“63만3000여명의 한국 기업·소비자거래(B2C) 고객 데이터베이스가 텔레그램에서 단돈 175달러에 판매되고 있습니다. 이는 빙산의 일각일 뿐으로 더 많은 (개인정보) 데이터가 다크웹과 텔레그램 등에서 거래되고 있고 누구나 볼 수 있습니다.”
최상명 스텔스모어 인텔리전스 최고기술책임자(CTO)는 4일 서울 강남구 코엑스에서 열린 '개인정보보호 페어(PIS FAIR) 2024'에서 “한 번 유출된 개인정보는 끝없이 확산하기 때문에 주워 담을 수 없다”며 이같이 말했다.
최 CTO는 G사(골프존) 사례를 들면서 한번 유출된 개인정보가 끊임없이 유포되고 있다고 지적했다. 앞서 골프존은 지난해 말 200만명이 넘는 고객의 개인정보를 유출해 개인정보보호위원회로부터 과징금 75억원을 부과받았다.
최 CTO는 “지난해 12월 처음 다크웹에 고객정보가 유출됐지만, 지난달 10일에도 전파되고 있다”면서 “수많은 텔레그렘 채널에서 언급되며 해커들에게 확산하고 있다”고 짚었다.
해커의 초기 침투 방법으론 가상사설망(VPN) 취약점을 악용했거나 웹브라우저 계정정보를 탈취했을 것이라고 분석했다. 개인정보위는 해커가 '알 수 없는 방법'으로 골프존 직원들의 VPN 계정정보를 탈취했다고 발표한 바 있다.
최 CTO는 “G사가 사용하고 있는 VPN에 취약점이 있었다면 계정정보가 유출됐고, 해킹조직이 이를 입수해 침해했을 가능성이 있다”면서 “웹브라우저에 저장돼 있는 아이디·패스워드 정보를 탈취했을 수 있다”고 말했다.
해킹 피해를 최소화하는 방안으론 문서 암호화나 문서보안(DRM) 등을 거론했다.
최 CTO는 “최근 다양한 제로데이나 내부 직원의 실수 등을 통해 해커가 얼마든지 내부에 침투할 수 있기 때문에 유출을 막을 순 없다”면서 “파일을 암호화하거나 DRM을 사용하면 해커가 파일을 탈취해도 열람할 수 없어 피해를 입지 않는다”고 강조했다.
그러면서 그는 “다크웹 인텔리전스 플랫폼을 활용하면 유출된 VPN 계정정보를 확인할 수 있어, 패스워드 변경 등을 통해 피해를 예방할 수 있다”고 덧붙였다.
이지용 경찰청 경감은 개인정보 유출 위협으로 해킹 등 외부공격, 내부직원 유출, 관리자 부주의를 꼽았다. 구체적으로 홈페이지 취약점, 지능형지속위협공격(APT), 내부직원의 고객정보 임의접근, 협력업체 직원의 USB 악용, 메일 오발송, 보안조치 미흡 등을 들었다.
또 중국 내 한국인 개인정보보 불법거래도 성행하고 있다고 지적했다. 프로듀스48 인기투표를 위해 G마켓ID가 중국 오픈마켓(타오바오)에서 거래되기도 했다.
이 경감은 “해커는 내부정보를 빼가기 위해 6개월가량 준비한다”면서 “개인정보를 유출해도 인지하지 못하는 경우도 많아, 로그 서버를 두고 6개월 이상 로그를 보존할 것”을 당부했다.
이번 행사는 개인정보보호 제도의 활성화와 대국민 홍보 및 인식제고를 위한 자리다. 개인정보보호법 시행연도인 2011년부터 매년 개최하고 있다. 이날 고학수 개인정보위 위원장을 비롯해 염흥열 개인정보보호 페어 조직위원장, 이상중 한국인터넷진흥원(KISA) 원장, 조영철 한국정보보호산업협회(KISIA) 회장, 이기주 한국 CISO(최고정보보호책임자)협의회 회장 등 개인정보 유관 기관장, 협회장 등 90여명이 참석했다.
고학수 위원장은 기조연설을 통해 “규제 불확실성을 해소하고 새로운 프라이버시 이슈를 선제적으로 대응하여 기업의 부담을 덜어줄 것”이라며 “이번 개인정보보호 페어가 AI에 대한 신뢰를 넘어 데이터 가치를 얻는 새로운 시대로 도약하는 계기가 되기를 기대한다”고 말했다.
염흥열 조직위원장은 환영사에서 “향후 개인정보보호 담당자에게 실질적으로 도움을 주는 교류의 장을 지속적으로 마련할 것”이라며 “우리나라 개인정보보호 역량 강화와 수준 제고를 통해 국가와 산업 경쟁력을 높일 수 있도록 기여할 것”이라고 말했다.
조재학 기자 2jh@etnews.com