줄줄 새는 개인정보, ‘모바일’이 위험하다
줄줄 새는 개인정보, ‘모바일’이 위험하다
  • 최연진 한국일보 기자 (admin@the-pr.co.kr)
  • 승인 2014.06.10 16:01
  • 댓글 0
이 기사를 공유합니다

[IT이슈]되풀이되는 정보 유출, 처벌은 솜방망이

[더피알=최연진] 올해는 개인정보 유출 사고와 함께 해가 밝았다. 지난 1월 국민·농협·롯데카드 등 3개 신용카드업체에서 개인정보 유출사고가 발생하면서 국민카드 5300여만명, 농협카드 2500여만명, 롯데카드 2600만명 등 1억명이 넘는 이용자들의 개인 정보가 새어 나가는 사고가 발생했다.

그로부터 채 두 달이 못된 지난 3월, 이번에는 KT 홈페이지가 해킹당해 870만명의 개인정보가 빠져 나갔다. 그리고 5월 2일, 화장품업체 토니모리도 해킹으로 회원 50만명의 휴대폰번호, 비밀번호, 이메일 등 개인정보가 유출됐고, SC은행은 기존 9만4000명 외 1만1000여명의 고객 정보 유출 사실이 10일 밝혀졌다.

불과 5~6개월 사이 대형 개인정보 유출 사례가 잇따라 발생하면서 사이버 보안에 총체적 비상이 걸렸다. 일단 개인정보 유출은 발생 기업에 두 가지 부정적 영향을 준다. 우선 정보 유출에 따른 금전적 피해다. 정보가 유출된 개인들에 대해 보상이 필요하고, 정보 유출 사고가 재발하지 않도록 보안을 강화하는 등 대책 마련에 대한 추가 비용이 필요하다.

▲ 자료사진=잇단 개인정보 유출사고로 지난 4월 10일 서울 서초구 서울중앙지방검찰청에서 개인정보범죄 정부합동수사단(합수단)이 발족했다. 합수단 인터넷범죄 수사센터 상황실 모니터에 언론 동향 및 개인정보 모니터링 정보가 뜨고 있는 모습. ⓒ뉴시스

올 초 발생한 신용카드업체들의 개인정보 유출이 이를 단적으로 보여준다. 신용카드를 재발급해주려면 1인당 약 5000원의 비용이 소요된다. 따라서 1000만명만 재발급해도 500억원이라는 어마어마한 돈이 든다.

여기에 정부에서 부과하는 과징금이나 벌금도 있다. 지난해 미국유통업체 타겟은 POS시스템이 해킹돼 고객 신용카드 정보 4000만건과 7000만명의 고객 정보를 유출 당했는데, 이에 대해 36억달러, 우리 돈으로 3조8000억원의 벌금을 물었다.

정보유출 기업, 금전적 피해보다 신뢰도 하락이 문제

하지만 기업들이 무서워해야 할 것은 금전적 피해보다 신뢰 하락이다. 한 번 떨어진 신용은 금전으로 회복할 수 있는 것이 아니고, 다시 예전처럼 신뢰를 쌓는 데도 오랜 시간이 걸린다. 그런 점에서 특히 신용을 매개로 영업을 하는 금융, 통신업체들에게는 개인 정보 유출이 치명적이다. 한국정보화진흥원에 따르면 미국에서 개인정보 유출피해자 중 75%는 해당 기업과 거래를 끊고, 해킹을 당하면 주가가 5% 이상 빠지는 것으로 나타났다.

그럼에도 불구하고 개인정보 유출사고가 끊이지 않고 되풀이되는 이유는 기업들의 보안의식 결여가 가장 큰 원인이다. 무엇보다 개인정보를 수집하는 기업들의 체계적인 관리규정이 없다. 그만큼 개인정보의 중요성에 대해 둔감하다는 뜻이다.

신용카드사나 KT, 티켓몬스터 등의 개인정보 유출은 모두 업무담당자 및 경영진의 낮은 개인정보보호의식에서 비롯됐다. 또 개인정보 수집과 이용, 위탁, 파기, 제공 등에 대한 처리기준이 없고, 있어도 절차를 잘 지키지 않는다. KT의 경우 해커가 1년에 걸쳐 하루 20만명 이상의 개인정보를 빼냈는데도 이를 전혀 눈치 채지 못했다. 특히 고객정보를 암호화하지 않고 방치해 해커가 쉽게 가져갈 수 있도록 하는 등 심각한 보안의식의 결여를 드러냈다.

▲ 자료사진=고객정보 유출로 영업이 중지됐던 kb국민·롯데·nh농협카드가 지난 5월 17일 영업을 재개했다. 서울 시내 한 nh농협은행 앞에 영업재개 안내문이 붙어 있다. ⓒ뉴시스
전담 부서를 둔 기업도 많지 않다. 작년에 안전행정부가 조사한 개인정보보호 실태조사에 따르면 개인정보보호 부서를 둔 일반 기업은 1.3%에 불과했다. 당연히 최고정보보호책임자도 없었다.

이처럼 기업들의 보안의식이 둔감한 것은 실효성 없는 정부 제재도 한 몫 한다. 카드 3사가 최근 1억건이 넘는 개인정보를 유출했는데 부과된 벌금은 단돈 600만원이다. 또 방송통신위원회 자료를 보면 5년간 개인정보수집 위반으로 행정처분을 받은 사업자는 구글 KT 넥슨 등 738개이며 이들이 낸 과징금도 수십억원 수준이다.

그렇다보니 기업들이 개인정보보호를 위한 투자를 적극적으로 하지 않고 있다. 이는 국내 뿐 아니라 전 세계적으로도 마찬가지다. 가트너의 연구결과에 따르면 정보 유출사고로 인한 발생 비용은 건당 5.6달러인데 비해, 예방비용은 1달러 수준이다. 그런데 이 돈을 아끼기 위해 투자를 꺼리다가 더 큰 금전적 손해를 보는 사고가 발생하고 있어 문제가 되고 있다.

유출된 개인정보의 쓰임새도 달라지고 있다. 과거에는 해커들이 개인정보를 빼내 되파는 형태가 많았다면, 요즘은 직접적인 금전적 이득을 노린 범죄에 악용하는 경우가 많다. 즉, 금융정보를 빼내 이를 이용해 돈을 빼돌리거나 송금을 유도하는 것이다.

랜섬웨어, 크립토락커 등…2·3차 공격 우려

대표적인 경우가 랜섬웨어 공격이다. 랜섬웨어 공격은 피해자에게 법 위반을 했다며 거짓정보를 보내 가짜 벌금을 요구하는 형태로 이뤄진다. 글로벌 보안업체 시만텍에 따르면 2012년 처음 등장한 랜섬웨어가 지난해 500% 증가했고 공격당 피해금액이 100달러에서 400달러로 늘어났다.

이보다 더 무시무시한 공격은 크립토락커다. 이는 기업이 갖고 있는 고객 정보에 통째로 암호를 걸어놓는 수법이다. 이후 돈을 보내지 않으면 고객 정보 전체를 파괴해버리겠다는 식으로 위협해 금품을 갈취한다. 이밖에 탈취한 개인정보를 대포폰 개통, 신용카드 발급 등 각종 범죄에 이용하는 경우가 있어 주의가 필요하다.

유출된 개인정보가 범죄에 악용되면서 정부는 최근 제재를 강화하기로 했다. 5월 2일 국회에서 정보통신망 이용촉진 및 정보보호법 개정안이 통과하면서 기존에는 개인정보 유출시 최대 1억원의 과징금을 부과했는데, 이제는 관련 매출의 3%로 강화됐다. 이용자 동의를 받지 않고 개인정보를 수집한 경우에도 같은 제재가 적용된다.

또 이용자들도 과거엔 정보 유출에 따른 직접적인 손해 규모를 증명해야 해서 배상을 받기 힘들었는데 이제는 달라졌다. 이번 법 개정으로 손해액 입증이 없어도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제가 개인정보 유출사고에도 도입됐다.

하지만 사고 후 대처는 예방만 못하다. 특히 개인정보유출은 비단 기업에서만 일어나지 않는다는 점에 유의해야 한다.

요즘 가장 심각한 것이 모바일이다. 스마트폰 보급이 늘어나면서 모바일을 겨냥한 개인정보 유출 범죄가 급격히 늘고 있다. 그런데 개인들이 모바일에서 취하는 보안조치는 PC에 비해 현격하게 떨어진다. 모바일용 무료 백신 보급률은 33%에 불과하다. PC의 72%에 비하면 많이 부족하다. 따라서 개인들의 모바일 보안 조치, 즉 정보의 암호화와 수상한 문자메시지 차단 및 삭제 등을 강화할 필요가 있다.

 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.