A씨는 지난해 인터넷을 통해 우연히 알게 된 중국 브로커에게 건당 10원에 개인정보를 판다는 제안을 받았다. A씨가 지난해 2월부터 8월까지 사들인 개인정보는 약 70만건. A씨는 이렇게 사들인 개인정보를 건당 5원~60원씩 모두 5000만원에 되팔았다. A씨에게서 불법적으로 개인정보를 사들인 구매자들은 이를 대출업무에 사용하는 등 부당한 목적에 사용했다.
구치소에서 알게 된 B씨와 C씨는 인터넷을 통해 나돌던 성명과 주민번호, 아이디, 패스워드, 전화번호가 담긴 개인정보를 판매하다 올해 초 경찰에 적발됐다. 이들은 ‘DB판매와 디도스 공격 대행’ 광고를 인터넷에 올리고 연락해온 구매자들에게 42회에 걸쳐 총 3000만원 어치를 판매한 혐의를 받고 있다.
개인정보를 불법적으로 사고 파는 일이 자꾸 발생하는 것은 국내 인터넷 사용자들의 개인정보가 국내는 물론 해외에 대부분 노출됐기 때문이다. 해커들은 상당수 국민들의 이름과 주민번호, 특정 사이트의 아이디와 패스워드, 전화번호를 한묶음으로 수집, 인터넷을 통해 공공연히 거래하고 있는 것이다.
8일 경찰청 사이버테러대응센터에 따르면 개인정보 유출 규모가 갈수록 대형화하고 있다. 지난해 7월 발생한 SK컴즈 해킹사건의 경우 3500만명, 11월 발생한 넥슨은 1320만명의 개인정보가 유출되면서 국민 대다수의 개인정보가 노출됐다는 지적이 나오고 있다.
김광수 방송통신위원회 개인정보보호윤리과장은 이달 5일 열린 '주민번호 수집 및 이용제한 정책'토론회에서 "중국과 캄보디아, 심지어 동구권에서 우리나라 인터넷을 사용하는 거의 모든 남녀노소의 개인정보가 하나의 패키지화해 유통되고 있을 정도로 개인정보 유출의 심각성이 크다"고 지적했다.
◆ 거의 전국민 개인정보 유출…1건당 5원~500원 유통
D씨는 지난해 중국 지린성 옌지의 중국 해커들에게 200만원을 주고 국내 신용정보 사이트를 해킹한 뒤 개인 신용정보 2만 여건을 빼돌린 혐의로 경찰에 구속됐다. D씨가 빼돌린 정보는 주민번호, 이름, 신용 정보 등 개인 신원과 밀접한 정보를 총망라했다. D씨는 이렇게 확보한 개인정보를 국내 대출 중계업체와 대출상담사에게 건당 100~500원에 판매해 1000만원 상당의 이득을 취한 것으로 경찰 조사 결과 드러났다.
한국이 손쉽게 개인정보를 손에 넣을 수 있는 국가로 알려지면서 해커들의 표적이 되고 있다. 해커들의 먹잇감이 되기 좋은 개인정보가 수두룩하기 때문이다.
빼돌린 개인정보는 통상 건당 5원~500원에 거래되는데 100만명 회원을 운영하는 사이트를 잘 털면 최대 5억원까지 수익을 얻을 수 있다. 개인정보 유통이 해외 해커들 사이에서 돈이 되는 사업이 되버린 셈이다.
불법 거래되는 개인정보 상당수는 상대적으로 보안이 취약한 소규모 쇼핑몰이나 강의사이트, 콘도 예약사이트, 개인대개인(P2P)사이트, 도박 사이트에서 유출된 것이 대부분이다. 대다수 사용자들이 대형포털과 사이트에서 동일한 사이트 아이디와 패스워드를 사용하고 있어 2차로 유출되는 경우가 많다.
문제는 개인정보가 단순 거래에 끝나지 않고 2차 피해로 이어진다는 것이다. 불법 거래한 대출 정보를 이용해 인터넷 대출을 빙자한 선이자와 선금을 요구하거나 본인 자신도 모르게 대출을 받는 2차 피해로 이어진다고 경찰청 사이버테러대응센터 관계자는 말했다.
◆ 주민번호 생성기도 유통…주민번호 유출 위협 여전히 높아
8월부터 개정 정보통신망법이 시행되면 올해부터 일일방문자수 1만명 이상의 웹사이트는 주민번호 수집과 이용이 엄격히 제한된다.
하지만 여전히 개인정보 유출 가능성은 상존한다. 서비스를 가입하는 과정에서 제휴사나 수탁회사에 개인정보를 열람하도록 하는 경우가 여전히 많기 때문이다.
실제 SK텔레콤의 경우 서비스 품질 제고라는 목적으로 80개가 넘는 다른 은행과 신용회사 등 기업과 기관에 주요 개인정보를 목적에 따라 제공한다. 서비스에 따라 제공하는 정보는 일부 차이가 있지만 성명과 주민번호, 전화번호, 은행계좌번호, 카드번호, 예금주, 카드유효기간 등 주요 개인정보를 총망라한다. 여기에 서비스를 위탁한 외부 전문업체까지 포함하면 약 1600곳이 넘는 기업에 개인정보를 공유하고 있다. KT나 LG유플러스 역시 이와 사정은 마찬가지다.
네이버나 롯데닷컴 등 주요포털과 쇼핑몰 역시 10개 안팎의 자회사나 외부 위탁업체에 개인정보를 제공하고 있다. 이통사와 포털, 쇼핑몰들이 개인정보를 공유하는 곳은 자회사나 신용회사, 은행, 정부 기관, 휴대전화 대리점 업체 등 다양하다.
대부분 소비자들이 가입 과정에서 동의 절차를 밟고는 있지만 개인정보를 제공받는 기업 가운데는 보안 관리가 허술한 기업이 많아 개인정보 유출 가능성이 많다.
게다가 새로 업체가 추가되고 빠진다는 사실을 개인정보 취급방침 변경을 통해 알리고는 있지만 정작 업체가 포함됐는지 알기 어렵다. 통신사들의 경우 행정안전부와 방송통신위원회 등 정부기관에 개인정보를 제공하고 있다는 사실도 알려지는 경우가 드물다.
인터넷 발달과 함께 주민등록번호의 생성원리가 널리 알려진 것도 문제로 지적된다. 주민등록법에 따르면 주민등록 생성방법을 공개할 경우 처벌할 수 있지만 거의 사문화된 상태나 다름없다. 단속에도 불구하고 주민등록 생성기 프로그램의 뼈대를 이루는 주민등록번호 생성원칙 역시 구하기 어렵지 않다. 구글이나 네이버에는 '주민등록번호 생성' '주민번호 생성공식' 등을 제목으로 하는 내용의 생성방법이 지금도 버젓이 공개돼 있다. 해외 사이트에서도 'Korea SSN(Social Security Number) Generator'와 같은 이름의 한국 주민번호 생성기가 유통되고 있는 것으로 확인됐다.
이에 대해 김광수 방통위 과장은 "주민 번호의 유출과 불법 유통을 완전히 차단하기 위해 2014년까지 인터넷을 통한 주민번호 수집을 완전 중단할 계획"이라고 말했다.