홈페이지 노출부터 악성코드까지, 줄줄 새어나가는 한국인 개인정보

지난해 개인정보 노출된 사이트만 '2만999개'
학교·병원 등 중요 정보 보유한 기관도 '보안 빨간불'
개인정보가 '돈' 된다? 다크웹 등에서 불법 거래 성행

지난해 개인정보가 노출된 홈페이지가 2만여 개에 달하는 것으로 나타났다. 한국인터넷진흥원(KISA)의 ‘국내외 개인정보 노출 탐지 현황’에 따르면, 지난해 개인정보 노출 페이지는 총 2만999개로 확인됐다. 이는 전년(1만9,366개) 대비 8.4% 늘어난 수준이다. 2019년(1만4,476개) 이후 개인정보 노출 페이지 수가 꾸준히 증가하는 가운데, 곳곳에서는 허술한 사이버 보안망에 대한 우려의 목소리가 흘러나오고 있다.

‘부주의’가 낳은 개인정보 유출

개인정보 노출은 특정 홈페이지에 누구든지 알아볼 수 있는 개인정보가 노출돼 언제든지 유출로 이어질 수 있는 상태를 말한다. 개인정보가 포함된 게시물을 공개 상태로 등록했거나, 이용자 문의 댓글에 개인정보가 공개된 경우가 대표적인 예다. 개인정보가 포함된 첨부파일을 공개적으로 홈페이지에 게시하는 경우 역시 개인정보 노출로 분류된다.

개인정보 노출의 가장 큰 원인은 홈페이지 운영·관리자 부주의로 조사됐다. 2021~2022년 공공부문에서 발생한 홈페이지 개인정보 노출 원인 절반(50.8%)이 부주의로 인해 발생했다. 2019년 과학기술정보통신부가 발표한 ‘정보보호 실태조사’ 결과에 따르면, 응답자들이 가장 우려하는 개인정보 유출 요인 역시 ‘관리 실수로 인한 유출(74%)’이었다. 국민들 역시 관리자 부주의로 인한 개인정보 유출의 위험성을 인지하고 있다는 의미다.

관리자 실수로 인한 대표적인 개인정보 노출 사례로는 착오·실수로 인한 이름, 주소, 성별, 생년월일 등의 유출이 꼽힌다. 수년 전에는 공공기관이 웹 서버에 암호화 처리 없이 보관한 신분증, 등본 등이 URL 형태로 발견되기도 했다. 문제는 개인정보 유출 피해자가 차후 보이스피싱, 개인정보 도용, 해킹 등 각종 범죄에 말려들 위험이 크다는 점이다. 사소한 계기로 발생한 사고가 결코 사소하지 않은 결과를 초래하는 셈이다.

학교·병원 등에 사이버 공격 집중

개인정보 유출 사고가 특히 자주 발생하는 기관으로는 학교와 병원이 지목된다. 지난해 국회 교육위원회 소속 문정복(더불어민주당, 경기 시흥갑)의원이 한국교육학술정보원에서 제출받은 국정감사 자료에 따르면, 최근 5년간(2018년~2022년) 교육부 및 소관 기관이 받은 사이버 공격은 24만268건에 달한다. 2018년부터 2022년까지 연평균 4만 8,053건의 사이버 공격이 발생한 것이다.

이 중 대학교에 대한 사이버 공격이 차지하는 비중은 91.1%(21만8,894건)에 달했다. 이어 △시도교육청 1만1,962건(4.9%) △교육부 및 소속 기관 6,827건(2.8%) △국립대학병원 1,406건(0.5%) △소관 공공기관 1,130건(0.4%) 순이었다. 주된 사이버 공격 유형은 침입 시도(16만6,067건)였으며, △악성코드(6만 6,186건) △해킹 메일(4,530건) 등이 뒤를 이었다.

교육부 산하에는 각종 시험 정보, 연구자료, 학생·환자 개인정보 등을 보유하고 있는 기관들이 다수 속해 있다. 내부 기밀이 유출될 경우 그만큼 큰 타격을 입게 된다는 의미다. 이와 관련해 한 보안 전문가는 “이는 교육부만의 문제가 아니다”라며 “민감한 정보를 다수 다루는 정부 기관의 특성을 고려해 적극적으로 보안 인력을 확충하고, 예산을 지원해서 사이버 보안을 강화할 필요가 있다”고 지적했다.

상품으로 전락한 개인정보

사이버 공격 피해는 비단 공공기관, 기업 등 대규모 조직에만 국한되지 않는다. 다크웹(Dark Web), 텔레그램 등 비공개 시장에서는 한국인의 개인정보가 공공연하게 거래되고 있다. 실제 지난 2월 국가정보원은 “최근 미상 해커 조직이 국가·공공기관 정부 서비스 이용자의 개인정보를 다크웹, 텔레그램 등을 통해 불법 유통하고 있는 정황을 포착했다”며 주의를 당부하기도 했다.

당시 국가정보원이 언급한 해커 조직은 악의적인 정보 탈취형 악성코드인 ‘인포스틸러(Infostealer)’를 활용한 것으로 나타났다. 인포스틸러는 △웹 브라우저나 이메일 클라이언트에 저장된 사용자 계정 정보 △가상화폐 지갑 주소 △사용자 보유 파일 등 다양한 정보를 탈취할 수 있는 악성코드로, 상용 유료 소프트웨어의 불법(무료) 다운로드를 앞세운 악성 사이트·프로그램 등을 통해 유통된다.

인포스틸러 유포자는 악성코드를 통해 수집한 정보들을 다양한 방식으로 악용할 수 있다. 계정 정보 등을 사이버 공격에 직접 이용하거나 딥웹에 판매해 수익을 올리는 식이다. 손에 넣은 정보를 빌미로 개인 사용자를 협박, 비트코인 등 현물을 요구하는 경우도 있다. 허술한 사이버 보안망이 차후 개인에게 되돌릴 수 없는 피해를 안길 수 있는 셈이다.