포털·기업·경찰·정부 다 손놓은 개인정보 유출 피해

카드사 통해 개인정보 유출된 A씨, 중국 해커에 포털 아이디 도용당해 지인 카페 폐쇄 등 피해 당해...하지만 해당 포털, 카드사, 경찰, 정부 모두 "알아서 하시라"

[아시아경제 김봉수 기자]

지난해 1월 대형카드 3사의 고객 개인정보 유출이 확인된 후 정부와 새누리당 관계자들이 모여 대책회의를 했다.

말로만 듣던 개인정보 유출로 인해 직접 피해를 받는 개인들이 늘어나고 있지만 누구도 자세한 경위를 설명해 주거나 보상해주지 않는다.

이미 유출된 개인 정보가 또 다시 어떻게 도용될 지도 모른다. 오직 개인들에게 비밀번호를 수시로 난이도 높은 것으로 변경하라는 식으로 책임을 미루고 있다.

정보통신(IT) 기술 수준이 떨어지는 후진국의 얘기가 아니다. 최첨단 IT 강국임을 자랑하는 대한민국의 2015년 현실이다. 지난해 초 주요 카드사에서 2000여만명에 달하는 고객 개인 정보가 유출된 지 1년이 지나면서 고객들의 피해가 가시화되고 있다. 하지만 정작 카드사ㆍ경찰ㆍ정부ㆍ포털 등 주요 기관들은 책임 및 보상을 회피하고 있고 피해를 입은 고객들만 분통을 터뜨리고 있다는 것이다.

최근 포털 아이디 비밀번호를 '탈취' 당해 지인들과 만든 카페를 폐쇄하게 된 A씨의 사례가 대표적이다. A씨는 지난해 카드사 개인정보 유출 때 주민등록번호와 주소 등 19개 주요 항목이 모두 유출된 것으로 확인됐지만 별 다른 피해가 없었기에 안심하고 지냈다.

그러나 지난해 12월 우연히 해당 포털 내 가입한 카페 목록을 살펴 보다 깜짝 놀라고 말았다. 듣도 보도 못한 이상한 카페에 잔뜩 가입돼 있고, 무엇보다 지인 모임을 위해 만들어 놓은 카페 이름이 이상하게 바뀌어 있었다. 해당 카페엔 또 특정 온라인도박사이트 홍보 배너가 잔뜩 걸려 있었다. 특히 10여명 밖에 안 되던 회원 숫자가 500명이 넘게 늘어나 있었고, 대부분 모임과 관계없이 최근에 가입한 타인들이었다.

카페 게시판에는 도박 돈 거래에 이용된 듯 암호같은 글이 가득했다. 모임 사진이 걸려 있던 자리는 '바카라'라는 온라인도박사이트 홍보 배너가 차지하고 있었다.

관리자를 맡았던 지인에게 문의했지만 한동안 사용하지 않아 몰랐다는 대답만 돌아왔다.

사실 진작부터 수상했었다. 12월 들어 사흘 동안 연속으로 3회나 해당 포털사이트로부터 '당신의 아이디가 홍보ㆍ스팸성 게시물을 올려 사용을 제한했으니 아이디 도용 여부를 확인해라'는 메일을 받았다. 그때마다 이상하다 싶어 포털사이트가 요구하는 데로 비밀번호를 특수문자까지 포함한 난이도 높은 것으로 변경했지만 소용이 없었다. 결국 2차로 휴대폰 문자메시지를 이용해 인증받아야 하는 '이중로그인' 시스템을 사용한 후에야 이 같은 일이 사라졌다.

결국 A씨는 지인들에게 통보한 후 해당 카페를 폐쇄하고 말았다. 회원들이 올린 게시판 글과 사진 등 소중한 자료들도 포기할 수밖에 없었다.

A씨의 경우처럼 금융기관 등을 통해 유출된 개인정보를 이용한 각종 사이버 범죄는 갈수록 급증하고 있다. 지난해 경찰청 국정감사 자료에 따르면 최근 4년간 사이버 범죄가 50만3452건 발생했다. 특히 대규모 개인정보 유출이 이뤄진 2013년에는 15만5366건으로 전년도에 비해 4만 7000건 이상 더 발생했다. 하지만 범인 검거율은 2013년 현재 55.4%에 불과하다.

문제는 이같은 고객 정보 유출로 인한 피해에 대해 누구도 책임져주지 않고 있다는 것이다. A씨의 경우 해당 포털사이트 측은 "아이디 관리나 개인정보 관리를 잘못한 고객님의 책임"이라며 회피했다. 해당 포털사이트 고객센터 관계자는 A씨와의 통화에서 "고객의 아이디나 비밀번호를 포털사이트 측에서 해킹당했을 가능성은 없다"며 "비밀번호를 난이도 높은 것으로 변경하거나 이중로그인 시스템을 이용해라"는 얘기만 늘어놨다.

경찰도 소용없었다. 놀란 마음에 경찰에 신고한 A씨는 조사 과정에서 이번 아이디 해킹 사건이 결국 개인정보 유출에 따른 피해라는 사실을 알게 됐다. 중국 등지의 사이버 범죄 조직들이 국내외 안팎으로 대량 유출된 주민등록번호ㆍ직장ㆍ집주소ㆍ전화번호 등이 담겨진 개인정보를 갖고 몇 가지 프로그램을 통해 온라인 아이디와 비밀번호를 알아내 각종 불법 행위에 사용하고 있는데, A씨의 경우가 이에 해당되는 것 같다는 게 담당 경찰의 분석이었다.

실제 경찰을 통해 해킹된 아이디로 접속한 IP를 추적해봤더니 중국에서 사용되고 있는 IP로 확인됐고, 해당 도박사이트 또한 한국인들이 중국에 서버를 놓고 불법 운영 중인 5대 도박사이트 중의 하나였다.

그러나 경찰은 결국 범인을 잡아주지 못했다. 중국발 IP의 경우 중국 당국에 사용자 조회를 요청해도 대부분 명의 도용을 통한 임대 방식으로 사용되고 있어 범인을 특정하기 힘들고, 시간ㆍ비용이 오래 걸려 실익이 없다는 담당 경찰의 말에 A씨는 발길을 돌릴 수 밖에 없었다.

개인정보를 유출시켜 A씨와 같은 피해를 유발시킨 직접적인 당사자인 기업들도 방관하고 있긴 마찬가지다. 지난해 1월 대규모 고객 정보 유출 후 카드 3사들의 경우 "스미싱과 같은 '2차 피해'가 발생하면 전액 보상하겠다"는 입장을 밝히고 있지만 어디까지나 정보 유출로 금전적 피해를 입은 경우에 한정한 것이었다.

게다가 피해 입증 책임도 카드사가 아닌 고객에게 있는데다 입증하기가 쉽지는 않은 점, 금융감독원이 2차 피해 유형으로 언급한 스미싱이나 보이스피싱 등의 사기는 대부분 중국 등 해외에서 이뤄져 경찰 수사로도 검거하기가 어렵다는 점 때문에 경실련 등으로부터 "사실상 얄팍한 수사적 표현에 가깝다"고 비판받고 있다. 통신사 등 다른 기업들도 상황은 비슷하다.

정부도 지난해 3월 개인정보 보호 대책을 발표했지만 근본적인 처방은 아니라는 비판을 받고 있다. 개인정보 자기결정권 강화 이외에는 근본적인 소비자 피해구제와는 거리가 먼 반복ㆍ재탕대책에 불과하고, 금융 분야를 제외한 KT 등 일반기업에 대한 조치가 빠진 반쪽짜리라는 것이다.

김봉수 기자 bskim@asiae.co.kr