱅킹 ID와 비밀번호까지 있었다. 경찰은 이들이 갖고 있던 개인정보가 해킹으로 유출됐을 것으로 추정했다.

개인정보 유출 피해자 가운데 그 사실을 아는 사람은 거의 없다. 서울 수서경찰서의 수사에서 해킹을 당한 업체 가운데 그 사실을 고객에게 알린 곳은 하나도 없었다. 그나마 경찰에 신고한 것만으로도 다행이라고 생각해야 할 정도다. 수서경찰서 관계자는 “해킹을 당한 콜센터 업체가 신고해 수사에 착수하게 됐다”며 “다른 업체들은 해킹당한 사실을 모르거나, 알고도 신고하지 않은 것으로 파악하고 있다”고 말했다.

<font size="3"><font color="#006699">보안 담당자도 없는 기업들 수두룩</font></font>

이번 해킹 피해를 입은 메가스터디 역시 마찬가지다. 피해자인 메가스터디는 더 큰 피해를 막기 위한 조처를 취하지 않았다. 물론 불법은 아니다. 현행 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에는 KT, SK브로드밴드 등 정보통신 서비스 제공자와 인터넷데이터센터(IDC)와 같은 집적정보통신시설 사업자만이 해킹 등 침해 사고가 발생할 경우 방송통신위원회나 한국인터넷진흥원에 의무적으로 신고하도록 하고 있다. 다른 곳은 해킹을 당해도, 이 때문에 개인정보가 빠져나가도 신고할 의무가 없다. 카이스트 사이버보안연구센터 전상훈 연구개발팀장은 “미국은 해킹을 당했을 때 공지하도록 법으로 규정하고 있다”며 “국내에서는 업체가 해킹을 당해도 언론에 어떻게든 숨기고 싶어한다”고 말했다. 또 “기업 경영자들이 개인정보가 빠져나간 것을 피해라고 생각하지 않고, 오히려 이 사실이 언론에 보도돼 이미지가 실추하는 것을 큰 피해라고 생각한다”며 “더욱이 해킹 사실이 알려져도 과거 옥션처럼 피해 보상 의무가 없는 상황에서 해킹 사실을 알리려는 기업은 드물다”고 말했다.

해킹을 막기 위한 방화벽 등 보안 조처도 미흡하다. 수서경찰서가 밝힌 해킹당한 업체 대부분은 방화벽조차 갖추지 않고 있었다. 수백만 명의 회원 수를 자랑하는 메가스터디 역시 단 1명의 보안 담당자도 없었다. 국내 보안 전문가들은 국내 웹서비스 가운데 상당수가 이미 해킹을 당한 것으로 파악하고 있다. 전상훈 팀장은 “마이크로소프트(MS)가 개발한 악성 소프트웨어 제거 도구인 MSRT(Malicious Software Removal Tool)에 따르면, 국내 평균 1천 개 웹서비스 가운데 400개 이상이 접속자에게 악성코드를 뿌리도록 도용돼 있다는 조사 결과가 있다”며 “이는 40% 넘게 국내 웹서비스가 이미 해킹당해 정보가 빠져나갔을 가능성이 크고, 현재는 악성코드를 옮기는 역할을 하고 있을 방증하는 것”이라고 말했다.

이런 상황에서 개인정보가 빠져나간 줄 모르는 이들은 보이스피싱이나 메신저피싱 등에 노출될 수밖에 없다. 특히 메가스터디 같은 사교육 업체의 개인정보에는 학생과 학부모의 정보가 함께 담겨 있어 개인정보가 유출된 경우 더욱 큰 피해가 예상된다. 한 보안전문가는 “자식의 학교, 학년 등은 물론 부모의 개인정보까지 유출됐다면 피싱 수법에 당할 위험은 더욱 커질 수밖에 없다”고 말했다.

경찰청에 따르면, 최근 보이스피싱 피해가 늘고 있다. 보이스피싱 피해는 2006년 6월 국내에서 처음으로 발생했다. 이후 2008년까지 그 피해는 계속 늘었다. 2008년 8454건에 피해액 877억원으로 정점을 찍은 뒤, 지난해에는 5455건에 553억원으로 줄어드는 추세였다. 하지만 올해 초 피해가 다시 늘어났다. 지난 1~4월 발생 건수가 2196건으로, 지난해 같은 기간(1477건)보다 48.6% 늘었다.

<font size="3"><font color="#006699"> “주민번호 정책 바뀌어야”</font></font>

개인정보 유출은 다른 유형으로도 나타난다. ‘인터넷 강국’답게 주민등록번호, 주소 등을 알면 해결할 수 있는 일이 아주 많다. 예를 들어 타인의 주민등록번호를 알 경우 이름을 도용해 인터넷 행정서비스를 통해 주민등록등본 등을 발급받을 수 있고, 가짜 아이디를 생성해 전자상거래에도 이용할 수 있다. 게다가 신용카드번호나 은행의 ID·패스워드가 빠져나갔을 경우 그 피해는 바로 금전 손실로 이어진다.

정부는 늘어나는 개인정보 유출을 막기 위해 개인정보보호법을 도입했다. 오는 9월부터 발효되는 이 법은 개인정보를 보호한 업체가 해킹당했을 경우 의무적으로 신고하도록 하고 있다. 하지만 이를 어길 경우 과태료 처분에 그쳐 실효성을 갖기 어렵다는 지적이다. 진보네트워크 장여경 활동가는 “해마다 터지는 개인정보 유출 사건을 막으려면 주민등록번호 정책 등의 변화가 필요하다”며 “사교육 업체 등을 비롯해 많은 사이트가 불필요한 개인정보를 요구하는 경우를 줄이고, 유출돼 피해가 우려되는 주민등록번호는 변경해주는 등 대안 마련이 필요하다”고 말했다.

이정훈 기자 ljh9242@hani.co.kr