제2 금융까지 개인정보가 탈탈 털렸다. 정부가 특단의 대책이라며 쏟아내지만 역부족이다. 엄밀히 말하면 사후 약방문에 불과하다. 반복되는 개인정보 유출 피해를 막으려면 독립적인 감독기구 확보와 주민등록번호 폐지 등 좀 더 근원적인 대책이 나와야 한다는 목소리가 높다. 이에 앞서 유출된 개인정보가 어떻게 유통되고, 활용되는지 구조적 문제점을 제대로 짚어야 대책을 마련할 수 있다는 지적이 잇따랐다.
◇1건당 최고 1만원에 거래, 범죄에 악용되는 개인정보
본지는 전문가들과 함께 금융권에서 유출된 개인정보가 어떻게 유통되는지를 알아보기 위해 중간책(브로커)과 국외 사업자 등을 역추적해봤다.
금융권에서 모집인이나 국외 사업자에게 팔려나간 정보는 1건당 1원에서 1000원에 팔려나가고 있었다. 그들은 이 정보를 은어로 ‘원시데이터’라고 부른다. 브로커는 이 원시데이터를 재가공해 ‘빅데이터’를 생성한다. 업종과 분야에 따라 정보를 다시 분류하거나 짜깁기해 비싼 가격에 되판다. 이를 은어로 ‘블랙 빅데이터’라고 한다.
생산과 유통, 판매 시스템이 수년 전부터 은밀히 자리 잡았다. 특히 대출 모집인에게 팔려나가는 정보는 수준별로 다른 가격이 매겨진다.
대출의향이 확인된 정보는 ‘완콜’로 불린다. 1건당 1만원에 국내외 업자에게 팔린다. 반면에 아웃바운드 문자용(단순 가입자 정보) 정보는 1건당 20원, 대출 신청 혹은 조회 시 거부 고객 정보는 1건당 200원에 통상 유통되고 있다.
외부로 팔려나간 정보는 다양한 루트로 활용된다. 모집인에 의한 마케팅 수단뿐 아니라 신용카드 복제(스키밍), 게임 아이템 해킹, 신분증 위조, 계좌번호 위조, 스팸 메일 등을 통한 보이스피싱 등 다양한 금융 범죄의 도구로 사용된다.
◇DB암호화, 증적관리시스템 의무화 등 시급
금융당국은 잇따른 정보 유출을 근절하기 위해 최근 신용카드 비밀번호를 6자리로 늘리는 방안을 검토 중이다. 또 징벌적 손해배상제도와 소비자집단소송제도 도입, 정보보호최고책임자(CISO) 독립경영 보장 등 사후관리와 보다 강화된 규제방안을 내놓은 바 있다.
하지만 금융 보안 전문가들은 유출된 정보를 무력화하는 데이터베이스(DB)암호화와 업무 제휴와 위탁을 맡고 있는 외주사의 통제시스템을 먼저 마련해야 한다고 강조했다.
금융권이 DB암호화에 나서고 있지만 막대한 투자비가 들고 암호화 솔루션 검증이 되지 않은 상황에서 눈치 보기만 급급하다.
한 금융권 고위 관계자는 “정보 유출을 막기 위한 가장 현실적인 대책은 모든 금융사가 증적(증거의 족적을 남기는 추적 시스템) 관리시스템을 의무화하는 것”이라며 “개인정보가 내부에서 어떻게 어떤 수단에 의해 움직이고 유출되는지 이동경로를 기록하는 인프라가 절실하다”고 말했다.
망 분리가 되지 않은 상황에서 PC, 이메일, 프린팅, USB 등을 통한 유출 여부를 사전에 인지하고 기록, 관리하는 통제 인프라를 갖추자는 말이다. 여기에 외부로 나가는 모든 정보 또한 암호화하고 마스킹을 의무화해야 한다고 지적했다.
테더링 등 무선망을 통한 유출도 별도 센서 등을 통해 실시간 정보의 족적을 알 수 있는 추가 시스템도 필요하다고 전문가들은 입을 모았다.
이외에도 외주 인력에 대한 모니터링 체계도 원점에서 재검토해야 한다는 주장도 제기됐다.
금융권 IT본부 관계자는 “해커에 의한 정보 유출은 망 분리를 통해 선제 대응할 수 있을지 몰라도 외주 업체 관리는 또 다른 방안이 필요하다”면서 “중복 외주업체에 대해 금융회사의 공동 관리방안을 마련하고, 아웃소싱 업체에 대한 보안통제를 평가해 공유하는 프로그램을 별도로 마련해야 한다”고 지적했다.
길재식기자 osolgil@etnews.com
