[디지털데일리 이종현기자] 해킹으로 유출된 개인정보가 해외 웹사이트, 다크웹 등에서 불법 유통되는 일이 비일비재하다.
개인정보보호위원회(이하 개인정보위)와 과학기술정보통신부(이하 과기정통부)는 국내 1362개 웹사이트의 계정정보 2346만건이 해외 불법 개인정보 데이터베이스(DB)에 유출됐음을 확인했다고 밝혔다. 대부분이 중소 규모의 민간 및 공공사이트 정보라는 설명이다.
8일 개인정보위는 과기정통부, 경찰청, 한국인터넷진흥원(KISA) 및 주요 인터넷기업들이 참석한 영상회의를 개최했다. ‘웹사이트 계정정보 유출확인 시스템’ 구축·운영하고 불법 개인정도 데이터베이스(DB)의 탐지·삭제를 강화하는 등의 방안이 논의됐다.
개인정보위는 “발견한 해외 불법 DB에 포함된 계정정보의 진위를 확인 중”이라며 “피해예방을 위해 해당 웹사이트 관리자에 계정정보 유출 여부에 대한 확인을 요청하는 한편 과기정통부와 협력해 주요 기업의 최고정보보호책임자(CISO)에 사이버 공격에 대한 대비를 공지하는 안전조치를 완료했다”고 전했다.
특히 여러 웹사이트에서 동일한 아이디와 패스워드를 사용하는 경우가 많은 만큼 계정정보 유출이 더 큰 피해로 이어질 수 있을 것을 우려했다.
이에 국민이 자신의 웹사이트 계정정보가 유출됐는지 여부를 직접 확인할 수 있는 웹사이트 계정정보 유출확인시스템 구축·운영 계획도 밝혔다.
2021년 이번에 확보한 불법 계정정보 DB와 구글이 인터넷을 통해 확보한 약 40억건의 계정정보 DB 등을 연계하고 2022년부터는 국내 주요 인터넷기업 등과 협력해 웹사이트 계정정보 DB를 확충할 예정이다.
향후 웹사이트 사업자의 자체점검 결과 계정정보 유출사실이 확인될 경우 개인정보위의 공식적인 조사가 진행될 예정이며, 주요 이메일 서비스사에 해당 불법 DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 이번 주 내에 완료할 것을 요청했다.
윤종인 개인정보위 위원장은 “개인정보보호의 통합감독기구로서 개인정보 불법유통에 단호히 대응해 국민의 불안감 해소와 피해 방지를 위해 적극 노력할 것”이라며 “국민께서도 주기적인 비밀번호 변경과 2단계 인증 로그인 등 일상 속 개인정보 보호수칙을 실처해주길 바란다”고 당부했다.
하지만 개인정보위를 비롯한 관계기관의 노력에도 불구하고 다크웹을 통한 개인정보 불법유통을 견제하기는 어렵다는 시각이 지배적이다.
다크웹 특성상 해커를 추적하는 것이 매우 어렵기 때문에 개인정보 유출이 있을 경우 유통·확산을 막기 어렵다. 최근 이랜드그룹을 공격했다고 자처하는 해커조직 클롭(CL0P)이 지난 3일 카드정보 10만건을 공개했는데, 웹사이트 주소만 알면 누구나 열람할 수 있는 상태다.
보안업계 관계자는 “다크웹은 전 세계의 골칫덩이”라며 “다크웹 범죄를 추적·예방할 수 있도록 하는 연구와 지원이 필요하다”고 주문했다.