내부자가 이용자 거래정보 빼내 팔아 넘겨

[보안뉴스 온기홍=중국 베이징] 중국 최대의 온라인 결제 대행 사이트에서 내부자에 의한 정보 유출 사고가 발생한 사실이 최근 뒤늦게 밝혀졌다. 불법 세력은 결제 사이트 이용자의 거래 정보를 전자상거래와 데이터 관련 회사 등에 팔아 이득을 챙긴 것으로 드러났다.

중국 내 유명 온라인 결제 서비스 사이트인 즈푸바오(Alipay.com)의 발표와 언론 보도를 종합하면 즈푸바오의 전직 기술담당 직원 리밍은 2010년 자사 시스템에서 여러 차례에 걸쳐 이용자 정보를 몰래 내려 받아 팔아 넘겼다.

리밍이 유출한 정보의 용량은 20GB에 달하는 것으로 밝혀졌다. 그는 다른 IT전문가 2명과 함께 이용자 데이터에 대한 분석·추출 작업을 진행한 뒤 전자상거래·데이터 관련 회사 등에 판매한 것으로 밝혀졌다.

즈푸바오 쪽은 지난 5일 자사 공식 웨이보어와 언론을 통해 “이번 이용자 정보 유출 사안은(즈푸바오의 모회사로 중국 최대 전자상거래 회사인) 아리바바(Alibaba) 청렴부가 2012년 실시한 내부 감사 때 전직 직원 리밍이 데이터 처리 상에서 저지른 부당 행위를 발견한 것과 관련 있다”며 “내부 조사 후 리밍을 항저우의 공안기관에 고발했다”고 밝혔다.

유출 정보의 내용과 관련, 즈푸바오는 “주로 고객들의 일부 거래 기록”이라고 확인했다. 중국 언론매체들의 보도에 따르면, 유출된 정보에는 이용자의 실명, 이동전화 번호, 전자우편, 집 주소, 소비 기록 등이 담겨 있다.

이에 대해 즈푸바오는 “전직 직원 리밍이 훔쳐 판매한 데이터는 2010년 전의 것으로 비밀번호를 포함하고 있지 않은데다, 핵심 신분정보가 들어있지 않고 민감하지 않은 거래 내용이며 이용자 프라이버시와 안전에 관련돼 있지 않다”고 해명했다.

즈푸바오는 또 “신분증 정보, 카드 번호, 비밀번호 등 민감한 데이터에 대해서는 모두 암호화 기술 처리를 했으며, 이번 사건 전이나 후로도 어떤 사람도 이를 손에 넣을 수가 없었다”고 강조했다.

이런 가운데 항저우 공안 기관은 지난해 11월 27일, 리밍으로부터 즈푸바오 이용자 정보를 구입한 장쟨을 ‘불법 공민 개인정보 획득죄’ 혐의로 체포했다. 항저우 소재 전자상거래 회사에서 브랜드 마케팅과 홍보 업무를 맡아온 장쟨은 리밍에게 500위안을 주고 3만 건의 즈푸바오 이용자 정보를 산 것으로 드러났다. 장쟨이 손에 넣은 즈푸바오 이용자 자료에는 개인의 실명, 이동전화 번호, 전자우편, 집 주소, 소비 기록 등이 포함돼 있다.

또한 즈푸바오에서 유출된 정보는 중국의 유명 온라인 의류 패션 회사 ‘판커청핀’(VANCL.com)에도 판매됐다고 중국 언론들이 리밍 일당을 인용해 전했다. 판커가 리밍 일당으로부터 즈푸바오 이용자 자료 1,000만 건을 샀다는 것.

판커 쪽은 공식 발표를 통해 이런 사실을 부인했다. 판커의 부사장은 중국 언론을 통해 “이 사건에 대해 잘 알지 못하며, 들어본 적이 없다”고 강조했다.

즈푸바오 모회사인 아리바바 내부에서는 이번 고객 정보 유출 사건을 둘러싸고 관리 상의 문제를 지적하는 목소리가 나오고 있다. 아리바바의 한 관계자는 중국 언론매체에 “아리바바 산하 여러 회사 내에서 직원들의 보안 등급이 다르고 권한도 다르다”며 “리밍처럼 직원이 대량으로 이용자 자료를 내려 받는 행위가 곧바로 감독·통제되지 못하고 3년이 지난 후에서야 발견된 점을 이해할 수 없다”며 관리 상의 문제를 지적했다.

앞서 지난해 11월에는 중국 최대 인터넷 메신저인 ‘QQ’와 중국판 카카오톡인 웨이신의 이용자 자료 정보를 판다는 글들이 유명 온라인 쇼핑몰 타오바오 사이트에 올라오기도 했다. 판매자는 해당 정보가 90GB 규모에 달하고, 8,000만개 웨이신 그룹과 15억 QQ 이용자 자료를 담고 있다고 밝혔다. 또 QQ 이용자들을 업종, 산업, 연령, 성별로 분류해 놓았고, 성명·연령·SNS 사이트 내용·경력 등을 조회할 수 있다고 덧붙였다.

이에 QQ 서비스회사인 텅쉰은 11월 21일 발표를 통해 이용자 자료 유출은 2011년에 발생한 문제이며, 당시 보안 업그레이드를 진행했다고 해명했다. 중국 최대 온라인 쇼핑몰인 타오바오망은 텅쉰의 요청을 받고서 자체 웹사이트에서 해당 자료의 판매 정보를 폐쇄시켰다.

中 전자상거래 고객 정보 유출·거래의 ‘검은 사슬’

중국전자기업협회 정보화촉진발전센터장인 린한 주임은 “이용자 정보 절취와 판매는 하나의 ‘산업사슬’이 됐을 뿐 아니라, 시장 수요도 크다”며 “활용 가치가 비교적 크고 정확성이 높은 이용자 정보 경우 건당 수십 위안에 판매되기도 한다”고 밝혔다.

그는 “유출되는 개인 고객의 이름·연령·성별·연락처들은 스팸 메일과 전화 마케팅에 사용되고, 소비 기록 같은 업무성 정보는 데이터 분석·가공 작업을 거쳐 정확도 높은 마케팅에 이용돼 더욱 많은 상업적 응용 가치를 갖는다”고 설명했다.

린한 주임은 또 “일부 정보 판매 조직들은 기업 같은 운영 방식을 갖추고 온라인 상에서 호적·주택·차량 등 개인정보를 구매해 타인에게 혼인·채권 추심·이동전화 위치확인 같은 서비스를 제공해 불법 이득을 거두고 있다”고 말했다.

중국의 한 인터넷 담당 경찰은 중국 경제지인 경제관찰보와 인터뷰에서 “전자상거래 영역에서는 고객 자료를 사고 파는 흑색 산업사슬이 분명히 존재한다”며 “이런 산업사슬은 주로 전자상거래가 발달한 항저우, 상하이, 선전 등지에 집중돼 있다”고 밝혔다.

그는 “정교하게 분석한 데이터 파일은 많게는 백 만 위안을 넘는다”면서 “일부 구매자들은 경쟁사의 모든 이용자 자료를 사들이기도 하고, 일부는 자료를 사기에 악용하거나 고객에 광고를 발송하는데 쓰기도 한다”고 덧붙였다. 

온라인 쇼핑몰 타오바오 상에서 여러 브랜드의 마케팅을 대행해 온 쉬웨이는 “데이터는 전자상거래에서 매우 중요하다”고 전제하고 “일정 규모 이상의 전자상거래 회사들은 고객 마케팅에 활용하고 경쟁사를 파악하기 위해 ‘정보통’ 같은 DB 분석 소프트웨어를 1년 간 5만 위안의 이용료를 내고 쓰고 있지만, 이들 소프트웨어도 소비자의 상세한 개인정보 자료에는 미치지 못한다”며 전자상거래 분야에서 개인정보 자료가 불법 매매되는 이유를 설명했다.

상하이 소재 회사가 개발한 DB 분석 소프트웨어 ‘정보통’의 경우, 유명 온라인 쇼핑몰 내 경쟁사의 광고·키워드 내용과 효과 분석, 업계·점포 분석, 구매자 검색 등을 진행한다.

저쟝대학 신문방송학부 온라인커뮤니케이션 부문의 왕카이 교수는 “중국 법률에서 개인의 프라이버시 권리에 대한 보호는 여전히 취약한 편이고, 개인 프라이버시를 논할 때 명예권과 함께 언급되고 있다”며 “하지만 전자상거래가 급속도로 발전하는 상황에서 프라이버시 권리는 일종의 재산권과 정신적 재산이 됐고, 특히 소비 관련 프라이버시는 더욱 그러하다”고 강조했다.

왕카이 교수는 “전자상거래 분야에서 이용자 자료 유출 사건을 방지하기 위해 기업의 윤리 교육과 내부 감독 통제 강화 외에, 정부는 시대의 새로운 변화에 발맞춰 관련 법규를 내놓고 온라인 프라이버시에 대해 명확한 범주를 정하며, 나아가 온라인에서 개인 프라이버시를 획득·공개·매매하는 범죄 행태에 대한 단속을 강화해야 한다”고 강조했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>