금융사기·절도·성범죄 등에 악용될 우려 커
[Cover Story-개인정보 유출] IT 기업·금융회사 등 개인정보 유출로 곤욕 치러
2004년 설립된 페이스북은 20억 명이 넘는 가입자를 끌어모으며 세계 최대 소셜네트워크서비스(SNS)로 승승장구해왔다. 하지만 최근 개인정보 유출 파문으로 창사 이후 최대 위기를 맞고 있다. 페이스북 사례에서 보듯 개인정보 보안의 중요성은 갈수록 높아지고 있다. 하지만 ‘철통 방어’가 말처럼 쉬운 일이 아니다. 정보기술(IT)의 발달로 스마트기기와 서버 등에 갈수록 방대한 데이터가 기록되는 추세이고, 보안기술이 발전하는 만큼 해킹기술도 향상되기 때문이다.

‘역대급’ 정보유출 사건 뭐가 있었나

글로벌 IT 기업에서는 개인정보 유출 사고가 종종 터져나온다. 역대 최악의 사건으로는 2014년 미국 포털사이트 야후의 해킹 사건이 꼽힌다. 야후 가입자 5억 명의 이름, 이메일, 전화번호, 생년월일, 비밀번호, 본인인증 질문 등 민감한 항목이 유출된 것으로 드러났다.

국내에서는 2011년 네이트와 싸이월드 사건이 큰 파장을 일으켰다. 중국의 한 해커가 서버에 몰래 침투해 3500만 명의 이름, 주민등록번호 등을 빼냈다. 2014년에는 KB국민카드, 롯데카드, NH농협은행 등 금융회사 세 곳에서 2000만 명의 정보 유출이 드러났다. 한 신용정보회사 직원이 계획적으로 개인정보를 캐내 대출업자에게 팔아넘겼는데, 정보를 암호화하지 않은 채 외부업체 직원이 관리할 수 있도록 하는 등 보안수칙이 허술했던 점이 원인이었다.

방송통신위원회에 따르면 2013년부터 2017년 7월까지 해킹 등으로 116건의 크고 작은 개인정보 유출 사고가 발생했다. 이로 인해 총 5342만 개 이상의 개인정보가 빠져나간 것으로 집계됐다. 유출 규모조차 파악이 안 되는 사고가 23건에 달해 실제 피해 규모는 훨씬 클 것으로 추정된다. 사후 대응은 대부분 엉망이었다. 유출된 개인정보 가운데 절반에 가까운 2400만 개는 회수 여부가 확인되지 않았다.
[Cover Story-개인정보 유출] IT 기업·금융회사 등 개인정보 유출로 곤욕 치러
보안 기초수칙 소홀한 것이 원인

개인정보 유출은 금융사기, 보이스피싱, 절도, 성범죄 등 범죄에 악용될 수 있다는 점에서 문제가 심각하다. 국내 한 숙박예약 서비스에서는 해커가 모텔 투숙객 정보를 빼내 “O월OO일 OOO에서 즐거운 밤 보냈느냐”는 식의 음란문자를 무더기로 발송, 회원들을 경악하게 한 일도 있었다. 한국인의 수많은 개인정보가 중국 등 해외 사이트에서 불법 거래되면서 보이스피싱 피해 또한 좀처럼 줄지 않고 있다. 금융감독원에 따르면 지난해 보이스피싱 피해액은 1년 전보다 26% 증가한 2423억원을 기록했다.

정보 유출 사고가 잊힐 만하면 뉴스에 등장하는데도 보안 수준은 개선되지 않고 있다. 전문가들은 해킹 사고가 발생한 기업들이 대부분 ‘기초적 보안’에 소홀했다는 공통점이 있다고 지적한다. 2016년 회원정보 2660만 건을 유출당한 인터파크는 해킹 피해 사실을 알리지 않고 자체적으로 처리하려다 사회적 지탄을 받았다. 입시교육업체 메가스터디는 개인정보보호법 위반으로 행정조치와 과태료 처분을 받은 지 석 달 만에 보안망이 또 뚫렸다. 가상화폐거래소 빗썸은 직원이 이용자 정보를 담은 파일을 개인 PC에 옮겨 관리할 정도로 느슨하게 운영하다 해킹을 당한 사례다.

한국인터넷진흥원(KISA)의 정보보호 실태조사에 따르면 2016년 네트워크에 연결된 컴퓨터를 보유한 9586개 사업체 가운데 정보보호 조직을 운영하는 곳은 전체 조사 대상의 11%에 그쳤다. 한 보안 컨설팅업체의 고위 임원은 “아주 기본적인 보안 조치만 취해도 정보보안 사고의 70~80%를 예방할 수 있다”고 꼬집었다.

정부, 페북·인스타·카톡 등 실태조사

페이스북은 이번 파문을 계기로 개인정보 관련 규정을 대폭 수정했다. 이용자 정보를 절대 판매하지 않는다는 점을 명시하고, 외부 앱(응용프로그램)이 게시물 등을 열람할 권한도 제한했다. 이메일이나 전화번호를 입력해 이용자를 검색하는 기능도 삭제하기로 했다. 과학기술정보통신부와 방송통신위원회는 페이스북은 물론 인스타그램, 카카오톡, 네이버밴드 등 국내외 주요 SNS 사업자의 개인정보 수집이 적정한지에 대해 실태 점검을 벌이고 있다.

◆NIE 포인트

국내외에서 큰 파장을 일으켰던 개인정보 유출 사건들을 알아보자. 개인정보 유출이 어떤 피해로 이어질지도 함께 토론해보자.

임현우 한국경제신문 IT과학부 기자 tardis@hankyung.com