[개인정보 유출 대란]美는 14만명 정보 털린 회사에 벌금 1000만달러 부과

동아일보

입력 2014-01-22 03:00 수정 2014-01-22 03:00

|
폰트
|
뉴스듣기
|
기사공유 | 
  • 페이스북
  • 트위터
국내외 정보유출 범죄의 재구성

2005년 초 미국에서 할리우드의 유명 인사인 패리스 힐턴과 가수 크리스티나 아길레라의 휴대전화 번호와 집 주소가 인터넷에 유포됐다. 2004년 10월 미국 신용정보 회사인 초이스포인트가 해킹을 당하면서 유출된 개인 정보였다. 당시 유명 인사들을 포함해 14만 명의 고객 정보가 빠져나갔고 800여 명이 자신의 명의로 만들어진 위조 신용카드 때문에 피해를 봤다. 연방거래위원회(FTC)는 고객 정보 보안을 소홀히 했다는 점을 들어 초이스포인트사에 ‘징벌적’ 벌금 1000만 달러(약 106억 원)를 부과했다. 고객에게는 500만 달러(약 53억 원)를 물어 주도록 했다.

KB국민, NH농협, 롯데카드 3사의 이번 개인 정보 유출 사태로 주민등록번호와 카드번호 등 10개가 넘는 개인 정보를 털린 직장인 김준희 씨(28·여)는 “화는 나는데 이게 얼마나 심각한 상황인지 모르겠다”고 말했다. 김 씨는 “누가 왜 내 개인 정보를 빼 가는지, 어디에 쓰려는 건지 솔직히 잘 모른다”고 말했다.

크고 작은 사건이 일상처럼 벌어지면서 시민들은 어지간한 정보 유출 소식에는 둔감해졌다. 하지만 이번 사건을 계기로 외국처럼 개인 정보를 제대로 보호하지 못한 회사에는 ‘징벌적’ 벌금과 손해 배상 등 강력한 법적 처벌을 내릴 수 있도록 하는 제도 보완이 시급하다는 의견이 많다.

동아일보 취재팀은 역대 주요 개인 정보 유출 사건을 통해 정보 유출에서 악용까지의 흐름을 분석했다.


○ 누가 어떻게 빼냈을까

2011년 8월 삼성카드 고객 정보 47만 건이 유출됐다. 고객 정보는 대부 중개업체로 넘어가 대출 광고에 이용됐다. 대부 업체에 돈을 받고 고객 정보를 넘긴 범인은 삼성카드 직원이었다. 반면 같은 해 발생한 현대캐피탈 고객 정보 유출 사건은 외국인까지 합세한 외부 해커 조직의 소행이었다.

정보 유출 범죄는 크게 정보를 보유한 조직의 내부인과 외부인의 범행으로 나뉜다. 내부인은 정보가 저장된 장소를 잘 알고 접근하기에 유리하다. 반면 해커 조직과 같은 외부인은 경찰 수사망에 쉽게 잡히지 않는다. 서울 광진경찰서 사이버수사팀 허민구 수사관은 “해커조직의 서버가 중국이나 홍콩에 있는 경우가 많은데 현실적으로 수사 공조가 어렵다”고 설명했다.

때론 정보가 담긴 저장장치를 통째로 빼돌리기도 한다. 2011년 현금자동입출금기(ATM)를 구형에서 신형으로 교체하는 과정에서 ATM 내부의 하드디스크들이 통째로 사라졌다. 사라진 하드디스크는 자그마치 450개. 고객 금융 정보 2000만 건이 담겨 있었다. 기기 교체와 함께 폐기됐어야 했지만 ATM 운송·폐기 업체 대표가 하드디스크를 파기하지 않고 빼돌려 고객 정보를 유통시킨 것이다.


○ 유출된 정보들, 어디에 쓰였나

유출된 개인 정보가 범죄에 악용될 수 있다는 점을 가장 극단적으로 보여 준 사례는 1994년에 일어난 일명 ‘지존파 사건’이다. 조직적으로 연쇄 납치 살해 범행을 저질렀던 ‘지존파’는 브로커를 통해 현대백화점 우수 고객 1200명의 명단을 빼냈다. 이들은 명단에서 범행 대상을 골라 납치해 살해했다.

2000년대로 넘어오면서 개인 정보 자체가 ‘돈’이 되기 시작했다. 보험사 고객 정보는 보험 만기일이 다가오는 고객에게 신규 가입을 권하고, 경쟁사보다 유리한 조건을 제시하는 데 쓰였다. 현대캐피탈 고객 정보는 대부 업체 손에 넘어가 대출 광고에 이용됐고, 대출이 성사될 때마다 해커 일당은 건당 수수료를 챙겼다. 서울 강남경찰서 사이버수사팀 이양주 팀장은 “여러 명의 ID를 빼낸 뒤 다른 사람의 ID로 상품 구매 후기 등을 남겨 소비자를 유혹하는 이른바 ‘입소문 내기’에 개인 정보가 악용된 사례도 있다”며 “해커들이 쇼핑몰 운영자에게 e메일을 보내 정보 구입 의사를 묻기도 한다”고 설명했다.


○ 일본에선 회사 책임 엄격히 물어


2008년 중국 해커 조직에 회원 1800만 명의 정보를 해킹당한 경매사이트 옥션은 아무런 배상 책임을 지지 않았다. 반면 내부 직원 소행으로 밝혀진 엔씨소프트(2005년), 국민은행(2006년) 등의 사례에서 법원은 회사 측의 배상 책임을 인정했다. 이처럼 한국은 정보 유출이 회사 내부자의 범행일 때만 회사 측 배상 책임을 인정해 왔다.

하지만 일본은 외부 해커의 소행인 경우에도 회사 측의 정보 관리 소홀 책임을 물어 거액의 배상 판결을 내렸다. 2004년 일본 최대 통신사인 소프트뱅크가 운영하는 야후BB의 고객 800만 명의 정보가 유출됐다. 해커 일당이 다른 곳에 고객 정보를 넘기기 전에 경찰에 붙잡혀 2차 유출은 없었지만 일본 최고재판소는 “고객들에게 40억 엔(약 407억 원)을 배상하라”고 판결했다.

이은택 nabi@donga.com·강은지 기자

라이프



모바일 버전 보기