합법 DB거래 통해서도 내 정보 다 털린다

빅데이터 보유한 마케팅 업체들… 이름-주민번호 가린채 정보 유통
전화번호 뒷자리 등 작은 단서로도 누군지 파악 가능해 악용될 위험
전문가들 “더 엄격한 기준 세워야”

이름이나 주민등록번호를 가린 채 합법적으로 거래되는 데이터베이스(DB)를 통해서도 민감한 개인정보가 유출될 수 있다는 우려가 나오고 있다. 온라인으로 수집되는 방대한 자료를 분석해 소비자들의 취향과 사회 변화를 예측하는 빅데이터 분석 기법이 확산되면서 사소한 정보로도 개인정보의 주인을 쉽게 파악할 수 있게 됐기 때문이다.

신용카드업계와 통신업계, 마케팅업계 등에 따르면 해당 분야의 상당수 업체들은 전화번호 뒷자리나 성(姓)만 남기는 등 개인을 식별할 수 없게 한 상태로 DB를 거래한다. 계열사에는 고객 동의를 얻어 DB 자체를 통째로 넘기기도 한다. 문제는 개별 사례만으로는 개인을 특정할 수 없지만, 정보들이 한데 모이면 얼마든지 개인을 특정할 수 있다는 점이다. 정보보안 컨설턴트 최영록 씨는 “이제는 상당수 기업들까지 축적한 개인정보가 많기 때문에 주민번호가 없어도 해당 개인정보의 주인이 누구인지 알아낼 수 있다”고 말했다. 지금까지는 개인정보가 누구 것인지 알려면 주민번호가 필요한 것으로 알려져 있었다. 이 때문에 8월 시행 예정인 개인정보보호법 개정안도 주민번호 수집을 못 하게 하고 유출 시 제재를 대폭 강화하는 방향으로 마련됐다. 지난 수년간 대규모 개인정보 유출 사고가 반복돼 불법적으로 유통되는 개인정보가 증가한 것도 문제로 지적된다. 일례로 2011년에 터진 네이트·싸이월드 및 넥슨 등의 개인정보 유출 사건 당시 휴대전화번호, ID, 비밀번호 등의 정보가 대거 빠져나갔다. 이런 정보와 이번에 유출된 신용카드 정보를 결합할 경우 네 자리로 돼 있는 신용카드 비밀번호의 상당수를 푸는 실마리가 될 수 있다.

주요 정보를 암호화하더라도 현재의 정보기술(IT) 수준에서는 결코 안전하지 않다. 지난달 검찰은 대한약사회 산하 재단법인 약학정보원을 압수수색했다. 환자 의료정보가 유출됐다는 의혹이 제기됐기 때문이다. 약학정보원은 수집한 환자의 주민번호, 질병 기록, 건강보험 유형 등의 정보를 해외 다국적 기업에 팔아온 것으로 알려졌다. 약학정보원 측은 주민번호를 암호화했기 때문에 문제가 되지 않는다고 주장한다.
▼ “비밀번호 통일하는 습관, 피해 키울 위험” ▼

빅데이터 정보 유통 비상

이에 대해 이경호 고려대 정보대학원 교수는 “암호화된 주민번호를 푸는 것은 기술적으로 불가능한 일이 아니다”라며 “특히 여러 경로를 통해 확보한 작은 정보와 결합시킬 경우 거의 완벽하게 개인정보를 복원할 수 있다”고 지적했다. 개인정보는 보통 건당 50원에 거래되는데 암호를 풀어 개인이 특정되거나 신용정보가 포함되면 가격이 수십, 수백 배로 뛴다.

최근 사회적으로 문제가 되고 있는 스미싱과 피싱 사건도 대부분 중국 해커 조직이 국내 포털 사이트와 온라인게임 ID, 전화번호 등 공개된 개인정보를 수집해 축적하는 데서 시작된다. 보안업계는 우리 국민의 80% 이상이 같은 비밀번호를 여러 사이트에서 돌려쓰고 있어 피해가 더 커질 수 있다고 지적한다.

김인성 한양대 컴퓨터공학과 교수는 “개인정보 유출 기업에 대해 명확한 피해 보상을 이끌어내는 것은 물론 개인들도 자신의 사소한 정보도 가공하면 가치를 갖게 된다는 사실을 인식하고 제공할 때 한 번 더 생각해야 한다”고 말했다.

정호재 demian@donga.com·서동일 기자