경향신문

읽음

유출된 개인정보… 혹독한 자기책임

2014.04.13 20:47
오길영 | 신경대 교수·정보통신법학

아직도 얼떨떨하다. 나에게 이런 일이 발생했다는 것도 믿기 어렵고, 범행을 위해 이토록 치밀한 시나리오를 구성했다는 것에 놀랐으며, 가히 영화에나 나올 법한 범인들의 컴퓨터 실력에 공포스럽기까지 하다. 지금 나에게 의심이 필요 없는 유일한 사실은, 보이스피싱(전화금융사기)에 속아 힘든 하루하루를 보내고 있는 아내의 고통스러운 현실뿐이다. 지난번 카드사 정보유출 대란에 즈음하여 해당 금융사는 “유출된 정보로 인해 손해가 발생할 경우 보상하겠다”고 밝혔다. 문제의 핵심은 그 입증을 누가, 어떻게 해야 하는가 하는 점이다.

[시론]유출된 개인정보… 혹독한 자기책임

얼마전 필자의 아내는 ‘눈 뜨고도 뻔히’ 전화금융사기를 당했다. 범인들은 ‘명의도용방지서비스’를 제공하는 사이트로 안내, 우리 부부의 주요 ‘카드거래 사용지역’을 가공한 것으로 판단되는 정보를 ‘주민등록번호가 도용된 지역’이라고 ‘전국지도’를 보여주며 사기극의 신빙성을 높였다. 유출된 정보가 철저하게 준비된 시나리오 속에 녹아있었던 것이다.

상황이 이러함에도 운이 좋아 범인이 잡히고 이 사실을 자백하는 기적 같은 행운이 오지 않는다면, 카드사가 말한 입증을 대체 어떻게 할 수 있을지 의문이다. 가공된 유출정보는 당시 컴퓨터 메모리에 머물다 곧 사라졌기 때문이다.

그나저나 ‘유출은 금융사가 했는데 입증책임은 왜 피해자에게 있는 것인가?’ 지난 11일 보도에 의하면, 금융사기 피해자가 ‘계좌번호, 비밀번호, OTP번호’ 등을 불러준 것이 ‘결정적인 실책’이라는 거래은행의 입장표명이 있었다. 그렇다. 금융사기 피해자인 필자의 아내 또한 중요한 정보를 유출하였다. 그런데 여기서 한 가지 꼭 짚어봐야 할 점이 있다. 왜? ‘금융사가 유출하면 입증이 없는 한 면책이고, 사용자, 즉 피해자가 유출하면 무조건 자기책임인 것인가?’

한편 범행수법으로 추정되는 ‘파밍’의 수준 또한 문제이다. 통상 ‘파밍’은 악성코드에 감염된 컴퓨터의 사용자가 정상적인 사이트 주소를 입력해도 ‘가짜사이트’에 도달하게 하는 기술이다. 이 경우 사용자가 원했던 ‘정상사이트’에는 그 접속기록이 남아 있을 수 없다. 그러나 이번 사건에서는 ‘명의도용방지서비스’ 사이트의 서버기록에 필자 아내의 접속 사실이 분명히 존재한다. 접속 후 문제의 ‘전국지도’와 그 하단의 ‘표’를 살핀 기록이 해당 사이트 ‘서버’와 아내의 ‘컴퓨터’ 양쪽에 존재한다.

그렇다면 경황이 없던 필자의 아내가 혹시 착각하는 것은 아닐까? 그럴 가능성은 매우 낮다. 왜냐하면 명의도용 장소라며 ‘강조 색깔’로 표시된 ‘전국지도상의 해당 도시’와 그 지도 하단의 ‘표 색깔’ 등이 지금의 ‘정상사이트’와는 완전히 달랐다는 아내의 진술에서 보듯, ‘색깔’과 ‘그림’으로 쉬이 구별 가능한 정보에 대해 매우 선명한 기억을 가지고 있기 때문이다. 결국 추정해볼 수 있는 당시의 상황은 ‘정상사이트’에 접속 중임에도 준비된 ‘가짜화면’을 보았다는 것인데, 그야말로 보안 전공자인 나 또한 놀랍다.

이러한 기술이 존재하는가? 그렇다고 한다. 이 정도라면 현재로선 속수무책 아니겠는가? 정상적인 로그인을 통해 ‘정상사이트’에 접속하고 있는 도중에 ‘가짜사이트’를 만나게 되는데, 사용자가 무슨 수로 ‘클릭의 매 순간’에 진위 여부를 판단할 수 있겠는가? 이러한 ‘파밍’을 두고 금융당국은 무슨 배포로 인터넷 뱅킹을 지속하고 있는지 의문이 아닐 수 없다. 그냥 각자 잘 알아서 하라는 것인가?

현실이 그러하다. 추가 피해를 막기 위해 이번 사건의 ‘피싱’ 번호인 ‘1566-8962’를 금감원에 신고했으나, ‘이럴 경우 금감원은 경찰에다 신고를 전해주는 역할만’을 한다고 하고, 경찰 또한 여력이 없어 필자가 직접 ‘디지털 포렌식’을 진행하고 있다. 참으로 혹독한 자기책임이 아닐 수 없다.

추천기사

바로가기 링크 설명

화제의 추천 정보

    오늘의 인기 정보

      이 시각 포토 정보

      내 뉴스플리에 저장