2019년 8월호

개인정보 불법거래 직접 추적해보니

‘디비(DB)’ 건당 10원 거래, 대출 사기까지…

  • 김건희 객원기자

    kkh4792@donga.com

    입력2019-08-02 15:53:10

  • 글자크기 설정 닫기
    하루에도 수십 건 이상 전송되는 스팸성 문자와 대출 광고 전화는 현대인의 일상이 된 지 오래다. 2010년 ‘정보통신망법 이용촉진 및 정보보호 등에 관한 법률’이 제정돼 시행됐지만, 그사이 이들 법률을 비웃듯 개인정보 거래는 날로 늘어나 이미 ‘거대한 시장’으로 자리 잡았다. 개인정보 유출 사고 또한 끊이질 않고 있다. 

    최근 사건은 지난 6월 18일 일어난 월정액 독서 서비스 ‘밀리언서재’ 회원들의 개인정보 유출이다. 밀리언서재 측은 “외부 해킹에 의해 회원 약 11만7800명 개인정보가 유출됐다”고 공지했다. 회사가 보관하고 있는 개인정보 내역은 e메일 주소와 전화번호, 출생연도, 성별 등인데 이번에 유출된 정보는 e메일 주소 정도인 것으로 회사는 파악하고 있다. 2014년 일어난 KB국민카드·롯데카드·NH농협카드 개인정보 유출 사건의 경우 피해 건수가 1억400만 건에 달한다. 

    경찰청 사이버안전국에 따르면 최근 10년간 유출된 개인정보는 무려 2억3000만 건이 넘는다. 침해 신고도 100만 건에 육박한다. 더욱 심각한 문제는 이렇게 유출된 개인정보가 온라인상에서 버젓이 사고 팔린다는 점이다. 현행법상 개인정보 거래는 명백한 범죄행위다. 온라인에 올라오는 개인정보 판매 게시글은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(제44조의 7항, 범죄를 목적으로 하는 범죄)에 해당한다. 그렇다면 개인정보는 어떤 방식으로 유통되는 것일까. 그 과정을 면밀히 살펴봤다. 

    복수의 경찰 관계자에 따르면, 2010년대 초반까지만 해도 개인정보 거래는 기업이나 기관 소속 개인정보 관리자, 개인정보 판매상, 심부름센터 간의 결탁으로 이어졌다. 개인정보 판매상이 개인정보 관리자에게 돈을 주고 해당 데이터를 건네받은 뒤 전국의 심부름센터를 대상으로 개인정보를 되판 것.

    헐값에 대량으로 사고팔리는 개인정보

    텔레그램에서 기자가 개인정보 판매상과 디비 가격을 흥정하며 나눈 대화(왼쪽 휴대전화 화면). 유출된 개인정보를 생성한 계정의 인증 작업을 전문적으로 하는 업체의 홍보글(오른쪽 노트북 화면).

    텔레그램에서 기자가 개인정보 판매상과 디비 가격을 흥정하며 나눈 대화(왼쪽 휴대전화 화면). 유출된 개인정보를 생성한 계정의 인증 작업을 전문적으로 하는 업체의 홍보글(오른쪽 노트북 화면).

    2005년 3월 개인정보 판매상 손모 씨는 2004년 10월부터 2005년 1월까지 SK텔레콤 가입자 정보 95건, KTF 가입자 정보 42건, LG텔레콤 35건, KT 28건 총 200여 건의 개인정보를 빼내 심부름센터 등에 팔아오다 구속됐다. 경찰 조사 결과 손씨는 개인정보를 통신업체 직원과 대리점업주들에게 1건당 10만 원씩 주고 정보를 빼낸 것으로 조사됐다. 손씨로부터 개인정보를 사들인 심부름센터 업주 김모 씨는 해당 정보를 의뢰인에게 1건당 20만~30만 원씩 받고 되팔았다. 2000년대부터 개인정보 불법 거래 사건을 수사해온 경찰청 관계자는 “당시에는 해킹 프로그램이 아닌 사람이 직접 서버에 저장된 개인정보를 빼내야 했던 터라 거래 규모가 크지 않아 단가도 높았다”고 설명했다. 



    반면, 최근에는 온라인상에서 개인정보가 헐값에, 그것도 대량으로 사고 팔린다. 방송통신위원회와 한국인터넷진흥원(KISA) 자료에 따르면 2018년 한 해 인터넷에 올라온 개인정보 불법거래 게시물 건수는 11만5743건. 이 가운데 아이디 불법거래 게시물은 5만2915건으로 전체의 45.7%를 차지한다. 특히 국내 포털 사이트와 SNS가 개인정보 거래 네트워크로 악용되고 있다. 

    정완 사이버범죄연구회 회장(경희대 법학전문대학원 교수)은 “과거엔 이름과 연락처, 주소, e메일 주소, 성별, 주민번호가 주로 거래됐지만 요즘엔 아이디, 암호화된 비밀번호, 블로그나 SNS 계정 중심의 개인정보가 대량으로 사고 팔린다”면서 “대면 거래는 거의 없고 대부분이 온라인상에서 카카오톡, 트위터, 텔레그램을 통해 대화 몇 번으로 거래가 이뤄진다”고 말했다.

    최신 주민번호 데이터베이스 건당 100원에 거래

    기자가 직접 포털 검색 창에 개인정보를 의미하는 은어 ‘디비(DB·데이터베이스) 판매’를 입력해봤다. ‘각종 최신 디비 판매합니다’를 비롯해 ‘대출디비, 콜디비, 웹디비, 카지노디비, 보험디비, 주식디비, 스포츠토토디비 등 용도별로 다 있습니다’ 등 불법 판매상들이 올린 홍보글이 수십 건이나 떴다. 최근에는 대화 삭제가 가능한 텔레그램을 통해 가격을 흥정하는 경우가 많은 것으로 알려졌다. 구매자가 희망하는 수량, 용도 등을 밝히면 그에 맞는 개인정보를 넘긴다. 최소 거래 수량은 1만 건 이상(첫 거래는 5000건)이고, 낱개 구매는 사실상 불가능한 경우가 많다. 

    기자가 접촉한 개인정보 판매상 3명은 디비 건당 최하 10원, 최고 1000원에 팔겠다고 답변해왔다. 개인정보 활용 목적이나 용도에 따라 디비 단가가 달라지는데, 단순 홍보용 디비는 건당 20원이고, 최신 주민번호가 포함된 디비는 건당 100원 이상이다. 막디비(다양한 디비를 짜깁기하거나 극히 일부 내용만 담은 단순 디비)의 경우는 건당 10원에도 거래된다. 

    한 개인정보 판매상은 “디비에 포함된 개인정보의 질에 따라 단가가 달라진다”고 말했다. 보통 이름과 전화번호만 구매하는 것보다 이름과 인터넷 아이디, 비밀번호, 구매 기록을 같이 사는 게 더 비싸다. 요즘엔 웹사이트 회원가입 시 주민번호를 입력하지 않기 때문에 최신 주민번호가 포함된 디비는 수량이 적어 다른 것보다 상대적으로 단가가 높은 편이라고 한다. 

    또 다른 판매상은 “우리는 최신 디비만 취급한다. 지난해 작업(해킹)한 A증권정보 사이트에서 최신 전화번호 80만 건을 확보했다. 전화번호만 구매할 경우 건당 100원”이라고 밝혔다. 

    판매상들은 거래 과정에서 구매자가 사기 가능성을 의심한다고 판단할 때는 샘플용 아이디와 비밀번호를 건네 안심하게 만든다. 반대로 구매자의 신분이나 저의가 의심스러울 땐 재빨리 접촉을 끊기도 한다. 기자가 판매상에게 “어디서 가져오는 정보인지 출처를 알려달라”고 요구하자 “해커를 고용해 구매자의 요구에 맞게 특정 개인정보를 털어온다(해킹한다는 뜻). 보완상 더 는 자세하게 답할 수 없다. 계속 질문하면 대화를 차단하겠다”며 메신저 기록을 삭제한 후 더는 대화에 응하지 않았다.

    개인정보 빼내는 해킹 수법 나날이 진화

    2014년 일어난 ‘카드 3사 정보유출 사고’로 해당 카드사는 3개월간 신용카드 신규 회원을 모집할 수 없는 등 영업 제지를 당했다.

    2014년 일어난 ‘카드 3사 정보유출 사고’로 해당 카드사는 3개월간 신용카드 신규 회원을 모집할 수 없는 등 영업 제지를 당했다.

    거래는 보통 선(先)입금, 후(後)지급 방식으로 이뤄진다. 개인정보 판매상이 건넨 계좌번호로 현금을 입금하면, 이를 확인한 판매상이 e메일이나 카카오톡으로 개인정보가 담긴 텍스트 파일 또는 엑셀 파일을 건넨다. 돈 입금 1~2시간 이내 개인정보를 받을 수 있다. 경찰청 관계자는 “개인정보 판매상은 자신의 신원이 드러나지 않게 이름은 물론 연락처, e메일 등을 일절 공개하지 않는다. 소비자와의 유일한 연락망인 SNS 메신저 계정도 해킹한 정보로 만들고 거래도 대포통장을 사용한다”고 말했다. 

    보안 전문가들에 따르면 개인정보를 대량으로 수집하는 방법은 크게 두 가지다. 직접 훔치는 해킹과 개인정보 도용이 바로 그것이다. 개인정보 도용은 회원 정보 접속 권한이 있는 내부 담당자가 커미션을 받고 특정 자료를 빼내 브로커에게 건네주는 것이다. 유출된 개인정보 대부분은 해커들에 의해 해킹된 자료로, 국내보다는 해외에서 주로 해킹이 이뤄진다고 한다. 정완 회장은 “국내 수사기관의 서버 및 IP 추적 수사를 피하기 위해 중국을 비롯한 해외에서 해킹하는 경우가 많다”고 말했다. 

    해킹 수법은 날이 갈수록 진화하고 있다. 전형적인 해킹 수법은 무작위로 메일을 발송한 후 실제 사용자가 메일을 열어보면 몇 초 후 가짜 로그인 팝업창이 떠 개인정보 입력을 유도하는 것이다. 이때 입력한 아이디와 패스워드가 상대편(해커)으로 전송된다. 최근에는 해킹프로그램 알패스(Alpass)를 통해 다른 경로에서 유출된 아이디와 비밀번호를 순차적으로 입력해 특정 사이트에 가입한 회원들이 등록한 아이디와 비밀번호를 빼내는 수법을 사용하고 있다. 보안업계 관계자는 “사전대입공격(Dictionary Attack이)이라 칭하는데, 해커가 사전에 확보한 개인정보나 일반적으로 사용하는 정보 파일을 가지고 알패스 같은 프로그램을 통해 하나씩 모두 대입하는 방법”이라고 설명했다.

    본인인증 우회, 카톡 아이디 무한 생성 가능

    기존의 개인정보를 이용해 허위로 신규 계정을 만들어내기도 한다. 이 경우 타인의 개인정보로 새롭게 개설한 ‘생성 계정’과 해킹 과정에서 확보한 ‘해킹 계정’이 있다. 생성 계정은 국내에서 만든 계정, 해외에서 만든 계정, 실명 인증을 거친 계정 등으로 분류된다. 실명 인증을 전문적으로 돕는 업자들도 있다. ‘한국 010 인증’ ‘카카오톡 계정 인증’ ‘구글 계정 인증’ 등으로 포털 사이트에 검색하면 해당 불법 게시물이 나온다. 

    생성 계정의 경우 단가가 개당 2000원대, 해킹 계정은 1000원 미만으로 시장가가 형성돼 있다. 원래 웹사이트 계정을 만들려면 SMS 인증문자 절차가 필수이지만, 해커들은 이용자 휴대전화에 인증문자가 전송되지 않도록 해당 이동통신사의 스팸차단 서비스나 문자 착신전화 등을 이용해 본인 인증절차를 무력화 한다. 구글 OTP(일회용 비밀번호) 인증도 이용자가 보관한 초기설정 코드를 도용해 자신의 휴대전화에 쌍둥이 OTP를 만들어 본인 확인 절차를 우회한다. 카카오톡 아이디 무한 생성 프로그램의 경우 본인 인증 절차가 아예 생략돼 한꺼번에 여러 개의 계정을 만들어낼 수 있다. 

    유출된 개인정보를 활용한 2차 범죄 피해도 심각한 상황이다. 2017년 11월에는 인터넷상에서 구매한 쇼핑몰 접속 개인정보로 휴대전화 소액 대출 11억8000만 원을 받아 급전이 필요한 사람들에게 빌려주고 선이자 명목으로 5억 원 상당의 부당이익을 취득한 대부업자 일당 2명이 경찰에 검거됐다. 당시 이 사건을 처리한 경찰관은 “타인 개인정보로 게임 아이템을 불법적으로 생성한 후에 도용된 타인 계정으로 게임 아이템을 판매해 환전하거나, 유출된 개인정보를 유통하지 않고 돌려주는 대가로 비트코인을 요구하는 경우도 있다”고 말했다.

    바이럴 마케팅 업체들 “블로그 삽니다”

    포털 사이트에서 쉽게 검색할 수 있는 ‘개인정보 디비 판매’ 게시물들.

    포털 사이트에서 쉽게 검색할 수 있는 ‘개인정보 디비 판매’ 게시물들.

    수년 전부터 방통위와 한국인터넷진흥원 등이 나서서 개인정보 불법 거래 및 유통을 근절하고자 집중 단속을 벌이고 있지만 효과는 미미하다. 전문가들은 “공급과 수요가 존재하는 한 쉽게 사라지기 힘들다”고 지적한다. 특히 바이럴 마케팅 업체들이 개인정보 구매의 ‘큰손’으로 꼽힌다. 

    바이럴 마케팅은 온라인상에 여론을 조성하는 마케팅으로, 누리꾼들 사이에서 브랜드나 제품, 서비스가 입소문으로 퍼져 구매에 긍정적 영향을 주게끔 한다. 이들 업체는 포털 사이트를 중심으로 누리꾼들이 자발적으로 브랜드나 서비스 이용 후기를 올리게 한다. 광고나 홍보 게시물처럼 보이지 않도록 하는 것이 중요한데, 이런 효과를 얻기 위해선 대량의 개인정보가 필요할 수밖에 없다. 개인정보를 구매해 맞춤형 고객에게 제품이나 서비스를 홍보할 수 있기 때문이다. 

    한때 네이버 블로그를 운영했던 김수연(가명) 씨는 지난해 11월 광고회사 블로그팀 담당자로부터 네이버 블로그와 계정을 사고 싶다는 제안을 받았다. 이 담당자는 “맛집, 여행, 제품후기 등을 포스팅할 블로그를 찾고 있다”며 김씨에게 “간단한 블로그 테스트를 받으면 최저 10만 원에서 최고 150만 원의 매입가를 받을 수 있다”고 안내했다. 하지만 네이버 계정 운영정책에 따르면 회원가입 절차를 마친 회원에게만 계정이 부여된다. 김씨는 “‘계정을 파는 것은 개인정보를 파는 것 아니냐’고 물었더니 담당자가 ‘네이버 계정은 1인 최다 3계정까지 만들 수 있으니, 다른 아이디로 네이버 사이트를 이용하면 된다’고 했다”며 황당해했다. 

    전문가들은 모바일과 클라우드, 사물인터넷(IoT), 5세대 이동통신(5G) 등의 확산으로 연결성이 더욱 높아짐에 따라 개인정보 탈취와 불법 유통도 덩달아 증가할 것으로 내다본다. 특히 암호화폐의 유통이 활발해짐에 따라 해커들의 거래소 공격이 늘고, 이로 인해 개인정보 침해 또한 급증할 것으로 예상된다. 

    정태명 성균관대(정보통신공학부) 교수는 “게임, 음원 등 한류 영향으로 중국 등 해외에서 한국인의 개인정보 유통이 지속될 수 있다”고 지적했다. 김원 KISA 연구위원은 “개인정보처리자는 연 1회 이상 취약점을 점검받고 개인정보가 노출된 웹사이트는 ‘서비스 임시 중단 조치’ 등의 대책을 마련해야 한다”고 지적했다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사