“이름, 이메일, 전화번호가 들어간 디비(DB)는 명당 3원, 아이디랑 비밀번호까지 포함하면 명당 5원.”

인터넷에 유출된 개인정보는 파일 형태로 대부업체, 사행성 게임업체, 개인 쇼핑몰 등에 흘러들어 홍보수단으로 쓰인다. 최근 유출된 새누리당 당원명부 역시 비슷한 과정을 거칠 것으로 보인다.

새누리당 수석전문위원인 이모씨가 400만원을 받고 220만명에 달하는 새누리당 당원의 명부를 유출시킨 사실이 6월 14일 밝혀졌다. 이튿날 서병수 새누리당 사무총장은 당원들의 성명, 주민번호, 전화번호, 주소가 유출됐다고 밝혔다. 이 명부는 파일 형태로 유출됐다. 다른 인터넷 사이트에서 유출된 개인정보 역시 파일 형태로 떠돌며 음성적으로 거래되고 있다. 개인정보 거래업자들은 이 개인정보 파일을 ‘디비(DB·데이터베이스)’라고 부른다. 새누리당 당원명부처럼 특정 목적으로 정리되지 않은 디비는 ‘막디비’, ‘통디비’로 불린다.

업자들의 손을 거쳐 정리된 디비는 용도에 따라 다양한 이름으로 불린다. 대부업체용은 ‘대출디비’, 불법 도박사이트용은 ‘게임디비’, 쇼핑몰 홍보용은 ‘쇼핑몰디비’로 부르는 식이다.

지난 몇 년 동안 옥션, 네이트, EBS 등에서 대량의 개인정보 유출사태가 일어나면서 개인정보 유통에 대한 일반의 관심은 높아졌지만, 이미 유출된 개인정보 유통을 차단할 방법은 딱히 보이지 않는다. 경찰청 사이버테러대응센터도 “수사를 해서 범인을 잡기 이전에 원천적으로 대응할 마땅한 방법이 없다”고 말할 정도다.

이미 유출된 정보 유통 막기 어려워
개인정보 거래업자를 접촉하기 위해 인터넷 검색창에 ‘인터넷 디비’, ‘대출디비’ 등의 검색어를 입력했다. 개인정보 거래업체들의 메신저 주소, 전화번호가 쉽게 발견됐다. 한 인터넷 카페에 공개된 업체의 이메일 주소를 메신저에 등록시켰다. 곧바로 메신저 창에 “상대방의 현재 접속지는 국외 등 피싱 위험지역”이라는 문구가 떴다.

업체측과 접촉했더니 자신을 ‘정실장’으로 소개한 상대방은 “20~30대 남성 5만명 정도로 맞춰주면 되겠느냐”고 말했다. 그는 자신이 갖고 있는 개인정보가 “옥션, 네이트, EBS는 물론이고 ㄱ, ㄴ 사이트에서 (해킹으로) 확보한 것을 엑셀파일로 정리한 것”이라고 설명했다. 대형 쇼핑몰인 ㄱ, ㄴ은 해킹으로 인한 대량 정보유출 사태가 보도된 바 없는 곳이었다. 가격을 묻자 ‘정실장’은 “이름, 이메일, 전화번호가 들어간 디비는 명당 3원, 아이디랑 비밀번호까지 포함하면 명당 5원”이라고 답했다.

새누리당 당원명부의 가격보다 비싼 것에 대해 ‘정실장’은 “어디가나 구할 수 있는 ‘막디비’는 원래 싸다”며 자신들이 파는 디비는 “고객이 원하는 대로 주소, 나이, 성별을 체계적으로 정리한 것”임을 강조했다.

이번에는 전화번호가 등록된 업체와 연결해봤다. 서울 지역번호인 02로 시작되는 번호였지만 막상 전화를 걸어보니 “중국으로 연결됩니다”라는 안내멘트가 나왔다. 자신을 ‘김팀장’으로 소개한 남성의 말투에는 조선족의 어투가 섞여 있었다.

‘김팀장’은 보다 자세한 거래현황에 대해 설명했다. 그는 “전화번호, 이메일보다는 신용정보를 문의하는 사람들이 더 많다”며, 이 ‘대출디비’가 불법 대부업자들이 신용등급이 낮은 사람들에게 대출안내문자를 보내는 데 쓰인다고 말했다. ‘김팀장’은 “동업자 몇 명이 돌아가며 24시간 전화를 받고 메신저 접속을 유지한다”며 “구입을 결정하셨으면 한국인 계좌를 불러드리겠다”고 말했다.

이들이 취급하는 디비는 실제 개인정보일까? ‘정실장’은 “확신하지 못하는 고객들에게는 샘플을 보내드리는데, 그럴 경우 열이면 열 우리 자료가 확실하다는 것을 믿는다”고 말하며 ㄴ 사이트에서 확보했다는 70여명의 개인정보 파일을 보내왔다.
 
‘정실장’이 보낸 파일에는 개인의 이름, 주민번호, 이메일, 휴대전화번호는 물론 사이트 아이디와 비밀번호, 배송지 주소까지 적혀 있었다. 파일에 적혀 있는 개인정보 확보 날짜는 몇 년 전이었지만, ㄴ 사이트에 접속해 확인해본 결과 샘플 파일에 등장한 인물의 상당수는 지금껏 비밀번호를 바꾸지 않았다. 이메일 비밀번호와 ㄴ 사이트의 비밀번호가 일치하는 사람도 일부 있었다.

당원명부, 문자발송업체에 건네져
‘24시간 친절 상담’을 강조한 ‘김팀장’은 “우리는 아니지만 선거디비를 운용하는 업체도 있다”고 말했다. 최근 유출된 새누리당 당원명부는 ㅁ문자발송업체로 건네졌다. 경향신문의 분석에 따르면, 예비후보를 포함해 새누리당 후보 30여명이 ㅁ업체와 홍보계약을 맺었고, 그 중 15명이 실제로 당선됐다.

이렇게 떠도는 개인정보는 범죄에 활용되기도 한다. 지난해 12월에는 한 대부업자가 중국에서 구한 개인정보를 토대로 불법영업을 하다가 적발되기도 했다. 적발된 대부업자 최씨는 중국 해커들이 해킹으로 취득한 수백만명분의 개인정보를 개인정보 거래업체로부터 구입했다. 이후 최씨는 유명 금융사를 사칭해 스팸문자를 보낸 뒤, 고액의 대부중개 수수료를 챙겼다. 경찰은 최씨가 “휴대전화번호 1개당 1~20원씩 주고 개인정보를 대량 구매했다”고 밝혔다.

인터넷으로 디비를 구입한 뒤 다른 사람들에게 되파는 경우도 있었다. 올 1월 충남지방경찰청 사이버수사대에 적발된 두 사람은 기자와 같은 방법으로 개인정보 거래업체를 접촉해 2800만건에 달하는 디비를 구입했다. 이들은 42차례에 걸쳐 개인정보 3000만원어치를 팔았다. 이들은 상당수의 네티즌들이 여러 사이트의 아이디와 패스워드를 동일하게 사용하는 점을 악용해 디비에 등장하는 네티즌들의 이메일에 접속한 뒤 여권 파일 등 또다른 개인정보를 빼내기도 했다.

충남지방경찰청 사이버수사대 관계자는 “개인정보는 일차적으로 중국 등 외국에서 메신저를 통해 거래되는 데다가, 메신저 명의도 도용이 많기 때문에 개인정보 거래를 근절하는 데 어려움이 많다”고 말했다. 

이 관계자는 또한 “개인정보 거래업자의 대부분은 인터넷에 글을 올려 거래를 하는데, 표현의 자유 침해 소지가 있는 만큼 인터넷에 글쓰는 것 자체를 막는 방안은 시행할 수 없다”고 덧붙였다.

경찰청 사이버테러대응센터 관계자는 “경찰에선 개인정보 유출로 인한 피해가 발생하거나 금융감독원, 한국인터넷진흥원에서 수사 의뢰를 해오면 피의자를 검거하고 보도자료 등을 통해 개인정보 보호대책을 내놓는다. 네이트온, 카카오톡 같은 업체에 주의 메시지를 띄우라고 요청하기도 한다. 하지만 개인정보 거래가 주로 중국을 통해 이뤄지고, 보안이 허술해 개인정보가 유출되기 쉬운 웹사이트가 많아 대응하기 어렵다”고 말했다.

<백철 기자 pudmaker@kyunghyang.com>