며칠 전 필자에게 인터파크에서 이-메일이 왔다. 해킹으로 인해서 필자의 개인정보가 유출됐으니 확인하라는 것이었다. 필자는 그 메일을 읽자마자 로그인 하지는 않았다. 왜냐하면, 이런 메일조차도 필자의 아이디와 비밀번호를 알아내려는 가짜 메일일지도 모른다는 의심에서였다. 하지만 오늘 인터넷 포털사이트에 올라오는 기사들을 보니, 인터파크가 해킹당해서 개인정보가 유출된 것이 사실임을 알았다. 그래서 필자도 급히 로그인 해보니 개인정보가 유출됐다고 나왔다. 이번이 몇 번인지 왜 한국의 인터넷 사이트들은 보안 관리가 철저하지 못한지 정말 짜증나고 화가 났다.

언론보도에 의하면 인터파크의 개인정보 유출은 1천만 명이 넘는다고 한다. 이처럼 한국에서의 인터넷 사이트 해킹의 규모는 매우 크다. 한 번 해킹 사건이 터질 때마다 개인정보 유출의 규모가 수백만에서 천만 명에 이른다. 예전 네이트(nate), 옥션(auction) 그리고 KT의 개인정보 유출 규모도 1천만 건이 넘었던 것으로 기억한다. 그밖에도 농협은행과 국민은행, 롯데카드사의 해킹 규모도 매우 컸다. 이런 것을 모두 합치면 총 1억 건이 넘는 개인정보가 유출됐다고 한다.

문제는 이렇게 해킹 사건이 벌어질 때마다 필자가 포함돼 있다는 점이다. 그리고 어떤 경우에는 실명과 함께 주민등록번호도 유출이 됐던 적도 있다. 그래서 필자는 수업 시간에 학생들과 인터넷 실명제에 대해서 토론할 때마다, “선생님의 개인정보는 인류의 자산이에요.”라고 말한다. 하도 해킹 피해를 입어서 유출된 자료만으로도 인터넷 상이나 현실 속에서 필자를 사칭하는 사람이 생겨도 누구나 속을 정도이다.

인터넷 상에서 주민등록번호와 같은 개인정보 수집이 금지된 것도 잦은 인터넷 사이트 해킹 때문이다. 금융사가 해킹됐을 때 피해자로 대통령과 고위 공무원도 포함돼 있었다. 그 전까지만 해도 금융 기관이나 온라인 상거래 사이트 그리고 인터넷 포털 사이트의 경우 가입하려면 주민등록번호 입력을 통한 실명인증을 요구했다. 그리고 이것은 모두 해당 사이트의 서버에 저장되어 있다가 해킹을 통해서 유출됐다.

이런 해킹 사건들은 모두 해당 사이트를 운영하는 회사들의 보안 관리가 철저하지 못해서이다. 연합뉴스에 따르면, 인터파크는 고객 휴대전화번호 등을 서버로 보내는 과정에서 암호화하지 않았고, 고객 계좌번호 34만 개도 암호화 없이 데이터베이스에 저장한 것으로 조사됐다. 또한 직원 컴퓨터에서는 고객 주민등록번호와 여권 번호가 포함된 파일이 암호화되지 않은 채 발견됐다. 개인정보취급자의 컴퓨터도 이-메일과 메신저 사용이 가능했고, 인터넷으로 파일 전송 역시 차단하지 않았다. 예전 한 금융사의 해킹도, 직원이 컴퓨터에서 인터넷 무료 백신을 업데이트 하는 과정에서 해킹 프로그램이 설치되었기 때문이다. 해커가 가짜 백신 업데이트 파일을 보냈고, 직원이 그것을 설치하면서 보안이 뚫린 것이다.

인터파크를 해킹한 범인들은 이 회사에 이메일을 보내서 30억 상당의 비트코인을 대가로 요구했다고 한다. 이처럼 범인들이 금전 획득을 목적으로 범행을 저지른 것을 명백히 하고 있는 만큼, 자기들이 요구하는 돈을 획득하지 못할 경우, 이 정보들을 다른 범죄 조직에 팔 수 있다. 전문가들은 이로 인해서 보이스 피싱과 같은 2차, 3차의 범죄로 악용될 수 있다고 말한다.

다른 나라에서는 잘 일어나지 않는 대형 해킹 사건이 한국에서는 왜 자꾸 일어나는지 정말 의문이 든다. 특히 주민등록번호를 포함한 중요한 개인정보를 구체적으로 요구하는 사이트들은 대부분은 금전거래와 관련된 사이트들이다. 만약 해킹 당했을 때, 고객들에게 직접적인 피해가 갈 수도 있고, 회사에도 손해를 준다. 이렇게 피해가 큰 데도 인터넷 사이트를 운용하는 기업들이 개인정보 보안 관리를 허술하게 하는 이유가 정말 궁금하다.