관계 기관, 암거래 시장 정보력 부족 문제…이미 유출된 개인정보 유통 무방비
2013년 8월 6일 개정된 ‘개인정보보호법’은 1년간 준비기간을 거쳐 2014년 8월 7일부터 시행되고있다. 핵심적인 개정내용은 주민등록번호 수집·이용·제공 등 처리를 원칙적으로 금지하는 것이다. 더불어 안전행정부는 향후 법 개정을 통해 공표명령권을 도입하는 등 법 위반자에 대한 제재 수위를 높일 계획이다.또한 방송통신위원회는 개정된 정보통신망법에 따라 주민번호 보유가 금지되는 8월 18일 이후에는 실태점검에 주력한다는 방침이다. 포털 등 하루 방문자 10만명 이상의 대형 사업자부터 주민번호 파기 여부를 직접 점검해 나갈 예정이며, 주민번호를 파기하지 않은 사업자에 대해서는 관련 규정에 따라 3천만원 이하의 과태료를 부과해 조속한 제도 정착을 유도한다고 밝힌바 있다.
하지만 문제는 중국에서 유통되는 한국인 개인정보가 여전히 추정 불가할 정도로 많다는 것이다. 이제 한국에서는 주민등록번호를 수집, 저장하지 못하지만 중국에서는 이를 비웃기라도 하는 듯 지금까지 유출된 대량의 한국인 개인정보가 여전히 암암리에 유통되고 있는 현실이다.
모 보안담당자는 “이미 대부분의 한국인 개인정보가 중국 해커들의 수중에 들어갔고 이를 계속해서 유통하고 있는 상황에 이제 와서 주민등록번호 수집을 하지 않는다고 해서 무슨 소용이 있을까” 반문하며 “한국에서 주민번호가 수집과 저장이 금지되면서 오히려 중국에서는 이제 한국인 주민등록번호가 더욱 비싸게 팔리는 현상이 생길 수도 있다”고 전했다.
▲"2014년 한국 개인정보 400만건, 이것은 2014년 최신 한국 DB입니다"란 게시글 캡쳐 이미지
8월 초, 데일리시큐는 중국에서 한국인 개인정보가 얼마나 유통되고 있는지 조사하던 중, 중국 해커들이 정보를 교환하는 모 사이트에서 “2014년 한국 개인정보 400만건, 이것은 2014년 최신 한국 DB입니다”란 게시글을 발견하고 올라온 DB 압축파일을 다운로드 해 확인했다.
압축파일을 풀고 확인결과, 실제 400만건의 한국인 개인정보가 저장돼 있는 것을 직접 확인할 수 있었다. 이 파일에는 아이디, 패스워드, 이름, 주민등록번호 등이 저장돼 있었다. 하지만 통상적으로 한국 어떤 사이트에서 유출된 DB인지를 공개하지만 이번 파일은 한국 어떤 사이트에서 유출된 DB인지는 밝히지 않았다.
하지만 유료로 판매한 파일이 아니라 해당 사이트에 접속할 수 있는 회원이라면 누구나 다운로드가 가능한 상황이라 아마도 상당수 접속자들이 이 파일을 다운로드 해 가져갔을 것으로 추정된다. 더욱이 “2014년 최신 한국인 DB”라고 밝히고 있어 더욱 많은 다운로드가 이루어졌을 것으로 예상된다. 현재 해당 사이트는 접속이 차단됐다.
어떤 사이트에서 유출된 DB인지 모른다고 해서 해커들에게는 전혀 문제가 되지 않는다. 한국인 상당수는 자신이 이용하는 사이트에서 동일하거나 유사한 아이디와 패스워드를 사용하고 있기 때문이다. 악의적인 해커들은 400만건의 아이디, 패스워드, 이름, 주민등록번호 정보만 가지고도 브루트포스 기법으로 얼마든지 국내 주요 포털사이트와 게임사이트, 금융사이트 등 이용자들이 많이 몰리는 사이트에 무차별 대입해 개인정보를 매칭시킬 수 있는 상황이다.
안정행정부와 방송통신위원회 등 개인정보보호를 주관하는 기관은 주민등록번호를 수집하고 저장을 하지 않는 정책도 중요하지만 지금까지 유출된 한국인 개인정보가 대부분 중국에서 여전히 유통되고 있다는 사실을 간과하면 안된다.
한편 데일리시큐는 지난 6월말경, 중국 해커 커뮤니티에서 유통되고 있는 한국인 개인정보 2천3백만건에 대한 단독기사를 보도한 바 있다. 이 또한 4~5년 전에 유출된 개인정보들이 여전히 중국내에서 유통되고 있다는 것을 보여준 한 사례라 할 수 있다.
(관련기사: www.dailysecu.com/news_view.php?article_id=7512)
올해 신용카드사에서 개인정보 유출 건수만 해도 1억 400만건에 달하며, 이외에도 KT 982만건, 통신 3사 1천 230만건, 기타 255개 사이트의 해킹 사고로 1천 700만건 등 누적 유출 건수만 해도 전 국민의 개인 정보가 1.5회 이상 유출된 셈이다. 수집과 저장 금지도 중요하지만 유출된 개인정보가 중국에서 어떻게 유통되고 있는지 현황을 파악하고 이에 대한 근본적인 대책을 마련하는 것도 시급한 문제다. 중국 암거래 시장에 대한 정보력과 현황 파악을 제대로 못하고 있는 관계기관의 정보력 강화가 절실한 시점이다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지