[IT동아 김영우 기자] 잊을 만하면 다시 터지는 것이 각종 온라인 서비스의 보안 사고다. 특히 그 중에서도 개인정보 유출은 워낙 빈번하게 일어나 ‘현대인의 개인정보는 사실상 공공재’라는 웃지 못할 농담이 회자될 정도다.

최근에도 이러한 사고는 이어지고 있다. 지난 10일, LG유플러스는 자사 홈페이지 공지사항을 통해 일부 고객의 개인정보가 유출되는 사고가 일어났음을 밝혔다. 이를 통해 18만명가량의 성명과 생년월일, 전화번호 등의 정보가 유출된 것으로 알려졌다. 사건의 원인은 아직 정확히 밝혀지지 않았으며 LG유플러스는 경찰에 수사를 의뢰한 상태다.

또한 지난 13일에는 명함 관리 서비스 ‘리멤버’에서 고객 상담에 응하는 답장 메일을 전송하는 과정에서 다른 300여명 상담 고객들의 이메일 주소까지 노출되기도 했다. 이 역시 개인정보 유출 사고의 사례다.

이러한 사고는 당사자가 공개를 원하지 않는 개인정보가 제3자에게 노출되었다는 점에서는 같지만 사고의 원인이나 유출 규모, 피해 양상 등은 각기 다르다. 개인정보 유출 사고의 유형별 사례 및 대응 방법에 대해 살펴보자.

해킹에 의한 개인정보 유출

온라인 서비스를 운영하는 대부분의 기업들은 각종 보안 솔루션을 동원해 외부 접근을 제한하거나, 데이터 암호화를 통해 혹시 일어날 수 있는 사고에도 고객의 정보가 악용되지 않는 조치를 취하고 있다. 하지만 그럼에도 불구하고 각종 악성 코드 및 해킹 기법은 날이 갈수록 고도화 되고 있어 이를 통한 개인정보 유출사고는 끊이지 않고 있다.

과거 국내에서 일어난 해킹 사고 중 대표적인 것은 2014년 3월에 일어난 KT 홈페이지 해킹 사건이다. 이는 해커 김모씨를 비롯한 일당 3명이 KT 홈페이지를 해킹해 약 1,200만명에 달하는 KT 고객의 개인정보를 유출시킨 사건이다. 이들은 이러한 수법으로 이름 및 주민등록번호, 전화번호 등의 광범위한 개인정보를 얻었다. 이들은 이를 통해 자신들의 텔레마케팅에 이용하거나 다른 곳에 정보를 팔아 100억대의 매출을 올리기도 했다.

이와 유사한 해외의 사례로는 2011년 4월, 소니의 플레이스테이션 네트워크(이하 PSN)가 해킹을 당해 고객 정보가 유출되고 서비스가 수주일간 중단된 사건이다. 이를 통해 유출된 개인정보는 1억명분에 달한 것으로 알려졌다.

이러한 해킹 사고가 일어나는 1차적 이유는 서비스를 허술하게 운영하는 기업측에 있다. 앞서 소개한 KT 홈페이지 사건의 경우, 해커들은 고객의 고유번호 9자리를 무작위로 자동 입력하는 프로그램을 만들어 이를 KT 홈페이지의 이용대금 조회메뉴에 적용, 개인정보를 알아채는 비교적 단순한 수법을 이용했다. 하지만 당시 KT 홈페이지는 이런 비정상적인 접근을 감지 및 대응할 수 있는 시스템을 갖추지 않는 등의 취약점을 드러냈다고 민관합동조사단은 발표한 바 있다.

또한 소니 PSN 해킹 사건의 경우, 해커들이 소니 플레이스테이션 하드웨어의 보안 취약점을 이용해 해킹 포인트를 알아낸 후 이를 기반으로 해킹 작전을 구상, 글로벌 네트워크에 침입해 해킹에 성공한 사건으로 알려졌다. 소프트웨어 및 서비스 정책 뿐 아니라 하드웨어의 보안 취약점까지 신경 쓰지 않으면 해킹의 피해를 벗어나기 힘들다는 것을 알 수 있다.

내부자의 고의, 혹은 실수로 인한 개인정보 유출

기업의 내부 시스템에 직접 접근이 가능한 내부 관계자의 고의적인 행위에 의해 개인정보가 유출되는 사건도 많다. 이는 고객의 개인정보를 팔아 넘기거나 사진의 사업에 이용하는 등의 방법으로 금전적인 이득을 챙길 수 있기 때문이다. 이러한 내부자 소행은 외부 해커와의 공모를 통해 이루어지기도 한다. 경찰청 국가수사본부의 작년 11월 발표에 따르면, 산업스파이 10명 중 9명에 달하는 91%가 내부자였다.

또한, 해당 내부자가 전혀 악의를 가지고 있지 않았음에도 불구하고 단순한 업무 실수, 혹은 사내 업무 체계의 문제로 인해 고객의 개인정보가 유출되기도 한다. 이번에 고객의 이메일 주소를 유출한 리멤버 관련 사건도 이러한 경우다.

이는 리멤버가 지난 5일 공개한 연봉 1억 이상 채용 공고만 모아서 제공하는 ‘리멤버 블랙’ 서비스를 출시하는 과정에서 해당 서비스의 가입을 문의하던 예비 고객들에게 안내 메일을 보내는 과정에서 발생했다. 담당자는 개별 수신으로 답장을 해야함에도 불구하고 전체 수신으로 메일을 발송했으며, 이를 통해 메일을 받은 예비 고객은 300여명에 달하는 다른 문의 고객의 이메일 주소까지 볼 수 있었다.

또한 리멤버 커뮤니티에 올라온 내용에 따르면, 일부 예비 고객은 이렇게 받은 메일에 또 다시 전체 답장으로 본인의 개인정보가 담긴 문서(근로계약서 등)을 첨부해서 보내는 경우도 있었다. 이러한 흐름은 또 다른 개인정보 유출로 이어진다.

유사한 사고로는 지난 2019년 4월, 네이버가 블로거들에게 제공하는 광고 수익 공유 서비스인 ‘애드포스트’와 관련한 개인정보 유출 사고가 있다. 네이버가 애드포스트 회원에게 원천진수영수중을 발급하면서 다른 2,000여명의 개인정보까지 다른 회원들에게 실수로 발송하는 사건이 일어났다. 이를 통해 각 회원의 이름과 주소, 주민등록번호, 애드포스트 수익액 등의 정보가 유출되어 네이버는 방송통신위원회로부터 과징금을 부과받기도 했다.

개인정보 유출에 대응하는 이용자들의 자세

한편, 이용자 입장에서 이런 해킹이나 서비스 업체의 실수로 인한 개인정보 유출 사태를 막을 수 있는 방법은 많지 않다. 유출이 확인되거나 의심되면 경찰 사이버수사대나 한국인터넷진흥원, 방송통신위원회 등에 빠르게 신고하는 것이 우선이다.

그 외에, 이용하고 있는 각 사이트의 ID나 비밀번호를 모두 같은 것으로 하는 것도 위험하다. 이 경우, 사이트 한 곳에서 개인정보가 유출되더라도 다른 서비스까지 연달아 해킹 피해를 입을 가능성이 커진다.

이와 더불어, 출처가 불분명한 이메일이나 문자 메시지로 전송되는 URL 주소를 생각없이 클릭하는 것도 고쳐야 할 습관이다. 이러한 URL을 통해 악성코드를 배포하는 경우가 많으며, 유명 서비스와 유사한 로그인 창을 띄워 사용자 ID와 비밀번호 입력을 유도하는 피싱(phishing) 사기를 시도하는 경우가 적지 않기 때문이다.

물론, 이러한 이용자들의 노력으로 피해를 줄이는 데는 한계가 분명하다. 가장 중요한 건 서비스를 제공하는 기업에서 보안 정책을 강화하고 취약점을 최소화하는 것이라고 전문가들은 지적하고 있다.

글 / IT동아 김영우(pengo@itdonga.com)