중국 암시장에 '내 정보' 떠돈다

개인정보가 인터넷을 통해 줄줄 새고 있다. IT 선진국을 자부하는 한국이 ‘개인정보 보호 후진국’이라는 오명을 뒤집어써야 할 판이다.

다음(Daum)은 지난 7월 22일 치명적인 ‘로그인 오류’로 43만 명의 개인정보가 유출된 게 아니냐는 의혹을 사고 있다.

네이버도 7월 9일 한 고등학생의 해킹으로 이틀간 카페 접속이 불가능한 사태가 벌어졌다. 이로 인해 개인정보가 유출됐을 가능성을 배제할 수 없다.

인터넷 상거래 사이트 옥션 역시 지난 2월 ‘중국발(發) 해킹’으로 회원 1081만 명의 개인정보가 유출, 파문이 일었다. 하나로텔레콤은 아예 고객정보 8500만 건을 마케팅 활용을 위해 고의로 흘려 여론의 뭇매를 맞았음은 물론, 방송통신위원회의 중징계를 받았다.

업체들의 보안 불감증 심각

개인정보 유출 피해는 생각보다 심각하다. 금융거래·쇼핑·급여 등 사생활 내역이 노출될 소지가 크다. 피싱 등 금융사기에 악용될 수도 있다. 더 큰 문제는 유출된 개인정보가 중국 ‘암시장’(Black market)에서 공공연하게 거래되고 있다는 점이다.

중국 A커뮤니티 사이트의 경우, 한국 포털사이트의 아이디 및 비밀번호, 개인 은행계좌번호가 주요 매물로 등장한 지 오래다.

게시판 곳곳에 ‘○○ 아이디 팔고 있습니다’ ‘○○ 아이디 및 비밀번호 대량 구매합니다’라는 글이 버젓이 올라와 있을 정도다. 심지어 한국인 개인정보를 ‘사이버 머니’로 매매했을 경우, 이를 현금화해 주는 전문 브로커 조직까지 있는 것으로 알려진다.

보안 전문가들에 따르면 한국인 개인정보가 유통되고 있는 중국 암시장은 더욱 확대될 가능성이 크다. 무엇보다 ‘돈벌이’ 수단으로 제격이다. 한국인 개인정보가 곧 ‘돈’이라는 얘기다. 게다가 중국 해커들은 한국인 개인정보를 빼는 데 ‘능수능란’하다.

한국을 타깃으로 하는 중국 해커들은 통상 2~3명이 조를 이루는데, 여기엔 한국어가 가능한 조선족이 반드시 포함돼 있다. 그래서 외국인들에겐 낯선 한글정보까지 낱낱이 분석한다. 국내 보안업체들이 ‘중국발 해킹’에 떠는 이유도 여기에 있다.

보안 전문가 A씨는 “강화된 보안 프로그램을 출시하면 어떻게 방법을 알았는지 곧 중국산(産) ‘업그레이드 형’ 악성코드가 나돈다”고 말했다. 실제 보안업체인 안철수연구소가 집계한 올 1분기 악성코드 피해 건수는 지난해 9월을 기점으로 급증하고 있다.

지난해 9월 1303건에 불과하던 피해 신고가 10월 4265건, 11월 6454건으로 늘어나고 있는 것. 올 1월 한 달 동안에만 8948건의 피해 신고가 접수됐다. 대부분 중국산 악성코드 때문에 비롯된 피해라는 지적이다.

A씨는 “최근엔 V3 같은 안티바이러스 프로그램을 단박에 무너뜨릴 수 있는 중국산 악성코드가 수없이 많을 정도”라고 실토했다. 방송통신위원회는 지난 7월 22일 ‘인터넷 개인정보 보호 종합대책’을 발표했다.

▶주민등록번호·운전면허번호 등 고유 개인정보 수집·저장·유통 제한 ▶주민번호 대체수단인 아이핀(I-PIN) 제도 도입 ▶주민번호, 은행 계좌번호 등 주요 정보는 반드시 암호화 등이 골자다.

이 가운데 핵심은 ‘아이핀’ 제도의 도입이다. ‘아이핀’은 인터넷 개인 식별번호로, 주민번호의 대체 수단이다. 이를 통해 혹여 해킹을 당해도 중요한 개인정보 유출은 막을 수 있다는 게 방송통신위의 계산이다.

하지만 이는 현실을 무시한 ‘미봉책’에 불과하다는 지적이다. 인터넷 서비스 업체들은 전자상거래법에 따라 이용자의 주민번호와 이름 등 주요 정보를 3년간 저장해야 한다.

아이핀 도입과 무관하게 해킹 당하면 주민번호가 유출될 수밖에 없는 구조라는 것이다. 아이핀을 둘러싸고 ‘실효성 논란’이 제기되는 것도 이 때문이다. 쉽게 말해 아이핀을 도입해도 개인정보 유출은 막을 수 없을 것이라는 지적이다.

보안업계 관계자는 “아이핀이 사용되면 기존 주민번호는 더욱 비싼 값에 음성적으로 거래될 수 있다”며 “궁극적으로 주민번호를 어떻게 보호하고 관리하느냐에 초점을 맞춘 정책이 마련돼야 한다”고 지적했다.

그는 또 “아이핀 도입을 일방적으로 강제하기 이전에 행정안전부, 금융감독원 등 유관부처의 협의가 우선돼야 한다”며 “그렇지 않으면 방통위의 대책은 효과를 보지 못할 것”이라고 강조했다.

그렇다면 개인정보 유출을 방지할 수 있는 근본 대책은 무엇일까. 해커 출신 B씨는 “해킹을 사전에 막을 수 있다는 생각부터 버려야 한다”고 경고했다. 보안 대책 및 프로그램이 ‘뛰는 자’라면 해커들은 ‘날고 있는 자’라는 의미다.

B씨는 “옥션의 경우 개인정보를 암호화해 놓지 않았기 때문에 해커의 공격을 받자마자 개인정보가 유출된 것”이라며 “개인정보 암호화, 웹사이트의 보안코딩 등 필요한 보안작업을 게을리해서는 안 된다”고 말했다.

보안 전문가들의 의견도 대동소이하다. 황재훈 ㈜하우리 주임연구원은 “해킹을 완벽하게 차단하는 것은 사실상 불가능하기 때문에 웹사이트를 보유하고 있는 대형 쇼핑몰 또는 포털의 경우 보안장비 구축, 방화벽 설치 등 기본에 충실해야 한다”고 조언했다.

실제 웹사이트의 ‘보안코딩’은 필수다. 웹페이지를 개설할 때 인터넷 침해 사고 대응지원센터의 ‘웹 보안 4종 가이드’에 따라 구축해야 한다. 이를 무시하면 웹페이지의 취약점(hole)이 그만큼 많아지고, 해커들이 침투할 수 있는 공간이 넓어질 수밖에 없다.

정보보호를 위한 예산을 확대해야 한다는 지적도 나온다. 우리나라의 정보보호 투자예산은 1478억원으로, 정부 IT예산의 4%에 그치고 있다. 무엇보다 중요한 것은 철저한 보안의식의 확립이라는 의견 또한 제기되고 있다.

보안업계 관계자는 “지금껏 업체들이 관리 소홀 또는 고의로 고객 정보를 유출하고도 어물쩍 넘어가는 관행이 많았다”며 “이 같은 허술한 보안의식을 바로잡아야 개인정보 유출을 막을 수 있다”고 강조했다.

박근우 안철수연구소 팀장은 “정보보호는 제품을 설치하는 것으로 끝나는 게 절대 아니다”며 “정부, 기업, 개인 등 각 사회 주체가 역할에 맞는 정보보호에 대한 책임을 인식하고, 지속적으로 실천하는 노력이 필요하다”고 말했다. 박 팀장은 또 “그래야만 진정한 IT강국 면모를 갖출 수 있다”고 강조했다.

이윤찬 기자

매거진 기사 더 많이 보기