[겉도는 정보보호 대책] 브로커에 150만원 줬더니 30분 만에 개인정보 8000건 보내와

개인정보 유출 1년 (1) 여전한 불법 거래

인터넷 포털사이트엔 개인정보 판매 글 가득
주민·카드번호 등 고급정보 수집 어려워 가격 '껑충'
보안 취약한 사이트에서 개인정보 수집 금지시켜야

구글 등 포털 사이트에 들어가면 정보 판매 게시글을 금방 접할 수 있다(왼쪽). 이 중 한 곳에 카카오톡을 통해 접촉했더니 ‘구입할 생각이 있느냐’는 대답이 돌아왔다(오른쪽). 이런 방법으로 30분도 안 돼 8000건의 전화번호와 신용등급이 적힌 개인정보를 구할 수 있었다.

1년 전과 크게 달라지지 않았다. 지난해 1월 정보 유출 사태 당시 한국경제신문이 개인정보 브로커에게 개인정보를 구매했던 과정과 브로커를 통해 파악한 개인정보 유출·유통 실태 등은 1년이 지나도 그대로였다. 특히 보안이 되지 않은 인터넷 사이트는 아직도 무방비 상태였다.

○내 정보 입력하는 순간 줄줄 샌다

인터넷 포털 사이트에는 ‘디비(DB)를 판매한다’는 글이 여전히 올라오고 있다. 중국 옌지에 있다는 한 개인정보 브로커와 카카오톡 메신저를 통해 접촉했다. ‘DB를 구한다’고 하자 ‘대출 DB 8000개가 있다’며 샘플 10여개를 사진으로 찍어 보내왔다. 샘플에는 개인 휴대전화 번호도 포함돼 있었다. 대출 DB란 대출을 원하는 사람들의 개인정보를 모아서 만든 DB다.

브로커는 자신이 직접 만든 DB라고 소개했다. 방법을 묻자 ‘대출모집 사이트를 띄워 놓고 대출 상담을 신청하는 사람들이 입력하는 개인정보를 낚아채는 것’이라고 말했다. 이 과정에서 ‘와이어샤크’라는 네트워크 분석 프로그램을 사용한다고 귀띔하기도 했다. 암호화되지 않은 사이트에서 접속자와 운영자가 송수신하는 정보를 가로챌 수 있는 프로그램이다.

브로커가 요구한 150만원을 송금하자 30분 만에 개인정보 8000개를 보내 왔다. 성별과 거주지역, 전화번호, 직업, 신용등급 등이 들어 있었다. 지난주 초 각 사이트에서 대출 상담 신청을 했다가 대출을 못 받은 사람들이었다. 불법 대부업체가 단체 문자 등 마케팅에 주로 이용하는 정보다. 일부 전화번호로 전화를 걸어 경위를 설명하고, 대출 상담 신청을 했는지와 개인정보가 맞는지 등을 묻자 본인이 입력한 정보가 맞다는 답이 돌아왔다.

그러나 주민등록번호, 카드번호, 계좌번호 등의 정보는 지난해부터 구하기 어렵다는 게 브로커들의 공통적인 반응이다. 정부의 재발 방지 대책에 따라 금융회사가 수집·저장하는 개인정보 자체가 줄어든 영향이 크다는 분석이다. 특히 주민번호는 최초 거래 때만 수집되고, 그것도 암호화한 방식으로 저장되기 때문에 구하기 힘들다고 했다.

금융회사와 계열사, 협력사 간 정보 공유와 모집인 등 제3자에 대한 정보 제공 등이 제한되면서 유통되는 개인정보가 감소했다는 분석이다. 따라서 카드번호 등이 들어간 고급 개인정보의 경우 거래 가격이 두세 배가량 뛰었다는 게 업계 얘기다.

○“각종 사이트, 보안 강화해야”

그럼에도 개인정보가 버젓이 유출·유통되는 것은 암호화되지 않은 인터넷 사이트에서 이용자들이 직접 개인정보를 입력하기 때문이라는 게 브로커들의 설명이다. 브로커들은 대출 DB의 경우 주로 대출모집인이 운영하는 상담 사이트를 해킹해서 만든다고 했다.

대출 DB가 다가 아니다. 학원, 성인, 대리운전, 중고차, 통신사, 쇼핑몰 등 다양한 종류의 DB는 각각 관련 사이트의 보안 장치가 갖춰지지 않았기 때문에 만들 수 있는 것이라고 전문가들은 설명했다. 한 보안 전문가는 “인터넷에 떠도는 해킹 프로그램만 사용해도 10분 내 정보를 빼낼 수 있을 정도로 취약하다”고 말했다.

매매한 개인정보의 활용도 여전히 쉽다. 각 포털 사이트에는 대출 권유 문자 등을 수만건씩 대량으로 대리 발송하는 업체들이 버젓이 광고를 하고 있다. 건당 8~9원 정도면 가능하다. 업계 관계자는 “모든 인터넷 사이트의 보안 수준을 강화하든지, 어렵다면 보안 장치를 갖추지 않은 사이트는 개인정보를 수집할 수 없게 해야 한다”고 말했다.

김일규/이지훈 기자 black0419@hankyung.com