암시장서 4위안에 팔리는 개인정보… '10만명 묶음' 거래하기도

글로벌 리포트 - 빅데이터 시대의 '함정'

중국 온라인대출 앱 '부작용'
기업들 타깃 마케팅 강화하자 개인정보 사고파는 '통로' 역할
클라우드·IoT 등 유출경로 다양

'불법거래 온상' 다크웹
신용카드 등 금융정보부터 해킹에 쓸 악성코드도 거래
보이스피싱 등 범죄에 이용…전문가 "IP주소 추적 어려워"

우버, 5700만명 해킹 1년 은폐…구글도 사용자정보 무단 수집

# 자신도 모르는 사이에 자기가 찍은 영상이 유튜브 광고에 쓰인다면? 중국에서 개발한 동영상 공유 앱(응용프로그램) ‘콰이’는 앱을 사용하려면 앱 개발업체가 이용자의 영상을 자유롭게 이용할 수 있다는 약관에 필수적으로 동의하도록 했다. 이 때문에 자신의 영상이 추가적인 동의 절차 없이 유튜브 광고에 사용될 것이라고 예상한 이용자는 별로 없었다. 비공개 설정을 따로 하지 않으면 모든 앱 사용자에게 게시물이 공개될 수 있다는 사실도 뒤늦게 알려졌다. 영상이 공개된 일부 연예인들은 열애설에 휩싸이는 등 심각한 사생활 침해를 당했다.

# 지난달 29일 파이낸셜타임스(FT)는 중국 정부가 쿼디안 등 온라인대출 앱에 대한 규제를 강화했다고 보도했다. 쿼디안, 피피다이, 융첸바오(用錢寶) 등 중국 3대 온라인대출 앱은 제3자에게 이용자 정보를 제공할 수 있다는 조항에 동의를 얻는다. 이 조항은 이용자의 데이터를 합법적으로 판매하는 것을 포함한다. 이 과정에서 개인정보가 유출돼 피해를 보는 이용자가 많았다.

이처럼 모바일, 클라우드, 사물인터넷(IoT) 등 인터넷으로 연결된 세상에서 개인정보 불법 수집과 유출이 갈수록 늘어나고 있다. 관련 암시장도 커지고 있다.

구글, 우버도 예외 아냐

글로벌 정보기술(IT) 기업 IBM에 따르면 미국 호주 일본 등 11개국 419개 기업이 올 한 해 데이터 유출로 쓴 비용은 평균 362만달러(약 39억원)에 달했다.

세계적으로 방대한 양의 개인정보를 수집하는 구글, 우버, 애플 등 거대 IT 기업들도 해킹 등에 따른 유출 사고에서 예외일 수 없다. 우버는 5700만 명의 운전자 및 이용자의 개인정보를 해킹당한 사실을 1년간 은폐한 점이 최근 드러나면서 비난 여론이 거세게 일고 있다. 한국에서도 구글이 안드로이드폰 위치 정보를 사용자 동의 없이 수집했다는 의혹이 제기돼 방송통신위원회가 조사 중이다.

구글은 2011~2012년 아이폰 이용자 540만 명의 개인정보를 무단으로 수집했다는 혐의로 영국에서 집단소송을 당했다. 영국 소비자단체 워치는 구글이 아이폰 웹브라우저인 사파리에서 사용자 온라인 활동 정보를 허락 없이 수집했다는 이유로 런던고등법원에 소송을 냈다. 구글 자회사 더블클릭이 이렇게 모은 불법정보를 활용해 특정 고객을 겨냥한 맞춤광고를 내보냈다는 주장이다.

구글은 같은 이유로 2012년 미국 소비자보호기구인 연방거래위원회(FTC)로부터 2250만달러의 벌금을 부과받았다.

헐값에 팔리는 개인정보

특히 중국에서 웹사이트나 모바일 앱을 이용한 온라인대출이 늘면서 이를 통해 유출 혹은 탈취한 개인정보를 판매하는 암시장도 활성화하고 있다고 FT는 보도했다. 개인정보가 소셜미디어를 통한 마케팅이나 영업에 깊숙이 활용되면서 개인정보 수요도 크게 늘었다.

전자제품 전문 온라인 쇼핑몰인 수닝 산하 금융연구소의 수항얀 소장은 “온라인대출 플랫폼이 개인정보를 사고파는 일에 연루돼 있는 것은 분명하다”며 “모든 기업이 타깃을 정확히 조준해 마케팅하기 위해서 소비자 정보를 원하기 때문에 이 같은 행위를 멈추기 어려울 것”이라고 말했다. 이용자가 무심코 스마트폰에 있는 연락처, 위치 정보, 저장 파일 등에 대한 앱 접근 권한에 동의하는 것도 문제로 지적됐다.

모바일 앱 운영사들이 이용자 동의를 거쳐 합법적으로 수집한 개인정보는 다양한 경로로 ‘헐값’에 팔린다. 중국 텐센트의 PC 메신저 QQ를 통해 FT가 만난 한 온라인대출 앱 운영사 직원은 “이용자의 이름, 주민번호, 전화번호, 대출한도 등의 정보를 이용자 한 명당 4위안(약 650원)에 팔았다”고 밝혔다.

전 국가보안기술연구소장인 박춘식 서울여대 정보보호학과 교수는 “스마트폰, 클라우드, 소셜미디어 등을 통해 개인정보 수집이 너무 쉬워졌기 때문에 유출이 안 된 개인정보를 찾기가 오히려 어려울 정도”라며 “10만 개 묶음으로 개인정보가 팔려 나간다”고 말했다.

‘다크웹’이 거래 플랫폼

합법과 불법을 넘나들며 수집된 개인정보는 암시장에서 거래된다. 일반적으로 검색이 되는 ‘서피스웹’이 아니라 특정 소프트웨어나 프로토콜을 통해서만 접근할 수 있는 ‘다크웹’이 주 거래 장소다.

다크웹에서 운영되는 암시장을 통해 신용카드 정보 등과 같은 금융정보에서부터 취약점, 악성코드 등 해킹에 이용할 수 있는 정보도 거래된다. 한국 보안업체 스틸리언의 신동휘 이사는 “한국 신용카드 정보 등 특정 지역의 세분화된 개인정보를 전문적으로 파는 다크웹이 온라인 쇼핑몰처럼 운영된다”고 설명했다. 다크웹에서 거래되는 개인정보는 보이스피싱이나 파밍 등 범죄에 악용되기도 한다.

다크웹에선 개인정보뿐 아니라 해킹 도구, 마약, 무기 등 각종 불법거래가 이뤄지고 있다고 전문가들은 지적했다.

허준범 고려대 컴퓨터학과 교수는 “다크웹은 마약, 무기 등 불법적인 거래를 의뢰하기도 하고 실제 구매와 판매가 이뤄지는 플랫폼”이라며 “하지만 인터넷프로토콜(IP) 주소를 추적하기 힘들어 다크웹을 운영하는 국가를 특정하긴 어렵다”고 설명했다.

추가영 기자 gychu@hankyung.com