골프존부터 홍익대까지… 내 '개인정보' 정말 괜찮나요? [추적+]

더스쿠프 심층취재 추적+
흔들리는 개인정보 보안➊
부쩍 늘어난 개인정보 유출
기업과 정부 모두 속수무책
기업의 낮은 보안 인식이 문제
10개 중 3개 기업만 정보보호
민감 정보 암호화하지 않고 보관
한국 정보보안 수준 괜찮은 걸까

분야를 막론하고 서비스 이용자의 개인정보가 유출되는 사고가 늘고 있다.[사진=게티이미지뱅크]

# 최근 들어 기업들이 해커의 공격에 속수무책으로 털리고 있습니다. 그로 인해 적게는 수천명, 많게는 수백만명의 개인정보가 유출되는 사태가 발생했죠.

# 혹자는 "그깟 개인정보가 유출된 게 뭐 그리 대수냐"고 말할지 모릅니다만, 허투루 넘길 만한 문제는 아닙니다. 우리가 하루에도 몇번씩 받는 스팸문자·메일, 보이스피싱 등은 모두 이 개인정보 유출이 낳은 결과물이기 때문입니다.

# 문제는 상황이 이렇게 심각한데도 정부와 기업이 뾰족한 해결책을 내놓지 못하고 있다는 점입니다. 정부기관까지 해커에게 농락당할 정도이니 말할 필요도 없습니다. 우린 지금 무엇을 준비해야 할까요? 더스쿠프 視리즈 '흔들리는 개인정보 보안' 1편입니다.

현대인은 온라인 세계에 흠뻑 빠진 채 살아갑니다. 인터넷 검색부터 쇼핑, 음악감상, OTT, 배달 등 어느 것 하나 온라인과 연결되지 않은 서비스가 없으니까요. 그럼 우린 얼마나 많은 온라인 서비스를 이용하며 살고 있을까요?

개인정보보호위원회가 제공하는 서비스 '개인정보 포털'을 이용하면 자신이 어떤 웹사이트에 가입했는지 조회할 수 있습니다. 기자가 가입한 웹사이트는 총 34개였습니다. 여기에 휴대전화 앱까지 계산하면 이용 중인 서비스는 훨씬 더 많을 겁니다. 어디 이뿐인가요? 동네마트나 미용실에서 운영하는 회원제도 역시 넓은 의미론 '온라인 서비스'에 해당합니다. 네트워크를 이용해 시스템을 관리하고 있으니까요.

이런 서비스를 이용하기 위해 가장 먼저 해야 할 일은 '회원 가입'입니다. 그러려면 개인정보를 입력하는 건 필수입니다. 아이디와 비밀번호부터 휴대전화번호, 집 주소 등 꽤 자세한 개인정보를 써서 제출해야 합니다. 심지어 PC방을 이용할 때도 이런 정보를 요구합니다만, 대부분 망설임 없이 개인정보를 입력합니다. 업체가 알아서 잘 관리해줄 거라 믿고 있어서겠죠.

문제는 실상이 그렇지 않다는 점입니다. '개인정보 침해 피해를 입었다'는 소비자들의 민원은 요즘도 줄을 잇고 있습니다. 개인정보보호위원회(이하 개보위)에 따르면 지난 3월 개인정보 침해 상담 건수는 6657건으로 2월(4883건)보다 36.3% 증가했습니다. 실제 개인정보가 유출된 건수도 어마어마합니다. 2020년 8월부터 지난해 8월까지 3년간 유출된 개인정보는 총 6505만2232건에 달합니다.

[일러스트=게티이미지뱅크]

개인정보가 어디론가 빠져나가는 경로도 대학교부터 대기업, 정부에 이르기까지 다양합니다. 2023년 11월 '스크린골프업체' 골프존에서 터진 개인정보 유출사건을 살펴보죠. 당시 해커는 골프존의 서버를 공격했는데, 이 과정에서 골프존 임직원의 파일들이 외부로 유출됐습니다.

파일엔 221만명에 달하는 서비스 이용자와 임직원의 이름·전화번호·이메일·아이디 등 개인정보가 담겨 있었죠. 주민등록번호(5831명)와 계좌번호(1647명) 등 금전적인 피해로 이어질 수 있는 민감한 정보도 들어 있었습니다.

불과 몇주 전인 지난 3일에는 홍익대에서 학생들의 개인정보가 유출되는 사고가 발생하기도 했습니다. 담당 직원의 실수로 총 1만2367명의 개인정보가 담긴 자료가 제3자에게 메일로 발송됐습니다. 메일을 받은 사람만 6338명에 달했죠.

그나마 다행인 건 유출항목이 학과명·학번·학년 등으로 전화번호·주민등록번호를 비롯한 민감한 개인정보가 빠져있다는 점이었습니다. 홍익대는 지난 3일 공지한 사과문에서 "개인정보 침해사고 대응팀을 구성해 절차에 따라 철저히 조사했다"면서 "추가 피해를 예방하기 위해 발송된 메일을 회수·파기하고 있다"고 밝혔습니다.

대기업 서비스도 예외는 아니었습니다. '국민 메신저'인 카카오톡은 현재 개인정보 유출 사건으로 개보위의 조사를 받고 있습니다. 6만5000여건에 달하는 이용자의 이름·전화번호·대화 내용 등 개인정보가 카카오톡에서 유출된 정황이 발견된 탓입니다.

사건의 전말은 이렇습니다. 지난해 초, '카카오톡 오픈채팅방에 참여자의 개인정보를 추출해줄 수 있다'는 내용의 글이 인터넷에 돌기 시작했습니다. 이 글을 올린 업체가 오픈채팅방을 타깃으로 삼은 건 그곳 참여자의 데이터 가치가 그만큼 높기 때문이었습니다.

익명으로 참여하는 '오픈채팅방'은 코인 정보 공유나 자기 계발, 취미 모임 등 특정 목적을 갖고 만들어지는 경우가 많습니다. 해당 분야에 관심 많은 사람이 모일 가능성이 매우 높아서 오픈채팅방 참여자의 데이터는 마케팅 업계에서 높은 가격에 거래됩니다.

개보위가 밝힌 이 업체의 유출 방식은 다음과 같습니다. 업체는 언급했듯 카카오톡의 회원 일련번호를 불법으로 수집했습니다. 그런 다음 오픈채팅방에 침투해 불법 프로그램으로 채팅방 참여자들의 회원일련번호를 뽑아냈고, 앞에서 추출한 정보와 대조했습니다.

이런 방식을 통해 익명 참여자들의 카카오톡 닉네임과 전화번호 등을 알아낼 수 있었던 겁니다. 개보위는 23일 개인정보 보호법 위반을 이유로 카카오톡에 과징금 151억4196만원, 과태료 780만원을 부과했습니다. 이는 국내 기업에 부과된 과징금 중 역대 최고액입니다.

개인정보보호위원회는 카카오톡에 역대 최고액의 과징금을 부과했다.[사진=뉴시스]

법원도 개인정보 유출의 타깃이 됐습니다. 지난 12일 경찰청 국가수사본부는 북한의 해킹 조직 '라자루스'가 2021년 6월부터 지난해 1월까지 법원 전산망에 악성코드를 심어 1TB(테라바이트)에 달하는 개인정보를 탈취했다고 밝혔습니다. 여기엔 주로 주민등록번호와 진단서, 자필 진술서, 채무자료 등 개인정보가 다수 포함돼 있었습니다.

한국의 온라인 서비스는 개인정보 유출에 왜 이렇게 취약한 걸까요. 이는 국내 기업들의 보안 수준이 낮기 때문일 가능성이 작지 않습니다. 정보통신기획평가원이 발간한 '2023년 정보보호 실태조사'에 따르면, 설문조사에 참여한 6500개 기업 중 '정보보호 정책을 보유하고 있다'고 응답한 기업은 38.6%에 그쳤습니다.

'정보보호 조직을 보유하고 있다'는 응답률은 31.5%였고, '정보보호 교육을 실시하고 있다'도 32.9%로 낮았습니다. 정보보호에 제대로 신경 쓰는 기업이 10곳 중 3~4곳에 불과한 셈입니다.

전문인력도 턱없이 부족했습니다. 기업들의 정보보호 담당 인력은 평균 0.8명에 불과했습니다. 정보보호 예산 총액도 가장 낮은 단위인 '500만원 미만'이 38.0%로 가장 높죠. 그렇다고 이들 업체가 아무런 대책도 세우지 않은 건 아닙니다. 전체의 99.5%가 '정보보호 제품 및 서비스를 이용한다'고 응답했습니다.

보안전문업체에 정보보호를 맡긴다는 얘긴데, 주로 '네트워크 보안 장비(80.4%·이하 복수 응답)'나 '시스템 보안 장비(78.0%)' '정보유출 방지 장비(34.4%)' 등의 분야에서 제품·서비스를 사용하고 있습니다.

하지만 보안 서비스를 이용하고 있다 하더라도 전담조직이 없으면 한계가 있을 수밖에 없습니다. 개인정보 유출에 즉각 대응 하기가 어려운 데다, 개인정보를 허술하게 다룰 가능성도 배제할 수 없으니까요.

사례로 꼬집었던 골프존이 대표적입니다. 개보위의 조사 결과, 골프존은 주민등록번호 등을 암호화하지 않고 서버에 저장·보관했습니다. 보유기간이 경과하거나 불필요해진 개인정보를 파기하지 않는 등의 위반행위도 저질렀습니다. 개보위는 보호법 제29조 안전조치의무 위반을 이유로 골프존에 과징금 75억원, 과태료 540만원과 시정 및 공표명령을 내렸습니다.

이뿐만이 아닙니다. 기업의 편의를 봐주는 듯한 정부의 솜방망이 처벌도 개인정보 유출을 키우는 원인 중 하나입니다. 수십만명의 개인정보를 유출해도 고작 몇백만원의 과태료를 무는 경우가 허다합니다.

문제는 이런 개인정보 유출의 최종 피해자가 시민이란 점입니다. 유출된 개인정보는 스팸 문자, 보이스 피싱 등 우리를 괴롭히는 다양한 범죄수단에 활용됩니다. 개인정보 유출에 안일하게 대처해선 안 되는 건 이런 이유에서입니다. 이 문제는 '흔들리는 개인정보 보안' 2편에서 자세히 다루겠습니다.

이혁기 더스쿠프 기자
lhk@thescoop.co.kr