2000년대 개인정보 유출의 '어두운 역사'

[아시아경제 김혜원 기자] 최악의 개인정보 유출 사고를 일으킨 카드 3사(KB국민카드ㆍ롯데카드ㆍNH농협카드)로 인해 2000년대 들어 발생한 크고 작은 개인정보 유출 사고가 설 연휴를 맞아 다시 화젯거리가 됐다. 세계적으로 매년 20%씩 증가한다는 개인정보 유출의 어두운 역사에 대해 짚어 봤다.

30일 관련 업계 및 산업통상자원부에 따르면 개인정보 유출 사건은 2005년 온라인 게임사 엔씨소프트에서 시작됐다. 당시 이 회사의 '리니지2' 게임은 50여만명에 가까운 회원 수를 자랑하며 선풍적 인기를 끌었다. 문제는 회사 측이 이용자의 접속 정보를 암호화하지 않은 데서 비롯됐다. PC에 이전 이용자의 기록이 남아 있어, 이를 알게 된 회원 몇 명이 전국 PC방을 돌아다니며 다른 이용자의 아이템을 털어가는 사건이 일어난 것. 뒤늦게 상황을 파악한 엔씨소프트가 조치에 나섰지만, 피해자들은 금전적 보상을 요구했다. 결국 소송으로 번졌고 법원은 2009년 5월 피해자의 손을 들어줘 44명의 회원에게 각각 10만원씩 보상하도록 판결했다.

2008년 2월에는 온라인 쇼핑몰 업체 옥션에서 1860만명에 이르는 회원의 계정과 이름, 주민등록번호, 이메일 주소, 집 주소, 전화번호 등을 해킹당한 사건이 발생했다. 당시 해커는 회원들의 개인정보를 볼모로 옥션으로부터 거액의 돈을 뜯어내려 했다. 해커 일당은 해킹 사실을 알리지 않는 대가로 옥션 측에 14억원을 요구했다고 한다. 다행히 5명의 용의자는 검거됐지만, 그 과정에서 2000만명에 가까운 회원들의 개인정보가 인터넷에 유출되고 말았다.

같은 해 서울 역삼동 뒷골목에서는 GS칼텍스 회원 1125만명의 개인정보가 담긴 CD 1장이 발견됐다. 이 CD에는 당시 국회의장과 경찰청장, 국방부 장관 등 고위 인사들의 개인정보까지 담겨 있는 것으로 밝혀져 큰 문제가 됐다. 사건은 GS칼텍스 외주 업체인 GS넥스테이션의 직원과 3명의 공모자가 벌인 일로, 이들은 GS칼텍스 회원의 이름, 주민번호, 집 주소, 전화번호, 이메일 주소 등을 빼 내 변호사 사무실에 팔려다 변호사의 임기응변에 덜미를 잡혔다고 한다.

개인정보 유출은 2010년 이후 더욱 심해졌다. 당시 인터넷을 통해 은밀히 개인정보를 팔다 적발된 범죄자는 중국인 해커에게 70만원을 주고 신세계몰 등 웹사이트 7곳의 회원정보 650만명분을 샀다고 진술했다. 이 사람 외에 개인정보를 사들여 판매한 3명의 용의자는 신세계몰, 아이러브스쿨 등 25곳에서 개인정보 2000여만건을 수집해 유출한 것으로 드러났다. 이 사건은 개인정보 데이터베이스(DB) 암호화를 의무화하는 개인정보 보호 대책 법안 통과의 계기가 됐다.

같은 해 현대캐피탈에서도 개인정보 유출 사건이 벌어졌다. 신씨 성을 가진 해커와 그에게 범행을 의뢰한 공범 3명이 175만명분의 현대캐피탈 회원 개인정보를 빼낸 것. 신씨는 현대캐피탈 서버에 접속해 해킹 프로그램을 설치한 뒤 개인정보를 빼돌릴 수 있는 웹 주소를 얻어냈고, 이것으로 현대캐피탈 측을 협박해 1억원을 받아냈다. 하지만 2011년부터 2013년 사이 모두 검거됐다.

소셜네트워크서비스(SNS)의 1세대 격인 싸이월드(SK커뮤니케이션즈) 정보유출 사건도 세상을 들썩였다. 해커는 SK커뮤니케이션즈에서 고객 데이터를 관리하는 직원의 컴퓨터가 악성코드에 감염될 때까지 기다린 다음 네이트와 싸이월드 회원 3500만명의 계정과 이름, 휴대폰번호, 이메일 주소, 비밀번호, 주민번호 등을 고스란히 빼갔다. 당시 큰 이슈로 대두됐던 인터넷 실명제가 이 사건을 계기로 다시 제한적 본인확인제로 바뀌었다.

2012년에는 EBS 수험생 회원을 대상으로 한 해킹 사건, KT에서 휴대폰 가입자 873만명의 정보가 도난당한 사건, 코웨이 정수기ㆍ공기청정기ㆍ비데 렌탈 서비스 전체 가입 고객 198만명의 정보가 유출된 사건 등이 발생했다.

지난해 11월에는 한국스탠다드차타드(SC)은행과 한국씨티은행을 이용하는 고객 13만여명의 개인정보가 대규모로 유출되는 사건이 벌어지기도 했다. 이는 씨티은행 직원과 SC은행 외주 개발 업체 직원이 벌인 것으로 밝혀져 업체의 보안 의식과 관리에 커다란 문제가 있음을 보여줬다. SC은행의 전산프로그램 개발을 맡았던 외부 업체 직원은 대학 선배의 부탁을 받고 3개월 동안 10만3000여건의 개인정보를 이동식저장장치(USB)에 저장해 건당 50~500원을 받고 팔았다. 씨티은행 대출 담당 직원이었던 범인은 지난해 4월 은행 내부 전산망에서 고객의 이름과 휴대폰번호, 대출액, 만기일자 등 민감한 개인정보 3만4000여건을 문서로 출력했다고 한다. 이들이 이렇게 빼낸 개인정보는 300만건이 넘었다.

최근 들어 특정인을 겨냥하는 스피어피싱 온라인 범죄도 기승을 부리고 있다. 스피어피싱은 지인으로 위장한 이메일에 악성코드가 든 문서나 파일을 첨부해 그 파일을 열면 쥐도 새도 모르게 악성코드가 설치되는 신종 금융사기 수법이다. PC에 악성코드가 설치되면 피해자 PC에 있는 모든 파일이 해커의 컴퓨터로 전송된다. 잉카인터넷, 안랩 등 정보기술 보안 업계에 따르면 특정인, 특정 집단을 겨냥해 기밀정보를 빼내는 스피어피싱의 피해가 최근 급속도로 확산되고 있다. 한 예로 국내 통일연구 기관 직원은 '상임위원 워크숍 개최 계획과 남북통일위원회 명단.zip'이란 파일이 첨부된 이메일을 받았다가 컴퓨터에 악성코드가 설치되는 일이 발생했다.

2008년 이후 국내에서 유출된 개인정보는 9800만 건이 넘는다고 한다. 개인적 차원에서는 전자금융 사기를 예방해주는 보안프로그램을 설치하고 방화벽을 강화하며 출처가 불명확한 파일이나 이메일은 열지 않고 삭제하는 등 주의가 필요하다. 또한 기업과 정부 차원에서는 기업의 개인정보 수집과 관리를 더욱 엄격히 감독하는 한편 수준 높은 보안 체계를 수립하고 관리하도록 제도를 마련해야 할 필요가 있다.