본문 바로가기

[Saturday] 불륜 사이트 애슐리 매디슨, 3700만 명 신상 유출

중앙일보 2015.08.29 00:58 종합 11면 지면보기


불륜 조장 사이트 애슐리 매디슨 해킹 여파가 전 세계를 휩쓸고 있다. 하루에 수만 건씩 이뤄지는 개인정보 유출에도 둔감하던 이들이 이번에 공개된 3700만 명 속에 자신이 포함되지 않았을까 전전긍긍한다. 대선 출마를 고려 중인 조 바이든 부통령의 아들 헌터 바이든의 e메일 주소도 발견됐고(본인은 부인) 미국 연방 검사보와 법무부 국장, 백악관 정보기술 관리자 등의 e메일도 포함됐다. 유럽의 고위직 관료들과 IBM, HP, 애플, 인텔 등 글로벌 기업의 e메일도 다수 포함됐다.

한국인 회원 5만명 … 공무원들이 쓰는 e메일 사용도
전 세계 자살·집단소송 후폭풍
“배우자에게 알리겠다” 2차 범죄도
작년 지구촌서 10억 명 정보 유출
하루 평균 274만 명, 초당 37명 피해



 한국도 예외는 아니다. 애슐리 매디슨엔 최소 5만6000명의 한국인이 가입한 것으로 확인됐다. 이 중 공무원들이 사용하는 ‘korea.kr’을 이용한 경우는 199건. 허위를 고려하더라도 많은 숫자다. 공공기관 e메일 도메인 ‘go.kr’이나 ‘or.kr’을 사용한 경우도 각각 102건과 93건이 확인됐다. 삼성의 e메일 주소도 47건이 나왔다. 전 세계에선 공개한 정보를 근거로 “배우자에게 알리겠다”는 협박 e메일 등 2차 범죄가 발생하고 이로 인해 벌써 2명이 자살했다. 캐나다에서는 7억6000만 캐나다달러(약 6776억원)의 집단소송이 벌어지는 등 여파가 확산되고 있다. ‘불륜’이라는 단어가 개인정보 유출에 대한 경각심을 확 끌어올린 셈이다.



 사실 은행·보험사 등 매년 수천만 건의 개인정보 유출 소식을 들으며 한국인들은 개인정보 문제에 둔감해졌다. 김미영 팀장에게서 돈을 빌려주겠다는 문자가 유난히 많이 오면 ‘아! 내 개인 정보가 유출됐나’라는 생각이 들 뿐이다. 수십 개 사이트에 가입하면서도 설명도 제대로 읽지 않고 ‘다음(Next)’을 누르는 게 일상이다. 개인정보 유출 사고 소식을 들어도 본인이 가입했는지조차 기억하지 못한다. 그 많던 우리의 유출된 개인 정보는 어디로 갔을까.



 ◆유출된 개인 정보 어디에 있나=세계적 정보보안업체들에 따르면 개인 정보를 유출하는 주체는 다양하다. 국가가 해커를 양성해 사이버 공격의 일환으로 개인 정보를 유출하는 경우가 있고, 실력을 과시하고 싶은 해커들이 개인 정보를 유출시키는 경우도 있다. 일부에서는 ‘공공선’을 위한다는 주장을 하며 무정부주의 해커들이 해킹 공격을 한다. 하지만 대부분 상업적인 목적으로 개인 정보를 마케팅 등에 활용하기 위해 해킹을 한다.



 박춘식 서울여대 정보보호학과 교수는 “개인 정보를 노리는 해킹 집단의 목적은 크게 범죄·마케팅·실력 과시 등으로 나눠진다”며 “축적된 개인 정보를 기반으로 또 다른 해킹을 하거나 보이스피싱 범죄로 악용하는 등 2차 피해로 이어지기도 한다”고 말했다. 누군가 특정 개인 정보를 요청하면 이에 맞춰 해킹하는 경우도 있다. 해킹 분석 사이트 핵마게돈 등에 따르면 사이버 공격의 목적은 사이버 범죄(59.5%), 정치·사회적 목적의 해킹인 핵티비즘(21.4%), 사이버 스파이(16.7%), 사이버 전쟁(1.2%), 기타(1.2%) 순이다. 최근 이슬람국가(IS) 등 테러 조직이 해킹을 통해 국가 주요 시설을 공격할 가능성도 제기된다.



 해킹으로 유출된 개인 정보는 어떻게 사용될까. 전문가들은 ▶대부업체·보험회사·대리운전업체 ▶보이스피싱 등 범죄 집단 ▶위조 카드 발급 ▶2차 해킹 ▶특정인 협박(블랙메일) 등에 악용된다고 경고한다. 불법 시장에서 개인 정보가 대량으로 판매된다는 것이다. 검·경찰을 사칭해 ‘개인 정보가 유출됐다’며 수억원을 챙긴 보이스피싱 일당도 있었다. 개인 정보가 유출된 기업을 상대로 돈을 요구하는 랜섬웨어(ransomware, 몸값과 제품의 합성어)도 발생한다. 해킹 자체가 정치적인 의도를 드러내거나 각종 선거 등에 악용되는 경우도 있다는 게 보안 전문가들의 분석이다.



 ◆사이버 공격 경제 피해 연 674조원=IBM 보안팀 X-FORCE에 따르면 지난해 사이버 공격으로 10억 명가량의 개인 정보가 유출됐다. 하루 평균 274만 명, 1초당 37.1명의 개인 정보가 새 나간 것이다. IBM은 전 세계 사이버 공격이 다양해지고 있다고 지적했다. 특히 금융 계좌 정보까지 유출되며 위험성이 높아지고 있다. 러시아 보안회사 인포워치는 2013년 5억6100만 명, 2014년엔 7억6700만 명의 개인 정보가 유출됐다고 추정했다. 지난해 10억 명 유출을 고려하면 개인정보 유출이 매년 2억 명 이상 증가하고 있다. 인포워치는 데이터 유출의 92%가 개인 정보와 관련된 사안이라며 2014년에만 14건의 대형 유출(1000만 명 이상 개인정보 유출) 사고가 있었다고 밝혔다. 미 보안업체인 맥아피는 사이버 공격으로 인한 전 세계의 경제 피해 규모를 연간 최대 5750억 달러(674조원)로 추정했다.



 올해도 중요한 개인정보 유출이 많았다. 지난 4월 미국 연방인사관리처(OPM)가 중국인으로 추정되는 해커에게 뚫려 공무원과 그 가족 등 총 2150만 명의 개인 정보가 유출됐다. 당시 미 해군 특전단(네이비실)의 신원 정보도 유출되며 논란이 일었다. 지난 5월엔 러시아 해커의 소행으로 추정되는 미 국세청(IRS) 해킹으로 33만4000명의 개인 정보가 유출됐다. 사회보장번호(SSN)와 생년월일·주소 등 개인 정보를 획득한 이들은 허위 세금 환급을 통해 5000만 달러(592억원)를 부정 환급받았다. 이달엔 불륜 조장 사이트 애슐리 매디슨 해킹이 전 세계를 휩쓸었다. 캐나다에 본사를 둔 애슐리 매디슨을 공격한 건 정치·사회적 목적으로 해킹을 하는 핵티비스트 그룹 ‘임팩트 팀(Impact team)’. 이들은 애슐리 매디슨의 폐쇄를 요구하며 3700만 명의 개인 정보를 온라인에 유포했다.



 ◆경품 내세워 얻은 개인정보 팔기도=전 세계 개인정보 유출 사고 상위 10위 안에는 2014년 1월 국내 신용카드 3사(KB국민카드·롯데카드·NH농협)의 개인정보 유출 사고가 포함돼 있다. 이 사건은 2012~2013년 카드 3사 등의 ‘카드 부정사용 방지시스템’ 구축을 맡은 외부 용역 직원이 개인 정보를 대출 광고업자 등에게 유포한 것으로 당시 1억400만 건의 신용카드 정보가 유출됐다. 대형할인점 홈플러스는 2011년부터 2014년까지 경품 행사에 응모한 712만 건의 개인 정보를 보험사 7곳에 넘겼다. 1인당 49원꼴로 개인 정보가 팔린 셈이다. 이마트와 롯데마트에서도 2012~2013년 보험사 경품 행사 과정을 통해 489만 건의 개인 정보가 유출된 것으로 드러났다.



 지난달엔 4400만 명의 의료 정보 47억 건이 마케팅 업체에 넘어갔다. 약학정보원 등이 경영관리 프로그램을 이용해 환자의 주민번호와 질병명 등 개인 정보를 빼내 외국계 의약품 마케팅 업체에 팔아 넘긴 혐의로 기소됐다. 그 밖에 2001년 네이트 해킹으로 3500만 건의 개인 정보가 유출됐고 2012~2013년 북한발로 추정되는 사이버 테러가 여러 차례 발생했다. ‘원전반대그룹’도 지난해 말부터 한국수력원자력·국방부·국정원 등의 정부 기관 문서를 해킹해 공개하는 등 정보 유출 사례가 반복되고 있다.



정원엽 기자 wannabe@joongang.co.kr



[S BOX] 사진·동영상 등 콘텐트 업로드 때 유출 가능성 높아



IBM은 사진·동영상 등 개인 콘텐트를 웹에서 공유할 때 정보유출 가능성이 가장 크다고 지적한다. 지난해 클라우드 서비스에 누드 사진 등을 올렸다 유출 당한 할리우드 스타들처럼 개인이 온라인에 콘텐트를 업로드 할 경우 해킹에 취약하기 때문이다.



 윈도 등 컴퓨터 운영체제(OS) 업데이트를 할 때도 보안에 취약하다. OS X 멀웨어로 불리는 수천 개의 악성코드가 컴퓨터에 침입해 개인정보 등을 유출시킨다. 소셜네트워크서비스(SNS)도 개인정보 유출의 주요 통로다. 보안업계에 따르면 매일 60만 개 이상의 페이스북 계정이 해킹을 당한다.



모바일 앱도 개인정보 유출 위험을 높인다. 한국의 경우 메신저 앱이나 모임 앱을 통해 정보를 공유하는 과정에서 정보 유출의 가능성이 있다. 자신도 모르는 사이 스파이 앱이 깔리고 채팅 내용이 고스란히 유출될 수 있다.



전문가들은 모바일을 통한 SNS 자동 로그인도 정보 유출의 경로가 될 수 있다고 경고한다. 박춘식 서울여대 교수는 “평상시 한국인터넷진흥원 홈페이지 등에서 제공하는 개인정보 유출·이용 현황을 지속적으로 확인하고 비밀번호를 자주 변경해줘야 한다” 고 말했다.
공유하기
광고 닫기