10원에 팔린다… 당신의 개인정보는 안녕한가요?

 
 
기사공유

/사진=로이터

모든 정보가 PC·네트워크에 데이터 형태로 저장되는 정보화시대다. 빛이 밝을수록 그늘도 짙어지는 법. 개인정보 유출사고와 각종 보이스피싱 관련 사고는 하루가 멀다하고 발생한다. 피해가 확산되자 정부가 나섰지만 뚜렷한 대책을 내놓지 못하는 실정이다. 지난 5월2일~6월30일 방송통신위원회와 한국인터넷진흥원(KISA)이 개인정보 불법거래와 유통 근절 운동을 벌였지만 개인정보 유출 건수는 오히려 급증한 것으로 나타났다.

◆매일 터지는 개인정보 유출

국회 행정안전위원회 소속 소병훈 더불어민주당 의원이 지난달 29일 행정안전부로부터 제출받은 자료에 따르면 2017년부터 지난 6월까지 유출된 개인정보 규모는 798만3000명으로 집계됐다. 기간별 유출 규모는 ▲2017년 219만명 ▲2018년 51만7000명 ▲2019년 상반기 527만6000명에 달했다.

눈에 띄는 점은 지난해 발생한 개인정보 유출 건수보다 올 상반기 발생한 유출 규모가 10배 이상 늘어난 점이다. 2017년과 2018년 유출된 기록을 더한 270만7000명은 올 상반기 유출된 개인정보 규모의 절반 수준에 불과하다. 방통위와 KISA가 국내외 웹사이트에서 개인정보 불법거래 집중단속을 벌였음에도 개인정보 유출은 정부의 단속을 비웃듯 폭발적으로 증가했다.

이 사실이 언론에 공개되기 이틀 전인 지난달 27일에는 또 다른 개인정보 유출사건이 국내외 언론을 통해 보도됐다. 국내 정보보안기업 NSHC는 동남아 항공사 두곳을 이용한 한국인 이용고객의 개인정보가 ‘다크웹’을 통해 유출됐다고 밝혔다.

이번에 유출된 자료는 태국의 타이라이언 항공사와 말레이시아의 말린도 항공사를 이용한 고객 7476만6811명(한국인 21만6858명)의 개인정보다. 여권번호는 물론 전자항공권 정보도 포함돼 성별, 이름, 여행일정 등 개인정보가 고스란히 유출된 셈이다.

대기업도 개인정보 유출로 골머리를 앓기는 마찬가지다. 지난달 26일 국회 과학기술정보방송통신위원회 소속 변재일 더불어민주당 의원은 방송통신위원회로부터 제출받은 자료를 인용해 “홈플러스가 고객 정보 4만9000건을 1년에 걸쳐 유출했다”며 “홈플러스는 이 사실을 고객이 신고하기 전까지 눈치 채지 못했다. 개인정보 유출을 피해자에게 알리지 않은 것은 정보통신망법 위반”이라고 지적했다.

이에 홈플러스는 즉각 반발했다. 같은 날 홈플러스는 입장문을 내고 “홈플러스의 고객정보가 직접 유출된 것이 아니다. 또 사건을 인지한 직후 KISA에 신고했다. 은폐한 적 없다”고 항변했다. 홈플러스는 “사건자체가 해킹이 아니라 범죄자가 다른 사이트에서 수집한 아이디와 비밀번호를 이용해 고객의 포인트를 절취한 사건이다. 고객의 비밀번호는 일방향 암호화돼 비밀번호가 유출되는 것이 원천 불가능하다”며 맞섰다.



◆고작 10원에 팔리는 전화번호

해킹, 내부자 불법접근 등으로 유출된 개인정보는 상당수가 불법으로 유통된다. 지난달 20일 윤상직 자유한국당 의원이 KISA로부터 입수한 자료에 따르면 지난 5년간 국내외에서 불법 거래된 한국인의 개인정보는 44만1666건에 달한다. 이 가운데 해외에서 거래된 개인정보는 27만건으로 전체의 61% 수준이다. 해외 개인정보불법유통 적발건수는 ▲2015년 2만2697건 ▲2016년 4만7459건 ▲2017년 9만8572건 ▲2018년 7만8178건 ▲2019년 6월 누적 2만5816건을 기록했다.

개인정보를 거래하는 것은 정보통신망법 제24조(개인정보의 이용제한) 위반이다. 따라서 개인정보는 익명으로 은밀하게 거래된다. 2010년대 초반 개인정보는 기업, 브로커, 심부름센터 간의 결탁으로 이뤄졌지만 최근에는 더 음성적으로 변했다. 국내에서 유통되는 개인정보는 익명이 보장되는 사회관계망서비스(SNS)를 매개로 하며 해외에서는 다크웹에서 거래된다. 다크웹은 일반적인 검색으로 찾을 수 없으며 ‘토르’와 같은 별도의 웹브라우저를 이용해야 접속할 수 있다. 네트워크가 익명화 돼 범죄자 추적이 어렵기 때문에 마약, 총기, 아동음란물 등 각종 불법정보가 오가는 공간이다.

가격은 판매브로커가 가진 정보의 종류와 양에 따라 다르다. 성별, 이름, 전화번호 등 단순정보는 건당 10원부터 판매되며 신용카드번호, 은행계좌번호 등이 포함된 경우에는 건당 최대 1000원을 넘기기도 한다. 기자가 접촉한 ‘디비’(개인정보를 의미하는 은어) 판매브로커는 “통신사 고객정보는 약정이 끝날 만한 것으로 최대 10만건을 판매한다”며 “1만건을 구입하면 60원, 3만건 50원, 5만건 45원, 10만건 40원”이라고 설명했다.

정보보안업계 관계자는 “2010년대 초반에는 건당 3000원을 넘기는 경우도 있었지만 각종 프로그램이 개인정보를 무단 수집하면서 공급이 급증해 가격이 하락했다”고 말했다. 이어 “은밀하게 이뤄지는 거래는 신뢰를 담보할 수 없기 때문에 가격이 더 저렴한 측면도 있다”고 설명했다.

유출된 개인정보는 바이럴마케팅업체와 보이스피싱조직, 영업상 개인정보를 필요로 하는 이들이 주로 ‘구입’한다. 이들은 개인정보를 불법마케팅과 보이스피싱에 사용하거나 금융권을 통해 불법계좌를 개설하는 등 각종 범죄에 사용한다. 과거에는 일부 사이트가 가입자 수를 부풀리려고 개인정보를 데이터베이스에 입력하기 위해 사용한 적도 있다. 최근에는 포털사이트의 카페에 ‘침투’해 가짜 사용후기를 남기는 등 여론조작의 도구로도 사용된다.

보안업계 관계자는 “개인정보 구매자가 존재하는 한 개인정보 유출 문제는 쉽사리 사라지기 어려울 것”이라며 “현재 정부가 초점을 맞춘 것은 개인정보 거래 근절인데 한걸음 더 나아가 개인정보 유출 자체를 막아야 한다. 개인정보를 유출한 업체 또는 웹사이트는 서비스 임시 중단 조치 등 강력한 대책을 마련해야 한다”고 지적했다. 그는 이어 “정부도 개인정보 유출을 기업과 개인의 책임으로 떠넘기며 사태를 관망하는 것에서 벗어나 책임감 있는 모습으로 국민의 방패가 돼야 한다”고 덧붙였다.

☞ 본 기사는 <머니S> 제613호(2019년 10월8~14일)에 실린 기사입니다.

 

박흥순 soonn@mt.co.kr

<머니S> 산업1팀 IT담당 박흥순입니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 2067.40상승 22.7918:03 10/14
  • 코스닥 : 641.46상승 8.5118:03 10/14
  • 원달러 : 1184.90하락 3.918:03 10/14
  • 두바이유 : 60.51상승 1.4118:03 10/14
  • 금 : 60.44상승 2.6718:03 10/14
  • image
  • image
  • image
  • image
  • image

커버스토리

정기구독신청 독자의견
"