경고등 켜진 개인정보
# 지난해 초, 생계형 해커가 중국 경찰에 붙잡혔다. 처음엔 게임 아이템을 강화하기 위해 초보적인 해킹을 했다. 하지만 개인정보를 팔면 돈이 된다는 걸 알게 된 후부터 기업 사이트를 마구잡이로 해킹해 사용자 계정을 팔아넘겼다. 이렇게 판매한 개인정보는 보이스피싱(전화통화 사기)ㆍ스미싱(문자메시지 사기)ㆍ파밍(유사 홈페이지를 이용한 사기) 등 각종 범죄에 이용됐다. 이 해커는 기업 홈페이지를 해킹하고 협박해 돈을 뜯어내는 일까지 일삼다 경찰에 덜미가 잡혔다.
# 4년여 전 ‘교주’라 불리는 중국인 해커는 대만ㆍ미국ㆍ한국의 게임 사이트들을 해킹한 후 사이버 재산을 가로채 판매하는 수법으로 36억여원의 돈을 벌었다. ‘의뢰인’이 ‘중개인’에게 일을 넘기면 중개인은 ‘교주’와 같은 해커들을 고용해 정보를 빼냈다. 거래는 위조된 신분증으로 개설한 계좌를 통해 이뤄졌다. 이 해커는 “이미 2011년에 약 4000만명에 달하는 한국인 개인정보를 갖고 있었다”고 말했다. 현재 인구가 4900만여명이라는 걸 감안하면 거의 모든 한국인 개인정보가 털린 셈이다.
국내의 한 해커는 “어떻게 이런 것들이 합법적으로 발간되고 있는지 이해할 수 없다”며 “중국이 인터넷 정보보호에 관한 정책을 조금씩 강화하면서 음성화되고 있긴 하지만 보안시스템이 알려질 대로 알려진 상황에서 큰 의미가 있을지는 의문”이라고 말했다. 중국의 해킹 관련 소식에 정통한 보안전문가 K씨는 “중국엔 돈만 주면 뭐든 빼내 주겠다는 해커들이 넘쳐난다”고 귀띔했다. 중국이 ‘해킹의 나라’로 불리는 이유가 여기에 있다.
글로벌 IT기업 아카마이(Akamai)가 국가별 사이버 공격 진원지를 분석한 결과, 해킹이 가장 많이 일어나는 곳은 중국이었다. 아카마이의 분석에 따르면 중국에서 시작된 사이버 공격 트래픽은 2012년 1ㆍ2분기엔 16%, 3분기엔 33%, 4분기엔 41%로 증가했다. 안랩 관계자는 “트래픽에는 다른 국가의 공격자들이 중국의 취약한 시스템을 활용해 공격하는 경우도 포함돼 있어 트래픽만으로 중국에서 가장 많은 해킹이 일어난다고 단정 지을 수는 없다”면서도 “하지만 평균적으로 중국의 해킹활동은 점차 증가하는 상황”이라고 밝혔다. 개인정보가 거래되는 중국의 블랙마켓이 손을 댈 수 없을 만큼 커진 이유도 ‘해킹’과 무관치 않다.
국내 컴퓨터 보안전문가들은 “중국 블랙마켓이 커지는 동안 개인정보 대부분이 빠져 나갔다고 봐도 무방하다”고 입을 모은다. 앞서 말한 중국인 해커 ‘교주’가 이미 3년 전에 4000만명의 개인정보를 손에 넣었다는 것만 봐도 그렇다.
주민번호 체계 변경은 필수
강기정 민주당 의원도 1월 26일 보도자료를 통해 “금융감독원 등에 확인한 바에 따르면 2009년부터 현재까지 금융사와 기업, 공공기관에서 1억9283만건의 개인정보가 유출됐다”고 밝혔다. 이미 공개된 유출건만 해도 어마어마하다.
국내 보안전문가들이 이번 카드사 개인정보 유출을 그리 심각한 사건으로 보지 않는 건 이 때문이다. 개인정보가 빠져나갈 만큼 빠져나갔다고 보고 있다는 거다. 오랫동안 해커로 활동한 L씨는 “USB메모리를 통한 정보 유출은 적발되면 어떤 정보를 얼마나 유출했는지 짐작을 할 수 있지만 해킹은 당한 사람도 잘 모르고, 당한 걸 알았다 하더라도 쉬쉬하기 때문에 짐작조차 하기 어렵다”며 “더구나 국내 대기업이나 대형 언론사, 대형 인터넷 쇼핑몰 등은 거의 다 뚫린 것으로 알고 있지만 그런 사실은 전혀 알려져 있지 않다”고 말했다.
이런 상황에서 카드사 CEO들이 개인정보 유출에 대한 책임을 지고 옷을 벗는 건 미봉책에 불과하다는 게 보안전문가들의 조언이다. 그들은 “해킹을 막을 수 있다는 생각부터 버려야 한다”고 주장했다. 수많은 개인정보가 빠져 나갔다는 점, 이 개인정보가 조합되면 큰 피해를 줄 수 있다는 점을 염두에 두고, 대책을 마련해야 한다는 거다.
컴퓨터 보안전문가들과 시민단체는 주민번호를 폐기하고 이를 대체할 수 있는 시스템을 구축해야 한다고 입을 모은다. 권석철 큐브피아 대표는 “너무 많은 정보가 주민번호와 연동돼 있다”며 “개인정보가 분산될 수 있도록 신분확인 시스템을 다양화해야 한다”고 주장했다. 의료나 교육과 관련한 본인 확인은 별도로 부여된 사회보장번호, 행정업무에 관한 건 새로운 주민번호, 결제에 관한 건 아이핀을 이용하는 식이다.
참여연대 역시 “고유 목적에 맞는 별도의 식별체계를 사용하고, 주민행정 목적으로 사용하는 주민번호는 재발급이 가능한 무작위 일련번호로 대체돼야 한다”는 입장을 밝혔다. 주민번호 시스템 개선은 실제 해커들이 ‘반드시 필요한 부분’이라고 지적한 사항이다.
국민 의식수준도 올라가야
경실련과 참여연대에서는 개인정보가 유출됐을 경우엔 집단소송을 할 수 있도록 해야 한다는 주장도 내놓고 있다. 여기엔 개인정보가 유출됐을 때 처벌수위를 높여야 한다는 의도가 깔려 있다. 보안전문가들도 “사실 기업이 보안시스템 구축비용을 단순히 비용으로만 생각하고 있어 문제”라면서 “스스로 투자할 마음이 없다면 집단소송제를 통해서라도 투자하도록 만들어야 한다”고 말했다. 다만 일부 전문가들은 “현행법에 따르면 개인이 PC를 잘못 관리해서 금융사고가 터져도 금융사가 배상을 해준다”며 “이 부분에 대해선 명확한 기준을 둬서 구분 지을 필요가 있다”고 조언했다.
더 중요한 건 이런 주장들이 새로운 게 아니라는 거다. 이전부터 줄기차게 주장된 것들이지만 관심 밖에 있었고, 이번 카드사의 개인정보 유출을 계기로 다시 화제가 되고 있을 뿐이다. 취재 중 만난 한 해커는 “아무리 좋은 시스템을 갖춰도 개인이 허술하면 백약이 무효”라며 이렇게 설명했다. “미국의 한 카드회사는 약 1억개의 개인정보가 유출되자마자 카드를 전부 정지시키고, 카드를 재발급했다. 고객의 불만이 상당했을 것 같지만 그렇지 않았다. 카드회사에서 ‘당신의 소중한 정보를 지키기 위해서다’는 한 마디에 모든 불편을 감수한 것이다. 우리나라에서는 꿈도 못 꾸는 일이다. 국민 의식의 변화가 필요하다.”
김정덕 더스쿠프 기자 juckys@thescoop.co.kr
김정덕 기자
juckys@thescoop.co.kr
개의 댓글
댓글 정렬
BEST댓글
BEST 댓글
답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.