범죄로 악용되는 ‘개인정보 유출’ 실태

나도 모르게 공유…“내 정보는 공공재?”

김범준 기자 | 기사입력 2017/07/07 [09:28]

범죄로 악용되는 ‘개인정보 유출’ 실태

나도 모르게 공유…“내 정보는 공공재?”

김범준 기자 | 입력 : 2017/07/07 [09:28]

평범한 어느날, “엄마 살려줘!”라는 목소리가 수화기 너머에서 들려왔다. 갑작스런 딸의 전화를 받은 엄마는 소스라치게 놀랐다. 딸의 목소리에 이어 들려온 어느 남자의 목소리. 은행 계좌를 알려줄테니 인터넷뱅킹으로 1000만원을 보내라고 말했다. 인터넷뱅킹에 가입하지 않았다고 하자, 아빠에게 전화해 돈을 보내라고 요구했다. 동시에 아빠와 통화할 휴대전화를 전화기에 밀착시키도록 하는 것도 잊지 않았다. 엄마가 하는 말을 남자도 들으려는 것이었다. 그래도 엄마는 문자로 먼저 아빠에게 납치 소식을 전했다. 뒤이은 전화에서 엄마는 “친구 아버지가 돌아가셔서 돈 1000만원을 보내야 한다”는 말만 되뇌었다. 아빠는 통화하면서 동료를 통해 딸 학교에 전화를 했다. 받는 사람이 없었다. 딸 휴대전화로도 전화했다. 받지 않았다. 아빠도 철렁했다. 조금 지나 딸은 문자로 “수업 중인데, 왜?”라고 답했다. 그제야 사기임을 알아챘다. <편집자 주>

 


 

 

해커 고용해 동남아에서 정보 수집…해외라서 단속 어려워

불법 개인정보 수집 온상…‘대출모집인’들의 부당행위 기승

사실상의 공공재 전락한 주민등록번호…피해규모도 막심해

정보유출 사건 후 엄격한 규제…빅데이터 산업에선 뒤쳐져

 

▲ 개인정보가 헐값에 넘어가 범죄에 이용되는 사례가 빈번하고 있다. <사진=Pixabay>     © 사건의내막

 

[사건의 내막=김범준 기자] 그나마 안씨는 재빠른 대처로 사기의 덫에 걸리지 않을 수 있었지만 해마다 그 피해자가 늘고 있다. 수법도 나날이 진화하고 있다. 안씨는 어떻게 사기범들이 딸 이름과 집 전화번호를 알게 됐는지 짐작조차 못하고 있었다. 

    

DB 장사 3단계

 

대부업체를 운영하는 A(36)씨는 개인정보 수집 과정에 대해 이렇게 설명했다.

 

그는 “동업자가 몇 년 전 중국에 있는 해커를 만나러 출장을 가기도 했다”면서 “해커들은 중국, 필리핀, 인도네시아에 있는 서버에 접속해 경찰 추적을 따돌린다”고  전했다. 동남아 지역의 경우 지리적으로도 가깝고, 경비가 싼 편인 데다 공안이나 현지 경찰이 한국의 수사의뢰를 받아도 거의 협조를 해주지 않기 때문이라는 것이다.

 

A씨뿐 아니라 대부업계 종사자나 수사관들의 설명에 따르면 ‘DB장사’는 통상 3단계로 이뤄진다.

 

우선 ‘1차 사무실’이라고 불리는 개인 및 조직이 ▲금융권 해킹 ▲졸업앨범 및 동문 주소록, 주차장 차량 연락처 등을 활용한 무작위 전화 ▲정보 수집상을 통한 DB 구매 등으로 개인정보 DB를 확보한다.

 

다음은 텔레마케터(TM)를 이용해 전화를 건다. 이 가운데 일정 수준의 신용등급과 대출 의사가 있는 사람들일 경우 “우리 직원이 곧 전화할 겁니다”라고 안내한 뒤 고급 DB로 분류한다. 업계 관계자는 “무작위 전화는 시간·비용도 많이 걸리고 번거로워 2금융권 DB를 가장 고급으로 친다”고 말했다. 이렇게 대출 의사가 있는 이들의 DB는 ‘설계사’(프리랜서 대출 알선자)나 대부중개업체에 판매된다. 업계는 이들을 ‘2차 사무실’이라고 부른다. 

 

A씨는 “설계사나 중개업체가 직접 해커를 고용해 정보를 모으기도 하는데 해킹가격은 수천만~수억원까지 가고, 일이 끝난 뒤 잔금을 준다”면서 “설계사는 대부업체에서 알선 수수료를 받거나 대부회사와 짜고 자신이 직접 대출을 진행한 뒤 대출금액의 3~8%가량을 받기도 한다”고 말했다.

 

대출모집인 모집

 

#최근 회사원 B씨는 대출을 위해 신용조회를 해보고 깜짝 놀랐다. 자신도 모르는 신용정보 조회 이력이 5건이나 더 있었기 때문이다. 알고 보니 얼마 전 대출모집인을 통해 돈을 빌리려 시도했던 게 화근이었다. 개인정보를 손에 넣은 대출모집인이 B씨에게 알리지도 않고 마구잡이 신용조회를 했던 것. 

 

#자영업자 C씨는 사업자금이 급히 필요했다. 대출모집인과 상담을 했더니 솔깃한 제안을 들었다. 연30%대 고금리 저축은행 대출을 딱 세 달만 쓰면 10%대의 시중은행 대출로 바꿔주겠다는 조건이다. 하지만 돈을 빌려 쓰고 약속한 세 달이 지났지만 감감무소식이었다. C씨는 속았다는 걸 깨달았지만 이미 대출모집인은 연락을 끊어버린 뒤였다. 

 

이 같은 사례들은 금융감독원에 실제 들어오고 있는 민원들이다. 대출모집인을 통한 가계대출이 급증하는 가운데 대출모집인들의 부당행위가 기승을 부리고 있다. 

 

대출모집인이란 금융사로부터 업무위탁을 받아 돈을 빌릴 사람과 금융사를 연결해주는 일을 한다. 주로 영업망이 취약한 SC은행, 씨티은행 같은 외국계 은행들과 보험사, 저축은행, 캐피탈 회사 등이 대출모집인을 많이 쓴다. 

 

하지만 현재 대한민국에는 대출모집인을 직접 제재할 수 있는 법이 없다. 이들의 숫자가 증가하면서 지난 2010년 업계 자율 규정인 ‘모범규준’을 마련했지만 어겨도 그만이다. 강제성을 띤 법이 없는 탓이다. 사태의 심각성을 인식한 금융위원회가 새로 만든 금융소비자보호법에 대출모집인을 금융상품 판매업자 중 대리중개업자에 포함시켜 판매규제 내용을 넣었다.

 

하지만 금융소비자보호법이 저축은행 피해자구제법 등에 밀려 국회에서 심의조차 되지 않으면서 폐기됐다. 다만 문재인 대통령이 후보 시절 금융소비자보호법 제정을 공약한 바도 있어 추이가 주목되고 있지만 향후 입법과정에서 난항이 예고되고 있다. 이유인 즉 지난 18·19대 국회에서도 금융소비자보호원의 설치, 입증책임 전환, 집단소송제· 징벌적 손해배상제 등 쟁점들로 인해 논의에 커다란 진전 없이 임기만료로 자동폐기 된 바 있기 때문이다.

 

이처럼 관련법이 없으니 사실상 속수무책이다. 소비자들이 하루에도 몇 통씩 날아오는 허위·과장 대출광고 문자메시지에 시달려도, 비싼 중개수수료를 부당하게 뜯겨도, 이들을 직접 처벌할 법적 근거가 애매하다. 금융당국 관계자는 “특정경제범죄 가중처벌법 등을 준용할 수도 있지만 현실적으로 쉽지 않다”고 밝혔다.

 

법망의 허점 속에 모집인들의 영업은 활개를 치고 있다. 대출모집인은 계약을 맺은 금융사로부터 수수료를 받는데 평균 수수료율은 신용대출 기준 4.68%다. 소비자가 1000만원을 빌리면 46만8000원을 모집인이 챙긴다는 뜻이다. 수수료 비용이 나가는 금융사는 이자를 비싸게 매길 수밖에 없다. 수수료율은 최고 10%에 이르기도 한다.

 

실제로 지난 5월 경기페퍼·OSB·충북아주·HK 등 저축은행 여러 곳이 금융당국의 조사 끝에 검찰에 고발됐다. 해당 저축은행 행원들이 대출모집인으로부터 대출중개수수료를 받아 챙긴 혐의 때문이다. 대출모집인은 금융회사와 전속 계약을 하고 개인 대출 고객을 끌어오는 사람을 말하는데, 유치한 대출금액의 일정 부분을 수수료로 받는다. 이 과정에서 일부 행원이 대출모집인에게 대출을 해준 데 대한 수수료 명목으로 일부를 돌려받았다는 것이다.

 

더 큰 문제는 수수료를 금융사가 아닌 소비자한테 받아 챙기는 행태가 적지 않다는 것이다. 이 액수는 통계에 잡히지도 않는다. 특히 등록하지 않고 피라미드식으로 활동하는 모집인들이 많아 여기서 온갖 부당행위가 일어나는 것으로 추정된다. 

 

금융당국 관계자는 “금융협회에 공식 등록한 대출모집인이 밑에 미등록 모집인들을 거느리고, 그 아래에는 또 다른 모집인들이 있는 피라미드 구조”라며 “금융사로부터 직접 수수료를 받기 힘든 하부 모집인들이 소비자에게 수수료를 편취하거나 개인정보를 팔아넘기기도 한다”고 밝혔다.

 

위 사례의 C씨처럼 감언이설에 속아 고금리 대출을 빌리는 이른바 ‘약탈적 대출’도 심심찮게 일어난다. ‘10분 안에 1000만원 가능’같은 ‘묻지마 대출’을 내세우는 스팸 문자메시지와 전단지 광고의 문제는 말할 것도 없다.

 

하지만 궁극적 해결책은 입법이다. 업계 전문가는 “정기국회가 열리면 최우선적으로 관련법을 만들어 제재근거와 수단을 갖춘 후 종합적으로 대출모집인 제도를 정비해야 할 것”이라고 말했다.

 

▲ 우리나라 국민들의 개인정보가 건당 1원도 안되는 가격으로 거래된바 있다. <사진=IT 채널 갈무리> © 사건의내막

 

주민등록번호 유출

 

한국사람이면 누구나 하나씩 갖고 있는 주민등록번호다. 전 국민에게 고유의 ‘주민번호’가 부여된 것은 1968년부터다. 당시 간첩 색출을 목적으로 만들어진 주민등록번호는 13차례에 걸친 개정을 거치며 거의 완벽한 개인식별 수단으로 효과를 발휘하고 있다. 주민등록번호가 없으면 금융, 거래, 세금 등 거의 모든 사회생활이 불가능할 정도다.

 

주민등록번호제도는 범죄 수사에서도 큰 효과를 발휘하고 있다. 미국 등 해외에서는 범죄 경험이 있는 사람들의 정보만 수사기관에 저장돼 있다. 범죄 경험이 없는 초범의 경우에는 그만큼 정보를 찾기가 쉽지 않다. 하지만 한국은 전 국민의 개인정보를 국가가 갖고 있기 때문에 언제든지 수사에 활용할 수 있다. 특히 한국의 주민등록제도는 지문을 날인하기 때문에 범죄 수사에 큰 도움을 주고 있다는 평가다.

 

현재 우리나라의 주민등록제도를 통해 정부가 관리하는 개인정보는 140개 항목에 이른다. 대표적인 개인식별번호인 주민등록번호부터 시작해 세대번호, 성명, 생년월일, 성별, 혈액형, 혼인관계, 학력, 직업 등이다. 여기에 지문 날인을 통해 생체 정보까지 보유하고 있다.

 

주민등록번호 자체로도 많은 정보를 담고 있다. 주민등록번호의 앞 여섯 자리 숫자는 생년월일을 의미한다. 뒤 일곱 자리 숫자는 좀 더 복잡하다. 첫 번째 숫자는 남녀 성별과 외국인 유무를 의미한다. 앞이 ‘5’인 경우는 1900년대에 태어난 외국인 남자다.

 

두 번째부터 다섯 번째까지 네 자리 숫자는 주민등록증을 발급한 지역을 의미한다. 앞의 두 자리가 서울, 부산, 경기 등 광역 지역을 의미하고, 뒤에 두 자리가 읍·면·동사무소를 의미한다. 마지막 두 자리 중 앞에 숫자는 해당 지역에서 출생신고를 한 당일 순번이고, 마지막 숫자는 위변조 방지를 위한 검증번호다. 주민등록번호만 알면 생년월일과 성별, 태어난 지역을 한 번에 알 수 있는 셈이다.

 

다양한 개인정보가 담겨 있는 주민등록번호는 한 번 유출되면 다양한 범죄에 사용될 수 있다.

 

이름과 주민등록번호를 알면 인터넷 사이트에서 타인의 아이디를 찾을 수 있고, 비밀번호도 약간의 노력을 더하면 쉽게 파악된다. 한 인터넷업체 보안관계자는 “악성코드나 전문적인 해킹 프로그램이 없어도 주민등록번호와 이름만 알면 수작업으로도 인터넷 사이트의 비밀번호를 알아낼 수 있다”며 “이런 경우는 아무리 보안에 신경을 써도 속수무책”이라고 말했다. 

 

이런 문제가 있어 지난해부터 정부는  새 개인정보보호법의 영향으로 인터넷서비스 기업들이 주민번호 수집금지·폐기 작업에 나서고 있다. 해커들의 표적이 되고 있는 ‘주민번호’를 버려 보안 리스크를 줄이고 ‘내 개인정보가 털리지 않을까’ 불안에 떠는 회원들을 안심시키기 위해서다.

 

최근 포털사이트 등은 회원가입시 주민번호를 요구하지 않는다. 이후 이메일·트위터 등의 계정만 받는 ‘개방형 인증제도’를 도입했다. 애초에 상당수의 기업은 개인정보보호 문제에 관해서는 모범생에 해당하는 기업들이 많다.

 

반면 SK커뮤니케이션즈는 과거 3500만 명의 개인정보가 유출된 해킹사건이 터진 직후에 ‘보관된 주민번호 폐기’를 선언했다. 네이버와 다음 같은 대형 포털들은 공정거래위원회가 네이버 등 14개 주요 온라인 사업자를 대상으로 관행적으로 이뤄지던 주민번호 등을 수집·보관하지 못하도록 시정 조치를 요구하자 뒤늦게 주민번호 폐기 움직임에 동참했다.

    

▲ 빅데이터 산업이 성장하면서, 개인정보의 합법적 수집이 중요해졌다. <사진=Pixabay>     © 사건의내막

 

빅데이터 개인정보

 

하지만, 우리나라의 뒤늦은 ‘개인정보 보호’는 역으로 빅데이터 경쟁에서 뒤처지는 결과로 나타나기도 한다.

 

실제로 최근에는 인터넷에서 실시간 양산되는 수많은 데이터를 가공해 신상품과 신사업을 만드는 ‘글로벌 빅데이터’ 전쟁이 벌어지고 있다. 빅데이터 거래 시장 규모는 올해 434억달러에서 2026년 846억9000만달러로 급증할 전망이다. 하지만 21세기의 ‘원유’ ‘금광’으로 불리는 빅데이터 시장에서 자칫 한국만 낙오될 위기에 처해 있다.

 

미국 JP모건은 자사 신용카드 고객의 거래 내역을 분석한 정보를 판매한다. 고객 트렌드 분석이 필요한 기업들이 구매한다. 마스터카드는 고객 결제 데이터를 분석한 결과를 판매해 작년 3억4000만달러 매출을 올렸다.

 

모두 한국에선 할 수 없거나 제한이 많은 일들이다. 한국은 2014년 개인 정보 유출 사태 이후 강력한 정보 보호 국가가 됐다. 개인정보보호법, 정보통신망법 등 20여개의 관련 법으로 개인 정보 활용을 엄격하게 제한한다. 크게 두 가지 제한이 있다. 첫째, 소비자로부터 개인 정보 수집 및 활용을 ‘사전에 동의’ 받아야 한다. 둘째, 개인 정보의 정의가 지나치게 추상적이고 폭이 넓다. 웬만한 정보는 동의받지 않고는 수집·활용할 수 없다.

 

예를 들어 자동차 회사가 승용차마다 일련번호를 부여하는 사실조차 모르는 사람이 많은데, 그 번호를 개인 정보의 일종으로 보고 수집·활용을 제한한다. 보험개발원 관계자는 “보험사가 계약자 차량의 일련번호를 알면 긴급 제동 장치 같은 안전장치 부착 여부를 통해 보험료를 할인해줄 수 있는데, 개인 정보라는 이유로 파악하지 못한다”며 “고객 스스로 안전장치 부착 여부를 알린 경우에만 보험료 할인이 가능한 상태”라고 했다.

 

미국·일본·EU 등은 기업들이 개인 정보를 자유롭게 활용하도록 하되 소비자가 거부한 경우에만 활용을 중단토록 하거나 사전에 개인 정보 활용을 동의받아 폭넓게 허용하고 있다. 또 사회보장번호처럼 개인을 정확하게 식별할 수 있는 정보만 개인 정보로 보고 있다. 이를 기반으로 다양한 부가가치를 창출하고 있다.

 

첫째가 다양한 신상품 출시다. 미국 자동차 보험사 ‘프로그레시브’는 계약자 차량에 운행 기록 장치를 장착한다. 과속, 신호 위반, 급가·감속 같은 운전 습관 정보를 누적해 다음 보험료 산정에 활용한다. 미국 스타트업 빔 테크놀러지스(Beam Technologies)는 자체 개발한 ‘커넥티드 칫솔’과 연계한 보험 상품을 판매한다. 칫솔질할 때마다 칫솔 속 칩을 통해 실시간으로 치아 건강 정보를 파악해 치아보험의 보험료 갱신에 활용한다.

 

둘째가 신용도 평가다. 온라인 쇼핑 정보, 임대료 연체 여부 등 정보를 통해 고객 신용도 평가의 정확성을 높인다. 성실한 소비자는 대출금리 할인 가능성을 높일 수 있다. 셋째가 신사업 출현이다. 미국 등에선 여러 금융기관에 흩어진 금융거래 정보를 통합 분석·관리하는 사업 모델이 새로 등장했다. ‘데이터 브로커’란 이름으로 소비자의 개인 정보를 수집·가공·판매해 돈을 번다.

 

전 세계적으로 5000개 넘는 기업이 있는 것으로 추정된다. 넷째가 이종(異種) 기업 간 제휴 확산이다. 상거래 업체 알리바바는 중국 7개 은행과 제휴해 무담보 중소기업 대출을 하고 있다. 알리바바와 은행들이 기업 정보를 공유해 신용도를 평가해 대출하는 것이다. 마지막으로 보험 사기 예방, 자금 세탁 추적 등 공익 목적에도 빅데이터가 적극 활용되고 잇다.

 

한국은 이런 흐름에서 크게 소외되고 있다. 글로벌 조사 기관 '테크프로리서치'에 따르면 2016년 기준 글로벌 기업의 29%가 빅데이터를 활용하고 있지만, 한국은 도입률이 5% 수준이다. 국책 연구원 관계자는 “미국 같은 선진국은 배상 등으로 기업이 책임지도록 하고 개인 정보 활용은 폭넓게 허용한다”며 “우리는 개인 정보 ‘보호’에 집착해 기업 내부도 활용하기 힘든 ‘보안’ 수준으로 왜곡돼 있다”고 말했다.

    

penfree1@hanmail.net

닉네임 패스워드 도배방지 숫자 입력
제목  
내용
기사 내용과 관련이 없는 글, 욕설 등 타인의 명예를 훼손하는 글은 관리자에 의해 예고 없이 임의 삭제될 수 있으므로 주의하시기 바랍니다.
 
관련기사목록
광고
스타화보
배우 서인국, 화보 공개! 섹시+시크+몽환美 장착
광고