인터넷 해킹과 관련한 전문지식이 전혀 없는 30대 무직자가 단지 '구글링'(구글 검색)만으로 100여 인터넷 사이트에서 800여만건의 개인정보를 빼냈다. 개인정보 유출사고가 무수히 잇따르고 있지만 대기업을 포함한 대부분의 인터넷 사이트들은 여전히 개인정보 보호 시스템이나 보안 의식을 내팽개치고 있는 탓이다. 피해 사이트 보안 담당자 대부분은 개인정보가 유출된 사실조차 모르고 있었다.
서울경찰청 사이버범죄수사대는 구글링으로 개인정보 884만건을 유출한 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 등)로 김모(37)씨를 구속했다고 30일 밝혔다.
경찰에 따르면 김씨의 개인정보 빼내기 수법은 매우 단순했다. 구글 검색창에 '회원정보' '이력서' '대외비' 같은 단어를 입력한 뒤 검색결과에 노출된 회원정보 페이지를 열고, 해당 인터넷 주소(URL)로부터 유추할 수 있는 회원정보 페이지 주소를 차례로 입력해 전체 회원 정보를 내려 받았다.
김씨는 이러한 수법으로 2010년 2월 서울 강남의 유명 산부인과 홈페이지에 접속해 회원정보 17만여건을 내려 받은 것을 시작으로, 풀빵닷컴 회원정보 285만여건, YG엔터테인먼트 회원정보 50만여건, 교통사고 처리 내역 등의 정보가 기록된 한화손해보험 회원정보 11만여건 등 올 7월까지 100여개 사이트에서 884만여명의 개인정보를 빼냈다. 유출된 정보 중에는 진료기록 같은 여성들의 민감한 정보도 상당수 포함돼 있다.
김씨가 이토록 쉽게 개인정보를 빼낼 수 있었던 것은 피해 사이트들이 회원정보가 검색에 노출되지 않도록 하는 '검색 배제 표준'을 설정하지 않았기 때문이라고 경찰은 설명했다. 더욱이 회원정보 데이터 베이스에 접속할 수 있는 권한을 아이디와 비밀번호를 아는 관리자로 제한하는 인증절차조차 갖추지 않았던 것으로 드러났다. 경찰 관계자는 "이들 사이트들은 가장 기초적인 보안조치도 하지 않았다"며 "개인정보 보호 위반사항이 확인될 경우 사이트 관리자와 법인을 형사 처벌할 방침"이라고 밝혔다.
김씨는 올해 7월 한 취업정보 사이트 관리자가 자사 회원정보 데이터 전체를 누군가 일괄적으로 열람한 사실을 확인하고 경찰에 수사를 의뢰하면서 덜미가 잡혔다. 유출된 정보가 다른 목적으로 사용되거나 제3자에게 넘어간 증거는 발견하지 못했다.
김씨는 경찰조사에서 "특별한 이유는 없고 호기심에 그랬다"라는 말만 되풀이한 것으로 알려졌다. 서울의 모 대학 물리학과를 중퇴한 김씨는 정보통신(IT) 관련 공부를 따로 한 적도, IT관련 업체에서 일한 경력도 없다. 전문 해킹 프로그램을 사용하지도 않았다. 10년 전 대학 중퇴 후 부모로부터 용돈을 받아 집과 PC방에서만 생활했고, 항상 방문을 잠그고 부모조차 방에 들어가지 못하게 할 정도로 '은둔형 외톨이' 성향을 보였다고 한다.
김씨는 지난 2009년에도 구글 검색을 통해 공공기관 및 홈쇼핑 홈페이지에서 개인정보를 빼낸 혐의로 구속됐지만 집행유예를 선고 받았다. 또 지난해 7월에는 저작권 관련 홈페이지에서 연예인 3,300여명의 주민등록 번호 등이 담긴 개인정보를 유출해 경찰에 입건되기도 했다. 김씨 집에서는 아동포르노 87편 등 음란 동영상 수 천 개가 발견됐다.
경찰 관계자는 "김씨가 수년 전부터 개인정보 수집과 음란물에 병적으로 집착하는 모습을 보여왔다"면서 "사회에 대한 강한 불만을 광적인 수집과 과시욕으로 풀려 한 것으로 보인다"고 말했다.
이동현기자 nani@hk.co.kr
기사 URL이 복사되었습니다.
댓글0