​

▲유출되는 내 개인 정보, 어디에서 어떻게 거래될까​

모순(矛盾), <한비자> 난세 편에 소개된 고사로, 세상의 모든 방패를 뚫을 수 있는 창과 세상의 모든 창을 막을 수 있는 방패에 관한 이야기다. 약 2천여 년 전 고사가 ‘고사’가 된 이유는 지금도 이런 일들이 벌어지기 때문이다.

온라인 시대에는 내가 나임을 증명하기 위해 내 개인 정보를 온라인에 입력해야 한다. 자고로 무엇이든 입력할 게 많고 검증하는 것이 많으면 화가 난다. 그래서 수많은 인증 절차에 짜증을 내고 무엇에 동의하는지도 모른 채 수많은 사이트와 어플 접속에 편리하도록 동일한 아이디와 비밀번호를 사용한다. 그리고 내 개인 정보는 유출된다. 그래서 화가 난다.

내 부주의 탓인지, 경계 의존적인 제도의 한계인지, 당국과 장사꾼들의 안일함 때문인지는 모르겠으나 내 개인 정보는 오래전부터, 다양하게, 지금까지 유출되고 있다. 도대체 어떻게, 어디로 가는 것일까?

개인 정보란 무엇일까

대한민국 국민의 안전을 위해 열심히 일하는 행정안전부에 따르면, 개인 정보란 살아 있는, 개인에 관한, 정보로서, 개인을 알아볼 수 있는 정보다. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도, 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다.

세부적으로 살펴보면 주민등록번호나 내 모습이 담긴 영상, 지문 등이 이에 해당된다. 여기에 더해 이름, 전화번호, 주소 등은 그 서로 조합되는 순간 개인 고유정보가 식별되기 때문에 이 역시 개인 정보라고 본다.

​

▲​국민의 소중한 개인 정보를 지켜주는 곳이 있어 든든하다

모름지기 공무원은 제도를 만들고 그 제도라는 것은 경계를 긋고 분류를 함으로 존재하기 때문에 개인 정보는 6가지 범주로 분류된다. 앞서 언급한 주민등록번호, 이름, 주소 등은 ‘일반적 정보’이며, 통화이력, IP 주소 및 위치정보 등은 ‘통신, 위치 정보’로 분류된다. 여기에 개인의 교육 및 근로, 자격 등의 정보는 ‘사회적 정보’라는 멋진 이름으로 나뉘며, 기호와 성향, 신념과 사상 등은 ‘정신적 정보’가 되고, 신체정보와 의료 및 건강 상태 등은 ‘신체적 정보’로 구분된다. 그리고 개인 신용 정보와 재산 보유, 주식거래 등의 정보는 ‘재산적 정보’가 된다.

내 개인 정보를 어떻게 보호할 수 있는지, 개인 정보 유출 이후 대처방안은 무엇인지, 어디에 어떻게 그 책임을 요구할 수 있는지 등에 대해서는 행정안전부의 ‘개인 정보 종합포털’에서 찾아볼 수 있다. 물론 목차와 규정의 경계를 잘 구분할 수 있다면 말이다.

​

▲​개인 정보 종합포털을 활용하면 대처 방안을 알 수 있다.

개인 정보는 어떻게 유출될까

​

▲​해킹하는 과정도 참 수고가 많다

해커나 IP 같은 무시무시한 단어를 굳이 언급하기도 전에 개인 정보는 ‘무식하게’ 유출된다. 행정안전부 사례를 보면, 개인 자가용 트렁크에 고객 정보 10만여 건이 담긴 서류뭉치를 싣고 다닌 공단 직원을 만날 수 있다. 그리고 단순 상품 안내 이메일을 전송하면서 귀신에 홀린 듯 전혀 상관없는 개인 정보 리스트 파일을 첨부하는 은행원도 있다. 여기에 민원인 수백 명의 개인 정보를 보도자료에 담아 친절하게 홈페이지에 공개한 공무원까지, 어쩌면 안타까운 유출 사례가 많다.

하지만 역시 개인 정보 유출의 백미는 해킹과 기만이다. 먼저 개인 정보 해킹의 전설적 사례는 2011년 7월, 포털사이트 네이트의 고객 정보 3,500여만 건 유출 사태다. 회사 직원 컴퓨터에서 자동으로 업데이트되는 백신 프로그램에 악성코드를 심어 침투시킨 후, 그 컴퓨터를 통해 회사 내부 데이터에 접근하여 통째로 자루에 담아 실어 나른 케이스다.

​

▲​홈플러스, 개인정보 유출로 사과를 했었다 (사진 : MBC뉴스)

고객을 기만하는 방법으로 개인 정보를 유출한 사례의 고전으로는 홈플러스 이야기가 자리 잡고 있다. 홈플러스는 2011년부터 2014년까지 진행된 경품행사에서 1mm 정도 되는 개인 정보 수집 동의 문구를 근거로 경품에 현혹된 소비자들의 개인 정보를 마구잡이로 거둬들였다. 이후 재판의 쟁점은 ‘지금 장난하냐’라는 것이었다. 누가 보아도 소비자를 기만한 개인 정보 수집 동의인데 법과 제도 덕분에 그나마 쟁점이라는 것을 만들었다는 것이 한편으론 씁쓸하다.

유출된 개인 정보는 어떻게 거래될까

​

▲​그냥 판매한 건 아니고, 국내 한 오디션 프로그램의 투표권 행사를 위한 계정을 판다는 것이었다

1mm 글자 크기로 소비자를 기만했던 홈플러스 임직원은 그렇게 수집한 개인 정보 약 712만 건을 건당 1,980원씩 7개 보험회사에 팔았다. 사건 재판에서 판결된 배상금의 부담 책임에 대해서는 그 개인 정보를 사들인 보험회사 2곳도 자유롭지 못했다. 번영의 상징인 대형마트 한복판에서, 기만적으로 수집된 개인 정보를, 국가 경제발전의 수호신인 대기업 임원들이, 대낮에 맞춤정장을 입고, 돈을 주고 거래했다. 덕분에 대낮에 법원에서 판결할 수 있었다.

문제는 온라인이다. 지난 8월 22일, 중국 IT 굴기의 선두주자 타오바오 사이트에서 우리나라 개인의 개인 정보가 판매된 현장이 국내 한 언론사에 의해 대서특필되었다. 관련 당국도 인지하지 못했던 사태였다. 판매 물품은 우리나라 온라인쇼핑을 이끄는 G마켓의 계정 약 1천만 개였다.

얼마나 정확한 것인지, 어떤 사람의 것인지, 어떻게 유출된 것인지 정확히 파악되지 않았다. 판매된 계정 하나의 가격은 10위안, 우리 돈으로 1,600원 정도였다고 한다. 판매자의 위치는 중국 길림성 연변 조선족 자치주였던 것으로 파악됐다. 이 판매는 23일 삭제되었다.

개인 정보 거래가 타오바오까지 진출하기까지 이전의 수많은 ‘블랙마켓’에서는 이미 활발한 개인 정보 거래가 이뤄지고 있었다. 국내 온라인 보안 기업 NSHC가 지난해 3월께 파악한 바에 따르면 ‘딥웹(Deep Web)의 ‘블랙마켓’에서 국내 시중은행 신용카드 정보가 장당 2만 원대에 거래되고 있는 것으로 나타났다.

판매 대상은 약 4,000개의 국내 신용카드 정보였다. 소유 주명과 주소, 이메일과 전화번호, 카드번호와 유효기간 등 핵심 정보가 그대로 유출된 상태였다. 구매 후 일정 기간 안에 사용이 불가능해지면 환불까지 해준다.

​

▲​어디선가 누군가 쓸어 담고 있다는 뜻이다

딥웹은 일반 포털사이트에서 검색되지 않는 비밀 인터넷 웹이라는 것인데, 이 회사가 파악한 실태만 해도 딥웹에 약 15,000개의 불법 사이트가 존재하고 월 20만 건 정도의 불법적 접속이 이뤄지고 있다. 얼마나 많은 개인 정보가 팔려 다니고 있을지 짐작조차 가지 않는다.

우리나라의 개인 정보뿐만 아니라 일본인들의 개인 정보도 블랙마켓에서 거래되고 있는 정황이 포착된다. 지난해 12월경 확인된 개인 정보 불법거래 실태를 보면 한 개의 DB 파일이 약 17만 원에 거래되고 있었는데 한 개의 DB에는 100만 건의 개인 정보가 들어있었다고 한다.

이 판매에서 문제가 되는 것은 개인 정보 1건 당 1달러에도 미치지 못하는 단가에 있다. 판매 단가라는 것은 원가 대비 책정되는 것이고 원가는 그 판매를 하기 위해 투입된 모든 노력의 총량이다. 그런데 판매단가가 턱없이 낮다면 원가도 충분히 낮아야 하는 것인데, 도대체 개인 정보 불법 수집에 필요한 원가가 얼마나 낮으면 이 가격에 개인 정보를 판매하냐는 것이다.

​

▲​불법 사이트에서 유출되고 있는 공무원들 이메일주소

범죄와 4차 산업혁명

​

▲​금융위원회 블로그에서 그 세부 내용을 확인할 수 있다

앞서 언급한 홈플러스 사례에서 개인 정보를 사들인 보험회사들의 구매 목적은 고객 모집이었다. 모름지기, 장사를 하는 사람의 가장 큰 화두는 더 많은 고객과의 접촉이다. 따라서 보험사 입장에서 한 명이라도 더 가입 권유를 할 수 있다면 실적 증대에 큰 보탬이 될 것이다. 그래서 보험사들은 개인 정보를 홈플러스한테서 돈을 주고 샀다. 참 대단한 마케팅 전략이다.

그나마 불법으로 유출된 개인 정보가 보험 가입하라는 전화 한 통과 편지 한 통으로 끝나면 다행이다. 한 개인의 정보가 불특정 다수에게 지속적으로 반복 유출되었을 때 그 악용의 소지는 차마 활자로 다 담지 못할 것이다. 불법적 유출 자체가 이미 범죄이며, 2차, 3차 피해의 발생과 다른 가능성은 더 큰 범죄가 될 것이다.

그런데 문제는 개인 정보마저 4차 산업혁명의 필두로 떠오르고 있다는 것이다. 지난 31일, ‘데이터 경제 활성화 규제 혁신 현장 방문 행사’라는 지네가 신발 끈 묶는 듯한 제하의 행사에서 정부는 개인 정보 규제완화 방침을 천명했다.

골자는 개인의 ‘가명 정보’를 제3자에 제공하거나 거래할 수 있게 한다는 것이다. 그 개인에게 일일이 동의를 받지 않고 말이다. 이는 빅데이터 시대의 기업, 산업 경쟁력 강화를 위해 해외 글로벌 기업과의 대결에서 밀리지 않아야 한다는 업계의 아우성을 수용한 것으로, 주로 의료기록이나 쇼핑 목록 등이 해당될 것으로 보인다.

범죄와 불법의 온상이 된 개인 정보 유출은 동시에 빅데이터 시대, 즉 4차 산업혁명 시대의 선결 과제가 되고 있다. ‘유출’을 ‘제공’으로, ‘실명’이 ‘가명’으로 되었지만 그 본질은 동일하다. 온라인 의존도가 갈수록 높아지는 온라인 시대에 개인 정보 유출은 너무 쉽고 빈번해졌다. 이제 개인들은 뉴스에 무감각해질 정도로 포기 상태에 이르렀다. 하지만 유출된 개인 정보를 통해 악용되는 범죄의 질은 날이 갈수록 심각해지고 있다.

​

▲​개인 정보 관리는 중요하다

이토록 개인 정보 유출 문제가 심각해지는 마당에 빅데이터 산업 육성을 위해 개인 정보의 유통과 제공을 촉진히겠다는 것은 한비자의 고사가 왜 고사인지 입증하는 대목이 아닐 수 없다. 유출된 개인 정보가 암호화되어도 해독이 가능한 마당에 ‘가명 처리’ 정보로 규정된 정보가 개인을 식별하지 못할 것이 분명할지 그 누구도 확신할 수 없고 책임지지 못한다. 불법이든 합법이든, 모든 피해는 개인이 감당하게 된다.

김예슬 기자 press@appstory.co.kr