보안

끊이지 않는 데이터 유출, ‘약한 고리’ 보완할 근본 대책 필요

이종현
[디지털데일리 이종현기자] 중소 사업자도 수천, 수만명 이상의 개인정보를 관리하는 일이 비일비재하다. 좋은 아이디어만 있다면 많은 사용자를 쉽사리 모을 수 있는 ‘플랫폼 시대’가 된 탓이다. 그러나 우후죽순 늘어나는 플랫폼 중 상당수는 보안 조치가 미흡해 해커들의 먹이감이 되고 있다.

지난 2월 27일 해킹포럼에는 1만6000명여건의 현대캐피탈 업카 한국 사용자 데이터를 판매한다는 게시글이 업로드됐다. 유출 대상은 ‘업카’라고 하는 중고차 매매 플랫폼이다. 업카는 2019년 현대캐피탈이 렌터카 양수도 업체 박차와 제휴해 선보인 플랫폼이다.

업카를 운영하는 것은 박차컴퍼니다. 현대캐피탈 관계자는 “제휴 계약에 따라 렌터카 양도·양수시 필요한 대출 서비스를 제공 중이다. 계약에 따라 현대캐피탈 대출 상품을 이용하고자 하는 딜러 정보만 제3자 정보제공 동의를 거쳐 현대캐피탈이 박차컴퍼니로 제공 받는 중”이라고 말했다.

또 “현대캐피탈에서 박차컴퍼니로 제공하는 정보가 없는 만큼 이번 개인정보 유출로 현대캐피탈의 고객정보가 유출되는 일은 없다”고 부연했다.

판매글 게시자에 따르면 유출된 데이터는 주소, 은행, 기업명, 계좌번호, 이메일주소, 휴대전화번호 등이다. 100달러에 정보를 판매하겠다며 텔레그램 채널을 올려둔 상태다. 박차컴퍼니는 사과문을 통해 유출된 정보는 총 1만6421건이며 유출 경로는 파악 중이라고 안내했다. 한국인터넷진흥원(KISA) 등도 유출을 파악한 뒤 대응에 나선 상태다.

문제는 플랫폼 보안사고로 인한 정보 유출이 끊이지 않고 있다는 점이다. 작년 12월 캠핑카 플랫폼 ‘모두의캠핑카’에서도 개인정보가 유출됐다. 2021년 3월부터 2022년 12월까지 약 1400여명의 데이터가 포함돼 있다. 회원정보를 비롯해 차량 대여 일자, 고객이 입력한 요청사항이나 차량 대여 장소 등이 포함돼 있다.
12월 확인된 개인정보 유출 사례. 특정 기업의 DB로 추정되는 파일에는 이름이나 전화번호 등이 기재돼 있다.
12월 확인된 개인정보 유출 사례. 특정 기업의 DB로 추정되는 파일에는 이름이나 전화번호 등이 기재돼 있다.

작년 12월 30일에도 유출 사고가 발생했다. 정확한 업체를 특정하기 어려우나 이사 또는 관리비 납부 내역 등이 포함돼 있는 만큼 건물관리 서비스를 제공하는 플랫폼을 통해 자료가 유출된 것으로 추정된다. 1만명 이상의 이름, 생년월일, 전화번호, 이메일주소, 가입 이동통신사, 동·호수, 차량번호, 입금내역 등의 정보가 유출됐다.

또 1월 5일에는 온라인 명품 거래 플랫폼을 제공하는 기업의 데이터를 유출했다는 판매자도 나타났다. 판매자는 2023년 1월 1일까지의 데이터라며, 120만명의 사용자 데이터라고 주장한다.

이렇게 유출된 개인정보는 다른 공격의 용도로 재활용되곤 한다. 정보 유출 대상 중 기업 관계자가 있다면 해당 기업을 해킹하는 통로로 활용될 수도 있다. 한 번 유출된 정보는 계속해서 재유포되는 것도 문제다. 다크웹, 텔레그램 등에서는 10년도 전에 유출된 데이터가 아직도 유통되고 있다.

정부도 마냥 손을 놓고 있는 것은 아니다. KISA를 통해 국내 기업에서 유출되는 정보가 없는지 실시간으로 모니터링하고 있다. 유출이 발생할 경우 신고 접수를 통해 사고 원인은 무엇인지부터 재발 방지를 위한 후속조치까지 지원한다.

하지만 계속해서 발생할 보안사고에 대응하기에는 역부족이라는 것이 전문가들의 의견이다. 사이버보안 업계 관계자는 “랜섬웨어에 당했거나 정보가 유출됐을 경우 KISA에 신고했을 때 얻는 이익보다 해킹된 기업이라고 낙인찍히는 손해가 훨씬 크다. 신고할 이유가 없다. 기업들이 해킹 사실을 알리지 않고 숨기는 근본적 이유”라고 말했다.

그는 “개인정보 유출을 막기 위해서는 각 사업자가 보안수칙을 준수하는 것이 먼저다. 그러나 이를 개별 사업자의 선의에 맡기는 것은 말도 안 된다. 서구권처럼 개인정보가 유출되면 기업이 흔들릴 정도로 막대한 책임을 묻거나, 적절한 수준의 보호조치를 하지 않은 경우 사업을 못하게 하는 등의 조치가 가능할 텐데 한국은 이도저도 아니다”라고 전했다.

국가 사이버보안을 총괄하는 기구의 필요성도 강조했다. 군, 공공, 민간, 금융 등 영역별로 담당 기관이 산개해 있는 형태다 보니 대응력이 약할 수밖에 없다는 지적이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널