인터넷 거미가 당신을 훔친다

이메일 관련 개인정보 빼내 변칙 거래… 원치 않는 광고성 메일을 방치할 건가

“사전에 허락없이 메일을 보내게 돼 죄송합니다. 메일주소는 인터넷 게시판, 방명록과 웹상에 공개된 것을 모은 것입니다.”

하루에도 몇 차례씩 받는 광고성 이메일(전자우편)에는 꼭 이런 글이 덧붙어 있다. 간혹 더 친절한 설명도 있다. “메일주소는 여러 사이트를 돌아다니면서 손수 하나하나 얻어낸 주소입니다.” 여기에 또 하나 빠지지 않고 등장하는 글귀. “개인정보 침해와는 무관하며 따라서 정보유출에 대한 걱정은 하지 않으셔도 됩니다.” 사족처럼 붙어 있는 이런 설명은 역설적으로 개인정보유출에 대한 걱정을 부풀린다. 어떻게 내 정보를 알고 광고를 보냈을까? 엉뚱하게 정보를 흘려 악용하고 있지는 않을까? 여간 찜찜한 게 아니다.

수십만의 이메일주소를 일일이 모았다?

인터넷 등을 통해 개인정보가 누출되고 변칙적으로 거래가 이뤄지는 일이 잦지만 어떻게 정보가 새고 어떤 경로를 통해 이곳저곳에 나돌고 있는지는 장막에 가려져 있다.

이메일광고를 받은 뒤, 내 정보를 어떻게 알고 보냈을까 하는 궁금증에 직접 전화를 걸어보면 예외없이 이런 대답을 듣게 된다. “인터넷 게시판이나 웹상에서 수작업으로 모은 것입니다.” 과연 그럴까?

손으로 일일이 ‘클릭’해서 이메일주소를 모으는 경우가 아주 없지는 않겠지만, 광고성 메일을 보낼 때는 이런 원시적인 방법이 동원되지는 않을 것으로 보인다. 수십만개를 한꺼번에 보내야 할 상황에서 그런 방식으로는 인건비도 빠지지 않을 게 뻔하기 때문이다. 이메일주소를 추출하는 프로그램이 개발돼 활용되고 있는 현실도 이런 추측을 뒷받침한다.

필요한 이메일주소를 추출할 수 있는 프로그램으로는 ‘이-익스트랙터’, ‘AD2000’ 등이 있다. 이들 프로그램은 인터넷상에 공개된 이메일주소를 수집해 광고메일을 보낼 수 있도록 설계돼 있다. 인터넷에 거미줄을 쳐 이메일주소를 잡아온다고 해서 ‘스파이더’프로그램이라고도 한다. 이메일주소에는 특수문자(@)가 포함돼 있어 프로그램을 통해 뽑아내는 게 그다지 어렵지 않다고 한다. 안철수연구소 개발실의 박동수씨는 “(이메일주소 추출프로그램을) 개발하기로 마음먹으면 2∼3일이면 충분할 것”이라고 말했다.

이메일주소를 수집하는 방식은 여러 가지다. 웹상에서 사용자가 특정검색어를 치면 이와 관련된 웹사이트에 모두 들어가서 메일주소를 가져오는 방식이 있는가 하면, 사용자가 지정한 게시판에서 메일주소를 빼오는 방식도 있다. 이 밖에 한 사이트를 몽땅 뒤져서 메일주소를 갖고 오게 하는 프로그램도 있다.

이-익스트랙터라는 스파이더프로그램을 개발한 회사는 개당 29만원에 프로그램을 팔고 있다고 한다. 자신들의 프로그램을 사면 게시판에 있는 이메일주소를 긁어모은 뒤 광고메일을 무한정 보낼 수 있다고 공공연히 선전하고 있기도 하다.

AD2000을 개발한 크루세이드센터(www.crusade.co.kr)의 경우 적절한 통제장치를 둬 말썽의 소지를 미리 없애고 있다. 프로그램 구입자들에게 제목에 ‘광고’라는 제목을 넣고, 수신거부 기능을 반드시 붙이도록 하고 있다. 또 발송된 이메일을 모니터링(점검)해서 규정에 어긋난 이메일은 수정하도록 요구하고 있다고 한다.

크루세이드센터처럼 이메일주소 추출프로그램을 개발해 판매하고 있는 업체가 얼마나 되는지, 또 어떤 방식으로 영업하는지는 명확하지 않다. 다만, 소프트웨어를 개발·판매하는 국내 전문업체는 3개 정도에 이르며 여기에 일부 외국업체도 가세하고 있는 것으로 알려져 있다. 이와 관련, 크루세이드센터의 석헌섭 대표는 “AD2000이 국내시장의 30% 안팎을 차지하는 것으로 파악하고 있다”고 전했다.

광고메일 무한정 보내는 추출프로그램 판매

“이메일주소 추출프로그램을 살 사람을 찾는다”며 한 인터넷 게시판에 글을 올린 박아무개씨는 사이트 주소만 찾으면 하루에 50만개 이상 이메일주소를 수집할 수 있다고 소개했다. 그는 “내가 파는 이메일 추출기는 이미 뽑아냈던 메일주소는 다시 추출하지 않는 프로그램”이라며 “이메일 6만개를 모으는 데 20∼30분밖에 걸리지 않고 야후 등 특정 리스트(항목)별로 따로 저장해 관리해둘 수도 있다”고 설명했다. 또 자신이 확보하고 있는 이메일주소는 600여만개로 개당 1원에서 5원 정도를 받고 주소 자체를 팔기도 한다고 소개했다.

이메일광고를 쏟아내는 기업들은 이런 소프트웨어를 구입해 활용하고 있는 것으로 추정된다. 가격은 대략 30만∼50만원 수준. 일부업체는 이메일 발송 자체를 프로그램 개발업체에 맡기는 경우도 있으며, 외주를 통해 프로그램을 개발한 뒤 이 자체를 판매목록에 올려놓고 있기도 하다. 그리 잦지는 않지만 요즘 간혹 물품광고와 함께 이메일주소 추출프로그램을 판매한다는 내용의 이메일도 등장하고 있다.

여기서 하나 의문이 들 법하다. 이메일주소 추출프로그램을 개발해 판매하고, 또 이를 이용해 이메일을 보내는 건 개인정보 침해 소지가 있을 것 같은데 불법 아닐까? 하지만 이메일주소 추출 자체가 개인정보를 침해한다고 못박기는 어렵다. AD2000을 비롯한 관련 프로그램들은 오로지 메일주소만 알 수 있을 뿐 사용자의 이름, 나이 등 신상에 대해선 전혀 파악할 수 없다. 인터넷 게시판이나 웹상에 올라 있는 이메일주소는 공개된 정보로 여겨져 (다소 논란의 여지는 있지만) 이것을 수집해 광고에 활용하는 것은 불법이 아니라는 해석이 지배적이다.

문제는 여기서 한발 더 나아간 경우다. 인터넷 이용자들이 받게 되는 이메일 가운데는 불법성이 짙은 경로를 거친 것도 적잖이 섞여 있는 것으로 파악되고 있다. 이는 대략 두 가지로 분류된다. 하나는 사이트 정보를 해킹한 것을 이용하는 방식이며, 다른 하나는 사이트 운영자로부터 회원정보를 구입해 활용하는 것이다. 이럴 경우 명백히 개인정보를 침해하는 것이 된다. 석헌섭 대표는 “공개 웹사이트를 통해 메일주소를 수집하는 경우를 8로 보면, 해킹 및 정보매매를 통하는 예가 1대 1 정도에 이른다고 보면 크게 틀리지 않을 것”이라고 말했다.

불법추출도 무방비… 오프라인도 위험지대

해킹의 경우 명백히 불법적인 것이어서 제재를 받게 되는데, 사이트 정보 매매는 법적으로 애매한 점이 있다. 회원가입 때 고객으로부터 포괄적인 동의를 받아두기 때문에 정보를 팔아넘기더라도 처벌할 근거가 마땅치 않은 수가 많다. 대부분의 인터넷 사이트들이 ‘국민교육헌장’보다 더 긴 회원가입신청서 한 귀퉁이에 ‘정보제공에 대한 동의’ 항목을 슬쩍 끼워넣는다. 이런 포괄적인 동의항목을 바탕으로 삼아 다른 업체와 제휴할 때 고객정보를 팔아넘기더라도 법적 제재를 피할 수 있는 것이다. 넘쳐나는 스팸메일도 여기에서 비롯된 바가 크다. 최근 들어 가장 큰 문제로 떠오르고 있는 게 이런 제휴관계에서 비롯되고 있다.

이런 문제는 온라인상의 문제만은 아니다. 오프라인업체에서도 비일비재하다. 신용카드사가 보험사에 고객정보를 팔아넘겼다가 지난 7월 들통난 사건은, 제휴관계를 통해 고객정보가 빠져나가는 경로를 잘 보여준다.

검찰수사 결과 BC, 국민, 다이너스 등 카드회사들은 회원의 개인신용정보를 보험회사에 제공하고 보험사는 이를 판촉활동에 활용하면서 수입보험료의 5∼7% 정도를 대가로 지급한 것으로 드러났다. 카드회사마다 약간씩 다르지만 건물의 일부를 보험회사에 전화영업(TM)실 용도로 임대해주고 보험모집인의 단말기에 카드회원 정보를 입력해주는 방식으로 정보를 유출한 경우도 있다. 신용카드에 가입해 서비스를 받는 대가로 제공한 개인정보가 엉뚱하게 보험사로 흘러들어간 것이다.

물적피해 가능… 법적인 처벌규정 없어

인터넷 사이트나 신용카드뿐 아니라 이동통신 등 서비스를 이용하기 전에 고객의 개인신상을 밝혀야 하는 곳에선 개인정보가 빠져나갈 위험성이 상존한다고 볼 수 있다. 업체들 사이에 제휴관계가 잦아지는 추세로 보아 정보유출의 위험성은 점점 높아질 것으로 보인다. 자신도 모르는 사이에 ‘어항 속 물고기’ 신세가 되고 있다는 푸념이 나오고 것도 무리가 아니다.

물론 아직은 개인정보 침해 및 유출에 따른 물적피해가 심각한 수준은 아니다. 좀 성가시다는 정신적 피해에 머무는 정도로 볼 수 있다. 이메일광고나 보험가입 권유를 받더라도 응하지 않으면 그만일 것이기 때문이다. 특히 고객동의를 얻어 이메일광고를 보내고 그에 따른 대가를 지불하는 정상적인 이메일 마케팅까지 싸잡아 욕할 수도 없는 노릇이다.

그렇지만 원치 않은 메일이 넘쳐나고 자신도 모르는 사이에 신상이 빼돌려지는 사태를 가볍게 볼 수는 없다. 정신적 피해 자체도 문제려니와 언제든 물질적 피해로 이어질 수도 있기 때문이다.

정보통신부 라봉하 정보이용보호과장은 “남의 시스템에 들어가 게시판에 나타난 이메일주소를 죄다 추출해 수집하는 행위는 낮은 수준의 불법적인 해킹으로 판단된다”면서도 “이렇게 대량 수집한 메일을 돈을 받고 팔더라도 관련법에 별다른 처벌규정이 없어 앞으로 보완해나가야 할 사항”이라고 덧붙였다.

김영배 기자 kimyb@hani.co.kr
조계완 기자 kyewan@hani.co.kr