동네 상인들 "개인정보 보호법이 뭔가요?"

경찰팀 리포트

정보수집상, 미용실·PC방 등 돌며 정보 '싹쓸이'

만연한 개인정보 수집
대출·대리운전 고객·학부모 등 맞춤형 개인정보 150만원에 거래
기업도 정보 팔아 경품행사 진행

영세업체에겐'남의 일'
대형사건 아니면 처벌 쉽지 않아…정보보호 컨트롤타워 시급

# 회사원 강모씨(42)는 몇주 전부터 갑자기 날아드는 무더기 스팸메일에 골머리를 앓고 있다. 평소 개인정보 유출을 꺼려 신용카드도 잘 만들지 않았고 명함도 거의 돌리지 않았다. 친구들과 연락할 때 문자메시지 대신 스마트폰의 ‘카카오톡’을 주로 사용한다.

그런데도 최근 강씨에게 하루 20통이 넘는 문자메시지가 온다. “오빠에게 맞춰드릴게요 연락주세요(애인대행)” “1588-0000 아가씨 대리운전” “고객님은 즉시 3000만원 대출 승인 가능” 등 남의 얘기로만 듣던 스팸메일이 대부분이다. 올 때마다 수신거부를 해보지만 스팸메일은 ‘좀비’처럼 날아들고 있다. 강씨는 “도대체 어떻게 개인정보가 새 나갔는지 스팸메일 탓에 신경이 곤두선다”고 하소연했다.

# 경기도 일산에 사는 김모씨(35)는 최근 약국에 들렀다가 황당한 경험을 했다. 병원 옆 대형약국이라 대기번호를 뽑고 기다릴 정도로 손님이 북적였다. 한참을 기다리자 계산을 하는 직원이 “처음 약국에 왔냐”고 물어 “그렇다”고 하자 종이 한 장을 내밀었다. 자세히 보니 주민번호, 주소, 휴대폰번호란이 비어있는 고객관리카드였다. 무심결에 빈 칸을 채워나가던 김씨는 “주민번호까지 적어야하느냐고 묻자 약국 직원은 “고객관리 차원에서 형식적인 절차”라고 대수롭지 않은 듯 설명했다.

정부가 개인정보 보호를 강화하는 법안을 시행 중이지만 개인정보는 곳곳에서 새고 있다. 금융기관에서 카드를 발급받거나 인터넷 사이트 가입 등 일반화된 정보 유출루트를 넘어 PC방, 안경점, 미용실, 약국, 빵집, 극장 등 ‘고객관리’를 명분으로 개인정보를 요구하지 않는 곳이 드물다.

이처럼 수집된 개인정보들은 해킹으로 유출되거나 내부 직원이 불법으로 빼돌려 개인정보 수집상에 넘겨져 암시장에서 공공연히 거래되고 있는 것으로 취재 결과 드러났다.

◆주택가 빵집, 약국, 미용실에서도 정보유출

개인정보 유출은 심각한 수준이다. 개인정보 매매업자들은 해커에게 개인정보를 구매하기도 하지만 유흥업소 직원이나 이벤트·여행사 직원 등 개인정보를 수집하는 업체 관계자에게서 개인정보를 사는 것으로 알려졌다. 이들의 주 고객은 성인·도박사이트 운영자를 비롯해 성인쇼핑몰 운영자, 텔레마케팅 회사 등 다양하다. 또 개인정보 암시장에서는 지난해 모 금융사에서 유출된 개인 신용정보와 신상도 대부업체나 대출 중계인들에게 1인당 1500~2000원의 비싼값에 판매돼 대출영업에 이용되고 있다고 한 제2금융권 관계자는 전했다.

백화점이나 대형마트, 금융기관이 현금, 외제차, 명품가방 등을 내걸고 벌이는 경품 행사도 대표적인 개인정보 유출경로다. 자세한 경품행사 내용을 읽어보면 하단에 행사 참가자들이 알아보기 힘든 깨알 같은 글씨로 행사 참가자들의 정보를 경품행사 주관사가 이용할 수 있다고 적시해놓고 있다. 경품에 응모한 사람들의 개인정보를 보험사에 팔아넘기고 챙긴 돈으로 경품행사 비용을 충당하는 식이다. 게다가 대부분 경품행사는 제휴를 통해 소규모 이벤트 업체 등이 진행하기 때문에 수집된 개인 정보가 철저히 관리되는지 대기업들은 무관심하다. 개인정보 수집은 주택가 근처에서도 빈번히 행해지고 있다. 개인정보 수집책은 대규모 아파트단지 미용실, 빵집, 약국 등을 돌며 개인정보를 긁어 모으는 것으로 알려졌다.

개인정보 수집이 기승을 부리는 것은 정보 매매로 수익을 챙길 수 있기 때문이다. 지난달 충남지방경찰청 사이버수사대에 검거된 개인정보 매매업자 최모씨(27) 일당은 지난해 8월부터 최근까지 주민번호와 연락처, ID와 비밀번호 등 2800만건에 달하는 개인정보를 팔아 3000여만원을 받아 챙긴 것으로 드러났다. 이들이 판매한 상품 목록은 ‘A교육 사이트 등록한 학부모와 학생의 신상 150만원’ ‘2011년 서울지역에서 한 번이라도 대리운전을 이용한 고객 전화번호 100만원’ ‘B콘도 회원 신상정보 70만원’ 등 다양했다.

유출된 개인정보의 가격은 정보 묶음별로 50만원에서 150만원까지 거래됐다. 포털사이트 아이디와 패스워드는 2005년, 2010년 수집한 것 등으로 세분화돼 있었고 최신 정보가 더 비싼값에 팔렸다고 경찰 관계자는 전했다. 이들은 해커나 다른 업자를 통해 개인정보를 구매해 되팔았으며 자신이 갖고 있지 않은 개인정보는 다른 업자와 교환해 마련한 것으로 조사됐다.

◆영세업체, 정보유출시 처벌받는지도 몰라

개인정보보호법이 시행 중이지만 대형 금융기관이나 유통업체 등을 제외한 소규모 업소나 가게에선 이 같은 사실조차 모르는 실정이다. 정보를 유출하다 적발되더라도 당사자가 부인하면 처벌하기도 쉽지 않다. 개인정보보호법 시행 전에는 법의 적용범위가 한정돼 있었고 대형 유출사고가 아니고는 처벌 받는 일도 드물었다. 정보보호의무는 정보통신망법상 온라인 업자 또는 신용 정보를 취급하는 업자 등에만 적용됐었기 때문이다.

이제는 개인정보를 수집하는 사업자들은 대부분 법 적용을 받아 고객정보를 동의없이 남에게 넘기면 5년 이하 징역이나 5000만원 이하 벌금형, 정보보호 조치를 미흡하게 해 정보를 도둑맞아도 2년 이하의 징역과 1000만원 이하의 벌금을 받게 됐다.

“개인정보가 실수로 유출되기만 해도 처벌을 받는다는 사실을 알고 있느냐”는 질문에 PC방 업주 협회 관계자는 “개인정보보호법이 입법된다는 것은 들은 것 같은 데 법이 이미 시행됐느냐”고 반문했다. 개인정보가 PC방 관리프로그램을 운영하는 곳으로도 넘어간다는 사실에도 무감각했다.

경찰 관계자는 “컴퓨터에 입력된 개인정보는 USB하나만 있으면 무한대로 복사되기 때문에 이를 막을 방법도 없고 어디서 어떻게 유출됐는지 알아내기도 어렵다”며 “누군가가 고의로 유출시켜 업자들에게 팔았넘긴 걸로 의심되는 개인정보도 있지만 부인하면 처벌하기가 쉽지 않다”고 어려움을 토로했다.

◆개인정보 컨트롤타워 부재

전문가들은 개인정보 보호 관련 정책을 담당할 컨트롤타워의 필요성을 지적했다. 인터넷 상 개인정보 보호는 방송통신위원회가 맡고 있지만 일반적인 개인정보 보호는 행정안전부가 관할하는 등 3개 정부기관에 업무가 분산돼 있다. 일관되고 강력한 정책을 추진하기 힘든 상황이다.

전문가들은 또 경찰이 개인정보 유출자를 수사하는 데 그치지 말고 정보 상인을 적극적으로 단속해야 한다고 입을 모았다. 개인정보 수요자의 목적에 맞는 정보 공급자를 차단하는 게 선결과제라는 얘기다. 이경호 고려대 정보보호대학원 교수는 “개인정보 문제는 관할 정부 부처가 공동으로 대응해야 한다”며 “경찰도 단속 활동 외에도 개인정보 보호 분야 인력을 확대해 예방활동을 벌여야 한다”고 말했다.

인터넷에 연결돼 있는 일반 컴퓨터의 자료를 해커가 빼내는 것은 손바닥 뒤집듯 쉬워 정보 보안에 비용을 들이기 어렵다면 개인정보를 폐기하고 불필요한 개인정보는 수집하지 않아야 한다고 보안업계 관계자들은 조언했다. IT보안 업체 시만텍 관계자는 “최소한 주민등록번호만 수집하지 않아도 개인정보 유출로 인한 심각한 범죄를 막을 수 있다”고 지적했다.

이현일 기자 hiuneal@hankyung.com