대규모 개인정보 불법 유출 사건 잇따라 발생!

[보안뉴스 온기홍=중국 베이징] “우리는 정부 기관이 위탁한 OO회사입니다. 만일 OO 브랜드의 승용차를 갖고 있다면, 저희 회사에 와서 설문조사에 응해 주시길 바랍니다. 200위안 상당의 주유카드를 드립니다.”

이는 얼마 전 베이징에 거주하는 한 기자(남·30)가 받은 이동전화 문자의 내용이다. 그는 “자동차뿐 아니라 부동산, 대출 관련 홍보성 문자를 자주 받는다”고 전했다. 그는 “최근 부동산·차량 매매, 보험 홍보, 금융 대출, 물품 판매, 신용카드 가입 권유, 상가 판매, 각종 티켓 대리 구매, 세금환불 대리 처리, 유학 소개 따위의 갖가지 내용이 담긴 이동전화 문자메시지가 홍수를 이루고 있다”고 말했다. 

베이징 중관촌에 있는 한 정보기술 회사에 다니는 리웨이(남·28)는 “사흘에 한 번 꼴로 이동전화로 갖가지 홍보성 문자를 받고 있다”며 “한 두 군데도 아니고 어떻게 내 이동전화 번호를 알아내서 이 같은 문자를 보내는지 모르겠다”고 말했다. 이 같은 문자를 받기는 중국에 거주하는 한국인을 포함한 외국인들도 예외가 아니다.

최근 중국에서 개인정보가 줄줄 새고 있어 큰 사회 문제가 되고 있다. 인터넷의 실시간 채팅 사이트와 사회관계성서비스(SNS)사이트, 게시판에는 갖가지 데이터가 담긴 개인정보를 사고 판다는 내용까지 버젓이 오르고 있다. 거래 정보의 규모와 종류도 크게 늘어나고 있다.

이에 따라 올해 들어 인터넷 등에서 다른 사람의 개인정보를 불법적으로 빼내 이용하거나 판매하는 사건들이 지역별로 ‘처음’이라는 수식어를 달고 잇따라 터져 나오고 있다. 동시에 개인정보를 불법 획득하는 경로와 수법도 갈수록 다양해지고 있다. 이에 대해 중국 정부는 최근 개인정보를 불법 유출·획득·이용하는 행위에 대한 단속과 처벌 강도를 높이고 있다.

◇사례1 = 중국 상하이 푸동신구 법원은 8월 6일 3000여 만 명의 개인정보를 불법 획득한 저우 모 등 일당 10명에 대해 1심에서 징역형(2년)과 벌금형(4만 위안)을 선고했다.

저우 모 등은 2005년 상하이에 타이멍정보기술 이라는 회사를 세운 뒤 인터넷에서 기업정보, 경영 관리자 인명록, 신분증 번호, 이동전화 번호, 건물주 정보, 차량 소유주 정보, 은행계좌 번호와 주소 등 개인정보 자료를 빼낸 뒤 다른 사람들에게 팔아 온 것으로 드러났다. 이들 중 몇몇은 지난해 3월부터 인터넷에서 ‘상하이 OK 정보’, ‘상하이 이통 정보’라는 이름으로 주식투자자, 차량 소유자, 부동사 소유자 등의 개인정보 98만 여건을 사고 팔았고, 3248만 여건을 불법 획득했다. 개인 정보를 사고 파는 웹사이트를 만들기도 했다.

이들 중 일부는 또 인재모집회사에 들어가 근무하는 동안 고객정보를 복제했다. 일단 인터넷에서 고액 연봉의 인재를 모집한다는 허위 광고를 낸 뒤, 구직자들이 제출한 개인 이력서를 빼냈다. 이들은 이를 통해 24만 여건의 개인정보를 획득했으며, 개인 이력서 1건당 1~5마오(17~85원)을 받고 팔았다.

이들 일당은 정보를 사려는 사람들과 중국 최대 온라인 메신저 프로그램인 ‘QQ’와 MSN 등에서 연락을 주고 받았고 대량의 개인정보를 CD에 담아 팔았다. 이들은 이를 통해 2005년부터 최근까지 200만 위안을 벌었다.

◇사례2 = 지난달에는 지방정부 기관의 근무자가 개인정보를 유출한 사건이 발생했다. 지난 7월 22일, 쓰촨성, 저쟝성의 경찰 협력관 2명은 공안 내부 컴퓨터 네트워크 상에서 155만 건의 차주 정보를 내려 받아 다른 사람에게 팔아 넘긴 혐의로 붙잡혔다. 저쟝성 창난 시앤 법원은 개인정보를 불법 획득한 혐의로 이들에게 징역형 2년, 벌금형(2만 위안)을 선고했다.

이번에 붙잡힌 경찰 협력관 졍 모는 차주 정보 한 건당 5펀(0.9원)을 받고 마오 모에게 팔아 넘겼다. 마오 모는 이들 정보를 0.15 위안(2.5원)에 다시 쳔 모에게 팔아 6.5만 위안을 챙겼다. 경찰 당국은 “개인정보 유출과 판매의 사슬에서 가장 많은 이익을 챙기는 것은 ‘최초 유출자’이 아니라 ‘중간상’인 것으로 드러났다”고 분석했다.

경찰 당국은 이동전화 가입자, 은행 고객, 병원 환자, 건물 업주 등의 개인정보를 최초 유출하는 자들을 찾기 위해 노력하고 있으나, 대부분의 정보는 ‘정보 판매 상인’들이 반복적으로 팔고 있어서 최초 누설자를 찾는 게 매우 어렵다”고 밝히고 있다.

◇사례3 = 지난 6월 베이징에서는 개인정보 불법 획득 처벌 조항을 새로 추가한 ‘형법 수정안(7)’이 2월말 시행된 이후 처음으로 개인정보 불법 판매 사건이 발생했다. 지난 3월까지 ‘베이징시 민항 안러 택시회사’에서 통계원으로 일했던 저우광진은 공항버스 탑승자 2060여 명의 개인정보를 빼냈다.

여기에는 이름, 성별, 직원 번호, 소속 부서, 주소, 증명서 번호 등을 담겨 있다. 간쉐빈과 리샤오천은 저우광진에게서 이들 개인정보를 2만 여 위안에 구매한 뒤 공항버스 탑승증 3494장을 위조해 1장당 150위안에 팔아 52만 위안을 챙겼다. 베이징시 차오양구 법원은 6월 12일 간쉐빈과 리샤오천에게 징역 3년형과 110만 위안의 벌금형을, 저우 모에게는 징역 1년, 집행유예 1년을 선고했다.

◇사례4 = 지난 5월 후베이성 우한(武?)시에서는 ‘형법 수정안(7)’ 시행 이후 처음으로 개인정보 불법 획득 사건이 터졌다. 우한시에 있는 ‘웨스리 정보자문(컨설팅)회사’의 대표인 뤄 모는 불법적으로 수집한 타인의 정보를 판매했다.

이 사건을 계기로 정보자문 업계에 대한 개인정보 보호 규범 마련이 시급하다고 지적이 나오고 있다. 현재 무한시에는 20여 개의 ‘정보자문회사’가 있고 5천명 가량이 종사하고 있다. 무한시의 검찰 조사에 따르면, 정보자문업계 종사자들은 다른 사람의 전화 명세서를 조사하는 것을 비롯해 미행, 녹화, 녹음, 전화 위치 파악, 신분 사칭 등 비합법적인 수단을 쓰고 있다.

공안부는 1993년 ‘’개인정탐소’(흥신소) 성격의 민간 기구 설립 금지에 관한 통지’를 발표, ‘개인 정탐’을 불허했지만, 그 뒤 일부 회사들은 ‘정보자문회사’나 ‘조사회사’라는 이름으로 간판을 바꿔 달고 ‘개인 정탐’ 영업을 하고 있다. 이에 대해 공안부는 ‘정보자문회사’와 유사한 기업에 대해 규범화한다는 방침이다.

◇사례5 = 난징시 쟨예취 검찰은 지난 3월 난징시에서 ‘펑중망’이라는 웹사이트를 개설해 대량의 개인정보를 사고 판 젼 모를 검거했다. 경찰이 압수한 젼 모의 컴퓨터에는 차량 소유자, 항공사 VIP 회원, 골프장 회원, 병원 환자, 기업체 대표, 건물 입주자, 이동전화 가입자, 은행 고객 등의 명단이 대량으로 들어 있었다. 이들 개인정보는 20여 만개 폴더에 나눠 저장돼 있었다. 대학을 졸업한 지 얼마 안 된 젼 모는 중국내 유명 인터넷 검색 사이트 ‘바이두(百度)’에 3000 위안을 주고 자신의 웹사이트를 상위에 올려 놓게 하고 개인정보들을 팔았다.

젼 모가 개인정보를 획득한 방법은 다양하다. 먼저 자신이 직접 개인정보 획득에 나섰다. 그는 몇 대의 컴퓨터에 소프트웨어 설치, 중국내 유명 전자상거래 사이트 ‘아리바바, ‘훼이총’ 등에서 기업 명단을 수집했다. 그는 또 팩스 번호, 회원 데이터, 기업체 대표의 이동전화 번호, 은행 데이터, 건물 정보 등도 인터넷에서 내려 받았다.

아울러 그는 다른 사람과의 교환을 통해 개인정보를 불법 획득하기도 했다. 그는 자신이 개설한 ‘펑중망’ 사이트에서 ‘정보 상인’들과 접촉했다. 이들 사이의 데이터 교환은 실시간 채팅 사이트인 ‘QQ’ 상에서 이뤄졌다. 난징에 있는 한 과학기술업체의 대표는 ‘QQ’상에서 젼 모를 만나 200 위안을 주고 4만 건의 기업체 대표 이동전화 번호를 샀다.

젼 모는 돈을 주고 개인정보를 불법 획득하기도 했다. 그는 300 위안을 주고 10여개 건물 입주자의 정보를 샀다. 이밖에 그는 타인들의 개인정보를 몰래 훔치기도 했다. 그는 이렇게 불법 획득한 개인정보들을 팔아 지난해 3월부터 올해 초까지 4만 위안을 챙겼다.

◆”중국내 인재모집사이트, 개인정보 많이 유출” = 중국에서 인력채용 사이트는 개인정보가 가장 쉽게 유출, 누설되는 곳 가운데 하나로 꼽히고 있다. ‘중국소프트웨어 테스팅센터(China Software Testing Center)’가 지난 3월 15일 발표한 ‘2009년 중국 웹사이트 개인정보 보호 검측·평가 보고’에 따르면, 인터넷 사이트 영역에서는 개인정보 보호와 관련한 법규와 관리 기구가 부족하며, 주로 기업과 업계 자율적으로 개인정보를 보호하고 있는 것으로 나타났다.

센터는 e비즈니스, 인력채용, 결혼·연애, 게임 등 4분야의 62개 웹사이트를 골라 개인정보 보호와 관련한 보호정책, 당사자 권리, 안전보장, 정보수집, 정보사용 정도를 평가했다. 평가 결과, 인력채용 사이트의 개인정보 보호 정도가 가장 약한 것으로 나타났다. 인력채용 사이트의 경우 운영회사가 계정과 비밀번호 입력해 사이트에 들어간 뒤 ‘접수된 이력서’ 항목을 누르면 구직자들이 보낸 이력서를 볼 수 있게 돼 있다. 이력서에는 신분증 번호를 비롯해 이름, 전화번호, 전자우편, 전공, 경력, 취미, 애호 등이 들어 있다. 문제는 이들 이력서가 유료로 다른 회사나 단체에 넘겨지면서 대량의 개인정보가 누설되고 있다는 데 있다.

지난 7월 중국인민대학을 졸업한 쟝차오(남)은 “구직자들은 좋은 직업 기회를 놓치지 않기 위해 인력채용 사이트에서 개인 이력을 매우 상세하게 기입한다”며 “하지만 일부 인력채용 사이트의 경우 신장과 체중, 부모 이름과 근무지, 집 주소 등까지 제공할 것을 요구하고 있다”고 말했다. 그는 “일부 교우들은 여러 군데서 각종 마케팅,홍보성 전화를 받고 있다”며 “인력채용 사이트에 들어가 일부 정보를 취소했지만, 얼마나 많은 개인정보가 이미 새어 나갔는지 모르겠다”며 우려했다.

◆“웹사이트의 개인정보 유출 면책 범위 너무 넓어” = ‘중국소프트웨어 테스팅 센터’의 이번 평가의 결과에 따르면, 현재 중국내 e비즈니스, 인력채용, 결혼, 연애, 게임 관련 웹사이트 가운데 다수는 개인정보의 수집 범위와 방식을 비교적 중시하고 데이터의 정확성과 웹사이트의 안전성을 보장하고 있는 것으로 나타났다. 하지만 대부분의 경우 개인정보 보호와 관련한 규정을 갖고 있지 않는 등의 문제점도 드러났다.

먼저 대다수 웹사이트들은 수집한 개인정보의 내용과 용도를 명확하게 설명하지 않고 있다. 또 일부 웹사이트들은 과다하고 불필요한 정보를 수집하는 한편, 본인의 동의 없이 임의로 개인정보를 다른 곳에 옮기고 공개한 것으로 드러났다. 동시에 일부 웹사이트는 안전한 기술방식을 이용하지 않은 채 개인정보를 다른 곳에 전송하고 있는 것으로 나타났다.

특히 일부 웹사이트들의 개인정보 유출 등과 관련한 면책 조항이 너무 광범위하고 당사자의 권익을 고려하지 않고 있다고 센터는 지적했다. 예컨대 웹사이트들의 서비스 조항 중에는 ‘부주의로 인한 개인정보 누락과 착오에 대해 개선하지 않을 의무가 있다’는 문구가 들어 있다. 심지어 일부 웹사이트들은 ‘이용자가 웹사이트에 제출한 정보 또는 작품과 기술을 이용·복제·수정·각색·발표·번역·전달·집행·전시하고 이들 정보를 다른 작품 안에 포함시킬 권리(전부 또는 일부)가 있다’고 까지 표시해 놓고 있다.

일부 웹사이트는 또 이용자가 제때 회비를 납부하지 않았다는 이유로 당사자의 동의 없이 이름과 전화번호, 근무회사, 주소 등을 웹사이트 상에 공개한 일이 발생하기도 했다. 한 유명 SNS사이트의 경우 이용자에게 MSN 비밀번호를 의무적으로 입력하도록 요구하고 있다. 이 때문에 많은 네티즌들이 MSN에서 모르는 사람들로부터 ‘친구 초청 메시지’를 받고 있다.

◆ 중국 정부, 개인정보 보호 관련 법규 잇따라 제정 = 중국 정부는 지난 2월 28일 개인정보 불법 획득에 대한 처벌 내용을 새로 추가한 ‘중화인민공화국 형법 수정안 (7)’을 공포하고 시행에 들어갔다. 형법 수정안 제253조에 추가된 1조항은 ‘국가기관 또는 금융·통신·교통·교육·의료 등 단위(기관·기업)에 근무하는 사람은 해당 단위가 서비스를 제공하는 과정에서 획득한 공민 개인정보를 국가 규정을 위반해 다른 사람에게 판매하거나 불법적으로 제공할 경우 3년 이하의 징역형이나 구금, 벌금형에 처한다. 또한 개인정보를 절취하거나 다른 방법으로 불법 획득할 경우 관련 조항의 규정에 의거해 처벌한다”고 명시하고 있다.

이밖에 저쟝성 인민대표대회는 7월 26일 ‘저쟝성 정보화 촉진 조례(초안)’를 심의했다. 이 ‘조례’는 금융, 보험, 통신, 수도, 전기, 가스, 병원, 부동산 중개, 건물관리 분야 기관·기업은 서비스 제공 과정에서 획득한 공민, 법인, 기타 조직의 정보를 판매하거나 타인에게 불법 제공해서는 안 된다고 규정하고 있다. 위반 시에는 ‘민법 통칙’, ‘침권 책임법’ 등 법률과 행정 법규 규정에 근거해 민사 책임을 추궁하거나 ‘형법’ 상관 규정에 근거해 형사 책임을 물기로 했다.

하지만 중국에서는 아직까지 전문적인 개인정보 보호법이 없는 상황이다. 중국 공산당 기관지인 인민일보는 최근 보도에서 “중국에서 개인정보 안전 보호는 법률 영역에 있지만, 황폐한 지대에 머물러 있다”고 지적했다. ‘중화인민공화국 형법 수정안(7)’, ‘중화인민공화국 통계법’, ‘인터넷 전자우편 서비스 관리 방법’ 등의 일부 법률·법규 가운데 개별 조항에서만 개인정보 보호를 다루고 있다는 지적이다.

이와 관련, 중국에서는 지난 2003년 ‘개인정보 보호법’ 전문가 건의안이 나온 뒤 2005년 초보 완성된 데 이어 2008년 ‘개인정보보호법’ 초안이 국무원에 제출됐다.

‘중국 소프트웨어 테스팅센터’의 부주임 가오츠양은 “‘개인정보 보호법’을 빨리 시행해야 한다”며 “개인정보 처리 과정 중에 정보 주체는 어떤 권리를 갖게 되는가, 수집한 정보를 어떻게 보관할 것인가, 개인정보를 남용하는 정보 처리 단체와 인원을 어떻게 처벌할 것인가, 어느 기구에서 법 집행을 책임질 것인가 등은 개인정보를 유효하게 보호하고 법률을 마련하는 데 있어 중요한 부분이다”고 강조했다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

 
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>