━
최근 쿠팡에서 유출된 계정은 이미 다크웹뿐 아니라 일반인을 대상으로 하는 중국의 이커머스(온라인 쇼핑몰)에도 등장했다. 김장겸 국민의힘 의원에 따르면 중국의 한 이커머스에 올라온 쿠팡 계정의 판매 가격은 23~183위안(약 5000~4만원). 쿠팡 이용자 개인정보 가격이 평균 2만2500원에 형성된 것이다. 각 계정에는 사용자 이름과 전화번호·이메일은 물론, 배송 주소록, 주문 정보 등이 포함돼 있다.
개인정보보호위원회에 따르면 개인정보 유출 건수는 2023년 1011만여 건, 지난해 1377만여 건으로 매년 급증하고 있다. 올해 들어 지난달까지 6624만 건에 이른다. 개인정보 유출 사고가 끊이지 않는 건 개인정보가 ‘돈’이 되기 때문이다. 개인정보를 필요로 하는 수요가 있다 보니 다크웹(특정 경로로만 접근 가능한 웹사이트) 등 훔친 개인정보를 내다 팔 수 있는 시장도 형성돼 있다. 가격도 시장에서 정해진다. 개인의 사생활이 경제학의 기본인 경제재(economic goods·대가를 지급해야 하는 재화)가 된 것이다.
암시장 유통 개인정보 가치는
최근 쿠팡에서 유출된 계정은 이미 다크웹뿐 아니라 일반인을 대상으로 하는 중국의 이커머스(온라인 쇼핑몰)에도 등장했다. 김장겸 국민의힘 의원에 따르면 중국의 한 이커머스에 올라온 쿠팡 계정의 판매 가격은 23~183위안(약 5000~4만원). 쿠팡 이용자 개인정보 가격이 평균 2만2500원에 형성된 것이다. 각 계정에는 사용자 이름과 전화번호·이메일은 물론, 배송 주소록, 주문 정보 등이 포함돼 있다.
 |
그래픽=남미가 기자 |
개인정보보호위원회에 따르면 개인정보 유출 건수는 2023년 1011만여 건, 지난해 1377만여 건으로 매년 급증하고 있다. 올해 들어 지난달까지 6624만 건에 이른다. 개인정보 유출 사고가 끊이지 않는 건 개인정보가 ‘돈’이 되기 때문이다. 개인정보를 필요로 하는 수요가 있다 보니 다크웹(특정 경로로만 접근 가능한 웹사이트) 등 훔친 개인정보를 내다 팔 수 있는 시장도 형성돼 있다. 가격도 시장에서 정해진다. 개인의 사생활이 경제학의 기본인 경제재(economic goods·대가를 지급해야 하는 재화)가 된 것이다.
개인정보가 음성적인 시장에서 ‘가치 있는 상품’으로 빠르게 자리매김하고 있다. 5일 사법당국과 보안업계에 따르면 이미 다크웹에서는 쿠팡의 개인정보 판매가 이뤄지고 있다.
━
‘개인 패턴’ 담긴 쿠팡 계정, 범죄 악용 쉬워 수백배 비싸
중국의 이커머스인 샤오홍슈·타오바오에서 일반인에게 판매했던 정황도 포착했다. 누구나 마음만 먹으면 살 수 있었던 셈이다. 그러나 개인정보 구매자는 크게 범죄집단과 동종 업계 등 일부 기업이라는 게 보안업계와 사법당국의 설명이다. 보안업계의 한 관계자는 “다크웹에서는 구매자가 원하는 대로 개인정보를 분류해 판매한다”며 “1만 건, 2만 건 이런 식으로 대량 구매하면 가격을 깎아 주기도 한다”고 전했다.
다크웹 등을 통해 개인정보를 확보한 범죄조직은 이를 피싱·스미싱 범죄에 사용한다. 쿠팡의 개인정보는 특히 범죄자에게는 완벽한 자료다. 실생활과 맞닿아 있는 정보를 조합하면 피해자를 쉽게 속일 수 있기 때문이다. 예컨대 쿠팡 배송 기록을 미끼로 택배사 사칭 문자메시지를 보내거나, 최근 구매한 고가 가전의 AS를 사칭하는 방식으로 접근하는 것이다. 마리유스 브리에디스 노드VPN 최고기술책임자(CTO)는 “이커머스 사용 내역은 사이버 범죄자에게 매우 가치가 있으므로 여러 심각한 온라인·오프라인 범죄에 악용될 수 있다”고 말했다. 정부가 3일 서둘러 스미싱·보이스피싱 경보를 내리고 다크웹 모니터링 강화 기간을 설정한 것도 이 때문이다.
개인정보의 또 다른 수요는 기업이다. 최근에는 온라인·오프라인 기업 할 것 없이 개인정보를 바탕으로 사업을 진행하는 예가 많아 수요가 느는 추세다. 기업은 다른 기업으로부터 합법적으로 극히 일부의 개인정보를 받아 마케팅 등에 활용할 수 있다. 한국은 그러나 ‘개인정보의 제3자 제공’ 관련 규제가 까다로운 편이어서 불법 유통 개인정보에 손을 대거나 활용하기가 쉽지 않다는 게 업계의 설명이다. 다만, 미국·중국 등지는 비교적 규제가 덜해 한국 진출을 노리는 해외 기업에 불법 유통 개인정보가 흘러들 가능성도 배제하기 어렵다.
개인정보 가격은 정보의 폭에 따라 달라진다. 가령 이름·전화번호와 같은 단순 정보는 보통 1인(건)당 100원 안팎이라는 게 업계의 설명이다. 대규모로 구매하면 가격은 더 내린다. 신용카드 사용 내역이나 이커머스 주문 목록, 배송지 등이 담긴 고급정보는 가격이 확 뛴다. 중국 이커머스에 노출됐던 쿠팡 개인정보 가격은 최고 4만원정도였다. 염흥열 순천향대 정보보안학과 교수는 “범죄집단은 100원도 안 되는 가격에 개인정보를 사고팔지만, 범죄수익이나 마케팅 비용 등을 고려한 개인정보의 실제 가치는 이보다 수백, 수천 배 이상”이라고 말했다.
 |
그래픽=남미가 기자 |
하지만 개인정보가 털린 개인에 대한 피해 보상은 쉽지 않다. 2008년 인터넷쇼핑몰 옥션과 2011년 싸이월드·네이트 운영사 SK컴즈에서 각각 1080만 건, 3500만 건의 개인정보가 유출됐는데, 법원은 기업의 배상 책임을 인정하지 않았다. 내부자 소행으로 밝혀진 2008년 GS칼텍스 개인정보 유출 사건(1100만 건)에서도 법원은 피해자의 손을 들어주지 않았다. 기업이 관련법을 준수했고, 유출된 개인정보로 인한 실질적인 피해가 없었다는 이유에서다.
2010년대에 들어서면서 기업의 과실 범위·배상 책임을 인정하는 추세로 바뀌었지만, 여전히 개인정보 유출에 따른 보상액은 적은 편이다. 2014년 신용카드 3개사(KB·롯데·NH농협카드)에서 약 1억 건의 개인정보가 털렸지만, 이에 대한 배상액은 1인당 10만원에 그쳤다. 2016년 인터파크, 지난해 모두투어 정보 유출 소송에서도 유사한 판결이 나왔다. 개인정보보호위원회 산하 분쟁조정위원회가 지난달 SK텔레콤 해킹 사태 관련해 내놓은 권고안의 배상액은 1인당 30만원이었다. 휴대전화 복제 피해 우려와 유심 교체 과정의 혼란·불편에 따른 정신적 손해를 인정했다고 설명했다.
정부의 과태료·과징금 처분이 터무니없다는 지적이다. 민병덕 의원(더불어민주당)실이 개인정보보호위원회 자료를 분석한 결과 2021년부터 올해 7월까지 451건의 유출 사고가 있었는데, 이 가운데 125건에 대해 877억2732만4000원의 과징금이, 405건에 대해 24억9880만원의 과태료가 부과됐다. 사건당 평균으로 따지면 과징금은 약 7억원, 과태료는 약 617만원 수준이다. 하지만 실제 유출된 정보 건수로 나누면 1건당 평균 과징금·과태료 액수는 1019원에 그친다. 현행 개인정보보호법은 전체 매출액의 3% 이내에서 과징금을 부과할 수 있도록 하고 있다.
반면 유럽연합(EU)의 일반개인정보보호법(GDPR)은 주요 규정을 위반하면 2000만 유로 또는 전년도 전 세계 매출액의 4% 중 더 큰 금액을 과징금으로 부과한다. 실제 아마존은 2021년 7월 룩셈부르크의 정보보호국가위원회로부터 EU의 GDPR 위반을 이유로 7억4600만 유로(당시 약 1조2252억원)의 과징금을 부과받았다. 염 교수는 “대규모로, 반복적으로 개인정보 유출이 이어지고 있기 때문에 단기적으로는 징벌적 손해배상제 도입과 같은 제재를 고려해볼 만하다”고 말했다.
황정일 기자 obidius@joongang.co.kr
▶ 중앙일보 / '페이스북' 친구추가
▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!
ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.