날로 심각해지는 개인정보 유출, 소비자가 뿔났다

▲ 개인정보 유출 피해는 생각보다 심각하다. 금융거래·쇼핑·급여 등 사생활 내역이 노출될 소지가 크다. 또한 보이스피싱 등 금융사기에 악용될 수도 있다. 더 큰 문제는 유출된 개인정보가 중국 ‘암시장’(Black market)에서 공공연하게 거래되고 있다는 점이다.

인터넷 신원확인 번호 아이핀
인터넷에서 주민등록번호가 각종범죄에 악용되는 것을 해결하기 위해 정부가 개발된 것이 인터넷 신원확인번호인 ‘i-PIN’이다. 인터넷을 이용하는 네티즌들이 회원가입을 할 때 주민번호 대신 국가 공인기관이 발행한 ‘아이핀’을 입력하면 되는 것이다.
사이버 신증증 ‘아이핀’은 웹사이트에서 주민등록번호를 대신하여 이용할 수 있는 수 있는 사이버 신원확인 번호로서 인터넷 상에서 주민등록번호가 무단으로 유출되어 도용되는 부작용을 막기 위해 만들어진 서비스로 ‘아이핀(i-PIN)은 ‘인터넷 개인 식별번호(internet personal identification number)’의 영문 머리글자를 따 만든용어로 대면확인이 불가능한 인터넷 상에서 주민등록번호를 대신하여, 본인임을 확인 받을 수 있는 사이버 주민 번호이다. 정보통신부와 한국정보보호진흥원이 지난 2005년 7월 최초로 제정하여 인터넷상의 주민번호 대체수단 가이드라인에 따라 본인 확인 기관으로 지정된 한국신용평가정보에서 서비스하는 개인정보 확인 서비스하고 있다. 그동안 많은 웹사이트나 통신사를 통해 주민등록번호가 유출돼 시간은 물론 금전적 피해를 입는 경우가 속속 늘고 있는 상황에서 한국정보보호진흥원(KISA)은 인터넷에 돌아다니는 주민번호의 유출을 막으려면 주민번호 대신 아이핀(i-PIN)이나 공인인증서, 휴대폰 인증, 신용카드 인증 등 대체수단을 이용해야 한다고 조언한다. 아이핀은 방송통신위원회가 인정한 본인확인기관에서 철저하게 신원확인을 한 뒤 발급하기 때문에 믿을 수 있는 대체수단이다. 이미 140여 개 웹사이트에서 아이핀을 이용 중이며 인터넷 이용자는 누구나 무료로 발급받을 수 있다.
아이핀을 이용할 경우 주민번호를 입력하지 않고 본인인증을 받을 수 있어 이용자는 주민번호 유출을 사전에 방지할 수 있고 아이핀을 도입한 사업자도 회원의 주민번호를 보관하지 않기 때문에 회원 정보유출의 위험으로부터 자유로울 수 있다. 자신의 주민번호가 유출됐는지 여부를 알고 싶다면 서울신용평가정보(siren24.com), 한국신용평가정보(vno.co.kr), 한국신용정보(nuguya.com) 등 3개 신용평가기관의 홈페이지에 들어가 자신의 주민번호, 공인인증서, 신용카드 중 하나로 본인인증을 한 뒤 주민번호 사용내역을 무료로 확인하면 된다. 확인 결과 주민번호가 유출된 것이 확실하다면 위의 3개 신용정보 사이트에서 제공하는 유료 명의도용 차단 서비스를 이용하는 게 좋다.

▲ 중국 해커들이 국내 웹사이트를 공격하는 것은 개인 정보를 빼내 돈을 벌 수 있기 때문이다. 그들이 한국 웹사이트에서 빼낸 회원들의 개인정보는 국내외 각종 인터넷 게시판에서 건당 10∼2500원의 헐값으로 대량 매매되는 것으로 경찰은 보고 있다.

중국 암시장에 ‘내 정보’ 떠돈다
지난 2005년 온라인 게임인 ‘리니지’의 명의도용 사건은 우리 사회의 개인정보보호 수준이 얼마나 엉망인지 확인시켜준 사건이었다. 기업들은 고객정보 모집에만 혈안이었지, 그것을 관리하는 데는 관심이 없었다. 그 결과 고객 정보를 몰래 빼내어서 돈벌이에 악용하는 사례가 줄을 잇고 있지만, 이에 대해 책임지는 자세는 어디에서도 찾아볼 수가 없었다.‘리니지’를 운영하고 있는 엔씨소프트는 지난해 9월 경찰청에서 5만 6,000여 명의 명의도용 사실을 통보해주기 전까지 명의도용 관련 신고가 꾸준히 접수되고 있음에도 이를 차단하기 위한 기술적 조치를 취하는데 소홀했다. 결국 개인정보보호 노력 미흡으로 ‘명의도용 방조’ 혐의가 인정돼 책임자가 불구속 입건되는 결과를 빚었으며, 집단소송 사태를 맞게 되었다. 이 사건을 계기로 국내에 개인정보보호 문제가 사회적으로 이슈화돼 그 중요성 인식이 높아지고 있지만 현재 우리는 6,000여 개 사이트, 5만여 웹페이지에 90만 명의 주민등록번호가 고스란히 노출돼 있는 것으로 나타났다. 이렇게 노출된 개인정보는 중국 암시장에서 공공연하게 거래되고 있어 IT 선진국을 자부하는 한국이 ‘개인정보 보호 후진국’이라는 오명을 뒤집어써야 했다.
국내 최대의 메일링 서비스를 제공하고 있는 다음(Daum)은 지난 7월 22일 치명적인 ‘로그인 오류’로 43만 명의 개인정보가 유출된 것이 아니냐는 의혹을 사고 있다. 또 국내 최대의 포털사이트인 네이버 역시 7월 9일 한 고등학생의 해킹으로 이틀간 카페 접속이 불가능한 사태가 벌어졌다. 이로 인해 개인정보가 유출됐을 가능성을 배제할 수 없다. 인터넷 상거래 사이트 옥션 역시 지난 2월 ‘중국발(發) 해킹’으로 회원 1,081만 명의 개인정보가 유출되어 큰 파문이 일었다. 하나로텔레콤은 아예 고객정보 8,500만 건을 마케팅 활용을 위해 고의로 흘려 여론의 뭇매를 맞았음은 물론, 방송통신위원회의 중징계를 받았다.고객정보에 대한 업체들의 보안 불감증 심각개인정보 유출 피해는 생각보다 심각하다. 금융거래·쇼핑·급여 등 사생활 내역이 노출될 소지가 크며, 또한 보이스피싱 등 금융사기에 악용될 수도 있다. 더 큰 문제는 유출된 개인정보가 중국 ‘암시장’(Black market)에서 공공연하게 거래되고 있다는 점이다.중국 A커뮤니티 사이트의 경우, 한국 포털사이트의 아이디 및 비밀번호, 개인 은행계좌번호가 주요 매물로 등장한 지 오래다. 또한 게시판 곳곳에 ‘○○ 아이디 팔고 있습니다’ ‘○○ 아이디 및 비밀번호 대량 구매합니다’라는 글이 버젓이 올라와 있을 정도다. 심지어 한국인 개인정보를 ‘사이버 머니’로 매매했을 경우, 이를 현금화해 주는 전문 브로커 조직까지 있는 것으로 알려진다.보안 전문가들에 따르면 한국인 개인정보가 유통되고 있는 중국 암시장은 더욱 확대될 가능성이 크다. 무엇보다 ‘돈벌이’ 수단으로 제격인 한국인들의 개인정보는 곧 ‘돈’이라는 얘기다. 게다가 중국 해커들은 한국인 개인정보를 빼는 데 ‘능수능란’ 하다고 이야기 한다. 한국을 타깃으로 하는 중국 해커들은 통상 2~3명이 조를 이루는데, 여기엔 한국어가 가능한 조선족이 반드시 포함돼 있어서 외국인들에겐 낯선 한글정보까지 낱낱이 분석하기 때문에 국내 보안업체들이 ‘중국발 해킹’을 심각하게 받아들이는 이유도 여기에 있다.보안 전문가 A씨는 “강화된 보안 프로그램을 출시하면 어떻게 방법을 알았는지 곧 중국산(産) ‘업그레이드 형’ 악성코드가 나돈다”고 말하며, 실제 보안업체인 안철수연구소가 집계한 올 1분기 악성코드 피해 건수는 지난해 9월을 기점으로 급증하고 있다.
지난해 9월 1,303건에 불과하던 피해 신고가 10월 4,265건, 11월 6,454건으로 늘어 났으며, 올 1월 한 달 동안에만 8,948건의 피해 신고가 접수됐다. 대부분 중국산 악성코드 때문에 비롯된 피해라는 지적이다. A씨는 “최근엔 V3 같은 안티바이러스 프로그램을 단박에 무너뜨릴 수 있는 중국산 악성코드가 수없이 많을 정도”라고 실토했다.

▲ 방통위 고위 관계자는 “개인 정보 유출사고가 발생할 경우 회사대표에 대해 최고 2년의 징역형에 처하고, 회사에 대해서대규모 과징금을 부과하는 내용의 법 개정을 추진하고 있다”고 말했다.

중국 해커들의 실력 ‘대단해요’
중국 ‘해커’들은 종종 100만 대군으로 묘사된다. 그만큼 해커의 숫자가 많다는 것이다. 중국어로 해커는 ‘헤이커(黑客)’다. 어둠속에 숨어 다른 사람의 정보를 빼오거나 시스템을 파괴한다는 뜻이다. 하지만 최근엔 중국을 상징하는 붉은색을 가미, ‘훙커(紅客)’라고 부른다. ‘사이버 전사’를 자임하고 있는 셈이다. 이 때문인지 중국 해커들은 수시로 해외 국가 홈페이지를 침투하고 있는데, 한국은 이들의 주요 공략대상 가운데 하나다. 2004년 국회, 국방부 등 주요 기관을 해킹한 세력이 바로 중국 해커들이다. 2006년 과학기술부 산하 43개 기관의 보안시스템을 감시하는 한국과학기술정보원 원장 홈페이지를 공략한 장본인도 이들이다. 올 1월 국군은 “제3국(중국) 해커들에 의해 한국군의 군사자료가 빠져나간 정황이 포착됐다”며 ‘해킹주의보’를 발령했다. 이에 앞서 지난해 말에는 국내 시중은행 2곳의 인터넷뱅킹이 중국 해커로 추정되는 세력의 공격을 받아 6,000여만 원의 피해를 보았다.
한국정보보호진흥원은 지난 1월 한 달간 국내에 유입된 해킹 및 유해 트래픽 1,880만 건의 인터넷주소(IP)를 국가별로 분석한 결과 중국이 33.6%로 가장 많았던 것으로 밝혀졌다. 이어 미국(19.4%) 유럽연합(EU·4.9%) 일본(4.8%) 등의 순이었다.
국내 보안업계 전문가들은 “지난해 12월∼올 2월에 금융회사, 정부기관, 인터넷 기업이 차례로 중국 해커들의 공격을 받았다”고 지적했다. 이들은 “중국발 해킹 공격이 쇼핑몰, 포털사이트뿐 아니라 각종 민간 기업 사이트로 확산될 가능성이 매우 높다”고 우려했다. 전문가들은 특히 지난 2월 초 회원이 1,800만 명인 국내 최대 온라인 쇼핑 사이트인 ‘옥션’이 중국 해커의 공격에 속수무책으로 뚫려 버린 초유의 사건에 주목하고 있다. 불특정 다수가 이용하는 온라인 쇼핑 사이트인 옥션이 공격 대상이 된 것은 중국 해커들의 공격이 웹 전반으로 확산되고 있음을 보여 주는 상징적 사건으로 받아들여졌다. 안철수연구소 긴급대응센터(ASEC)의 관계자는 “중국 인터넷의 ‘해킹 암시장’에서는 초보자도 사용할 수 있는 각종 해킹 수단과 해킹 시연 동영상 자료가 널려 있다”며 “중국발 해킹에 경각심을 가져야 한다”고 말했다.
중국 해커들이 국내 웹사이트를 공격하는 것은 개인 정보를 빼내 돈을 벌 수 있기 때문이다. 그들이 한국 웹사이트에서 빼낸 회원들의 개인정보는 국내외 각종 인터넷 게시판에서 건당 10∼2,500원의 헐값으로 대량 매매되는 것으로 경찰은 보고 있다.
온라인게임 사이트도 해킹의 주요 타깃이다. 게임 아이템을 현금으로 바꿔주는 이들 사이트는 지난해 약 1조 5,000억 원 규모로 거래액이 불어났다. ‘먹을 것’이 많다 보니 범죄도 잇따르는 것이다. 지난해 ‘아이템베이’ ‘아이템매니아’와 같은 아이템 현금거래 사이트에서 발생한 해킹 사건이 대표적인 예다. 임종인 고려대 정보경영공학전문대학원장은 “한국인의 개인정보가 돈이 된다는 판단으로 최근 중국발 해킹이 늘고 있다”며 “온라인게임 아이템 거래, 금융사기 등 개인 정보만 있으면 돈을 쉽게 벌 수 있는 구조가 이를 부추기고 있다”고 설명했다.
보안업계는 중국 해커들의 실체를 크게 두 부류로 나눠 파악하고 있다. 해킹을 통한 정보 취득과 그로 인한 금전적 이익을 목적으로 하는 ‘민간’ 해커 집단과 국정(國政)에 유용한 정보 수집을 위해 중국 정부 차원에서 운영하는 ‘부대(部隊)형’ 해커 집단이다. 특히 중국은 1997년 인민해방군 안에 해커부대를 창설하고 전문 교육기관과 훈련 프로그램을 통해 100만 명 이상의 해커를 양성하고 있는 것으로 알려졌다. 국가 간 ‘사이버전(戰)’이 발생할 경우 중국은 상당한 경쟁력을 가질 수 있을 것으로 보안 전문가들은 내다봤다.

▲ 인터넷 상거래 사이트 옥션은 ‘중국발(發) 해킹’으로 회원 1081만 명의 개인정보가 유출되어 큰 파문이 일었다. 하나로텔레콤은 아예 고객정보 8500만 건을 마케팅 활용을 위해 고의로 흘려 여론의 뭇매를 맞았음은 물론, 방송통신위원회의 중징계를 받았다.

줄줄 새는 개인정보, 올 소송액만 수천억
인터넷 상거래와 전자금융 등이 활성화되면서 개인정보 유출로 인한 소송금액은 올해만 수천억원에 달하고 있다. 하지만 국내 기업들이나 개인들은 정보유출로 인한 피해보상 인식이 낮아 대비책이 낙제점 수준을 면치 못하고 있다. 전자거래나 정보유출 등 피해를 보상해주는 보험사의 상품들이 있지만 가입률이 저조해 정부 차원의 활성화 방안도 요구된다.
관련업계에 따르면 산업의 고도화와 지식정보화산업의 급진전으로 정보기술(IT)금융의 영역이 점차 넓어지면서 개인정보 유출에 따른 기업 손실액도 천문학적으로 늘고 있다고 한다. 올 들어 발생한 개인정보 유출건수만 해도 4만 건에 추정되며, 피해액만 수천억 원에 육박하고 있다. 대부분이 고객정보 유출로 인한 피해로 소비자들의 집단소송이 줄을 잇고 있다. 실제 지난 2월 중국발 해킹으로 옥션 가입자의 개인정보가 유출된 것과 관련, 13만명의 가입자가 개인당 100만 원가량의 집단소송을 제기해 소송금액만도 1,300억 원이 넘었다. 또 고객정보를 유출한 하나로텔레콤과 LG텔레콤을 상대로 1만 3,000명이 집단소송을 준비 중이다. 가장 최근 발생한 지난달 22일 다음 한메일의 개인정보 유출과 관련해서 접수된 피해사례는 2주 만에 300건을 돌파했으며, 소비자단체를 통해 피해보상에 대한 문의가 잇따르고 있다. 국민은행의 경우 정보유출 피해자 수백 명에게 개인당 11만 원을 지급했다.
하지만 문제는 높아지고 있는 소비자들의 피해보상에 대한 의식 수준에 반해 중소업체나 개인 운영자들은 피해보상에 대한 인식이 낮은 데 있다. 또 정보유출이나 개인정보를 팔아먹는 사람들의 범죄인식 또한 낮아 재범 우려도 문제다. 그나마 보험상품 특약을 통해 개인신상정보 유출로 인한 피해보상이 가능하지만 가입률이 저조하다. 주로 IT 및 인터넷 업체가 가입대상인 손해보험사의 ‘e-Biz 배상책임보험’에 가입한 기업도 극히 드물다. 가입대상자들이 필요성을 못 느끼는 데다 홍보 부족이 주요인으로 지적된다. 중소업체와 영세한 개인이 주류를 이루다 보니 소규모 전자거래를 하면서 보험 가입 여력이 부족한 것도 이유다. 대기업조차 개인정보 유출에 대한 피해보상 개념이 낮다. 실제 한메일의 경우 LIG손보 ‘e-Biz 배상책임보험’에 가입됐지만 개인신상정보 유출로 인한 피해보상 특약은 가입하지 않은 것으로 드러났다.