옥션 무죄 판결이 우리에게 말해 주는 것

지난 2010년 1월 14일, 옥션 개인 정보 해킹 사건에 대해 무죄가 선고되었다. 이번 사건은 지난 2008년 초, 인터넷 쇼핑몰 옥션의 서버 컴퓨터가 중국 해커들에게 해킹당해, 주민등록번호를 포함한 1100만명에 달하는 회원들의 개인 정보가 유출된 사건이다. 당시 피해자들 가운데 14만명 정도가 옥션이 개인정보보호에 필요한 주의의무를 다하지 않았다고 소송을 냈다.

사실 소송을 건 피해자들은 이번 소송에서 그리 질 거라고 생각하지 않았던 것 같다. 우선 옥션은 해킹 수준이 낮았음에도 해킹을 당했다. 이는 회사의 보안 조치가 미흡했음을 말해준다고 여겨졌다. 그리고 법원은 작년 11월 엘지텔레콤의 개인정보 유출 건에 대해 피해자들의 손을 들어준 사례가 있었다.

그렇지만 이번 사건의 경우, 법원은 해킹을 당했을 당시 회사가 관련법에 정해진 기준을 어겼다고 볼 수 없다는 판단을 내렸다. 고소인들은 회사가 방화벽등 회원 정보 보호에 필요한 여러 가지 기술적 조치를 취하지 않았기 때문에 유죄라고 주장하지만, 법에는 그런 여러 가지 기술적 조치가 꼭 필요하다고 나와 있지는 않다. 실제로 법원이 살펴본 자료에 따르면, 당시에는 대부분 업체들이 그런 보안 조치를 취하고 있지 않았다고 한다.

해킹 당시 옥션의 안내문

이에 대해 네티즌들은 대부분 어이없다는 표정이다. 한마디로 1100만명의 개인정보가 해킹 당했는데, 책임지는 사람은 아무도 없는 모양새가 됐기 때문이다. 우선 지금까지 이번 사건에서 해킹이 어떤 경로로 이뤄졌는지도 아직 뚜렷하게 밝혀지지 않았다. 다시 말해 사고가 왜 일어났는 지도 자세히 모르고 있는 상황이다.

  • 범인도 잡히지 않았다. 현재까지 중국인 해커와 한국인 브로커가 포함된 해커 일당 4명이 체포되었는데도 아직까지 진범은 잡히지 않았다고 한다.
  • 회사는 사고경위가 명확하지 않다는 이유로 소비자원의 조정 결정도 거부했다. 자세히 말하자면, 옥션은 지난 2008년 12월 한국 소비자원 소비자분쟁조정위원회로부터 위자료 배상 책임이 있다는 판정을 받았으나 위자료 지급 결정을 거부한 적이 있다.

개인정보 유출을 방지하기 위한 실질적인 대책들이 도입됐는지도 의문이다. 당시 사건을 계기로 정부가 도입하기로 했던 아이핀등 여러 가지 조치들은 사실상 유명무실해진 상태다. 이 사건을 비롯한 몇몇 개인정보 유출사건을 계기로 발의된 개인정보보호법 역시 여전히 국회에 계류 중인 채 처리되지 않고 있다.

그런데도 불구하고 법원은 법적으로 회사엔 아무런 잘못이 없다는 결정을 내렸다. 내 정보를 맡겼다가 도둑 맞았는데 도둑은 못 잡고, 물건 잘못 관리한 사람도 책임 없고, 도난 방지를 위한 대책도 제대로 세워지지 못하고 있는 꼴이다.

개인 정보가 유출되면 정말로 많이 위험한가?

유출된 개인정보는 꽤 광범위하게 악용되고 있다. 다시 말해 개인정보 유출로 인한 2차 피해가 곳곳에서 일어나고 있다고 여겨진다. 명확하게 근거를 들 수는 없지만, 대부분 사람들은 2008년 이후 메신저 피싱이나 보이스 피싱 등 사기 범죄가 급격하게 늘어난 것을 몸으로 느꼈다.

게다가 매우 지능적으로 변했다. 보이스 피싱은 2008년부터 두 배로 늘었는데, 과거에는 무작위로 이뤄졌던 보이스 피싱이 2008년 이후에는 타켓형, 다시 말해 피싱 대상자를 잘 알고 있는 것처럼 행동하며 속이는 것이 특징이다. 이런 것들이 어떻게 가능했을까?

개인적으론 이런 경험이 있다. 당시 옥션 개인정보 누출 사건의 피해자중 한 명이었는데, 그 사건 이후 불안한 마음에 명의도용방지 서비스에 가입했었다. 그리고 상당 기간 동안 내 주민번호로 몇몇 게임 사이트 가입 시도가 이뤄졌다는 문자를 계속 받을 수 있었다.

이런 일이 유독 한국에서 자주 일어나는 일인가?

한국에서만 자주 일어난다고 말하기는 어렵다. 해킹이야 전 세계적으로 일어나고 있는 것이고, 세계 어디에도 불법적으로 돈을 얻고자하는 욕심을 가진 사람들은 많이 있다. 작년에도 미국에선 대규모의 인터넷 사기단이 검거된 적이 있다.

다만 한국은 다른 나라와 한 가지 상황이 다르다. 바로 주민등록번호 제도다. 그리고 처음부터 너무 당연하다는 듯이 인터넷 사이트 회원 가입할 때 개인정보를 너무 많이 요구해 왔기에, 그렇게 입력하는 것을 당연하게 여기는 사람들이 많다는 정도일까.

해외 사이트를 이용해본 사람들은 알겠지만, 해외에선 그렇게 다양한 개인정보를 요구하는 경우가 거의 없다. 예를 들어 세계에서 가장 큰 검색 사이트인 구글에 가입을 하려고 할 경우, 묻는 개인 정보는 다른 이메일 주소 정도밖에 없다. 다른 개인 정보는 아예 묻지 않는다. 쇼핑을 할 때 필요한 것도 신용카드 정보와 배송지 주소 정도다.

반면 한국에선 이름, 주소, 이메일, 전화번호, 휴대폰 번호, 주민등록번호 등 한 두가지가 아니다. 거기에 추가 정보를 입력하라고 말하며 결혼 여부, 차는 있는지 없는지, 결혼기념일은 언제인지까지 물어본다.

Y.E.onDOMReady(show_notes_initially);

반면 회사에서 한번 입력된 개인 정보를 얼마나 지켜주려고 노력하는 지를 살펴보면, 정반대인 것을 볼 수 있다. 한마디로 한국 업체들은 ‘법에 지킨 정도는 따르겠지만’, ‘적극적으로 노력하진 않는다’.

미국 포털 사이트 야후는 몇년전, 이라크 전쟁에서 사망한 아들의 이메일 패스워드를 가르쳐 달라는 부모의 요청을 거절했을 정도다. 구글은 며칠 전, 중국 정부에서 계속 검색 결과를 조작하고 인권 운동가의 이메일을 해킹하려고 시도하자, 공개적으로 계속 이렇게 하면 중국에서 사업을 철수하겠다고 밝혔다.

반면 한국은 이렇게 수집된 다양한 정보가 너무 쉽게 유출된다. 재작년 군포 여대생 살인 사건을 수사하던 경찰은 각 포털 사이트에 군포, 안산, 여대생 같은 관련 키워드를 검색한 네티즌 전체에 대한 개인 정보를 달라고 요구했을 정도다. 작년에 인터넷을 뜨겁게 달군 미네르바 사건에서 미네르바가 체포된 것이 해당 포털 사이트의 정보 제공이기 때문임은 두말할 것도 없다.

앞으로 이런 일을 예방할 수 있는, 정보보호 수준을 높일 수 있는 방법에는 어떤 것이 있을까?

해외의 개인정보보호 문화도 처음부터 잘 만들어져 있던 것은 아니다. 서구식 개인주의의 영향도 크지만, 전화기의 보급과 함께 무분별한 텔레마케팅이 많아지면서, 이를 방지하기 위해 개인정보보호를 위한 법규나 인식이 점점 강해진 것이 사실이다.

한국에선 주민등록번호를 받는 것이 가장 심각한 문제다. 사실 많은 사람들은 이 주민등록번호를 받는 것을, 개인식별을 위해서가 아니라 마케팅 목적으로 수집하는 것이라고 의심하고 있다. 실제로 개인정보가 빼내지고 팔리는 이유도 범죄를 위해서라기보다는 바로 마케팅 목적 때문이다.

주민등록번호와 물건 판매 정보가 결합되면 마케터들은 손쉽게 물건 판매를 위한 강력한 데이터베이스를 얻을 수 있기 때문이다. 예를 들어 30대 초반의 여성들은 요즘 이런 물건에 관심 있고 자주 구매한다-라는 정보를 주민등록번호와 물건판매정보만 있으면 바로 통계 그래프를 만들어 볼 수가 있다.

하지만 이번 옥션 사건에서도 볼 수 있듯이 개인정보는 언제라도 위험에 처할 수 있으며, 위험에 처해도 아무도 책임지지 않는 상황이 올 수도 있다. 솔직히 말해 애시당초 국가에서 관리해야할 정보를 민간에서도 관리할 수 있게 넘겨준 자체가 문제다. 따라서 이제라도 꼭 필요한 경우가 아니면 주민등록번호를 최대한 받지 못하게 하던가, 주민등록번호를 받더라도 회사 관리자도 알 수 없도록 암호화 시켜야만 한다.

그럼 개인정보가 이번처럼 해킹 당하더라도 많은 사람들이 불안에 떨 일은 줄어들 것이다. 개인의 입장에선 지금 활동하고 있지 않은 사이트는 바로 탈퇴하고, 가급적 개인 정보를 요구하지 않는 곳을 이용할 것을 권한다. 인터넷상에 개인정보를 적게 남기기 위해 경각심을 가져야 함은 물론이다.

이번 옥션 사건에서도 드러났지만, 개인정보가 유출이 되도 아무도 우리를 도와주지 않을 것이기 때문이다.

* YTN 라디오 금요일 오후 8시 40분, 뉴스집중분석 – 클릭! 인터넷 이슈, 1월 15일 원고 입니다. 어제 방송된 원고인데, 뒷부분은 조금 짤려서 나갔네요. 대신 중간에 수다가 좀 늘고.. 🙂

About Author

댓글 달기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

?