본문 바로가기
시사/보도

코로나19 시대, 건강 관리만이 아닌 개인정보 관리에도 유의해야

by 생각비행 2020. 6. 19.

코로나19로 모두가 힘겨운 마당에 이를 틈탄 개인정보 유출, 해킹 공격이 늘어나고 있습니다. 정보 보호, 보안 분야에서 인지도가 높은 SK인포섹은 올해 1~5월 시큐디움보안관제센터에서 탐지·대응한 사이버 공격 건수가 310만 건이라고 지난 17일 밝혔습니다. 지난해 같은 기간의 260만 건에 비해 약 19%가 증가한 수치라고 합니다. 310만 건의 사이버 공격 중에 디도스, 스미싱 등 단순 공격을 제외하고, 위험도가 높은 공격이 약 44만 5000건이라고 합니다. 코로나19 국내 확진자가 본격적으로 발생하기 시작했던 지난 2월부터 4월까지 공격 건수가 크게 증가한 것을 보면 사회적 혼란 상황을 노리는 사이버 공격이 많다는 점을 알 수 있습니다. 문제는 유출된 개인정보를 활용한 스마트폰 해킹, 긴급재난지원금 관련 스미싱 문자 발송 등에 사람들이 걸려든다는 겁니다. 건강과 방역 이슈에 관심이 쏠리는 시점에 'COVID19', 'WHO', 'MASK' 등 코로나19를 연상케 하는 이메일 공격이나, 지원금 지급을 사칭하는 스미싱 공격이 많기 때문입니다. 

 

출처 - 뉴시스 / SK인포섹

 

특히 주목해서 봐야 할 대목은 '크리덴셜 스터핑(Credential Stuffing)' 공격이 증가했다는 사실입니다. 올해 발생한 해킹 사고 중에서 약 40%가 크리덴셜 스터핑 공격에 의해 사용자 계정이 탈취된 것에서 비롯됐다고 합니다. 크리덴셜 스터핑은 이미 유출된 개인정보를 활용해 여러 인터넷 웹사이트에 무작위로 대입해 로그인하는 해킹 방법의 일종으로, 지난 1월에 발생한 유명인 대상 스마트폰 해킹에 사용되기도 했습니다.


 

출처 - 머니투데이

 

코로나19로 안전과 생명을 걱정해야 하는 시대에 개인정보 보호에도 관심을 기울여야 합니다. 전 국민의 금융, 개인 정보가 털리는 사고가 발생했기 때문입니다. 털린 것 다 아는데 이제 와서 무슨 호들갑이냐, 대한민국의 개인정보는 세계인의 공공재 아니었냐 하면서 관심 끊고 지내는 분도 계실지 모르겠지만, 이번에는 규모가 한층 더 커졌다는 게 문제입니다. ATM, POS단말기, 멤버십 가맹점 등의 해킹을 통해 61기가바이트 분량의 카드번호, 유효기간, 비밀번호 암호화값 등 신용, 체크카드 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 각종 금융 개인 정보까지 모조리 유출되었기 때문입니다. 무려 1억 건의 카드, 개인 정보가 유출돼 큰 혼란을 빚었던 지난 2014년 사건도 용량으로는 3.6기가바이트 정도였습니다. 이번에 유출된 61기가바이트면 산술적으로만 생각해도 수십 배에 이르는 금융 개인 정보가 털린 것입니다. 최초 보도 당시 1.5테라바이트라고 나왔지만 이는 하드 디스크의 용량이었고 그 안에 있던 금융 개인 정보 용량은 61기가로 알려졌습니다. 1.5테라가 아니라고 보도가 나가면서 오히려 사건이 축소되는 느낌인데 61기가로도 엄청난 데이터입니다.


출처 - 서울신문


문제는 사건을 인지한 지 이미 수개월이 지났는데 경찰과 금융위원회와 금융감독원 등 금융당국, 카드사 등 금융업계 모두 서로에게 떠넘기려고만 할 뿐 아무런 조치를 취하지 않았다는 데 있습니다. 2014년 1억 건이나 되는 금융 개인 정보를 털린 전례가 있는데도 지난 6년간 아무런 대책 없이 지내왔다는 걸 자인한 꼴입니다. 서울지방경찰청 보안수사대는 지난해 11월부터 올 1월 사이 하나은행 해킹 혐의로 구속된 이모 씨의 추가 범행과 공범을 수사하는 과정에서 국내 ATM과 카드가맹점, POS단말기, 멤버십가맹점 등을 해킹해 빼낸 금융 개인 정보가 든 1.5테라바이트 외장하드를 확보했습니다. 경찰은 일부만 봤는데도 엄청난 양의 금융 개인 정보가 섞여 있었다고 했습니다. 경찰과 금융권 모두 전 국민의 금융 개인 정보가 총망라돼 있을 것으로 추정하고 있습니다.



출처 - 슬로우뉴스


경찰이 지난 3월 초 금감원에 관련 데이터를 줄 테니 카드사별 분류와 소비자 피해 예방 조치를 해달라고 요청했지만 난색을 표했다고 합니다. 이에 경찰이 3월 말 금융보안원에 각 카드사 관계자들을 불러놓고 협조를 구했지만 카드사들도 어렵다고 거절했다고 하죠. 금감원이 거절한 이유는 양이 너무 많은데다 자기네 업무 범위가 아니고 금전적 피해신고도 없기 때문이라고 합니다. 해킹당한 것 자체가 금융 피해인데 주무 감독 기관인 금감원이 아직 범죄가 발생하지 않았다며 자기네 일이 아니라고 한다면 금감원이 존재하는 이유가 대체 뭘까요? 금감원은 압수물은 경찰이 먼저 분석 후 데이터를 넘기는 게 수순이라며 소비자 피해를 최대한 빨리 줄일 수 있게 데이터를 분석해서 넘겨달라고 요청했다고 하죠.

 

출처 - 이투데이

 

기가 막히는 상황입니다. 그렇지만 금감원과 카드사의 입장을 완전히 이해 못 할 부분은 아닙니다. 데이터가 뒤섞여 있는 상태에서 금감원과 카드사가 자기네 고객 외에 다타 데이터를 열람하고 분석한다면 추후 문제가 될 소지는 있으니까요. 그렇다고 한들 감독 주체인 금감원과 영업 주체인 카드사가 범죄 사실을 인지한 지 3개월이 넘도록 마냥 손을 놓고 있어서는 안 될 일이죠. 금융 당국은 보도가 늘어나자 지난 6월 15일 손병두 부위원장 주재로 금감원, 경찰청 등과 함께 개인정보 수사 공조를 위한 회의를 열었습니다. 금융 당국은 금융 개인 정보의 상업적 활용에는 그렇게 신속하더니 정작 이런 금융 소비자의 개인 정보 보호를 지키는데는 엉덩이가 무겁기만 합니다.


출처 - SBSCNBC


이번 사건을 계기로 금융 당국은 앞으로 전자금융사고가 발생하면 해당 금융사가 1차 책임을 지도록 하는 방안을 추진하고 금융사가 책임져야 하는 범위도 넓히겠다고 합니다. 기존에는 공인인증서 위변조 등 특정한 전자금융사고만 금융사의 배상 책임을 물었지만 앞으로는 고객 과실이 명확하게 입증되지 않으면 기본적으로 금융사가 책임을 지도록 한다는 겁니다. 언제 도입될지 모르겠고 소 잃고 외양간 고치기 같은 대응이지만, 일단 방향 자체는 환영입니다. 공인인증서도 사라지는 마당이니까요. 하지만 굼뜬 금융 당국의 행보가 빠른 금융시장의 잰걸음을 제대로 따라 잡을 수 있을지 걱정입니다.

 

출처 - 대한금융신문

 

코로나19 상황에서 페이코, 카카오페이 등 간편결제사들이 언택트(비대면) 열풍을 타고 급성장하고 있습니다. 간편결제업계가 취합한 자료에 따르면 올해 1분기 NHN페이코의 거래액은 1조 7000억 원으로 전년동기(1조 2977억 원) 대비 31% 늘었습니다. 카카오페이는 올해 1분기 거래액이 14조 3000억 원을 달성하며 전년동기(10조 2877억 원) 대비 39% 성장했습니다. 이런 호황은 코로나19 상황으로 인해 비대면 서비스 수요가 증가했기 때문으로 분석됩니다. 그런데 새로이 떠오르는 비대면 금융 역시 우려스러운 부분이 있습니다.

 

출처 - 이데일리

 

현재 네이버페이, 카카오페이 등 페이 서비스의 충전 한도가 200만 원인데 이르면 올해 말 300만~500만 원으로 늘어날 예정이라고 하죠. 금융위원회는 지난 12일 손병두 부위원장이 주재하는 제3차 규제입증위원회에서 전자금융거래법과 신용정보법상 규제 142건을 심의해 26건을 개선하기로 했다고 지난 14일 밝혔습니다. 앞으로 대학 등록금이나 고가의 가전제품도 페이 방식으로 결제가 가능해진다는 겁니다. 금융 당국은 이 충전 자금을 페이사가 멋대로 운용하지 못하게 고객 충전금 보호 규제를 강화하기로 했습니다.


출처 - 연합뉴스


하지만 불안함을 감출 수 없습니다. 지난 3일 토스의 온라인 가맹점 3곳에서 총 8명의 고객 명의로 부정 결제가 발생한 사건이 있었기 때문입니다. 금액은 938만 원에 달합니다. 토스는 누적 가입자가 1700만 명에 이르는 유명 모바일 금융 서비스 회사죠. 그런 대기업의 서비스를 이용하는 사람이 모르는 사이에 멋대로 결제되는 사고가 발생한 겁니다. 토스는 이번 부정 결제 사건은 회사 정보가 유출된 게 아니라 개인 정보 도용으로 인한 것이라고 밝혔습니다. 하지만 글쎄요, 창립 이후부터 심심찮게 보안 문제에 휩싸였던 걸 생각하면 믿음이 잘 가질 않습니다.


출처 - 머니투데이


개인정보를 털리고 털리다 지친 국민들은 이제 귀찮아서 이런 보도가 나와도 신경도 안 쓴다는 이야기가 떠돌 정도입니다. 전국민의 절반이 지난 1년간 개인정보 관련 침해를 당한 경험이 있는 것으로 응답했지만, 70%가 이에 대해 대응을 하지 않은 것으로 드러났습니다. 번거롭고 귀찮고 무엇보다 대응해봐야 별다른 효과가 없을 것 같아서라는 이유가 30%에 육박합니다. 이 정도로 공공기관과 기업들이 피해자들의 신뢰를 얻고 있지 못하다는 방증입니다.

 

출처 - 참여연대


정부와 금융 당국은 개인정보 침해 문제 발생 시 최대한 신속히 1차 책임을 금융사가 지도록 하는 방안을 마련해야 할 것입니다. 아울러 징벌적 손해배상과 같이 피해자에게 적절한 손해배상이 이루어질 수 있도록 법과 제도를 정비해야 할 것입니다. 또한 개인의 동의 없이 개인정보를 무분별히 공유하거나 사용하는 행위를 중단해야 합니다. 선택적 동의를 빙자한 강제적 동의 같은 눈 가리고 아웅 하는 방안이 아니라 정말로 개인이 자신의 정보를 제대로 통제할 수 있도록 하는 방안을 도입해야 할 것입니다. 온라인 결제가 쉽게 이뤄지는 세상은 그만큼 나의 개인정보도 쉽게 유출될 수 있는 세상이기 때문입니다.

댓글