연이어 터진 금융권 개인정보 유출, 실제 피해 발생하기도
정부 역시 채권추심 기관에 개인정보 판뒤 관리감독 소홀
‘개인정보보호법’ 9월 시행되지만 미흡하다는 지적도 있어
“기업-개인, 개인정보 보호 끊임없이 관리 대한 인식 필요”
개인정보 유출 사태가 끊임없이 일어나고 있다. 올해만 해도 대형 사고들이 수차례 이어지고 있어 기업과 공공기관들의 개인정보 유출이 심각한 사회문제로 대두되고 있다. 특히 현대캐피탈 회원정보 유출, 국내 3대 포털 중 하나인 네이트의 3500만건 유출, SK마케팅&컴퍼니의 회원 로그기록 인터넷 노출, 삼성카드 내부직원 개인정보 유출 사고 등 대형사고들이 연이어 벌어졌다. 최근에는 금융권 개인정보 유출이 이어져 그간 기업들의 개인정보 유출 사건과는 별도로 금전적 사고 등 피해 사례가 클 수도 있다는 점에서 심각성을 더하고 있다.
최근 발생한 개인정보유출 사고 중 가장 큰 사례는 바로 네이트 고객정보 유출이다. 우리나라 인구 70%에 달하는 3500만명의 개인정보가 유출되는 사상 초유의 해킹 사건이다. SK커뮤니케이션즈(SK컴즈)는 7월 28일 국내 최대 SNS(소셜네트워크서비스) 사이트인 ‘싸이월드’와 포털 사이트 ‘네이트’ 회원 3500만명의 개인정보가 해킹으로 유출됐다고 밝혔다. 이들 사이트의 전체 회원 수는 각각 2500만명, 3000만명이다. 두 사이트에 중복 가입된 회원을 감안하면 유출된 개인정보는 3500만명 분으로 예상된다.
최악의 개인정보유출 발생
SK컴즈는 중국발 IP로 유입된 악성코드를 통해 해킹이 발생했으며 고객 ID와 이름, 휴대전화번호, 이메일 주소, 암호화된 비밀번호와 주민번호가 유출됐다고 밝혔다. 악성코드는 확인 즉시 차단했으며 추가적인 공격은 없었다고 덧붙였다. SK컴즈는 이 같은 사실을 28일 방송통신위원회에 알리고 경찰청에 수사를 의뢰했다. 이름과 전화번호 등이 대거 유출됨에 따라 이를 이용한 보이스피싱이나 스팸 메일 등 2∼3차 피해 발생이 우려됐다.
결국 이 우려는 현실화됐다. 한달 뒤 네이트 대규모 해킹 사건으로 인한 피해가 실제 발생했다. 개인정보를 빼낸 해커들이 카드 추가 발급을 시도하고 싸이월드 미니홈페이지를 해킹하는 등 피해가 현실화되면서 이미 개인 정보가 유출된 사용자들은 또 다른 피해가 발생하는 것 아니냐며 불안해하고 있다.
한 카드사 고객 A씨는 이달 8월 19일 휴대전화 문자메시지를 한 통 받았다. 자신이 발급하지도 않는 카드 신청이 완료됐다는 내용의 메시지였다. 누군가 A씨의 정보를 이용해 신용카드 추가발급을 신청한 것. A씨는 “재빨리 은행에 전화해 카드발급을 막지 않았다면 큰 피해를 볼 뻔했다”고 말했다. 신규발급과 달리 추가 발급은 고객의 주민등록번호와 휴대전화 번호 등 개인정보만 알면 전화로 신청할 수 있다. 이 은행 관계자는 “지난달 네이트 대규모 해킹 때 정보를 알아낸 해커들이 카드 추가 발급을 시도한 것 같다”고 설명했다.
이처럼 포털사이트 업체 대규모 해킹 사건에 이어 최근에는 금융계 고객정보유출도 연이어 벌어지고 있다.
최근 하나SK카드 고객정보 유출 사건이 일어나 충격을 주고 있다. 하나SK카드에서 내부 직원의 고객정보 유출이 발생한 것으로 알려졌다. 하나SK카드와 관련업계에 따르면 지난 15일 하나SK카드가 내부 직원이 200여 건의 고객 신상정보를 외부로 유출한 혐의를 지난 포착한 후 곧바로 경찰에 수사를 의뢰, 9월 16일 고발조치한 것으로 알려졌다
정보를 유출한 하나SK카드 직원은 텔레마케팅 기획업무를 하면서 사전 인가된 저장매체 등을 통해 외부로 유출을 시도한 것으로 전해졌다. 유출한 정보는 성명, 전화번호, 주민등록번호 등 신상정보인 것으로 파악됐다.
업계에서는 하나SK카드가 경찰에 고발장을 접수할 당시 파악된 고객정보 유출건은 200여건이었지만, 실제로는 이보다 더 클 것으로 보고 있다.
기업 내부직원 의한 개인정보 유출도
반면 하나SK카드 관계자는 “이 직원이 일부 언론에 자신이 5만여건의 정보를 유출했으며 이 고객 정보가 신용카드 회원이 아닌 SK텔레콤 고객 것이라고 말했다고 하는데 하나SK카드와 SK텔레콤의 고객 정보가 연동하지 않기 때문에 사실과 맞지 않다”고 반박했다.
하나SK카드는 이번 정보 유출 사고를 외부 제보로 알게 된 것으로 파악됐다. 하나SK카드 관계자는 “우리 회사의 고객 자료를 갖고 있다는 사람으로부터 제보 전화가 와서 내부 조사를 한 결과 정보를 누출한 해당 직원을 색출했다”면서 “이 직원은 소규모 텔레마케팅(TM) 업체에 정보를 넘겼다고 진술해 이 업체에서 제보한 게 아닌가 보고 있다”고 말했다.
하나SK카드는 이번 사고가 발생한 뒤 19일부터 내부 직원을 대상으로 보안 및 윤리 강화 교육에 돌입했으며 홈페이지를 통해 고객에게 사과했다. 한편 금융감독원은 19일 하나SK카드에 대한 특별검사에 착수해 28일까지 검사할 방침이다. 검사팀 규모는 여신전문감독국 3명, IT감독국 1명 등 4명이다.
여러 금융사고들의 경우 개인정보 유출사고 이후 개인들의 민심을 잃은 모습에 금융사들은 다급히 보안정책을 세우고 있었지만 실상은 “눈가리고 아웅하기”가 아닌가 싶을 정도로 대형 금융회사들의 사고가 발생되고 있다는 점에서 모두를 불안하게 만든다.
정부기관 역시 개인정보에 대한 관리가 허술한 것으로 알려졌다. 심지어는 돈을 주고 팔면서 관리감독이 이뤄지지 않았던 것으로 드러나 충격을 주기도 했다.
행정안전부가 채권추심기관 등에 개인 주민등록 전산자료를 1건당 30원을 받고 넘겨주지만, 사후관리·감독은 제대로 하지 못하고 있는 것으로 나타났다.
건당 30원에 주민등록 자료 넘겨
민주당 장세환 의원(58)은 9월 19일 행안부로부터 받은 ‘2008~2011년 8월 주민등록 전산자료 제공 현황’을 검토한 결과 이같이 확인됐다. 정부는 23곳의 채권추심기관에 4733만188건의 개인 주민등록 자료를 건당 30원에 넘겨왔다. 제공된 자료는 행안부가 보유한 주민등록 전산자료로서 개인의 현주소, 거주상태, 주민등록 변동일자 등이다.
행안부는 이 기간에 모두 17억8054만원의 수수료를 받고 52개 기관에 자료를 넘겨줬다. 이 중 채권추심업체로부터 받은 수수료는 14억1990만원에 이르러 주로 채권추심업체에 개인 주민등록 자료를 넘겨주고 있는 것으로 나타났다.
하지만 이렇게 넘겨준 자료를 관리·감독하는 데는 소홀했다. 10만건 이상의 자료를 받아간 업체나 기관은 1년에 한 번씩 지도 점검을 하고 있지만 대부분의 채권추심업체들의 경우 ‘주의·경고’ 조치에 머물렀다.
채권추심업체 중 9개 업체는 10만건 미만을 제공받아 행안부 지도 점검을 한 번도 받지 않았다. 행안부는 현재까지 개인 주민등록 자료가 얼마나 채권추심업체에 나갔는지 집계된 통계가 없다고 밝혔다. 장 의원은 “행안부가 제대로 된 조사를 하지 못해 실태도 정확히 판단하지 못하고 있다”며 “관리·감독의 미비로 유출 시 범죄에 이용될 가능성이 크다”고 말했다.
이처럼 개인정보는 알게 모르게 여러 곳에서 활용되거나 악용되고 있다. 심지어는 전 국민 모두의 개인정보가 유출됐다는 지적도 나오기도 했다.
국민 1명당 2번 개인정보 유출 피해
특히 MB정부가 들어선 2008년 이후 개인정보 침해건수가 총 1억657만건에 달하는 것으로 나타났다. 국민 1인 당 두 번씩 개인정보 유출 피해를 당한 셈이다.
9월 22일 국회 문방위 소속 전병헌 의원에 따르면 2008년 1월 옥션 고객 1863만 명이 해킹피해를 당한 이후 같은 해 9월 GS칼텍스 직원이 1125만 명의 고객정보를 유출하는 등 개인정보 유출사건이 잇따라 발생했다. 특히 올 7월에는 SK컴즈 회원 3500만 명의 해킹피해가 발생, 역대 최다피해로 기록됐다.
SK컴즈 사태 이후 빠르면 이달 말부터 일평균 1만명 이상의 접속자 홈페이지를 대상으로 주민번호 대신 아이핀으로 회원가입을 하도록 정부정책을 바꿨다.
그러나 전 의원은 아이핀 역시 해결책이 아니라고 지적했다. 전 의원은 “개인정보를 보호하기 위해 2006년 만들어진 아이핀 가입자 수가 현재 전체가입자의 0.1%에 불과할 정도로 국민들이 불편함을 느끼고 있다”며 “아이핀을 사용하게 되면 모든 국민의 개인정보가 몇 개의 본인인증기관에 모이게 돼 더 심각한 개인정보 유출을 가져 올 수밖에 없다”고 말했다.
이 때문에 피해자들은 집단소송 등을 통해 문제를 해결하려는 움직임 갈수록 커지고 있다. 하지만 지금까지는 해킹을 당했더라도 관리자로서 의무를 위반한 사실이 없으면 배상책임이 없다는 판결이 대부분이다.
정보유출 배상금 지급 사례 거의 없어
이 때문에 국내 기업이 개인정보 유출사고로 인해 배상금을 지급한 사례는 거의 없다. 2008년 1080만명의 회원 정보가 해킹당한 옥션이 대표적인 사례다. 대규모 개인정보유출 사고로 집단소송이 벌어졌지만 개인정보유출 피해를 본 고객들은 한 푼의 손해배상도 받지 못했다. 보안업계 관계자도 “실제로 배상을 받은 개인정보유출사건은 2004년 엔씨소프트 게임 리니지 개인정보유출사건이외에는 찾아보기 힘들다”고 지적했다.
하지만 개인정보 유출에 대한 피해자들의 보상에 대한 요구는 갈수록 높아지고 있다. 인터넷 이용자의 절반 가량이 개인정보가 인터넷상에서 유출된 경우 50만원 이상은 보상 받아야 한다는 답을 내놨다.
이용자 41% ‘50만원 보상받아야’
국회 문화체육관광방송통신위원회 소속 전혜숙 의원(민주당) 의원이 20일 한국인터넷진흥원으로부터 받은 ‘주민번호 미수집에 따른 사회적 비용’ 자료에 따르면 '자신의 개인정보가 유출됐을 때 어느 정도 금액으로 보상받을 용의가 있는가'라는 질문에 이용자의 41%가 ‘50만원 이상 받아야 한다’고 답했다.
이어 ‘40만~50만원’이 27%, ‘20만~30만원’ 7% 순으로 나타났으며 ‘보상받을 용의가 없다’는 답은 6%였다.
개인정보 중에서 주민등록번호만 인터넷상에서 유출됐다면 어느 정도 금액으로 보상받을 용의가 있는지에 관한 질문에도 ‘50만원 이상’이라는 답이 35%로 가장 많았으며 40만~50만원이 24%로 뒤를 이었다.
특히 우리나라 국민의 88%가 웹사이트를 이용하려면 제공해야 하는 정보 중 유출될 때 가장 위험하다고 생각하는 정보로 주민등록번호를 꼽았다.
전혜숙 의원은 “이 설문조사는 국민이 주민등록번호의 중요성과 유출 시 심각성을 인식하고 있다는 것을 보여준다”며 “정부는 웹사이트에서 개인정보 노출로 인한 피해가 없도록 노력해야 한다”고 강조했다.
개인정보 새법 시행 기업들 비상
하지만 정부에서 고객 정보 보호 의무에 대한 새 법이 곧 시행에 들어가면 기업들에게는 개인정보 보호 비상이 걸렸다.
그동안 각종 개별 법령에 의해 규정됐던 개인정보 보호 규정이 한데 묶여 강화된 개인정보보호법이 9월 30일부터 시행된다. 지난 3월 공포된 이 법은 6개월 예고기간을 거쳐 이달 말에 시행되는데 개인들이 정보보호 의무자를 대상으로 정보 열람과 삭제, 정지 등을 요청할 권리를 보장받게 한다.
이에따라 개인정보 유출 사고나 나면 해당 개인에게 알려야 하며 관할 관청에도 이를 신고해야 한다. 또한 집단분쟁 조종이나 단체소송도 가능하게 된다.
개인정보보호법에는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등은 ‘고유식별 정보’에 해당하며 유전자 정보, 범죄 경력, 사상·신념, 노조가입 여부 등은 ‘민감정보’에 해당한다. 고유식별 정보와 민감정보는 법령에 근거하지 않으면 수집할 수 없다. 또 모든 공공기관과 일일평균 홈페이지 이용자 수가 1만명 이상인 모든 개인정보처리자는 주민등록번호 외에 아이핀(i-PIN) 등 별도의 회원가입 방법을 제공해야 한다.
정부가 개인정보보호법을 통해 이 같은 유출 사고를 방지하겠다는 입장이지만, 국민이 느끼는 불안함은 여전하다. 정부가 대안으로 내세운 아이핀도 주민번호에 기반한 시스템으로 이름과 주민번호, 신용카드 정보 등 본인 확인 과정을 거쳐야 하기 때문이다. 또한 가입의 불편함 등으로 인해 아이핀 사용자가 인터넷 이용인구의 10%도 채 되지 않아 이름-주민번호 확인방식 인증을 대체하기 힘는게 사실이다.
또한 경찰청 사이버테러대응센터가 불법생성한 아이핀을 중국 게임업체 등에 팔아넘긴 김 모씨 등 8명을 검거했는데, 이들이 유출한 주민등록번호와 대포폰을 이용, 아이핀을 만든 것으로 드러나 허점이 여실히 드러나기도 했다.
특히 기업 내에서 내부직원에 의한 고객 정보 유출이 있어 법으로 제한할 수 없는 경우가 발생하는 경우도 있어 실질적인 대책은 되지 않는다는게 보안업계의 지적이다.
또한 개인정보보호법이 시행을 앞두고 있으나, 여전히 개인정보보호에 관하여 인식과 준비가 저조한 실정으로 이에 대한 대책마련이 필요할 것으로 보인다는 지적도 나오고 있다.
이에 업계는 물론 개인정보 유출 피해자들 사이에서는 보다 근본적인 대안이 필요하다는 지적이 제기되고 있다.
“인터넷 실명제 폐지가 대안”
시민단체인 참여연대의 경우 인터넷 개인정보유출을 막기 위한 근본적 대안은 인터넷실명제 폐지라고 주장하고, 정부의 대책에 효력이 부족하다고 지적했다. 참여연대는 “SK커뮤니케이션과 같은 우리나라 대형 포털사들이 거의 예외 없이 주민등록번호와 실명 등의 개인정보를 보관하게 된 근본적인 원인은 강제적 인터넷실명제”라며 “인터넷실명제가 있는 한, 인터넷 기업들의 개인정보 수집과 보관은 중지되지 않을 것”이라고 밝혔다.
이어 “개인정보 유출 피해를 최소화하기 위해서는 인터넷 실명제를 폐지해야 한다”며 “주민번호 및 과도한 개인정보 수집을 제한하고 이미 유출된 주민번호는 재발급 받도록 해야 한다”고 주장했다.
업계에서는 기업 또한 개인정보를 철저히 암호화해 통합 관리하는 등 노력을 기울여야 한다고 지적하고 있다. 이에대해 한 보안 전문가는 “기업들의 경우 개인정보보호 책임 시스템을 구축하고 직원 교육을 강화하는 등 총체적 대응책이 필요하다”고 주문했다.
국민들도 개인정보유출에 앞서 개인정보 보호를 끊임없이 관리 할 필요성 있다. 개인정보보호서비스를 이용하여 자신의 PC속 개인정보와 인터넷에 노출된 개인정보를 진단하고 관리할 필요가 있다. 또한 가입된 사이트 비밀번호 변경, 계좌번호/보안카드 관리, 최신 백신 프로그램 설치 등 개인정보를 위한 관리를 해나가는 것도 작으나마 도움이 될 수 있다.
보안업계 관계자는 “정부나 기업의 힘만으로 개인정보를 보호하는 데는 한계가 있다. 국민 각자의 보안의식을 강조할 필요가 있다”고 덧붙였다.
