“회원님 아이디와 비밀번호는 OO입니다” 문자에 화들짝!
인터넷 쇼핑몰 옥션이 대규모 해킹을 당한 사실이 지난 2월 처음 알려졌다. 당시 사태의 심각성은 크게 부각되지 않았다. 그러나 지난달 20일 나온 경찰의 중간 수사 결과는 대한민국을 들쑤시기에 충분했다. 1081만 건에 달하는 옥션 회원의 아이디와 주민등록번호, 집 주소 및 연락처가 고스란히 누군가의 수중에 떨어졌다. 국내 인터넷 사용자 10명 중 3명의 개인정보가 줄줄 새나간 것이다.
특히 유출된 정보 100만 건에는 회원의 상품거래 및 환불정보, 은행계좌정보까지 담겨있는 것으로 드러났다. 이번 사건을 통해 유출된 것으로 보이는 개인정보는 이미 조선족이나 중국인들이 이용하는 커뮤니티 사이트에서 불티나게 팔리고 있다. 과연 이들은 누구의, 무엇을 노리고 있을까. 빛바랜 IT강국의 현주소를 들여다봤다.
옥션해킹의 충격이 채 가시기 전에 대한민국에서 가장 중요한 정보만 모이는 청와대 홈페이지가 바이러스에 무방비로 노출되는 사건이 발생했다.
또 LG텔레콤과 하나로텔레콤 등 통신업체 역시 600만 명에 달하는 가입자 신상정보를 도둑맞았다.
빼돌린 정보, 중국서 팔려
문제는 이렇게 새나간 개인정보가 조선족들이 주로 이용하는 중국 포털사이트와 중국인을 상대로 하는 커뮤니티에서 버젓이 공유되거나 팔려나가고 있다는 점이다.
중국의 한 게임관련 웹진에 한국인 이름과 주민등록번호 7800여건이 올라와있는 사실이 뒤늦게 드러났다. 지난해 작성된 문제의 글은 한국인의 실명과 주민번호가 고스란히 나열돼 있다. 최근 벌어진 해킹 사건과는 관계없는 듯하지만 이들 개인정보를 이용, 실명인증을 시도하자 100% 본인으로 확인됐다. 무려 1년 가까이 실명인증 가능한 개인정보 수천 건이 중국인들 사이에서 공유된 것이다.
지난달 21일 중국 사이트인 ‘오투스카이(http://demand.o2 sky.com)’ 직거래 게시판에는 대량의 옥션 아이디를 판다는 글이 올라왔다. 글쓴이는
옥션 아이디 뿐 아니라 국내 최대 포털사이트인 네이버 아이디도 판다며 메일주소와 함께 전화번호를 남겼다.
문제의 글은 지난달 11일 작성돼 최근 벌어진 ‘옥션해킹’ 사건과 관련이 큰 것으로 추정된다. 이 글은 지난 3월 29일에도 올라왔지만 옥션해킹 사태가 언론을 탄 지난달 20일 모두 삭제됐다.
옥션해킹이 심각한 문제가 된 것은 아이디와 개인정보가 새어나간 것으로 피해가 그치지 않을 것이라는 우려 때문이다. 이번 사건과 같이 일부 고객들의 거래은행 계좌번호가 유출됐을 경우 이를 이용해 신분증을 위조, 대포통장을 만들거나 신용카드를 발급받는 것도 가능하다. 옥션 사건의 피해가 금전적인 2차 피해를 몰고 올 수 있음을 시사하는 것이다.
실제로 문제의 중국 사이트에서 거래되는 것은 아이디뿐만이 아니었다. 해당 포털에는 한국인 명의로 개설된 대포통장도 공공연히 거래되고 있다. 우리은행·하나은행 등 국내 은행의 인터넷 뱅킹이 가능한 대포통장을 2천원에 판다는 글과 한국인 명의의 대표계좌를 구한다는 요청이 심심찮게 발견되는 것이다.
하지만 금융감독원은 ‘옥션해킹으로 인한 금융피해 가능성은 낮다’는 입장을 밝혔다.
김인석 금감원 IT감독팀장은 “옥션 사건으로 은행 계좌번호가 일부 새나간 것은 사실이다. 하지만 계좌번호만 갖고 금융범죄를 저지르는 것은 어렵다”고 말했다. 그는 “다만 옥션과 같은 아이디와 비밀번호로 인터넷뱅킹을 이용하는 고객들은 주의해야한다. 인터넷뱅킹 로그인을 통해 거래정보를 조회할 수 있기 때문이다. 빠른 시일 안에 비밀번호를 바꿔야 혹시 있을지 모를 피해를 막을 수 있다”고 당부했다.
같은 아이디·비밀번호 쓰면 낭패
옥션 아이디와 비밀번호를 다른 사이트에서 똑같이 사용하는 사용자들을 중심으로 2차 피해가 발생하고 있다는 정황이 곳곳에서 터져나오고 있다.
가장 대표적인 것은 국내 최대 메신저 ‘네이트온’에서 일어난 사기사건이다. SK커뮤니케이션즈에 따르면 지난 2~3월 사이 총 10명의 이용자가 사기꾼에 속아 10만원~50만원의 금전적 피해를 입었다.
범인이 훔친 아이디로 메신저에 접속한 뒤 친구나 선·후배 등에게 말을 걸어 ‘돈이 급하니 좀 빌려 달라’는 식으로 돈을 받아 챙긴 것이다.
SK커뮤니케이션 관계자는 “네이트온의 경우 지난해 말부터 키보드 보안 프로그램을 제공했다. 해킹가능성이 높지 않은 만큼 이미 유출된 개인정보를 이용한 범죄일 가능성이 높다”고 전했다.
피해사실은 포털사이트 다음의 <옥션 정보유출 소송모임>과 네이버 <옥션해킹 피해자들의 모임> 등 관련 커뮤니티를 중심으로 하루 수백 건 이상 쏟아져 나오고 있다. 이에 따르면 현금으로 아이템을 구입하는 게임사이트 이용자들의 피해도 심상치 않다.
옥션과 같은 아이디·비밀번호를 사용한 게임사이트에서 현금으로 산 아이템을 잃어버린 경우가 대부분이다. 누군가가 아이디를 훔쳐 남에게 아이템을 선물하거나 포인트를 결제해 써버렸다는 것이다.
또 정보유출 피해를 입은 이용자들이 최근 가입한 다른 사이트에서 신청하지 않았음에도 아이디와 비밀번호를 확인해주는 문자와 이메일을 연달아 받는 일도 벌어졌다.
대학생 A씨는 동영상 강의를 보는 한 사이트에서 ‘문의하신 홈페이지 아이디 및 임시 패스워드입니다’라는 제목의 메일을 받았다. 누군가 A씨의 주민번호로 해당 사이트의 아이디와 비밀번호를 빼내려 한 것이다.
옥션해킹 사건을 계기로 피해자들의 법적 소송 움직임이 봇물을 이루고 있다. 박진식(넥스트로 법률사무소)·김현성(법무법인 상선) 변호사가 각각 피해자를 모아 집단소송을 준비 중이다. 이는 피해자뿐 아니라 다른 인터넷 관련 업체들에도 초미의 관심사다. 법원의 판결에 따라 기업과 관련 산업의 운명이 걸려있기 때문이다.
박 변호사는 지난달 초 2078명을 원고인단으로 옥션에 1인당 200만원, 총 41억원 규모의 손해배상 소송을 냈다. 가입자 수 21만을 훌쩍 넘긴 박 변호사의 소송관련 커뮤니티는 연일 문전성시다. 1인당 3만원을 입금해야 소송에 참가할 수 있지만 입금확인을 기다리는 누리꾼은 2만 명이 넘는다. 한 달 새 6억원이 박 변호사의 계좌로 흘러들어갔다.
‘배상금 200만원’ 가능할까
네이버 카페를 개설해 소송준비에 나선 김 변호사에게도 3만 명에 달하는 누리꾼들이 모여들었다. 김 변호사는 1인당 1만원의 접수비를 받고 있다. 그는 옥션에 1인당 100만원의 배상금을 요구할 예정이다.
문제는 소송에 뛰어든 피해자 중 상당수가 ‘100만원~200만원’ 이라는 배상금에 현혹 돼 사건의 본질을 흐리고 있다는 점이다. 일부 누리꾼들 역시 ‘장사꾼 변호사의 사탕발림’이라며 회의적인 의견을 내놓고 있다. 과연 1인당 200만원의 배상금 지급이 현실적으로 가능할까.
정보유출 사건의 경우 지난 판례에 따라 승소 가능성이 높다. 문제는 유사한 판례에서 인정한 배상범위가 1인당 10만원~70만원에 불과해 이들 변호사들이 내세운 금액을 크게 밑돈다.
박 변호사가 2006년 담당한 국민은행 개인정보 유출 사건 당시 이름·이메일·주민등록번호가 모두 유출된 피해자에게 2심에서 1인당 20만원의 보상금이 주어졌다. 2005년 벌어진 게임 사이트 ‘리니지2’의 개인정보 유출 사건에서는 피해자 1인당 10만원의 보상금을 지급하라는 법원 판결이 나왔다. 이들 소송에서 박 변호사는 각각 1인당 200만원과 500만원의 보상금 지급을 요구한 바 있다.
뿐만 아니라 2년 전 있었던 LG전자 입사지원서 유출은 개인에 대한 세세한 정보가 모두 포함 돼 사생활침해 가능성까지 제기될 만큼 비중 있는 사건이었다. 하지만 배상금 2000만원을 원한 원고인 측이 받은 돈은 70만원에 불과했다.
소송에 이겨도 기대만큼 돈을 받기 힘들다는 의견은 현직 변호사들 역시 마찬가지다.
서울 서초동에서 개업변호사로 활동하고 있는 안재한 변호사(사시 47회)는 “최근 정보유출 사건 소송이 변호사들 사이에서도 큰 이슈다. 하지만 소장에서 제시한 배상금을 모두 받기는 현실적으로 힘들다”고 밝혔다.
그는 “민사소송은 변론주의가 적용된다. 때문에 피해자들이 주장한 청구액수 내에서 인용판결이 나온다. 그래서 다소 많은 배상액을 요구하는 게 관례다. 200만원이라는 보상금에 휘둘려 성급하게 소송을 제기하기보다 구체적 피해사례가 나올 때까지 기다리는 게 더 유리하다”고 꼬집었다.
안 변호사는 또 일부 변호사들이 소송참가비 명목으로 돈을 걷는 행동에 대해서도 일침을 가했다.
그는 “개인이 소송을 제기해 100만원을 청구하면 인지대는 5000원, 송달료는 60,400원이다. 두 명이 제기하는 경우 인지대는 같고 송달료만 30,200원이 추가된다. 그러나 소송을 수행하는 변호사도 옥션 해킹 피해자라면 이야기가 달라진다”고 말했다.
만약 변호사가 동일한 사건 피해자라면 모든 피해자를 대표해 선정당사자로 소송을 수행할 수 있기 때문이다.
안 변호사는 “이렇게 되면 인지대는 소송 인원에 따라 늘어나지만 송달료는 선정당사자 1인 몫만 기준으로 한다. 그렇다면 성공보수는 그만두더라도 송달료 부분에서 엄청난 이익을 취할 수 있다”고 지적했다.
반면 직접 소송을 진행 중인 박진식 변호사는 사건의 중요성과 불법적으로 이용하기 쉬운 실명, 주민번호 등이 유출된 사실 때문에 청구금액 보다 더 많은 배상을 받는 것이 가능하다고 받아쳤다.
“200만원 충분히 가능”
박 변호사는 “10만원의 배상금이 선고된 리니지 사건의 경우 1심에서 50만원의 배상금이 선고됐지만 2심에서 무리하게 위자료 금액을 깎았다. 이어진 국민은행 사건은 이 같은 잘못된 판례를 적용해 비슷한 결과가 나왔을 뿐이다. 1심 판결대로 배상금을 선고했다면 50만원 이상의 돈을 배상받을 수 있는 사건이었다”고 밝혔다.
그는 또 LG전자 입사지원서 유출 사건에 대해서도 당시 판결문을 인용, 다른 입장을 표했다. 박 변호사는 “LG전자 사건의 경우 판결문에 [원고들의 성명, 주민등록번호 등 직접 불법적인 용도에 사용되기 쉬운 정보는 열람된 바 없는 점]이라는 문구가 포함돼있다. 해당 판결 취지에 따르면 주민번호와 실명이 고스란히 유출된 옥션 사건은 훨씬 더 많은 배상금을 청구할 수 있다”고 말했다.
#정보유출 관련 사건 판례
1. 국민은행 개인정보 유출
2006년 5월 / 박진식 변호사 담당
▲사건내용 : 국민은행 담당 직원이 복권계좌 이용 고객에 메일 보내며 실수로 고객 개인정보 담긴 파일 첨부, 대량 발송. 발견 뒤 즉시 대부분 메일 회수
▲청구금액 : 이름/이메일/주소/주민등록번호 유출 피해자 → 200만원
이름/이메일/주소 만 유출 피해자 → 100만원
▲선고금액 : (2심)이름/이메일/주소/주민등록번호 유출 피해자 → 20만원
(2심)이름/이메일/주소 만 유출 피해자 → 10만원
2. 리니지 명의도용 사건 2006년 2월
▲사건내용 : 온라인 게임 ‘리니지’ 가입자 120만명의 이름, 주민번호가 도용돼 명의도용 피해자 1만명 집단소송.
▲청구금액 : 100만원
▲선고금액 : 패소. 회사의 직접적 책임 없음.
3. 리니지2 개인정보 유출
2005년 5월 / 박진식 변호사
▲사건내용 : 게임회사 엔씨소프트가 사용자들의 개인정보 담긴 파일을 암호화하지 않아 제3자에게 노출. (원고 5명)
▲청구금액 : 500만원
▲선고금액 : (2심) 10만원
4. LG전자 입사지원서 유출
2006년 9월 / 김연호 변호사
▲사건내용 : 채용사이트가 해킹돼 지원서에 있는 개인정보 유출. 자기소개서·이력서에 담긴 사생활까지 침해됨. (원고 270명. 자료조회 된 31명만 배상금 지급)
▲청구금액 : 2000만원
▲선고금액 : 70만원
5. 옥션 개인정보 유출
2008년 4월 / 박진식 변호사·김현성 변호사
▲사건내용 : 옥션 서버가 악성코드에 의해 해킹당해 1081만명 개인정보 유출.
▲청구금액 : 박진식 변호사팀 200만원 / 김현성 변호사팀 100만원
▲선고금액 : 소송 진행중.
기자
저작권자 © 일요서울i 무단전재 및 재배포 금지
