인더뉴스 이종현 기자ㅣ올해 유독 개인정보 유출과 관련된 사건·사고들이 연이어 발생하면서 개인정보 보안 심각성에 대한 우려의 목소리가 점차 커지고 있습니다.
지난 4월 SK텔레콤 유심 정보 유출 사고, 8월 KT 무단 소액결제 침해 사고 등 국내 주요 이동 통신사 두 곳에서 연달아 개인정보 유출 사태가 일어난 데 이어 최근에는 국내 이커머스 업계 1위인 쿠팡에서 회원 3370만명의 계정 정보가 외부로 무단 유출되는 일이 벌어졌습니다.
SKT 유심 유출 사고의 경우 2696만건의 유심 정보가, KT는 368명의 무단 소액결제 피해와 2만2227명의 IMEI, IMSI, 전화번호 등이 유출됐습니다. 이번 쿠팡 계정 정보 유출의 경우 이름, 이메일 주소, 배송지 주소록(입력하신 이름, 전화번호, 주소), 일부 주문정보 등이 유출 정보에 포함된 것으로 알려졌습니다.
쿠팡은 지난 29일 “어떠한 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았고 안전하게 보호되고 있다”라며 민감한 개인정보가 유출되지 않았음을 강조했습니다.
사실상 '공공재' 취급받는 개인정보…10년 간 개인정보 3억건 유출
“이미 제 개인정보는 다 퍼지지 않았을까요?”
최근 들어 발생하고 있는 대규모 개인정보 유출 사태에 대해 질문하면 이와 같은 답변을 종종 듣게 됩니다.
2011년 SK커뮤니케이션즈 개인정보 유출, 2014년 신용카드사 개인정보 유출사건으로 각각 3500만건, 1억400만여건의 개인정보가 유출되는 대형 유출 사고 이후로 국내에서는 꾸준히 크고 작은 개인정보 유출 사고가 일어나고 있습니다.
실제로 업계에 따르면 지난 10년간 국내에서 유출된 개인정보는 3억건이 넘을 것으로 추산됩니다. 대한민국 국민을 5000만명으로 잡고 계산해 보면 중복을 제외하고도 인당 6번 정도 개인정보가 유출된 셈입니다.
이에 대해 통신사, 금융 고객들이 가장 크게 불편을 느끼는 부분은 보이스피싱이나 문자 사기 등 스미싱 범죄입니다. 서울에 거주하는 직장인 A 씨는 “업무용으로 새로 개통한 휴대전화라도 몇 달 이용하다 보면 보이스피싱 전화나 불쾌한 문자를 받게 된다”라며 “내 개인정보가 범죄 단체에서 공공재처럼 사용하고 있다는 생각이 들면서도 딱히 할 수 있는 게 없다”라고 말하기도 했습니다.
유출되는 개인정보의 종류도 주민등록번호, 전화번호 등 기본적인 개인정보부터 공인인증서, 결제계좌, 카드번호는 물론 유심 정보, 주문 내역, 이메일, 주소까지 다양합니다. 카드, 금융, 통신사 등 유출되는 플랫폼과 루트 또한 지난 10년간 늘어나고 있습니다.
고도화되는 유출 방식과 범죄…개인 대응 어려워
문제는 기술의 발전에 따라 개인정보가 가지는 중요도와 활용처도 늘어난다는 것입니다.
실제로 이번 쿠팡 개인정보 유출 사고의 경우 결제 정보, 신용카드 번호, 로그인 정보 등 주요 개인정보들은 유출되지 않았어도 이름, 주소, 전화번호, 주문 내역 등의 정보들 또한 직·간접적으로 범죄에 활용될 수 있다고 전문가들은 경고합니다.
휴대전화는 스마트폰의 보급으로 카카오톡, 패스(PASS) 등 인증의 용도로도 활용할 수 있는 앱들이 대부분 설치되어 있어 주문 내역 등을 바탕으로 '최근 주문한 상품에 대한 안내'라는 명목으로 의심을 사지 않고 접근할 가능성도 배제할 수 없는 것입니다.
유출 방식도 점점 고도화되고 있습니다. KT 무단 소액결제 침해 사고의 경우 불법 초소형 기지국을 악용해 범죄를 저지른 것으로 당시 경찰은 이를 새로운 유형의 범죄로 판단하고 수사를 진행하기도 했습니다.
과거에는 빼돌린 개인정보를 다크웹 등 음지에서 판매하는 용도로 사용하는 정도였으나 주문 내역, 주소 등 개인정보를 활용해 스미싱 등의 범죄에 활용하고 나아가 국가 간 해킹전으로까지 이어지고 있습니다.
SKT 유심 정보 유출 사고의 경우 중국 해커 집단 레드 멘션이 주로 이용하는 BPF도어가 조사 과정에서 발견되며 중국 해커 집단의 소행으로 정치적 목적의 해킹이 아니냐는 가능성이 제기되기도 했습니다.
즉, 유출을 막아야 할 개인정보와 플랫폼도 늘어나고 있지만 유출 방식 또한 다양해지면서 소비자 입장에서는 개인 차원의 대비가 점점 어려워지고 있는 상황입니다.
유심 교체하고 비밀번호 바꾸고…후속 조치는 피해자 몫
이러한 개인정보 유출 사고가 일어났을 때 피해자들은 후속 조치에 골머리를 앓습니다. 서울 내 한 대학교에 재학 중인 대학생 B 씨는 “개인정보가 유출되었다는 소식을 들으면 번거로워도 불안하기 때문에 비밀번호를 바꾸거나 심할 경우 회원 탈퇴 등까지 진행하는 경우가 있다”라고 말했습니다.
SKT와 KT의 경우 사고 발생 이후 전 가입자를 대상으로 유심 무료 교체라는 후속 조치를 취했지만 유심 수량 부족과 매장 대기 등 문제로 가입자들은 불편을 겪었으며 2014년 신용카드사 개인정보 유출 당시 피해자들은 주민등록번호를 변경해 달라는 소송까지 진행하기도 했습니다.
기업의 늦은 대응에 대한 불만의 목소리도 나오고 있습니다. SKT는 해킹 사실을 인지하고도 늑장 신고를 했다는 의혹과 함께 사과와 보상안도 늦었다는 비판을 받았습니다.
쿠팡은 11월6일 오후 6시 38분에 계정 정보에 대한 무단 접근이 발생했다고 한국인터넷진흥원(KISA)에 보고했으나 침해 사실을 인지한 시점은 12일이 지난 18일 오후 10시 52분으로 기록돼 있습니다.
이에 쿠팡이 개인정보 유출이 발생했음에도 열흘이 넘는 시간 동안 이를 파악하지 못한 것이 아니냐는 비판도 나오고 있습니다.
한 보안 업계 전문가는 “개인정보가 유출되면 기업이 아무리 대응한다 해도 결국 피해는 가입자들이 입게 된다”라며 “주요 개인정보가 유출되지 않아 문제가 없다고 해도 가입자들 입장에서는 불안에 떨 수밖에 없는 게 현실”이라고 짚었습니다.
