혹시 내 정보도?…국내 1360여개 웹사이트서 2346만건 유출

공공사이트를 비롯해 국내 1362개 웹사이트 가입자 정보 2346만여 건이 유출된 것으로 조사됐다. 이메일 주소와 비밀번호 등 이용자 정보가 대거 유출돼 정부가 대책 마련에 나섰다.
 
 개인정보보호위원회는 8일 과학기술정보통신부와 함께 해킹 등으로 유출된 개인 정보를 공유하는 해외 웹사이트에서 불법 개인정보 데이터베이스(DB)를 확보해 분석한 결과 2346만여 건에 달하는 정보가 유출된 것으로 나타났다고 밝혔다.
 
 개인정보가 유출된 사이트는 대부분 중소 규모의 민간 및 공공 사이트로 개인정보위는 확보한 불법 DB에 포함된 계정정보의 진위를 확인 중에 있다. 개인정보위는 추가 피해 예방을 위해 해당 웹사이트 관리자에게 정보 유출 여부에 대한 확인을 요청했다고 밝혔다. 대규모 개인정보 유출과 관련해 개인정보위는 정보 유출이 사실로 확인된 경우 해당 사이트에 대해 공식적인 조사에 들어가기로 했다.
 
 개인정보위는 “인터넷상에 불법 DB를 상습 게시한 자에 대해서는 수사를 의뢰하고, 추가 불법 DB 게시 및 유통 여부를 지속적으로 탐지하고 삭제할 예정”이라고 설명했다.
 
 개인정보위는 유출된 것으로 보이는 개인 정보가 이메일과 비밀번호 도용 등을 통해 추가 피해가 발생할 것을 대비해 주요 이메일 서비스 회사에 추가 보호조치를 요청했다. 불법 DB와 계정이 일치하는 경우 보호조치를 마련해 ‘크리덴셜 스터핑(credential stuffing)’으로 통칭되는 추가 개인정보 탈취를 막겠다는 취지다. 
 
 크리덴셜 스터핑은 해커가 확보한 특정 사이트 이용자의 정보를 다른 사이트에 무작위로 대입해 개인정보를 탈취하는 행위를 뜻한다. 통상 많은 이용자가 여러 사이트에서 동일한 아이디와 비밀번호를 쓴다는 점에 착안해 해커들이 추가 개인정보를 탈취하는 것으로 최근 2년간 전 세계에서 총 880억건에 달하는 추가 정보 유출이 이뤄진 것으로 조사됐다.
 
 개인정보위는 추가 정보 유출 등으로 불법 유통되는 정보는 보이스피싱과 명의도용 등 각종 범죄에 이용되면서 경제적 피해도 매년 증가하고 있다고 설명했다. 개인정보위에 따르면 2017년 보이스피싱은 2만4259건으로 총 2470억원 규모의 경제적 피해를 낳았다. 개인정보 유출에 따른 보이스피싱은 지난해엔 3만7667건으로 피해액도 6398억원으로 급증했다. 
 
 개인정보위는 개인정보 유출에 따른 불안감을 해소하고 피해를 줄이기 위해 ‘웹사이트 계정정보 유출확인 시스템’을 만들기로 했다. 자신의 계정 정보가 유출됐는지 여부를 확인할 수 있는 것으로, 이르면 오는 2021년부터 운영된다.
 
 계정정보 유출 여부는 이번에 확보한 불법 DB와 구글이 인터넷을 통해 확보한 약 40억 건의 계정정보 DB를 연계해 확인할 수 있게 된다. 개인정보위는 또 오는 2022년부터는 국내 주요 인터넷기업과 손잡고 웹사이트 계정 정보 유출 여부를 확인할 수 있도록 할 방침이다.
 
 윤종인 개인정보보호위원장은 “주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙 실천을 통해 소중한 개인정보를 안전하게 지킬 수 있도록 해 달라”고 말했다.
 
김현예 기자 hykim@joongang.co.kr