P2P, 정보가 샌다

당신의 정보 P2P 통해 돌아다닌다

[한겨레] ㄱ아무개(30·대전시 유성구)씨는 지난해 8월 경찰서로부터 출석통지서를 받았다. 초등학생을 꾀어 게임사이트에서 자신 앞으로 사이버 머니를 결제하게 한 혐의였다. 당황스러웠다. 인터넷 게임을 해본 적이 없는 ㄱ씨였지만, 경찰에서 무혐의를 입증하기란 쉽지 않았다. ㄱ씨는 자신이 인터넷 게임에 얼마나 무지한지 낱낱이 검증받은 다음에야 경찰서에서 나올 수 있었다. 민감한 개인정보가 파일공유(P2P) 프로그램에 무더기로 떠다니고 있다. <한겨레>는 최근 7개 파일공유 프로그램을 통해 ‘주민등록번호’ ‘이력서’ ‘고객명단’ 등의 낱말로 검색해 본 결과, 금세 개인정보가 빼곡이 집적된 문서파일 수십건을 찾아냈다. 개인정보가 노출된 이들을 접촉해보니, ㄱ씨처럼 범죄 등 후속 피해를 본 경우도 여럿 확인됐다. 파일공유프로 사용안해도 주민번호·고객정보 등 은행 등 직원실수로 유출 피해구제신청 1년새 43% 늘어 찾아낸 파일 가운데는 개인 이력서 50여통, 주민등록번호 20만개, 각종 주소록과 종합유선방송 가입자 1389명의 신상 정보가 담긴 문서파일, 1095명의 개인정보가 담긴 한 정당의 강원도 춘천시 선거인 명부, 한 대형 할인매장 업체 근무자별 담당업무, 한 이동통신사의 2001년 장애 보고서, 개인의 전자우편 등 개인들의 피시에 들어 있는 다양한 정보파일들로 가득했다. 특히, 한 시중은행 ㅎ지점에서 만든 문서에는 중소기업 대표 1040명의 이름과 사업자번호, 주민번호, 직장주소, 직장 전화번호, 휴대전화 번호, 총약정액, 총잔액, 수신평잔, 신용평점, 신용등급 등이 상세히 기록되어 있었다. 이 문서는 해당 은행 내부에서도 아무나 볼 수 없는 자료로, 각별한 보안이 요구되는 내용인 것으로 확인됐다. 중소기업 1040곳의 금융정보가 담긴 이 문서를 내려받는 데는 5분도 걸리지 않았다. 이 문서에 개인정보가 기록된 ㅎ사 대표 심아무개(56)씨는 “어떻게 이런 정보가 인터넷에 떠돌아다닐 수 있는지 이해할 수 없다”며 “올해 새 공장을 지으려 하는데, 신용등급까지 나와 있는 자료가 유출되면 당장 자금 변통에 막대한 차질을 입을 수 있다”고 우려했다. 또다른 은행에서 만든 내부자료도 흘러다니고 있었다. 이 자료에는 대출상담을 받은 21명의 이름과 직장, 연봉, 주민번호, 휴대전화를 비롯해 상담내용 등이 담겨 있었다. 상담내용 가운데는 ‘10월 연체 718만원, 3개월 후 가능’ ‘11월 2500만원 대출’ 등 고객별 내용도 기록돼 있었다. 이 은행 관계자는 “직원이 은행에서 작업을 하다가 노트북 피시를 집으로 가져간 뒤 파일공유 프로그램에서 영화파일을 내려받다가 공유폴더 설정을 잘못해 문서가 유출된 것 같다”고 말했다. 은행들은 지난해 개인정보 보호정책을 세워 고객 정보의 비밀 유지를 약속한 바 있다. 취재진의 연락을 받고 이력서 유출 사실을 처음 안 김아무개(29)씨는 “나는 파일공유 프로그램을 쓰지 않고, 이력서도 인사 담당자에게 직접 전자우편으로 보내는데, 어떻게 내 이력서가 유출됐는지 모르겠다”고 말했다. 개인정보분쟁조정위원회가 올해 초 집계한 ‘개인정보 피해 구제신청 현황’을 보면, 2003년 845건이던 구제신청 건수가 2004년 1210건으로 늘었다. 1년 새 43.2%나 급증한 것이다. 특히, 파일공유 프로그램 등을 통해 다른 사람의 정보를 훼손·침해·도용한 사례가 같은 기간 39건에서 292건으로 크게 늘었고, 전체 구제신청에서 차지하는 비중도 4.6%에서 24.1%로 높아졌다. 김민섭 개인정보분쟁조정위원회 연구원은 “이력서가 파일공유 프로그램에서 떠돌면서 성명과 주민등록번호 따위가 도용당하는 사례가 늘어난 것”이라고 설명했다. 개인정보 유출로 인해 지속적인 피해가 일어나고 있으나, 유출 사실을 알고도 손쓸 방법이 없어 눈뜨고 당하는 경우도 여럿 확인됐다. 컴퓨터 프로그래머인 임아무개(31)씨는 “파일공유 프로그램에 한번 노출된 정보는 무차별적으로 퍼지기 때문에 정보를 삭제하는 건 기술적으로 불가능하다”며 “컴퓨터 전문가인 나도 개인정보가 유출된 뒤 어느새 웬만한 사이트에는 나도 모르게 다 가입이 돼 있는 형편”이라고 말했다. 경찰청 사이버테러대응센터 관계자는 “파일공유 프로그램은 짧은 시간에 많은 사람이 파일을 내려받는 속성 때문에 처음 파일을 유출한 사람을 찾는다는 것은 사실상 불가능하다”고 말했다. --어떻게 조사했나 네 사람이 나흘 동안 하루 네 시간씩 파일공유(P2P) 프로그램 검색을 통해 조사를 벌였다. 이력서가 유출된 20여명과 은행과 기업에서 정보가 유출된 50여명 등 모두 70여명에게 전화로 개인정보 침해 여부를 물었다. 조사 대상자 대부분은 개인정보 유출에 당황해했고, 유출 사실조차 모르고 있었다. 이력서가 유출된 피해자 절반은 유출 사실을 알고도 별다른 대처를 하지 못하고 있었다. 가장 흔한 피해 사례로는 주민번호가 도용돼 자신의 이름으로 인터넷 사이트에 가입하려고 해도 이미 등록돼 있는 경우였다. 범죄 혐의로 경찰 조사를 받은 사례는 두 건이었다. 이번 취재 과정에는 본지 실습생인 김대우 황민(서강대 신문방송 4), 황선희(〃 국문 4)씨가 참여했다. ■ 사례1 - 아파트 초고속통신망 가입고객 정보 유출 대규모 아파트 단지에 초고속통신망을 깔아주는 업체인 ㅌ사는 지난해 가입 고객들로부터 거센 항의를 받았다. “어떻게 인터넷에서 내 신상정보가 뜰 수 있느냐”는 내용이었다. 당시 이 회사는 고객들에게 “죄송하다”는 말밖에 해줄 수 없었다. 고객 항의를 받기 전까지 어떤 정보가 어떻게 유출되고 있는지 전혀 알지 못했기 때문이다. 문제의 파일은 서울 잠원동, 화곡동, 인천시 부평 산곡동 등 아파트 초고속통신망 가입고객 1389명의 집 주소와 주민등록번호, 휴대전화 등 개인신상정보가 담긴 문서였다. 이 문서가 한 파일공유프로그램(P2P)에서 유출됐고, 이를 본 고객들이 ㅌ사에 집단적으로 항의한 것이다. ㅌ사는 전산요원까지 투입해 자체 진상조사까지 벌였지만 고객명단 유출의 원인을 찾지 못했다. 이 회사 진아무개 상무는 “직원들의 고의나 실수는 없는 것으로 결론내고 해킹피해로 추정했다”고 말했다. 결국 피해자들은 서울 서초경찰서 사이버수사대에 피해를 신고했고, 경찰은 이 회사에 공식적으로 수사를 의뢰하라고 제안했다. 서초 사이버수사대 관계자는 “피투피 사이트에서 자료가 유출됐다고 하는데, 피투피는 확산속도도 빠르고, 자료 유출에 따른 명의도용 등 범죄 이용 사례가 많을 것 같아 수사요청을 하라고 주문했다”고 말했다. 그러나 수사를 시작한 지 2년째 접어들었지만, 아직까지 유출자를 찾아내지는 못했다. 문제가 됐던 관련 자료들은 여전히 피투피 사이트에 떠돌고 있다. 이에 대해 경찰 관계자는 “회원정보가 됐든 음란물이든 몰카(몰래카메라)든 피투피에서 퍼지기 시작하면 수사를 진행하더라도 막을 수 있는 방법이 없다”며 “현재는 자료를 내려받은 사람에 대해 조사를 진행하고 있다”고 말했다. 이 관계자는 “자료유출을 막을 수만 있다면 대상자 조사를 해서라도 막아야 하는 게 우리 임무이지만 유출 경로조차 확인하지 못했다”고 덧붙였다. <한겨레> 온라인뉴스부 김보협 기자 bhkim@hani.co.kr ■ 사례2 - 은행들의 개인신상정보 유출 지난 19일 밤 한 파일공유 프로그램(P2P)을 돌리던 기자의 컴퓨터에서 여느 공유파일과는 다른 ‘문서파일’이 검색됐다. 보통 영화나 음악파일(MP3)을 내려받으려고 이용하는 피투피 사이트에서 떠도는 문서치고는 이름들이 심상치 않았다. ‘2003년말 기업여신고객 명단’, ‘ㄱ회원 명단’, ‘기업고객명단’, ‘주요거래처’ 등의 제목으로 돼 있는 금융정보들이었다. 기업고객 1040명의 대표자 이름, 주민등록번호, 휴대전화, 사업자번호, 계좌번호, 종업원 수, 총잔액, 수신평잔, 신용평점, 신용등급 등의 자세한 정보가 빼곡이 담겨 있었다. 금융기관의 내부자료가 분명해 보였다. <한겨레>는 진씨에게 건네받은 문서에 나와 있는 가입고객들 가운데 20여명을 선별해 확인전화를 돌렸다. 지난해 초까지 어느 은행과 거래했는지, 문서가 유출된 사실을 알았는지 등 두 개의 사실을 집중적으로 물었다. 확인 결과, 시중은행 가운데 한 곳임이 드러났다. 또, 문서에 적힌 계좌번호를 확인해 지역에 있는 해당지점까지 파악할 수 있었다. 문제의 문서를 만든 ㅇ아무개 지점장에게 전화를 걸었다. ㅇ 지점장은 “고객관리 차원에서 요약한 내용을 집에 있는 컴퓨터에서 작업했는데, 아들이 피투피에서 영화를 다운받으면서 그 문서가 유출된 것 같다”고 말했다. 이 은행 관계자도 “지점장으로서 고객들을 관리해야 하는 점도 무시할 수 없다”며 “<한겨레>로부터 확인요청을 받고 유출 경로를 파악해서 해당 피투피 사이트에 조처를 요청했다”고 말했다. 문서가 유출됐던 피투피 사이트 운영자는 “관련파일을 금칙어로 설정해 더 이상 내려받을 수 없도록 했다”고 말했다. 그러나 금칙어 설정까지는 기자가 문제의 문서파일을 찾아낸 뒤 하루가 걸렸다. 이 은행 개인정보보호정책을 보면, “고객의 개인정보는 정보통신망이용촉진에관한법률 제17조의 규정에 따라 타인에게 제공, 활용시 동의를 얻어야 하는 정보로 우리는 법률에서 정하는 경우를 제외하고는 고객의 동의없이 제3자에게 제공하거나 유출하지 않는다”고 돼 있다. 취재진은 또다른 은행의 대출상담 문서도 입수했다. 21명의 이름, 직업, 연봉, 주민등록번호, 휴대전화, 대출상담 내용 등이 담긴 문서였다. 먼저 발견한 은행만큼 많은 고객은 아니었지만, 이 문서 또한 고객의 개인신상정보가 그대로 유출됐다. 해당은행에 관련 문서를 건네 분석을 요청한 지 8시간도 안돼 해당 은행 홍보담당자와 문서작성자 등 3명이 신문사를 찾아왔다. 은행 관계자들은 “고객관리를 하려고 개인적으로 작성한 파일인데, 피투피에서 영화를 다운받다 유출된 것 같다”며 “그동안 문서가 유출될 것이라는 상상조차 못했다”고 말했다. 또, “은행에서는 고객의 정보를 내려받을 수 없도록 프로그램을 설치해 자료가 은행 안에서 외부로 유출될 가능성은 없다”며 “직원이 대출상담을 하면서 적어뒀던 내용을 집에서 작업하다 발생한 일”이라고 강조했다. 이 은행도 지난해 7월1일 “엄격한 보안 및 기밀유지 기준을 적용하여 고객이 제공한 모든 정보들을 보호할 것이다…고객정보 취급 교육을 받고 권한을 부여 받은 직원만이 고객 정보에 액세스할 수 있고, 고객정보 보호 약속을 준수하지 않은 직원은 일반적인 징계조처를 받게 될 것”이라는 내용의 ‘프라이버시 보호약속’을 발표한 바 있다. 은행들의 개인신상정보 유출 사건은 피투피 사이트를 이용하면서 공유 폴더 설정을 잘못해 빚어진 일종의 헤프닝이었다. 하지만 사소한 실수가 고객 신상정보 유출이라는 ‘대형사고’로 번질 수 있는 단적인 사례였다. 문서 유출로 진땀을 흘렸던 은행 관계자들은 “그동안 피투피 사이트에 대한 개념조차 모르고 있었는 데 이번 기회를 통해 보안의식을 다잡게 됐다”며 ‘비싼’ 교훈담을 들려줬다. 문서가 유출됐던 해당 은행들은 취재진에게 “신상정보가 유출된 고객들을 직접 찾아가 사과하고, 전직원을 상대로 보안교육을 다시 실시하겠다”고 밝혔다. 이승경 기자 yami@hani.co.kr ⓒ 한겨레(http://www.hani.co.kr), 무단전재 및 재배포 금지