[고객정보 유출 ‘일파만파’] 마음만 먹으면 통째로 빼내갈 정도로 인력 관리 ‘허술’

#1. 국내 최고의 보안 전문가인 박모 교수. 얼마 전 그는 혹시나 하는 마음에 구글을 이용해 본인의 개인정보를 검색했다. 결과는 놀라웠다. 그의 아이디와 비밀번호가 러시아 사이트에 공개돼 있던 것. 러시아의 게임 관련 사이트에는 박 교수뿐 아니라 한국 기업명과 담당자 정보 등이 함께 올라와 있어 놀랐다. 해외 사이트가 구글을 활용해 손쉽게 개인정보를 수집했던 것이다.

#2. 얼마 전 미국 캘리포니아 서니베일에 본사를 둔 보안 서비스업체 프루프포인트는 홈페이지를 통해 가전제품이 해킹 공격에 사용된 사례를 공개했다. 네트워크 기능을 갖춘 TV와 냉장고가 지난해 말부터 올해 초까지 전 세계에서 75만건의 피싱·스팸 메일을 보냈다는 게 골자다.

가전제품이 좀비PC 역할을 했다는 얘기다.

이는 국경과 경로를 초월한 개인정보 유출의 실상이다.

개인 정보 유출은 수법은 지능화되고, 규모는 날로 커지는 추세다. 단순한 개인정보 데이터베이스(DB) 유출에서 해킹이나 보이스 피싱, 스미싱, 파밍 등 다양한 경로와 수법이 등장하고 있다. 개인정보 유출 규모도 고작 1000∼2000명 수준에서 무려 1억명 수준까지 확대되고 있다. 온 국민을 넘어 전 세계인이 '개인정보 도둑'의 대상인 셈이다.

개인정보의 내용도 날로 세밀해져 성명, 휴대폰 번호, 직장 전화 번호, 자택 전화 번호, 주민번호, 직장 주소, 자택주소, 직장정보, 주거상황, 이용실적 금액, 결제계좌, 결제일, 신용한도금액, 결혼 여부, 자가용 보유 유무, 신용등급 등을 망라하고 있다.

한마디로 특정인의 신상을 손바닥 들여다보듯 할 수 있어 마음만 먹으면 계좌이체나 대출 등 금융사기도 어렵지 않은 실정이다.

■개인정보보호법 시행 후

개인정보 유출은 반복되는 정부의 뒷북 보안 정책을 비웃듯, 해마다 피해가 커지고 있다.

20일 정보보호업계에 따르면 지난 2005년 엔씨소프트 '리니지2' 회원 정보유출 40만∼50만명 추정을 비롯해 2008년 옥션 회원정보 유출 1860만명, 2010년 25개 사이트(신세계몰과 아이러브스쿨 등) 회원정보 유출 650만명, 2011년 SK커뮤니케이션즈 회원 정보유출 3500만명, 올해 롯데카드·KB국민카드·농협카드 회원정보 유출 1억400만명 등 날로 규모가 커지고 있다. 지난 2011년 개인정보보호법이 시행됐지만 속수무책이긴 마찬가지다. 방송통위원회와 안전행정부에 따르면 개인정보보호법이 시행된 2011년 9월 30일부터 지난해 10월까지 1년9개월 동안 총 2926만2000명의 개인정보가 유출됐다는 신고가 접수됐다. 개인정보보호법은 1만명 이상의 개인정보가 유출된 기관은 안행부와 방송통신위원회에 신고하도록 의무화하고 있다.

유출된 개인정보는 이름, 주소, 직업, 증권번호, 보험료, 종교, 혈액형, 결혼 여부 등 다양하다.

이 같은 개인정보 유출은 새해 들어서도 멈추지 않고 있다. 올해 한국인터넷진흥원 개인정보침해신고센터에 접수된 상담건수는 17만7736건이다. 사상 최대치다. 연도별 같은 기간 개인정보 유출 상담건수는 2010년 5만4832건, 2011년 12만2215건, 2013년 16만6801건 등이다. 신고되지 않은 개인정보 유출 사례는 이 보다 배 이상 많을 것이란 게 전문가들의 분석이다.

■'창'을 못 당하는 '방패'

개인정보 유출은 날로 지능화되고 있다. 개인 정보를 지켜야 할 '방패'가 개인정보를 빼내려는 '창'을 못 따라가고 있는 셈이다.

이번 카드사 개인정보유출처럼 손쉬운 방법이 '사람에 의한 수법'이다. 내부인이나 협력사 직원이 이동식저장장치(USB), CD, 문서 등을 통째로 유출하는 사례가 대다수다. 휴대폰을 이용한 수법도 다양하게 등장하고 있다. 거짓으로 문자를 보낸 뒤 개인정보를 빼내는 스미싱 사기 수법이 대표적이다. 예컨대 "택배가 도착했습니다. 문자 확인하세요"나 "이벤트에 당첨되셨으니, 확인하세요" 등의 문자메시지와 함께 인터넷 주소 링크가 연결돼 있다. 고객이 이 사이트에 연결하는 순간 실행 파일이 실행돼 저장된 모든 전화번호와 문자 메시지, 금융정보 등이 유출된다.

해킹을 통한 개인정보 유출도 성행하고 있다. 해커들은 주로 키 로깅(key logging) 방식을 이용해 일반 사용자들의 계정 정보를 빼내고 있다. 키 로깅 방식은 해커가 일반 사용자 PC나 모바일 기기에 악성코드를 몰래 심어넣은 후 개인정보를 빼내는 수법이다. 심지어 해커들은 PC나 모바일기기에 저장된 금융거래용 공인인증서까지 빼낼 정도다.

극동대 박원형 교수는 "매년 개인정보 유출이 날로 지능화된 신종 수법으로 발생하고 있는데 방패가 창을 못 따라가는 것 같다"며 "금융사 개인정보 유출은 확보된 개인정보를 활용해 2차, 3차 피해가 불가피한 상황"이라고 지적했다.

■허술한 인력관리·솜방망이 처벌

끊이지 않는 개인정보유출의 주요 원인은 '인력관리'라는 게 전문가들의 조언이다.

경찰대 최진혁 교수는 "개인정보를 USB로 빼낸 금융사 개인정보 유출을 비롯해 대부분의 대형 개인정보 사건이 허술한 인력 관리 때문에 발생한다"며 "고가의 보안 시스템을 구축하고도 허술한 내외부 인력 보안을 하지 못해 천문학적인 개인정보가 빠져나가는 현실은 시정돼야 한다"고 주장했다.

개인정보 유출 사범에 대한 솜방망이 처벌도 문제로 지적됐다.

최 교수는 "국내 개인정보 유출 범죄자에 대한 처벌이 너무 미약하다"며 "미국 등 해외의 경우 수천명의 개인정보만 빠져나가도 형사처벌 등 강력한 처벌을 받게 되는데, 우린 1억명의 개인정보가 빠져나가도 안일한 모습을 보이고 있다"고 꼬집었다.

hwyang@fnnews.com 양형욱 기자