계속되는 개인정보 유출로 해커 집단이 막대한 양의 정보를 이미 보유한 상태일 것이란 우려가 나오고 있다. 십수 년 전부터 누적된 개인정보와 신용카드 정보 등이 합쳐져 새로운 위험으로 작용할 수 있다는 지적이다.
16일 정보 보안업계에 따르면 개인정보 유출로 인한 1차적 피해 뿐 아니라, 추가 피해가 우려되는 상황이다.
김성동 SK인포섹 침해사고대응팀장은 "해커가 개인정보를 계속해서 탈취하는 이유는 공격 대상을 특정할 수 있고, 성향을 분석해 악성메일·스미싱 등 사회공학적 해킹으로 상대를 꾀어내는 것이 용이하기 때문"이라며 "개인정보 유출은 그 자체가 피해인 동시에 또 다른 2차 공격을 예고하는 것이기 때문에 주의가 필요하다"고 말했다.
수집된 개인정보를 통해 피해자의 성향에 맞춤형 공격이 가능하다는 설명이다.
일각에선 피해자의 과거 온라인 이력을 통해 새로 만든 비밀번호까지 추정도 가능하다고 했다. 서로 다른 경로로 취합한 특정인의 비밀번호로 새로운 비밀번호를 추정하는 식이다.
일반적으로 한 사용자가 여러 서비스를 이용할 때 같은 비밀번호를 쓰거나, 특정 문자와 숫자를 자주 쓰게 된다. 새로운 서비스 가입할 때도 이전부터 쓰던 문자와 숫자가 쓰일 확률이 높기 때문에 비밀번호의 일부를 알게되면 추정 난이도가 비약적으로 낮아진다는 것이다.
다만 비밀번호를 추정하는 방식은 해커에게도 경제성은 높지 않다.
보안 스타트업을 운영 중인 유창훈 센스톤 대표는 "해커가 계속 특정인의 정보를 수집하다 보면 가공할만 한 패턴이 완성된다"며 "이 방식의 비밀번호 추정은 해커에게도 ROI(투자자본수익률)는 크진 않다"고 말했다.
그러나 사용자의 유출 정보가 누적될수록 직접 피해로 이어질 수 있는 완성된 정보가 될 가능성은 커진다. 우리나라 사람들의 주민번호와 전화번호, 집 주소, 이메일 주소 등 개인정보는 이미 공공재란 웃지 못할 얘기가 나오고 있지만, 탈취를 노리는 범행이 계속되는 것도 비슷한 이유에서다.
이미 유출된 개인정보는 최근 드러난 신용카드 정보 유출과도 연결될 수 있다.
서울지방경찰청 보안수사대는 지난해 6월 은행 전산망을 해킹하기 위해 악성코드를 심으려 한 이모(42)씨의 여죄를 수사하는 과정에서 외장하드 4개를 입수했고, 카드 가맹점의 포스(POS) 단말기를 해킹해 대량의 신용카드 정보를 탈취했다는 사실도 드러났다. 데이터 용량만 61기가바이트(GB)로, 적게는 수십만 명에서 많게는 수천만 명의 개인정보까지도 보관 가능한 수준이다.
일부 신용카드 정보에는 카드번호뿐 아니라 주민등록번호, 신용카드 비밀번호 등이 포함된 것으로 알려졌다. 이 사건에 신용카드 소유자 이름은 발견되지 않았지만, 이미 해커시장에서 통용되는 기존 개인정보와 조합하면 신원이 밝혀지는 것은 시간문제다.
정부의 공인인증서 의무사용 폐지와 함께 간편결제 시장이 부각되면서 개인정보 관리의 중요성이 부각되고 있다. 편리한 만큼 탈취된 개인정보의 활용 가능성이 높기 때문이다.
간편결제가 일반화된 해외에선 카드번호와 집주소, 우편번호 등이 결제에 필요한 핵심 정보로 통한다. 국내에서 발생한 일부 사건만 놓고도 해외 결제에 필요한 정보를 완성할 수 있는 셈이다.
강달천 한국인터넷진흥원 개인정보팀 연구위원은 "사례별로 해커가 갖고 있는 데이터에 따라 위험성이 달라져 개인정보 유출 사고가 실질적인 피해로 이어질지는 확인이 필요하다"며 "그럼에도 해커들이 개인정보를 누적한다면 2·3차 정보 오남용으로 이어질 수 있기에 충분히 우려되는 상황"이라고 말했다.