▲ 중국내 컴퓨터 불법 원격제어 SW를 판매하는 웹사이트 화면

불법 SW는 또 컴퓨터 상의 임의 파일을 읽고 수정하거나 옮기기도 하며 강제로 카메라를 작동시킨다는 것이다. 지난해 중국에서 일어난 유명 인사의 개인 비밀 사진과 동영상 유출 사건들은 이런 불법 SW의 성행과 관계가 없지 않다는 지적이 나온다.

개인정보 유출로 심각한 피해 초래

중국에서도 급증하고 있는 개인 신분정보의 유출은 당사자에게 심각한 피해를 끼치는데, 스팸 메시지나 희롱성 전화 보다 훨씬 피해가 크다.

루이싱은 “국내 불법세력은 네티즌의 신분증의 번호와 복사본, 스캐닝 파일 같은 정보를 악용해 타인 명의를 사칭하고 이동전화 카드나 신용카드를 신청함으로써 피해 당사자에게 금전적 피해를 끼치고 있다”고 밝혔다.

또 “불법세력은 자동차 운전면허증, 운행증 등 정보를 훔쳐 자동차번호를 위조하는 데 악용할 수 있다”며, “이 때문에 자동차의 모든 위법 내용은 정보를 도난당한 차주 쪽에 기록된다”고 덧붙였다.

이와 함께 대량의 데이터 유출은 도난을 당한 기업의 생존에 심각한 영향을 끼치게 된다. 고객 사용자 관련 자료가 유출됐을 경우, 도난 기업은 동종 업계에서 시장 쟁탈 경쟁뿐만 아니라 일반 대중 사이에서 신뢰 추락 위기도 맞게 된다.

사이버 화폐 이익에 의존하는 인터넷 기업의 경우에는 고객 사용자 관련 자료의 도난은 사용자 계좌 안의 사이버 재산이 도용되는 것을 의미한다. 이로 인해 사용자뿐 아니라 해당 인터넷 기업도 커다란 경제적 손실을 입게 된다.

中 개인 비밀 정보 유출 원인

먼저 중국에서 APT 공격과 인터넷 피싱은 정보 유출의 근원이자 주요 공격 유형으로 지목되고 있다.

APT 공격과 인터넷 피싱은 최근 개인 신분정보를 몰래 획득하는 주요 방법으로 꼽힌다. APT는 해커가 기업이나 조직의 내부 정보시스템의 취약점을 악용해 침투한 뒤 여러 공격기법을 써서 민감한 정보를 유출하고 시스템을 무력화하는 공격 유형이다.

루이싱은 “대다수 웹사이트들은 사용자들이 일부 개인 신분정보를 제공하면 부분적인 확장성 서비스를 사용할 수 있게 한다”며 “해커들이 주목하는 목표물은 바로 이런 종류의 정보를 저장한 기업의 서버다”라고 강조했다.

이와 관련, 중국의 해커들은 통상 수일 내지 수 개월 동안 돈을 써가며 공격 대상 서버에 대한 침투를 진행하면서 서버의 시스템 취약점을 찾는다. 이어 해커들은 서버의 통제 권한을 획득한 뒤 데이터베이스 안에 있는 중요한 자료들을 훔쳐간다.

인터넷 피싱의 경우 일부 유명 웹사이트를 모조·사칭해 사용자를 속여 웹사이트 상에 개인정보를 써넣게 한다. 루이싱은 “APT 공격이든 인터넷 피싱이든 모두 많은 개인 신분정보를 얻을 수 있으며 이는 대량의 프라이버시 정보 유출을 초래한다”고 설명했다.

둘째, 중국에서는 제3자 아웃소싱 서비스 업체를 통한 정보유출 위험이 큰데다, 기밀과 연관된 인원의 자질이 들쭉날쭉하다는 점도 개인정보 유출의 원인으로 꼽히고 있다.

최근 중국에서도 ‘종이 없는’ 사무 및 전자정부와 관련된 기술이 점차 성숙하고 있다. 또 사용자의 개인정보는 대량으로 취합돼 공공 사업 관리와 서비스 분야에서 활용되고 있다. 많은 기관과 단체들은 이들 정보시스템의 유지보수 작업을 제3자 아웃소싱 서비스 업체에 맡겨 진행하는 쪽을 택하고 있다.

루이싱은 “하지만 이럴 경우 기관과 기업은 인력과 물자를 절약할 수 있지만 한편으론 사용자 프라이버시 유출의 위험성도 커지게 된다”며 “각종 기업, 기관, 단체의 핵심 데이터베이스는 모두 아웃소싱 서비스 업체의 관리·통제 아래 놓여 있게 된다”고 지적했다.

아울러 지난 수년 동안 중국의 인터넷 기술 발전이 매우 빠르고 시장규모도 급속도로 커진 반면, 관련 업계 종사자의 직업적 소양은 산업 발전 속도에 비해 뒤처져 왔다는 지적도 나온다.

이와 관련 지난해 상하이에서 발생한 대규모 개인정보 유출 사건은 전형적인 사례다. 공안기관 수사 결과, 사건에 연루된 장 모는 현지 정부 위생국의 데이터베이스 유지보수 대행 서비스를 맡은 한 업체의 기술부 부장이었다.

그는 업무 편의를 위해 매달 자신의 집에서 위생국 데이터베이스에 접속했다. 그는 이 과정에서 대량의 사용자 개인정보를 불법적으로 내려 받은 데 이어 다른 사람에게 팔아 넘겼다.

이외에 최근 여러 해 동안 전국 각지의 공안 기관은 개인 프라이버시 침해 행위에 대한 특별 단속 활동을 벌여 혐의자 1,7000여 명을 붙잡았다고 밝혔다. 이에 따라 개인정보와 같은 비밀 내용을 다루는 인원의 직업적 자질·도덕을 제고하는 동시에 기업정보 보안 관리 제도를 구축·강화하는 게 매우 시급하다는 지적이 각계에서 많아지고 있다.

셋째, 중국에서 정보보안 의식이 넓게 퍼져 있지 못한 상황도 개인정보 유출의 또 다른 원인이라고 루이싱정보기술은 지적했다. 중국의 일부 IT 업계 관계자들이 최근 자국내 보안 백신 프로그램의 보급률이 90%를 넘어섰다고 강조하고 있지만 중국내 정보보안 수준은 결코 낙관할 수 없는 상황이라는 게 지배적인 시각이다.

그 중 주요 원인으로는 정보보안 의식이 취약하다는 점이 꼽힌다. 개인 사용자이든 중소기업 사용자이든 일반적으로 정보보안에 대한 정확한 인식이 부족하다는 지적이 나오고 있다.

이 회사는 “개인 사용자들의 경우 보안 백신 프로그램이나 방화벽을 설치하기만 하면 걱정할 게 없다고 여긴다”며 “그러나 최근 여러 해 동안 중국에서 인터넷 피싱은 더욱 심각해졌으며 각종 사기 수단이 계속 생겨나고 있다”고 강조했다.

중국내 많은 기업들의 경우 운영비를 아끼기 위해 무료 개인용 백신 프로그램만을 설치해 사용하고 있다. 그러나 이는 특히 비밀 유지 요구가 높은 일부 기업과 업계에는 매우 위험하다는 지적이다.

루이싱은 “개인용 백신 프로그램은 기업 인트라넷에서 바이러스에 교차 감염되는 문제를 해결할 수 없기 때문에 바이러스의 광범위한 폭증과 ARP 공격 등 중대한 보안 사건을 추적해 위치 확인도 할 수 없다”고 강조했다. 또한 “심지어 간단한 백신 프로그램 업그레이드 조차도 인트라넷 전체에 통일적으로 진행할 수 없다”고 지적했다.

이 회사는 이어 “이런 상황에서 직원들의 규정을 벗어난 한 번의 조작조차도 해커에게 틈을 줄 수 있다”면서 “일단 기업 인트라넷이 외부 침입을 당하면 IT 설비에 저장된 모든 데이터들은 해커에게 유출된다”고 강조했다.

    

     ▲ 중국내 개인 프라이버시 정보를 불법 제공하는 광고성 전자우편과 메신저 QQ

입법 통한 보호가 개인정보 유출 근본 해결의 길

중국에서 지난해 발생한 대규모 개인정보 유출 사건들과 관련, 당국이 인터넷 분야에서 명확한 법률 규정을 마련해 개인정보 수집자와 비밀 취급 관련 인원의 행위를 제약하는 게 필요하다는 의견이 우세하다. 동시에 이를 통해 개인정보를 훔치는 세력에 경고를 보내야 한다는 것이다. 아울러 인터넷 실명제는 피할 수 없는 추세라는 목소리도 높아지고 있다.

중국 IT업계는 “개인 프라이버시 정보를 절취하는 불법세력은 인터넷 상에서 진짜 정보를 등록하지 않는데, 이들은 공안 기관의 감시·통제에 놓여 있지 않다”며 “이 때문에 개인정보 유출 사건이 발생하면 공안 기관은 증거수집과 조사처리에 어려움을 겪게 돼 사건처리의 효율도 크게 떨어진다”고 지적했다.

이런 가운데 중국 의회 격인 전국인민대표대회 상임위원회는 지난해 12월 28일 ‘온라인 정보보호 강화에 관한 결정’을 통과시켰다. 중국 당국이 사회적 초점이 되고 있는 개인정보 유출 문제를 고도 중시하고 있다는 제스처를 보인 것이다. 이 ‘결정’은 무엇보다 개인정보 수집자의 의무들을 명시해 놓았다.

이번 결정이 지난 2월 1일부터 정식 시행에 들어감에 따라 악화일로에 있는 중국내 개인정보 유출 상황과 불법세력에 어떤 영향을 끼칠지 관심이 모아지고 있다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>