벌거벗은 '개인정보 공개 공화국'

1억명이 넘는 신용카드 사용자 정보 유출의 충격이 채 가시기도 전에 이동통신 서비스 업체 등에서도 잇따라 1천만 명 이상의 정보가 흘러나갔다. 대한민국 5천만명의 개인정보가 해커와 정보 장사치의 먹잇감으로 전락한 지 오래지만 어디에도 또렷한 대책은 없어보인다. 국민은 소중한 개인정보와 은밀한 사생활을 돈벌이로 활용하는 장사치들 때문에 늘 불안하고 분통이 터지지만 할 수 있는 일이 별로 없다. 'IT강국 코리아'가 '개인정보 공개 공화국'이란 불명예 속에 휘청거리고 있는 것이다. 이에 지디넷코리아는 과연 무엇이 문제이고 어떻게 해야하는 지에 대해 2회에 걸쳐 긴급진단한다.[편집자주]

■길가 돌멩이처럼 널브러져 있는 우리들의 개인정보

이미 모두 발가벗었지만 그것에 대해 충격을 받고 공포를 느끼기는 커녕 개인정보유출 사건이 터져도 그려려니 하고 넘어가는 사용자들이 여기저기서 목격된다. 어차피 유출됐을텐데, 유출 여부를 확인해 괜히 열받을 필요가 없다고 생각하는 이들도 부쩍 늘었다.

무관심의 강력한 표현이다. 대단히 위험하고 비정상적인 상황이 아닐 수 없다. 무관심이 더 커질 경우 디지털 경제 자체에 결정적인 위기가 찾아올 수밖에 없다.

소송과 성명발표는 끊이지 않는다. 민주당 민병두, 유승희, 이찬열, 진선미 의원, 경제정의실천연합, 소비자시민모임, 참여연대, 진보네트워크센터, 함께하는 시민행동 등 시민단체들은 보다 근본적인 대책을 내놓으라고 성토한다.

서울YMCA 시민중계실은 두 차례나 개인정보가 털린 KT를 정보통신망법 위반 혐의로 검찰에 고발했다. 성수현 간사는 시민들은 황당하고 열이 받는다며 어쨌든 개인정보를 잘 보호해 줄 것이라고 믿고 맡기는 기업들이 소비자들에 대한 피해 보상 대책은 내놓고 있지 않는다고 하소연한다.

네이트 3천500만명 개인정보유출에 대한 집단소송은 3년째 법정 공방 중이다.

개인정보를 유출 당한 기업 대표들은 기자회견을 열고, 머리를 숙여 사과하고, 홈페이지에 재발방지책을 올린다. 경찰 수사에 적극 협조하겠다는 말도 덧붙이지만 여지없이 사고는 터진다.

개인정보 유출이 사회적인 이슈가 된 건 오래 전의 일이다. 사고는 때가되면 터졌고, 그때마다 정부와 기업 책임자들은 머리를 숙여 사과하고, 대책 발표를 쏟아낸다. 경찰 수사에 적극 협조하겠다는 말도 빼놓지 않는다. 결과적으로 대책은 그저 구호였을 뿐이다. 각종 대책을 비웃듯 개인정보유출사건은 끊이지 않는다.

KT사건에서 보듯, 쉽게 막을 수 있는 해킹툴에 당하는 어처구니 없는 장면도 계속 연출된다. 이러한 장면이 반복되자 많은 이들이 우리나라는 '도대체 왜 이 모양 이 꼴이냐!'고 개탄한다. 일련의 초대형 개인정보유출 사건을 둘러싼 우리사회의 풍경은 대충 이렇게 요약된다.

어처구니 없는 장면이 반복되는 불편한 현실은 구조적인 모순에 기반한다. 개인정보를 과도하게 수집하는 관행, 프라이버시에 대한 사용자 인식의 부족 그리고 말과 행동이 다른 기업들의 보안 투자가 맞물려 벌어진 결과다.

디지털 공간에 쌓인 개인 정보가 넘쳐나고, 개인정보는 점점 돈되는 시대로 진화(?)하고 있고, 해커 입장에서 그런 정보를 훔치는 것도 그리 어렵지 않으니 무더기 유출 사고가 반복해 터지는건 당연한 수순이라는 얘기다.■주민번호의 함정

개인정보유출 사건의 원인 분석에서 빠지지 않고 등장하는 존재가 있으니, 주민번호다. 전 국민이 공통적으로 주민등록번호를 마치 인터넷 계정의 ID를 다루듯 활용될 수 있도록 사회 인프라가 구축돼 왔다는 점이 근본적인 위기를 초래했다는 지적이다.

임종인 고려대 정보보호대학원장은 현재 모든 영역에 광범위하게 쓰이고 있는 주민번호를 없앨 수는 없지만 공공에서만 쓰도록 하고, 사적인 영역에서는 못쓰게 해야 한다고 말했다.

이와 관련 미래창조과학부 정보보호정책과 신홍순 사무관은 주민번호는 현재로서는 유일한 식별체계로 사용되다보니 문제가 되고 있다며 근본적으로는 바꿀 수 없다는 문제를 해결할 필요가 있다고 말했다. 그러나 주민번호 자체를 없앤다기 보다는 공적인 영역에서만 아주 제한적인 용도로 사용될 필요성은 있다는 의견을 밝혔다.

주민번호가 가진 태생적인 한계는 그동안 인터넷을 기반으로 움직이는 디지털 경제 사회에서 본인임을 확인할 수 있는 유일한 수단으로 쓰여 왔다는 점이다. 주민번호와 이름만 알면 대부분 인터넷 사이트, 온라인 게임 계정에 가입할 수 있다.

우리나라에서 인터넷 뱅킹, 사이트 가입, 이메일 계정 개설 등을 위해 본인확인이 필요한 곳에서 주민번호는 만능열쇠처럼 다뤄져 왔다.

개인정보유출이 유독 많을 수 밖에 없는 우울한 현실의 전주곡이었다.

■자본주의와 결합하는 해킹

언제부터인가 해킹은 돈벌이가 됐다. 보이스피싱, 스미싱, 소액결제 사기는 물론 불법 텔레마케팅 및 대출 전화까지 개인정보가 돈을 주고 거래되는 가치 있는 정보라고 여겨지는 이상 영원히 공격자들의 표적이 될 수밖에 없다.

금융보안연구원의 성재모 본부장에 따르면 지난 2006년 적발된 NC소프트 온라인 게임 리니지 명의 도용은 당시 유포됐던 개인정보 거래 실상을 적나라하게 보여준다.

당시 중국 소재 IP로부터 수십만건에 달하는 주민번호 등 개인정보가 유출돼 자신도 모르는 사이에 온라인 게임 계정이 만들어지는 일이 발생했다. 별다른 수단 없이도 주민번호, 이름만 알면 회원가입이 허용되는 시스템의 취약점을 악용한 사건이었다.

이렇게 취합된 정보들은 국내 사업자들에게 판매되기도 하지만 악성프로그램을 제작해 판매하는 블랙마켓(지하경제시장)에서 암암리에 거래되기도 한다.

카스퍼스키랩 유럽 담당 이사인 마르코 프레우스는 '사이버 언더그라운드 진화'라는 발표를 통해 블랙마켓에서 공격용 툴(익스플로잇키트)나 좀비PC 네트워크(봇넷)은 물론 훔쳐낸 개인정보를 거래하는 경우도 비일비재하다고 말했다.

8년여가 지났지만 상황은 개선되기는 커녕 오히려 악화됐다. 추가적인 여러 정보 없이도 주민번호와 이름 등 몇가지 정보만 알고 있으면 손쉽게 디지털 경제 환경에서 다른 사람 흉내를 낼 수 있다는 점에서 이와 관련된 지하경제는 꾸준히 성장하고 있는 중이다.

방송통신위원회, 금융감독원 자료에 따르면 지난 2011년~2012년 사이 유출된 개인정보만 6천341만100건에 이른다. 최근 5년 간 해외로 유출된 개인정보는 4만여건이다.

■온라인 웹사이트, 빗장없는 개인정보 노다지

돈되는 개인정보가 온라인에 가득차 있고, 그걸 노리는 이들이 있다면 방어 체계를 강화하는 것이 당연하다.

그러나 지금의 공격과 방어간 심각한 불균형이 존재한다. 특히 웹서비스쪽에서 불균형이 심화되고 있다는 지적이다.

해커나 다른 범죄자들에게 우리나라 온라인 웹사이트는 빗장없는 노다지나 다름없다. 가입자수 1천600만명에 달하는 KT는 2012년 고객정보조회시스템을 위장한 해킹툴에 노출돼 5개월에 걸쳐 800만명의 개인정보가 유출된 바 있다. 그러나 2년 뒤에 또다시 개인정보 유출 문제가 불거졌다. 나름대로 철저하게 고객 정보를 관리하는 것으로 알려진 KT가 맥없이 무너진 것이다.

사실 이보다 큰 문제는 중소규모 웹사이트에 있다. KT보다 보안에 대한 투자, 전문인력들이 부족한 이들 사이트는 사실상 자물쇠는 커녕 문을 반쯤 열어놓고 해커들을 기다리고 있는 실정이다.

이들이 관리하고 있는 웹서버에는 국제웹보안표준기구(OWASP)가 매년 발표하고 있는 톱10 취약점에 대한 기본적인 보안조치도 이뤄지지 않고 있는 경우가 대부분이다. 국내 보안전문가에 따르면 SQL인젝션, 크로스사이트스트립트(XSS) 등과 같은 기본적인 관리 대상 취약점에 대해 알고 있는 전문가가 없다.

심종헌 지식정보보안산업협회(KISIA) 회장은 국내에는 시스템을 관리하는 담당자가 다른 업무를 중복해 담당하고 있는 경우가 대부분이라 전문성이 떨어진다는 지적들이 기업, 기관 담당자들 사이에서도 나오고 있는 실정이라고 밝혔다.

중소규모 기업이 구축한 웹사이트, 혹은 웹하드나 온라인 커뮤니티 등이 악성코드 유포지의 온상이 되는 것은 물론 이들이 웹서버에 보유하고 있는 개인 정보들은 이미 대부분 털린 것이나 마찬가지라는 지적이 나오고 있는 이유다.

실제로 한국인터넷진흥원(KISA) 등이 보안관제를 통해 특정 웹사이트의 취약점을 찾아내 담당자에게 통보했다고 하더라도 해당 악성파일을 삭제할 뿐 취약점에 대해 보완할 수 있는 전문성은 없다는 것이다. 도둑이 침입하면 계속 내쫓기는 하지만 정작 빗장을 걸고, 경비를 세울 생각은 못한다는 지적이다.

■주요 개인정보유출 사고 일지

▲2008년

1월 옥션 개인정보 1천81만건 유출, 전체 회원 1800만명 중 60% 피해

9월 GS칼텍스 개인정보 1천125만건 유출, 내부직원 소행

▲2009년

2월 옥션, 이용자 1천81만명 개인정보 유출, 100만명 계좌번호도 유출

▲2011년

4월 농협 이틀 간 현금인출기, 인터넷뱅킹 중단, 현대캐피탈 개인정보 175만건 유출. 노트북으로 무선인터넷을 통해 회사 서버에 접속, 해킹툴 웹셀로 개인정보 탈취

7월 네이트, 싸이월드 개인정보 3천500만건 유출

8월 한국엡손 개인정보 35만건 유출

11월 넥슨 '메이플스토리' 개인정보 1천320만건 유출

▲2012년

2월~7월 KT 휴대전화 개인정보 873만건 유출. 휴대폰 대리점이 사용하는 고객정보 조회시스템과 유사한 악성프로그램 만들어 고객정보 해킹. 10년간 프로그램 개발을 담당한 베테랑 프로그래머 소행.

5월 한국교육방송공사(EBS) 홈페이지 회원 422만5681명 개인정보 유출

▲2013년

12월 미국 대형마트 타깃 POS단말기 해킹으로 사용자 이름, 이메일, 휴대폰 번호, 신용카드 번호 등 1억1천만명 개인정보 유출. 해당 정보로 만든 위조 신용카드가 20달러~100달러 사이 판매됨.

▲2014년

1월 국민, 롯데, 농협카드 1억400만건 고객정보 유출. 2012년 10월부터 2013년 12월까지 카드 위변조방지시스템 구축하는 IT외주업체 코리아크레딧뷰로(KCB) 직원 박 모씨를 통해 유출. 주민등록번호, 신용카드번호등 포함, 해외 메신저앱 스냅챗 사용자 460만명 개인정보유출.