`다크웹서 떠도는 내정보 2346만건`…개인정보 유출 확인시스템 만든다(종합)

개인정보위, ‘웹사이트 계정정보 유출확인 시스템’ 구축·운영
국내 계정정보 2346만건 다크웹 등에 유출…진위 확인 중
추가적인 정보 탈취 위협에도 노출…보이스피싱 등에 악용
개인정보 유출여부 직접 확인…“민관 협력해 엄중히 대처할 것”

등록 2020-12-08 오후 3:23:01

수정 2020-12-08 오후 3:23:01
가 가

윤종인 개인정보보호위원회 위원장이 8일 오후 과학기술정보통신부, 경찰청, 한국인터넷진흥원 및 주요 인터넷기업과 함께 `웹사이트 계정정보 유출확인 시스템` 구축 등 개인정보 불법유통에 대응하기 위한 영상회의를 진행하고 있다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] 다크웹 등 해외 웹사이트로 유출된 국내 개인정보가 2300만건이 넘는 것으로 나타났다. 개인정보보호위원회는 과학기술정보통신부·경찰청 등 관계기관 및 네이버·카카오·구글 등 국내외 기업과 손잡고 국민들이 본인 정보가 유출됐는지 여부를 직접 확인할 수 있는 시스템을 만들기로 했다.

국내 계정정보 2346만건 다크웹 등으로 유출…진위 확인 중

8일 개인정보위에 따르면 최근 과학기술정보통신부와 해킹 등으로 유출된 개인정보를 공유하는 해외 웹사이트에서 불법 개인정보 데이버베이스(DB)를 확보해 분석한 결과 국내 1362개 웹사이트의 계정정보(이메일 주소, 패스워드) 2346만여건이 포함돼 있음을 확인했다. 해당 DB에 포함된 웹사이트는 대부분 중소 규모의 민간 및 공공사이트로 나타났다.

개인정보위는 해당 불법 DB에 포함된 계정정보의 진위를 확인 중이다. 피해예방을 위해 해당 웹사이트 관리자에 계정정보 유출 여부에 대한 확인을 요청하는 한편, 지난달 과기정통부와 협력해 주요 기업의 최고정보보호책임자(CISO)에 사이버공격에 대한 대비를 공지하는 등의 조치를 취했다.

윤종인 개인정보위 위원장은 “해당 웹사이트의 자체점검을 통해 계정정보 유출사실이 확인되면 개인정보위에서 공식적인 조사를 진행할 예정”이라며 “네이버, 카카오, SK커뮤니케이션즈, 구글, 마이크로소프트(MS) 등 주요 이메일 서비스 제공업체에 해당 불법 DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 이번주 내로 완료할 것을 요청했다”고 설명했다.

(자료=개인정보보호위원회 제공)

추가적인 정보 탈취 위협에도 노출…보이스피싱 등에 악용

현재 유출된 계정정보도 문제지만, 이를 활용해 추가적인 개인정보도 탈취할 수 있어 시급한 대응이 필요해 보인다. 대부분의 이용자가 여러 웹사이트에서 동일 아이디와 비밀번호를 이용하는 행태를 고려하면 유출된 특정 사이트의 계정정보가 `크리덴셜 스터핑`에 악용될 수 있다. 크리덴셜 스터핑은 해커가 확보한 특정사이트의 사용자 계정정보를 다른 사이트에 무작위로 대입해 개인정보를 탈취하는 수법을 말한다. 최근 2년간 전 세계에서 총 880억건의 크리덴셜 스터핑이 발생했다.

이를 통해 불법유통되는 개인정보는 보이스피싱·명의도용 등 각종 범죄에 악용되고 있다. 국내 보이스피싱 피해건수는 2017년 2만4259건에서 2018년 3만4132건을 거쳐 지난해 3만7667건으로 매년 증가 추세에 있으며, 그로 인한 피해액 규모도 같은 기간 2470억원에서 6398억원으로 급증했다. 지난 2006년 이후 누적 피해액은 2조3937억원에 달한다.

개인정보 유출여부 직접 확인…“민관 협력해 엄중히 대처할 것”

개인정보위는 이러한 개인정보 불법유통으로 인한 국민들의 불안감을 해소하고 피해를 예방하기 위해 국민들이 자신의 웹사이트 계정정보가 유출됐는지 여부를 직접 확인할 수 있는 `웹사이트 계정정보 유출확인시스템`을 구축·운영하기로 했다. 이번에 확보한 불법 계정정보 DB와 구글이 인터넷을 통해 확보한 약 40억건의 계정정보 DB 등을 연계해 내년부터 해당 시스템을 구축·운영할 예정이다. 2022년부터는 국내 주요 인터넷기업 등과 협력해 웹사이트 계정정보 DB를 지속적으로 확충할 계획이다.

이와 관련 개인정보위는 이날 정부서울청사에서 윤종인 위원장 주재로 영상회의를 개최해 관계부처·기관(과기정통부·경찰청·한국인터넷진흥원) 및 주요 인터넷기업과 이번에 확보한 불법 계정정보 DB에 대한 이용자 보호조치 상황을 공유하고 웹사이트 계정정보 유출확인시스템 구축·운영방안을 논의했다. 또 개인정보위는 인터넷상에 해당 DB의 추가 게시·유통 여부를 지속 탐지·삭제하는 한편, 불법 DB를 상습 게시한 자에 대해서는 수사를 의뢰할 방침이다.

윤 위원장은 이날 회의에 앞서 모두발언을 통해 “정부의 노력 뿐만 아니라 민간의 협력도 필요하다. (웹사이트 계정정보 유출확인시스템 구축 관련)적극적으로 의견을 개진해달라”고 요청하며 “개인정보위는 이날 논의된 대책을 기반으로 개인정보 불법유통에 엄중히 대응해 나갈 계획”이라고 강조했다.

이어 그는 “국민들도 주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙 실천으로 소중한 개인정보를 안전하게 지킬 수 있도록 노력해달라”고 당부했다.