유출 개인정보 새로운 범죄 이용...후폭풍 분다

옥션, 싸이월드, 신용카드 3사 등 20여년간 국내서 유출된 개인정보가 새로운 범죄에 이용된다. 개인정보 유출 2차 범죄 후폭풍이다.

중국 인터넷 암시장에서 한국인 개인정보가 담긴 데이터베이스(DB)는 쉽게 구한다. 어디서 유출되었는지 모르는 개인정보 DB(막 DB)가 10만개 당 2000위안에 판매된다. 중국 인터넷 암시장에 '막 DB'를 싼 값에 판다는 글이 넘쳐난다.

막 DB에는 한국인 개인정보가 들어있다. 이름은 물론이고 각종 인터넷 서비스 로그인 ID와 비밀번호부터 전화번호, 계좌번호, 신용카드번호, 주소 등이다. 사이버 범죄자는 막 DB를 결합해 개인정보 정확도를 높인다. 막 DB마다 들어있는 정보가 다르다. 이름과 주민번호 중심으로 데이터를 정돈한 후 신종 범죄에 악용한다. 중국 암시장에서 무작위 대입공격(Brute Force) 도구도 쉽게 구매한다.

어디서 유출되었는지 모르는 개인정보가 2차 범죄에 악용된다. GettyImages
어디서 유출되었는지 모르는 개인정보가 2차 범죄에 악용된다. GettyImages

최근 어디서 유출되었는지 모르는 개인정보를 활용한 신종 사이버 범죄 발생이 늘었다. 우리은행 부정로그인 사고와 모바일 간편결제서비스 명의도용 부당결제 등이다.

우리은행은 6월 말 대량 부정 로그인 시도가 발생했다. 동일 IP에서 약 75만회에 걸쳐 인터넷 뱅킹 접속 시도가 발생했고 이중 5만6000여회는 로그인에 성공했다. 다행이 보안카드와 일회용비밀번호(OTP) 등 추가 정보를 입력해야 해 출금 피해는 없었다.

한 금융보안전문가는 “다른 인터넷 서비스에서 유출된 ID와 비밀번호를 은행 홈페이지에 입력한 것으로 추정한다”면서 “인터넷 이용자가 여러 사이트에 같은 ID와 비밀번호를 사용하는 점을 악용했다”고 말했다. 이어 “해커는 금전 이득은 얻지 못했지만 5만6000건 로그인에 성공해 계좌번호와 잔고 등을 파악했다”면서 “향후 또 다른 범죄에 악용할 데이터를 확보했다”고 설명했다.

일부 간편결제 부정 결제도 유출된 개인정보를 활용한 2차 범죄로 분석된다. 피해가 발생한 모바일 간편결제 서비스 기업에서 피해자 개인정보 유출이나 해킹은 없었다. 범인은 유출된 개인정보를 활용해 휴대전화를 개통한 후 간편결제 서비스에 가입한 것으로 추정된다. 결제 때 마다 거쳐야 하는 인증도 대포 휴대전화를 이용한 것으로 보인다. 간편결제에 가입하려면 휴대폰이나 계좌인증을 거친다. 카드 정보를 등록할 때도 번호 외에 유효기간, CVC, 비밀번호까지 넣어야 한다. 이런 정보를 모두 확보해야 부정결제가 이뤄진다.

인터넷 사이트마다 같은 로그인 ID와 비밀번호를 쓰는 사례가 많아 유출된 개인정보가 2차 범죄에 이용된다. GettyImages
인터넷 사이트마다 같은 로그인 ID와 비밀번호를 쓰는 사례가 많아 유출된 개인정보가 2차 범죄에 이용된다. GettyImages

류승우 씨엔시큐리티 대표는 “중국 암시장에 막 DB와 무작위 대입공격 프로그램이 성행한다”면서 “싼 값에 DB를 확보하고 분석한 후 공격 프로그램을 이용해 국내 포털, 게임, 금융 등을 대상으로 2차 범죄를 시도한다”고 말했다. 이어 “인터넷 이용자가 서비스마다 ID와 비밀번호를 동일하게 사용하는 사례가 많아 로그인에 성공한다”면서 “해커가 가상사설망(VPN)을 이용해 계정 당 접속회수와 IP 제한을 우회해 보안 정책이 통하지 않는다”고 설명했다.

류 대표는 “이미 유출된 개인정보가 많아 빅데이터 분석으로 2차 범죄에 악용되고 있다”면서 “개인은 서비스마다 비밀번호를 다르게 사용하고 기업은 ID·비밀번호 로그인외에 2차 인증을 활성화해 피해를 최소화해야 한다”고 조언했다.

김인순 보안 전문기자 insoon@etnews.com