'내 정보가 중국 블랙마켓에 흐른다.'

경고등 켜진 개인정보

'내 정보가 중국 블랙마켓에 흐른다.' 충격적인 말로 들리는가. 아니다. 한국인 개인정보는 털릴만큼 털렸다. 지금 문제는 '털린 내 정보'가 새롭게 조합되면 상상하기 힘든 일이 벌어질 거라는 점이다. 다른 사람이 내 행세를 하면서 내 가족을 상대로 사기를 칠 수도 있다. 누군가 '내 정보'를 만지작거리고 있다.

# 지난해 초, 생계형 해커가 중국 경찰에 붙잡혔다. 처음엔 게임 아이템을 강화하기 위해 초보적인 해킹을 했다. 하지만 개인정보를 팔면 돈이 된다는 걸 알게 된 후부터 기업 사이트를 마구잡이로 해킹해 사용자 계정을 팔아넘겼다. 이렇게 판매한 개인정보는 보이스피싱(전화통화 사기)ㆍ스미싱(문자메시지 사기)ㆍ파밍(유사 홈페이지를 이용한 사기) 등 각종 범죄에 이용됐다. 이 해커는 기업 홈페이지를 해킹하고 협박해 돈을 뜯어내는 일까지 일삼다 경찰에 덜미가 잡혔다.

# 4년여 전 '교주'라 불리는 중국인 해커는 대만ㆍ미국ㆍ한국의 게임 사이트들을 해킹한 후 사이버 재산을 가로채 판매하는 수법으로 36억여원의 돈을 벌었다. '의뢰인'이 '중개인'에게 일을 넘기면 중개인은 '교주'와 같은 해커들을 고용해 정보를 빼냈다. 거래는 위조된 신분증으로 개설한 계좌를 통해 이뤄졌다. 이 해커는 "이미 2011년에 약 4000만명에 달하는 한국인 개인정보를 갖고 있었다"고 말했다. 현재 인구가 4900만여명이라는 걸 감안하면 거의 모든 한국인 개인정보가 털린 셈이다.

중국 해커 중엔 '교주'와 같은 이들이 꽤 많다. 해킹으로 개인정보를 털어 수억원에서 수십억원의 돈을 번다. 때문에 해커를 찾는 이도, 해커가 되려는 이도 많다. 더군다나 중국에선 맘만 먹으면 누구든지 악의적인 해커로 변신할 수 있다. 중국의 인민우전출판사는 해커를 위해 「흑객방선」이라는 월간지를 발행하고 있는데, 컴퓨터 프로그램의 버그나 익스플로잇(해킹 공격 도구) 분석, 스크립트 공격과 방어 등 기술적인 문제를 다루고 있다. 특정기업의 사이트를 해킹할 수 있는 기법도 소개하고 있다. '○○ 인터넷 쇼핑몰 해킹 기법' '○○ 백신 우회 툴 사용법' '○○사이트 개인정보 후킹(절취)법'과 같은 식이다.

국내의 한 해커는 "어떻게 이런 것들이 합법적으로 발간되고 있는지 이해할 수 없다"며 "중국이 인터넷 정보보호에 관한 정책을 조금씩 강화하면서 음성화되고 있긴 하지만 보안시스템이 알려질 대로 알려진 상황에서 큰 의미가 있을지는 의문"이라고 말했다. 중국의 해킹 관련 소식에 정통한 보안전문가 K씨는 "중국엔 돈만 주면 뭐든 빼내 주겠다는 해커들이 넘쳐난다"고 귀띔했다. 중국이 '해킹의 나라'로 불리는 이유가 여기에 있다.

글로벌 IT기업 아카마이(Akamai)가 국가별 사이버 공격 진원지를 분석한 결과, 해킹이 가장 많이 일어나는 곳은 중국이었다. 아카마이의 분석에 따르면 중국에서 시작된 사이버 공격 트래픽은 2012년 1ㆍ2분기엔 16%, 3분기엔 33%, 4분기엔 41%로 증가했다. 안랩 관계자는 "트래픽에는 다른 국가의 공격자들이 중국의 취약한 시스템을 활용해 공격하는 경우도 포함돼 있어 트래픽만으로 중국에서 가장 많은 해킹이 일어난다고 단정 지을 수는 없다"면서도 "하지만 평균적으로 중국의 해킹활동은 점차 증가하는 상황"이라고 밝혔다. 개인정보가 거래되는 중국의 블랙마켓이 손을 댈 수 없을 만큼 커진 이유도 '해킹'과 무관치 않다.

문제는 중국의 블랙마켓에 한국인 개인정보가 널려 있다는 점이다. 중국 해커들이 한국인 개인정보를 빼는데 능수능란하기 때문이다. 한국을 타깃으로 하는 중국 해커들은 통상 2~3명이 조를 이루는데, 여기엔 한국어가 가능한 조선족이 반드시 포함돼 있다. 그래서 외국인에겐 낯선 한글정보까지 낱낱이 분석한다. 중국이 한국인 개인정보의 블랙홀이 되고 있는 이유가 여기에 있다.

국내 컴퓨터 보안전문가들은 "중국 블랙마켓이 커지는 동안 개인정보 대부분이 빠져 나갔다고 봐도 무방하다"고 입을 모은다. 앞서 말한 중국인 해커 '교주'가 이미 3년 전에 4000만명의 개인정보를 손에 넣었다는 것만 봐도 그렇다.

주민번호 체계 변경은 필수

강기정 민주당 의원도 1월 26일 보도자료를 통해 "금융감독원 등에 확인한 바에 따르면 2009년부터 현재까지 금융사와 기업, 공공기관에서 1억9283만건의 개인정보가 유출됐다"고 밝혔다. 이미 공개된 유출건만 해도 어마어마하다.


국내 보안전문가들이 이번 카드사 개인정보 유출을 그리 심각한 사건으로 보지 않는 건 이 때문이다. 개인정보가 빠져나갈 만큼 빠져나갔다고 보고 있다는 거다. 오랫동안 해커로 활동한 L씨는 "USB메모리를 통한 정보 유출은 적발되면 어떤 정보를 얼마나 유출했는지 짐작을 할 수 있지만 해킹은 당한 사람도 잘 모르고, 당한 걸 알았다 하더라도 쉬쉬하기 때문에 짐작조차 하기 어렵다"며 "더구나 국내 대기업이나 대형 언론사, 대형 인터넷 쇼핑몰 등은 거의 다 뚫린 것으로 알고 있지만 그런 사실은 전혀 알려져 있지 않다"고 말했다.

더 큰 문제는 이제부터다. 털린 개인정보가 어떻게 조합되느냐에 따라 엄청난 후폭풍이 일어날 수 있다. 보안전문가 K씨는 "예전에 거래되던 개인정보는 주로 주민등록번호ㆍ휴대전화번호ㆍ이메일 주소 등이었다"며 "하지만 최근엔 카드번호ㆍ계좌번호 등 고급정보가 추가되고 있다"고 말했다. 그는 "범죄자들이 개인정보를 조합해 좀 더 다양한 고급정보들을 취득할 경우 상상하기 어려운 일이 벌어질 것"이라며 "엉뚱한 사람이 내 행세를 하는 일까지 일어날 수 있다"고 꼬집었다.

이런 상황에서 카드사 CEO들이 개인정보 유출에 대한 책임을 지고 옷을 벗는 건 미봉책에 불과하다는 게 보안전문가들의 조언이다. 그들은 "해킹을 막을 수 있다는 생각부터 버려야 한다"고 주장했다. 수많은 개인정보가 빠져 나갔다는 점, 이 개인정보가 조합되면 큰 피해를 줄 수 있다는 점을 염두에 두고, 대책을 마련해야 한다는 거다.

컴퓨터 보안전문가들과 시민단체는 주민번호를 폐기하고 이를 대체할 수 있는 시스템을 구축해야 한다고 입을 모은다. 권석철 큐브피아 대표는 "너무 많은 정보가 주민번호와 연동돼 있다"며 "개인정보가 분산될 수 있도록 신분확인 시스템을 다양화해야 한다"고 주장했다. 의료나 교육과 관련한 본인 확인은 별도로 부여된 사회보장번호, 행정업무에 관한 건 새로운 주민번호, 결제에 관한 건 아이핀을 이용하는 식이다.

참여연대 역시 "고유 목적에 맞는 별도의 식별체계를 사용하고, 주민행정 목적으로 사용하는 주민번호는 재발급이 가능한 무작위 일련번호로 대체돼야 한다"는 입장을 밝혔다. 주민번호 시스템 개선은 실제 해커들이 '반드시 필요한 부분'이라고 지적한 사항이다.

기업의 정보 수집과 공유를 제한해야 한다는 주장도 있다. 권석철 대표는 "해커들이 개인을 공략하지 않고 기업들을 공략하는 건 기업이 많은 개인정보를 갖고 있어서다"며 "개인정보가 흩어져 있다면 해커도 공격이 쉽지 않다"고 말했다.

국민 의식수준도 올라가야

경실련과 참여연대에서는 개인정보가 유출됐을 경우엔 집단소송을 할 수 있도록 해야 한다는 주장도 내놓고 있다. 여기엔 개인정보가 유출됐을 때 처벌수위를 높여야 한다는 의도가 깔려 있다. 보안전문가들도 "사실 기업이 보안시스템 구축비용을 단순히 비용으로만 생각하고 있어 문제"라면서 "스스로 투자할 마음이 없다면 집단소송제를 통해서라도 투자하도록 만들어야 한다"고 말했다. 다만 일부 전문가들은 "현행법에 따르면 개인이 PC를 잘못 관리해서 금융사고가 터져도 금융사가 배상을 해준다"며 "이 부분에 대해선 명확한 기준을 둬서 구분 지을 필요가 있다"고 조언했다.

일부에선 화이트해커를 정부 차원에서 키워야 한다는 주장도 나온다. 이윤수 인터넷진흥원아카데미 센터장은 "미국ㆍ영국ㆍ이스라엘ㆍ중국 등이 일찍부터 사이버보안 전문가를 양성해왔다"며 "우리나라는 IT선진국이라는 수식어에 비해 겨우 200여명밖에 되지 않는다"고 지적했다. 정부는 2017년까지 총 5000명의 최정예 사이버보안 인력을 갖춘다는 계획을 세우고 적극 추진 중이다. 하지만 2012년부터 5년간 50만명의 사이버전사를 양성한다는 인도의 계획에 비춰보면 여전히 부족하다는 의견이 많다.

더 중요한 건 이런 주장들이 새로운 게 아니라는 거다. 이전부터 줄기차게 주장된 것들이지만 관심 밖에 있었고, 이번 카드사의 개인정보 유출을 계기로 다시 화제가 되고 있을 뿐이다. 취재 중 만난 한 해커는 "아무리 좋은 시스템을 갖춰도 개인이 허술하면 백약이 무효"라며 이렇게 설명했다.

"미국의 한 카드회사는 약 1억개의 개인정보가 유출되자마자 카드를 전부 정지시키고, 카드를 재발급했다. 고객의 불만이 상당했을 것 같지만 그렇지 않았다. 카드회사에서 '당신의 소중한 정보를 지키기 위해서다'는 한 마디에 모든 불편을 감수한 것이다. 우리나라에서는 꿈도 못 꾸는 일이다. 국민 의식의 변화가 필요하다."
김정덕 더스쿠프 기자 juckys@thescoop.co.kr

실시간 랭킹 뉴스