윤종인 개인정보보호위원회 위원장이 지난달 25일 정부서울청사에서 열린 제7차 개인정보보호위원회 전체회의를 주재하며 발언하고 있다. 연합뉴스
윤종인 개인정보보호위원회 위원장이 지난달 25일 정부서울청사에서 열린 제7차 개인정보보호위원회 전체회의를 주재하며 발언하고 있다. 연합뉴스
해킹 등으로 유출된 개인정보를 '암거래'하는 해외 웹사이트 '레이드포럼(RAID forum)'에 국내 이메일·비밀번호 등 정보가 2300만건 넘게 유출된 것으로 드러났다. 보이스피싱·명의도용 등 '2차 피해'로 이어질 수 있어 당국이 피해 최소화 조치에 나섰다.

개인정보보호위원회는 과학기술정보통신부와 함께 레이드포럼의 개인정보 데이터베이스(DB)를 조사한 결과 국내 1362개 사이트의 계정정보(이메일 주소·비밀번호) 2346만여건이 포함돼 있음을 확인했다고 8일 밝혔다.

레이드포럼은 대표적인 개인정보 암거래 사이트다. 수억건 이상의 출처가 불명확한 개인정보가 공유되는데, 유료 거래가 이뤄지기도 한다. 대부분 해킹 등 불법적인 방법으로 수집된 것으로 추정된다. 지금도 이 사이트에는 "50만개 이상의 트위터, 스포티파이 등 계정정보를 거래한다" 등 글이 올라와 있다. 올 5월엔 국내 숙박예약 업체 '야놀자'의 개인정보를 판매한다는 글이 게시되기도 했다.

정부가 이 사이트를 전면 조사해보니 한국인 계정정보도 2300만건 이상 유출됐음이 밝혀진 것이다. 개인정보위는 유출 개인정보는 대부분 중소 규모의 민간·공공사이트 계정이었다고 설명했다. 네이버 다음 등 대형 사이트의 개인정보는 없었다. 2346만건 모두 특정 사이트의 이메일 주소와 비밀번호였다.

하지만 누군가가 이 정보를 갖고 로그인을 하면 전화번호나 주소 등 보다 많은 개인정보를 알아낼 수도 있다. 계정정보를 무작위로 다른 사이트에 대입, 추가로 개인정보를 탈취하는 '크리덴셜 스터핑(credential stuffing)'으로 이어질 가능성도 있다. 이는 결국 보이스피싱·명의도용 등 범죄로 귀결된다. 국내 보이스피싱 피해 건수는 2017년 2만4000건, 2018년 3만4000건, 작년 3만8000건 등으로 매년 늘고 있다.

정부는 피해를 줄이기 위한 조치에 나섰다. 불법 유출 개인정보 가운데는 가짜도 섞여있을 가능성이 있어 정보의 진위를 우선 확인 중이다. 정보가 유출된 국내 웹사이트에 '해당 계정정보가 유출된 것이 맞는지' 확인을 요청했다. 확인 결과 레이드포럼에 노출된 계정정보가 실제 계정과 일치하는 이용자에 대해서는 비밀번호 변경 등 보호조치를 취하도록 할 방침이다. 추가 조사를 통해 국내 웹사이트가 개인정보 보호 조치를 제대로 취하지 않았음이 밝혀지면 제재를 가한다. 나아가 개인정보 암거래 사이트 자체에 대한 불법성 조사 등도 검토할 계획이다.

근본적인 피해 예방 차원에서 '웹사이트 계정정보 유출확인시스템'도 구축하기로 했다. 국민이 자신의 웹사이트 계정정보가 유출됐는지 여부를 직접 확인할 수 있는 사이트다. 개인정보위 관계자는 "유출확인시스템이 운용되면 개인이 발빠르게 정보 유출 여부를 확인해 조치를 취할 수 있게 된다"며 "내년 1분기 중 사이트를 여는 것이 목표"라고 말했다.

윤종인 개인정보보호위원장은 "주기적인 비밀변호 변경과 2단계 인증 로그인 등 개인정보 보호수칙을 실천해 개인정보를 안전하게 지켜달라"고 당부했다.

서민준 기자 morandol@hankyung.com