총체적 부실의 늪 빠진 개인정보보호··· 기업 관리도 정부 대응도 ‘미흡’
[디지털데일리 이종현기자] 대한민국 개인정보보호가 총체적 부실의 늪에 빠졌다. 기업들은 자신의 고객정보 보호에 소홀하고, 이를 관리·감독할 정부기관의 대응은 부실하다. 애꿎은 국민들만 피해를 보는 중이다.
<디지털데일리>는 최근 해킹포럼이나 텔레그램 등을 통해 한국 기업·기관의 데이터가 유출되는 정황을 다수 포착했다. 2주 사이 직접 확인 및 제보받은 기업만 10여곳에 달한다. 확인된 유출 규모만 10만명 이상이다. 한국인 개인정보를 판매한다는 이의 주장을 그대로 수용한다면 최근 한달 사이 유통되는 개인정보 규모는 인구의 절반에 가깝다.
개인정보의 유출은 통상 이를 관리하는 기업 또는 기관의 데이터베이스(DB) 따위가 유출되는 데서 시작한다. 유출 데이터를 입수한 이가 구매자를 찾아 판매하는데, 한 번 유통되면 그 정보는 계속해서 재유통된다.
단적인 예가 2021년 유출 사고를 겪은 여성 쇼핑 애플리케이션(앱) 브랜디다. 브랜디는 해킹으로 개인정보 639만건이 유출됐다. 당시 유출됐던 정보는 2023년 현재까지도 재유통되는 중이다. 브랜디는 2022년 개인정보보호위원회(이하 개인정보위) 3억8900만원의 과징금과 780만원의 과태료를 부과받은 바 있다.
유출된 데이터는 통상 비트코인과 같음 암호화폐로 거래된다. ‘A 기업의 데이터 5비트코인’ 같은 방식이다. 중요도가 낮거나 이미 유출됐던 정보, 기업이 거래에 응하지 않는 등의 경우에는 무상으로 유포하기도 한다. 작년 3월 있었던 삼성전자의 데이터가 무료로 공개된 케이스다.
지난 연말부터 국내 기업의 개인정보 유출이 잇따라 발생하고 있다. 피해 규모도 다양하다. 천여명 단위 유출부터 수만명대도 드물지 않다. 유포자의 주장에 따르면 수백만명, 수천만명에 달하는 유출도 있는 상태다. 샘플 데이터로는 진짜 데이터로 추정되나, 진위여부는 유출 기업이나 수사기관의 답이 나오지 않을 경우 확신하기 어렵다.
흔하게 유통되는 것 중 하나가 폐쇄회로(CC)TV 영상정보다. 여러 이유를 통해 곳곳에서 운영되고 있는 CCTV 중 비밀번호 설정이 안 돼 있는 것이 주요 타깃이다. 인터넷을 통해 한국의 시설 내·외부를 촬영하는 영상 수천개 이상을 손쉽게 찾을 수 있다. 비밀번호가 설정돼 있지만 그마저도 함께 유출되곤 한다.
최근에는 기업의 내부 DB가 고스란히 노출되는 경우도 많다. <디지털데일리>는 작년 12월 캠핑카 렌트업체들과 제휴해 플랫폼을 제공 중인 기업에서 수천여명, 건물관리 서비스를 제공하는 업체서 수만여명의 데이터가 유출된 정황을 보도했다.
이밖에 특정 산업계 협회 웹사이트나 스포츠 관련 기관, 여행 관련 플랫폼 등을 비롯해 기업 등도 파악됐다. 일부는 데이터 거래가 완료돼 게시글이 삭제된 것처럼 추정되는 사례도 있다.
새해에도 개인정보 유출이 지속되는 중이다. 새해 벽두부터 국내 대형 이동통신사의 데이터를 판매한다는 이가 등장한 것이 시작이다.
또 지난 5일에는 온라인 명품 거래 플랫폼을 제공하는 기업의 데이터를 유출했다는 판매자도 나타났다. 판매자는 2023년 1월 1일까지의 데이터라며, 120만명의 사용자 데이터라고 주장한다.
정보 유출을 겪은 기업들은 피해자이지만 기본적인 보안 조치 미흡이 지적될 수밖에 없다. 유출 정보 중 상당수가 암호화와 같은 보안 조치가 이뤄져 있지 않기 때문이다. 암호화된 데이터의 경우 유출되더라도 이를 해독할 수 없기 때문에 피해를 최소화할 수 있는데, 중요 정보들이 암호화 조치 없이 고스란히 노출된 것은 기업들의 잘못이다.
이런 유출에 대응하는 정부기관도 답답한 것은 매한가지다. 개인정보보호법상 침해사고 신고는 피해 당사자만 하도록 돼 있다. 전 국민이 해킹포럼을 들여다보며 ‘혹시 내 정보는 유출되지 않았을까’를 살펴야 하는 실정이다.
신고에도 불구하고 유출이 이뤄진 웹사이트 인터넷주소(URL)가 ‘404 Not Found(요청한 페이지를 찾을 수 없습니다)’로 인해 확인할 수 없다는 황당한 답이 돌아오기도 한다. <디지털데일리> 확인 결과 해당 URL은 6일 오후 1시까지도 활성화돼 있다.
개인정보 유출 피해가 없다면 최상이겠지만, 유출을 원천 차단하는 것은 어렵다. 거대 글로벌 기업들도 침해사고를 겪는다. 당장 해킹포럼에서는 페이스북, 트위터, 웨이보, 텔레그램, 링크드인 등 기업들의 데이터가 활발히 거래되고 있다. 미국이나 중국, 러시아, 브라질, 이라크, 터키 등 국가 데이터도 유출돼 있다.
문제는 사고 이후의 대처다. 사고를 겪은 뒤 재발 방지를 위한 노력이 이뤄짐으로써 점진적으로 보안 수준이 향상돼야 하지만 사고에도 불구하고 쉬쉬하며 이를 알리지 않고 조용히 넘어가는 일이 비일비재하다. 유출에 대한 책임이나 피해 보상도 미미하다.
지난 정부에 이어 윤석열 정부 역시 데이터 활용을 특히 강조하고 있다. 데이터가 곧 경쟁력인 시대에, 데이터 활용은 피할 수 없는 흐름이라고 할 만하다. 그러나 활용을 강조하기에는 안전장치가 너무나도 미흡하다. ‘브레이크 없이 가속 페달만 있는 차량 같다’는 지적을 피하기 어려워 보인다
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18