ddak'coin

“지금까지 털린 개인정보로 거의 모든 범죄가 가능해졌어요. 빠져나간 개인정보를 악용할 수 있는 사례가 어찌나 많은지 시나리오 공모전을 열어도 될 정도예요.”

대한민국이 금융범죄에 벌거벗겨졌다. 지난 1월 KB국민·NH농협·롯데 등 카드 3사에서 1억400만건의 고객정보 유출이 드러난 데 이어 지난 6일에는 KT 홈페이지 해킹으로 1200만건(981만명)의 개인정보가 유출됐다. 잇따라 새나간 개인정보가 이미 시중에 범람하며 각종 범죄에 이용되고 있다는 해커들의 증언이 나오고 있다. 

개인의 사생활을 뒷조사할 수 있는 것은 물론 본인을 사칭한 금융사기도 본격적으로 시작될 것이라는 지적이다. 한국경제신문이 17일 인터뷰한 익명의 해커 A씨는 “과거에도 개인정보 유출이 있었지만 카드사와 KT 사태 이후로 광범위한 정보가 풀려 개인정보를 얻는 게 너무 쉬워졌다”며 “1인당 100원이던 4대 개인정보(이름 주민등록번호 전화번호 이메일주소)를 이제는 1~5원에 살 수 있다”고 말했다. 

그는 “개인정보 유출이 국가비상사태급이지만 정부와 국민이 심각성을 모르고 있는 것 같다”며 “정부는 책임회피, 사태축소에 급급할 것이 아니라 진상을 있는 그대로 알려야 한다”고 말했다. 이 해커는 현재 시중에 돌아다니는 개인정보를 갖고 저지를 수 있는 범죄로 다음 세 가지를 제시했다.

(1) 대포폰 통해 소액결제

금융회사 등에서 유출된 개인정보 중 가장 많은 정보에 접근할 수 있는 경로는 ‘이메일’이다. 이메일 주소를 확보하면 비밀번호는 다양한 방식으로 알아낼 수 있다. 다른 경로로 유출된 정보에서 비밀번호를 얻거나 비밀번호 대입 프로그램을 이용해 알아낼 수도 있다.

비밀번호를 알아내 일단 이메일 계정에 접속하면 얻을 수 있는 개인정보의 폭은 확 넓어진다. 많은 사람이 민감한 개인정보를 메일함에 무심코 보관하고 있기 때문이다. 예컨대 여권과 주민등록증 등 신분증 사본이다. 해외여행이나 출장을 다녀오면서 여행사나 회사 서무팀에 보낸 스캔 파일이 보낸편지함 등에 그대로 저장돼 있는 사례가 많다.

개인정보를 악용하기로 마음먹은 해커들은 ‘여권’ ‘주민’ 등의 키워드 검색을 통해 이 같은 고급 정보부터 확인한다. 신분증 사본이 있으면 온라인 휴대폰 판매사이트에서 피해자 명의의 대포폰을 개통할 수 있다. 이 대포폰을 소액결제에 활용하면 월 최대 30만원까지 결제가 가능하다. 이후 대포폰은 다양한 사칭 사기에서 본인인증 용도로 사용할 수 있다. 

(2) 불법 계좌이체·인출 

이메일 계정에는 인터넷 뱅킹 보안카드 사진파일이 저장돼 있는 경우도 많다. 적지 않은 인터넷 뱅킹 이용자들은 스마트폰에 보안카드를 사진으로 저장해 이용한다. 그 경우 스마트폰 데이터를 메일로 백업하면 보안카드 사진이 메일 계정에도 남는다.

유출된 개인정보에 추가로 보안카드까지 확보하면 공인인증서를 다시 발급할 수 있다. 재발급받은 공인인증서를 통해 피해자의 계좌에 있는 돈을 대포통장으로 이체할 수 있다.

이체한 돈을 현금화하기 위해서는 위조 주민등록증이 필요하다. 유출된 성명과 주민등록번호 정보를 이용해 만들 수 있는 위조 주민등록증은 중국 출신의 브로커들이 약 3만원에 판매한다. 은행마다 대포 통장을 만들어 피해자의 돈을 각각 이체한 뒤, 조선족 등 외국인들로 구성된 인출조로 한꺼번에 돈을 인출한다. 순식간에 자기 통장에서 거액의 돈이 빠져나갈 수 있다.

(3) 신용정보 조작·사생활 공개 

유출된 개인정보가 금전 사기가 아니더라도 신용정보 조작이나 사생활 공개에 악용되면 치명적이다. 실제로 이번 유출 사태 이후 “입찰에서 떨어뜨리고 싶은 경쟁사가 있으니 해당 법인과 대표이사의 신용도를 불량으로 만들어 달라”는 청부해킹 의뢰가 들어오기도 했다고 A씨는 밝혔다. 제시된 대가는 2억원이었다. 유출된 개인정보를 이용해 신용대출 서류를 꾸미면 거액의 대출 사기를 벌일 수도 있다. 

과거의 애인이었던 연예인의 개인정보를 이용해 “다른 남자 연예인과 사귀는 동안 찍었던 사진을 유포해 달라”는 요청도 들어왔다고 한다. 두 건 모두 의뢰에 응하지는 않았다고 A씨는 말했다.

박병종/김보영 기자 ddak@hankyung.com [한국경제신문 2014. 3. 17]

해커가 조언하는 긴급처방 5가지

개인정보 유출 사건이 늘면서 금융사고 등 2차 피해에 대한 우려가 커지고 있다. 금융 피해를 막기 위해서는 어떻게 해야 할까. 해커 A씨가 조언한 긴급 처방 다섯 가지를 추렸다.

#1. PC와 이메일, 클라우드 서비스 등에 저장된 개인정보부터 삭제하라. 해외여행을 가기 위해 무심코 여행사에 여권 사본을 보냈다면 금융범죄의 타깃이 되기 쉽다. 특히 휴대폰에 인터넷 뱅킹용 보안카드를 사진으로 찍어 보관하고 있다면 즉시 삭제하라. 만약 이런 정보가 해킹되면 개인 과실로 간주돼 피해를 구제받기 힘들다.

#2. 신용카드와 은행 통장을 폐기하고 재발급받아라. 이미 당신의 신용카드 번호와 은행 계좌번호 등은 유출됐다고 봐야 한다. 조금 번거롭더라도 자신의 재산을 지키기 위해 필요한 최소 조치다.

#3. 공인인증서를 USB메모리 등 휴대저장장치에 보관하라. PC나 인터넷상에 보관할 경우 해커들의 표적이 되기 쉽다. 특히 공인인증서 재발급이나 계좌 이체시 이용 내역을 바로 알려주는 문자(SMS) 통지 서비스에 가입해야 한다. 

#4. 인터넷 뱅킹 사이트의 아이디와 패스워드를 즉시 바꾸고 다변화하라. 적어도 금융 서비스만큼은 다른 아이디와 비밀번호를 사용하는 게 안전하다.

#5. 인터넷뱅킹 이용시 일회용 비밀번호 생성기(OTP)를 사용하라. OTP는 네 자리 숫자 35개가 쓰여 있는 보안카드와 달리 일회용 비밀번호를 1분마다 새로 만들어주는 안전한 보안매체다.

박병종 기자 ddak@hankyung.com