검색 본문 바로가기 회사정보 바로가기

개인정보가 범죄자들 손에서 돌고 도는데 대책은?

유출 개인정보 범죄 등에 끊임없이 이용돼 피해 연쇄발생
개인정보 유출 최고 징역 10년형…사업자 보안책임 강화해야

(부산ㆍ경남=뉴스1) 조아현 기자 | 2018-04-18 07:00 송고 | 2018-04-18 14:02 최종수정
© News1 최진모 디자이너
© News1 최진모 디자이너

# 직장인 A씨는 지난달 근무중에 서울중앙지검 수사관을 사칭한 보이스피싱 전화를 받았다. 보이스피싱 조직원은 A씨가 전화를 받자 'ooo씨가 맞습니까'라고 실명을 확인한 뒤 A씨 명의로 된 계좌가 범죄에 연루된 것으로 보인다고 속였다. 이어 피의자로 지목되는 전남 출신 김수현씨(가명)와 서로 아는 관계인지 추궁하면서 불안감을 조성했다. 미심쩍다고 느낀 A씨는 혹시나 하는 마음에 '부서 연락처를 알려주면 서울중앙지검을 통해 다시 전화를 걸겠다'고 했고 조직원은 머뭇거리다 이내 전화를 끊어버렸다. A씨는 자신의 이름을 먼저 알고 신원을 확인하던 조직원의 말이 불현듯 떠올랐다. 자신의 신상정보가 어디까지 악용될지 모른다는 생각에 미치자 두려움이 업습했다.

# 초보아빠 B씨는 지난 1월 두살배기 아기를 돌보다 보이스피싱 전화를 받았다. 아이가 납치됐으니 살리고 싶으면 돈을 입금하라는 내용이었다. 자신의 이름까지 거론하는 조직원의 연락을 받고 당황했지만 B씨는 '아이는 지금 내 옆에 있는데 무슨 소리냐'라고 되물었다. 곧이어 전화를 끊는 소리가 들렸다.

보이스피싱 전화금융사기 전화를 받아 본 피해자의 개인정보는 어디까지 유출됐을까. 피해자들은 이미 범죄자의 손에 들어간 자신의 개인정보를 회복할 수 있을까.

주로 해외에 콜센터를 두고 활동하는 보이스피싱 조직원들은 범행 대상자의 개인정보 데이터를 확보한 상태에서 범행을 시작한다.

조직원은 피해자들을 상대로 전화를 걸어 본인확인 절차부터 거치는데 이때부터 수사관 또는 대출기관 직원으로 빙의해 상대가 금전 피해를 당할 위험에 처했다고 겁을 주거나 저금리 대출을 미끼로 현혹해 거액을 가로챈다.

수사기관은 보이스피싱 범죄 단속과 조직원 검거에 열을 올리고 있지만 해마다 피해 발생률은 줄지 않고 오히려 증가하는 추세다.

개인정보보호 전문가들은 "보이스피싱 전화를 받은 것으로도 자신의 정보는 이미 유출됐다고 봐야 한다"며 "이를 거둬들이기란 불가능하다"고 입을 모은다. 관계기관조차 손을 놓고 있어 근본적인 대책마련이 요구된다. 

◇보이스피싱 검거 늘지만 피해 줄지 않아…총책 해외거주로 검거 어려워

17일 부산지방경찰청에 따르면 경찰에 전화금융사기사범(보이스피싱)이 검거된 인원 수는 2014년 911명, 2015년 1375명, 2016년 918명, 2017년 1498명 등으로 집계됐다.

검거인원 수는 해마다 늘어나는 추세지만 범죄 피해 발생도 증가하고 있다.

부산경찰청에 접수된 보이스피싱 범죄 피해발생 건 수는 2014년 1296건, 2015년 994건, 2016년 884건, 2017년 1338건 등을 기록했다.

이같은 현상은 검거인원 대다수가 송금책이나 인출책, 통장명의자인데다 범행을 주도하는 총책이 주로 해외에 거주하는 탓에 잡기가 힘들다는 점이 주요 원인으로 분석된다.

경찰 관계자는 "중국이나 해외 현지에서 범행을 주도하는 경우가 많아 현장 적발이 어렵다"며 "보이스피싱 조직원이 서로를 잘 알지 못하는 점조직 형태로 움직이는 것도 윗선을 검거하기 어렵게 만드는 요인"이라고 설명했다. 

◇범죄자 손에서 돌고도는 개인정보…“피해회복 불가능”

문제는 보이스피싱 전화를 받은 피해자가 자신의 유출된 개인정보를 회복하거나 구제할 수 있는 절차를 밟지 못한다는 것이다.

금융감독원의 경우 피해구제신청을 받고있지만 사기이용계좌로 송금한 범죄 피해금이 상대방에게 지급되지 않도록 정지 요청을 하고 반환하도록 돕는 수준에 그친다.

한국인터넷진흥원(KISA)도 허술한 보안으로 개인정보를 유출시킨 정보통신사업자에 대해 책임을 묻고 분쟁조정을 통해 보상이 이뤄지도록 돕지만 정보활용주체가 특정되지 않는다면 이마저도 시도할 수 없다는 입장이다.

차윤호 한국인터넷진흥원 개인정보침해 조사팀장은 "보이스피싱 범죄처럼 정보활용 주체가 특정되지 않은 상황에서 피해구제 절차를 밟거나 회복하기란 사실상 어렵다"며 "위법행위를 저지른 대상을 특정할 수 있어야 하는데 잡히지도 않은 범죄조직에 구상권이나 손해배상 청구할 수는 없는 노릇"이라고 설명했다.

또 "수사기관에서 개인정보를 유출시킨 근원지를 파악하지 못한다면 공공기관에서 그것을 처리하기란 더욱 힘들다"며 "제도적으로 관계기관에 피해사실 통지를 해야 인지가 가능하기 때문에 개인정보유출 피해가 발생했다면 신고를 하는 것이 최선"이라고 했다.

전문가들은 한번 유출된 개인정보는 되돌릴 수 없다고 말한다. 1차로 유출된 개인정보는 '시효만료'가 없기 때문에 '보이스피싱' '스팸문자' 등 타인의 정보를 필요로 하는 범죄행위에 끊임없이 사용돼 피해가 연쇄적으로 발생할 수 있다.

사전에 피해예방을 하도록 보다 경각심을 가지고 개인정보를 다뤄야 한다는 주장도 나온다.

차 팀장은 "개인정보 유출 사례 가운데 절반은 인터넷 해킹에 의해서 발생한다"며 "개인정보 제공에 동의할 때는 신뢰할 만한 사이트인지 반드시 확인하고 한국인터넷 진흥원에서 제공하는 'e-프라이버시'를 이용해 본인이 가입한 사이트를 확인해보라"고 조언했다.

그는 "어떤 사이트에 가입했는지 기억이 나지 않을 경우 'e-프라이버시를 활용해 회원탈퇴 신청을 해보고 만약 일부 탈퇴가 되지 않는 사이트라면 인터넷진흥원이 위임받아 대행도 가능하다"고 덧붙였다.

◇수사·조사기관 개인정보 유출·보호 이해도 떨어져…"전문인력 필요"  

경찰은 현재 보이스피싱 전화를 받은 신고자나 피해자에게 한국인터넷진흥원 개인정보침해신고센터 '118'로 연락해 도움을 받도록 안내한다.

개인정보 추가도용을 막기 위한 방안이라고는 하지만 한국인터넷 진흥원에서 제공하는 서비스는 피해가 발행하기 전 즉, 사전예방 차원에서 이뤄져야 할 조치다.

전문가들은 '개인정보 유출'과 연관된 사건일수록 일반적인 사이버 범죄와는 다른 시각에서 바라봐야 한다고 강조한다.

사건을 파헤치는 사이버수사대나 지능범죄 부서에 소속된 수사관들조차 개인정보가 가진 특성을 이해하지 못하거나 보안기술 분야에 대한 전문지식이 없기 때문에 수사 한계가 드러날 수밖에 없다는 의견도 나온다.

정재원 동의대 생산정보기술공학과 교수는 "개인정보 유출로 벌어지는 범죄의 경우 피의자들이 어떤 경로로 입수했는지 피해자들이 추가 피해를 얼마나 입게 될지 수사관들조차 인지하지 못하는 경우가 많다"며 "전문가 집단과 밀착형 공조수사로 개인정보에 대한 특성부터 잘 파악해야 수사의 실효성을 거둘 것"이라고 지적했다.

그러면서 "개인정보보호와 관련된 전문인력을 수사과정에 포함하는 것이 중요하다"고 재차 강조했다.

정 교수는 "정부나 관계기관에서는 통계수치로 보이스피싱 검거 사례를 성과로 발표하지만 이는 실상을 반영하지 못한 것"이라며 "개인정보 침해 수사, 보호환경, 침해예방 정책에 대해 다양한 기관에서 목소리를 내고 협조체제를 구축해 개인정보 보호영역을 확대해야 할 때"라고 말했다.

◇홈쇼핑·소셜커머스 등 정보통신망사업자, 보안 취약점 분석·모의훈련 책임져야

현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 이용자의 동의를 받지않고 개인정보를 수집하거나 영리목적으로 개인정보를 제공한다면 5년이하 징역 또는 5000만원 이하의 벌금형에 처한다.

또 전자금융거래정보를 타인에게 제공 또는 누설하거나 업무상 목적 외에 사용한 경우에는 전자금융거래법에 의해 10년이하 징역 또는 1억 이하의 벌금형이 내려지기도 한다. 

개인정보를 함부로 빼돌려 거래하거나 범죄에 이용할 경우 현행법은 가해자를 비교적 엄하게 처벌한다. 그러나 수사기관이 유출된 개인정보를 입수했을 때는 이미 가해집단이 여러 단계를 거쳐 수집한 정보를 합쳐놓은 상태이기 때문에 최초 유포자를 발견하기란 쉽지 않다. 

개인정보 유출 관련 초기수사 단계에서 전문가 인력이 필요한 이유이기도 하다.

개인정보를 대량으로 다루는 홈쇼핑, 소셜커머스, 인터넷 쇼핑몰 등 정보통신망사업자의 경우에도 개인정보 유출사고가 발생할 경우 징벌적 손해배상 책임을 지고있지만 업계에서는 실제로 경각심을 일으킬 만한 판결 결과는 드물다는 지적이 나온다. 

처벌이 내려지는 사례는 늘어나고 있지만 사건을 축소시킬 정도로 경각심을 일으킬 만큼 수위가 적용되지는 않는다는 것이다.

정 교수는 "손해배상제도의 경우 처벌조항은 있지만 제대로 이행되는 경우가 드물다는 것이 문제"라며 "피해가 발생한 경우 기업도 변호인을 고용해 고의성이 없었다는 사실을 소명하면 수위가 많이 낮아지는 것이 사실"이라고 설명했다.

수백만명의 개인정보를 다루는 기업이라도 관리적 보안이 허술하거나 개인정보보호 전문가를 내부에 따로 고용하지 않아도 제도상 아무런 제재를 받지 않지 않는다.

정 교수는 "무엇보다 개인정보를 수집하는 쪽에서 외부에 노출되는 개인정보보호의 취약점을 주기적으로 분석하고 해킹에 대응하는 정기 모의훈련을 끊임없이 해야 한다"며 "아무리 강한 보안이 걸린 방패라 해도 시간이 지나면 그것을 뚫는 창이 나타나기 마련"이라고 강조했다.


choah4586@

이런 일&저런 일

    더보기