명절 기간에 우리 집에 도둑이 들었다. 외출을 하고 돌아와보니 온 집안이 신발자국으로 가득하고 서랍이란 서랍은 온통 열려 있고 그 내용물이 사방으로 던져져 있었다.

걱정마시라. 이런 살풍경에도 난 아무렇지 않았다. 도둑이 들어봤자 훔쳐갈 것이 하나도 없는데 뭐가 걱정이람. 도리어 조마조마한 마음으로 고생했을 도둑을 생각하니 조금 우습기도 하고, 미안하기도 했다.

헉…그런데 이게 웬일? 아파트 경비실에서 방송을 하는데 도둑놈이 아파트 관리실에 보관해 놓은 주민개인정보(주민번호와 주소 등등이 포함된)을 적어간 것으로 추정된다는 것이 아닌가? 아니 적어간 거면 적어간 거고, 안 적어간 거면 안 적어간거 지 ‘적어간 것으로 추정된다’는 소리는 또 뭐란 말인가?

▲ 개인정보 유출에 대한 옥션의 ‘알림’

‘이거 심상치 않은데?’ 급하게 경비실로 뛰어내려가 CCTV를 좀 보여달라고 했다. 도대체 누가 뭘 적어갔는지 알아야 하지 않겠는가? 혹, 우리 집 식구들 정보를 적어 간 거라면 이 정보를 이용해서 뭔가를 하기 전에 예방조치라도 취하지.

도둑 들었는데 경비실은 유유자적

허, 그런데 이 경비실의 행동이 정말 가관이었다. 도둑이 어떻게 들어왔는지, 식구 중 누구누구의 정보를 적어갔는지 알려줄 수도 없을 뿐더러, 도둑 주제에 가져간 정보를 가공할 능력도 없을 테니 아무 문제 없을 거라는 게 아닌가? 걱정하는 날더러 되려 염려 붙들어매고, 정 걱정되면 혹시 모르니 이번 기회에 현관 자물쇠를 바꾸란다.

씩씩거리고 집에 올라오니 식구들은 TV속 불탄 숭례문을 보느라 정신이 없었다. TV에 나오는 사람처럼 눈물콧물 찍어가며 보는 건 아니지만, 여하튼 집에 도둑이 들고 식구들 개인정보가 유출됐는데 넋 놓고 TV를 보고 있는 모습을 보자니 부아가 치밀었다.

누구 말마따나 ‘문화재야 복구하면 그만’(-_-;)이지만, 당장 도둑놈들이 개인정보로 무슨 짓을 할지 모르는 거 아닌가? 이것도 막아야 하지만, 관리를 허술하게 한 경비실한테 손해배상을 구하든 뭐하든 하지 않아야 겠는가?

식구들한테 도둑놈들이 무언가를 적어간 거 아냐 했더니 돌아오는 식구들의 답 ‘우리 집 정보를 적어 갔는지 안 적어 갔는지조차 확실하지 않지 않니?’ 뜨뜻미지근 별 반응이 없다.

우리 집은 1,900만 명이 사는 대단지 아파트인 옥션(www.auction.co.kr) 아파트. 크기로 치면, 아마 옆동네 네이버 아파트, 다음 아파트 다음 가는 아파트일 것이다. 회원수 1천 900만을 자랑하는 오픈마켓 옥션이 2월 5일 자사 홈페이지에 팝업창을 띄우고 해킹으로 인해 회원 개인정보 일부가 유출됐다고 밝혔다. 그게 다다. 그 이후 옥션도, 회원들도 별 다른 움직임이 없다.

이렇게 큰 아파트 관리실에 도둑이 들었고 분명 주민들 전체 정보를 훔쳐간 거 같은데, 관리소야 둘째 치고 어찌 이리 다들 반응이 없는가? 잠재피해범위가 1,900만 명에 이를 정도로 크고, 그 후속 피해 역시 예측할 수 없을 정도로 큰데도 말이다.

1,900만 명의 개인정보!

게다가 경비실은 당시 CCTV를 공개하지도 않고, 어느 어느 집이 피해를 입은지도 공개하지 않고 있다. 얘네가 정확한 피해상황을 알고도 이러는 것이라도 문제고, 모른다면 더더욱 문제다.(아무리 못봐줘도 넘버 5에는 드는 업체가 이렇게 허술하다니!)

옥션의 책임을 짚고 넘어가자면 한 두 가지가 아니다. 먼저, 다들 알듯 주민 정보를 제대로 지키지 못한 잘못이다. 경비가 허술했던 건 숭례문이 다가 아니었다. 소중한 개인정보, 그 중에서도 아주 민감한 인터넷 상거래에 관한 정보를 취급하는 옥션이 이렇게 허무하게 무너지다니 이거 보통 일이 아니다.

두번째, 옥션이 진상을 제대로 안 밝히고 있다. 다음은 옥션에 뜬 공고(?)다. 주의하라, 사과문도 아니고 ‘공고’다.

‘현재까지 파악된 바에 의하면 회원들의 개인정보와 일부 환불정보가 유출된 것으로 추정됩니다. 신용카드 정보와 비밀번호 정보, 실시간 계좌이체 정보는 금번 유출로부터 안전한 것으로 파악되었습니다. … 다만, 비밀번호를 주민번호, 휴대전화번호 등을 조합하여 사용하시는 회원님들께서는 만일의 경우를 대비하여 불편하시더라도 비멀번호를 변경하시는 것이 안전합니다.’

‘개인정보’라는 추상적인 네 글자로 뭉개버린 정보는 과연 무얼까? 위의 사과문(?)에 나타난 단서들을 종합해보건대 일단 ‘신용카드 정보와 비밀번호 정보,실시간 계좌이체 정보’는 아닐 것이다. 비밀번호를 주민번호, 휴대전화 번호 등을 조합하여 사용하는 사람더러 비밀번호를 변경하라 한 걸 봐서는 아이디와 주민번호와 휴대전화 번호가 유출된 것 같다. 아마 이름도 같이 유출됐을 듯하고.

초대형 업체에서 아이디와 주민번호, 휴대전화번호, 그리고 이름이 유출됐다라…. 기름 띠만 없다 뿐이지 태안 기름유출사고 뺨 때리는 수준의 재앙이다. 잘 모르는 내가 당장 떠올려도, 사용처는 매우 무궁무진하다.

1) 인터넷 게임 아이디

게임 아이템 거래 시장의 규모는 대략 1조 정도로 추산되고 있다. 나도 이 얘길 처음 듣고 내 귀를 의심했다. 게다가, 과세근거조차 없는지라 거래를 해도 세금이 절대 붙지 않는다. 가히 황금시장 아닌가?

아이템 거래 시장의 잠재력을 알았는지 최근 대기업들마저 게임 아이템 거래 시장에 속속 진출하고 있다. 2007년 바른손에서 게임 아이템 중개사이트를 열었고, 그 외 엔터테인먼트 관련 회사들에서 게임 아이템 거래 사이트 오픈 내지 합병을 준비하고 있다.

게임 아이템 산업에서 가장 큰 부분을 차지하는 것은 바로 아이템 생산이고, 다른 산업에서도 그러하듯이 중국에서 대부분 이런 아이템을 생산하고 있다. 프로그램 혹은 사람이 인터넷에 접속해서 게임내 몬스터 등을 사냥하고 이때 나오는 아이템을 아이템 거래 사이트에 내다파는 것이다.

하지만, 중국애들한테 게임 아이디를 만드는 데 필요한 한국 사람 주민번호가 있을리 만무하지 않은가? 이 주민번호를 어디서 구하겠는가?

실제로 작년, 인터넷 게임 가입도 아니 한 인터넷 게임 리니지에서 자신의 아이디를 발견한 만 명 가까운 사람들이 리니지를 상대로 손해배상 소송을 진행하기도 하였다. 이 양반들의 아이디를 사용한 곳은 아마도 중국일 것이다.

2) 네이버 광고 아이디

네이버에서는 한 주민번호당 3개의 아이디를 만들 수 있다. 네이버 아이디가 있으면 상업적으로 할 수 있는게 무지하게 많다. 각종 뉴스, 게시물 마다 달려있는 ‘거짓말처럼 30kg 빠졌어요! ‘ ‘시작부터 다 벗고 채팅합니다. 빨간불 닷컴’.

네이버 정책상 광고에 쓰인 아이디는 영구정지다. 따라서 요런 광고를 일삼는 애들한테 다른 사람의 아이디는 귀중한 재화이다. 정지되면 또 다른 이름으로 가입하고, 또 그게 정지되면 또 다른 이름으로 가입해서 꾸준히 ‘거짓말처럼 30kg 빠졌다’는 걸 외치는 거다. 영문도 모른 채, 아이디 명의자는 사이버 사회에서 영영 발언권을 박탈당하는 거고.

첨언하자면, 아이디 도용에 대한 네이버의 입장은 매우 당당하다. ‘상업성 광고글은 내가 한게 아니라 아이디 도용으로 인한 것이니 정지를 풀어달라’ 요청하면, ‘사이버 수사대에 신고해서 명의도용임이 밝혀지면 풀어주겠다’란다. 도용당한 사람이 도용당했다는 사실을 증명해와야 영구정지를 풀어주겠다는 것과 다름 아니다. 갑중의 갑, 네이버.

그 외에도 몰라서 그렇지 용처가 무지하게 많을 것이다. 전화사기, 또 내가 예상치도 못했던 신종 수법들….

3) 대책

옥션은 천하태평이다. ‘현재까지 이와 관련 구체적인 고객 피해 사례는 보고된 바 없습니다.’ 당연하지, 누가 어떤 피해를 당했는지 아는 건 옥션 뿐인데. 옥션이 알려주지 않는 이상 피해자도 자기가 피해를 당했는지 알 수가 없다.

빠져나간 정보가 돌고 돌아 누군가의 손의 들어가서 휴대전화 사기, 가짜 인터넷 게임 아이디 제작 등에 사용된다 해도 이 정보가 옥션에서 나온 것인지 아닌지 아는 것은 거의 불가능 하다.

그리고, 사건이 밝혀진 지 2주가 가까워 오는 지금까지도 별 얘기가 없는 걸로 봐서는 옥션에게 매우 전향적인 조치를 기대하는 것은 무리인 듯하다.

결국 대책은 피해자인 우리가 세워야 한다.(옥션에 가입된 사람이라면 모두 피해자이다)

① 내 주민번호로 가입된 사이트가 뭔지 찾아보고, 내 주민번호를 이용해서 타 사이트에 가입하거나 하는 행위를 막아야 한다. 이러한 서비스를 제공하는 업체로는 마이크레딧, 올크레딧, 크레딧뱅크 등이 있다. 가입하면 현재 가입된 사이트 현황을 알려줄 뿐더러, 앞으로도 주민번호를 이용해서 가입시도를 할 때마다 이를 실시간 문자로 알려준다.

월 1,000원 안팎의 서비스료를 내야 하는 것으로 알고 있는데, 현재 무료이벤트를 하는 곳으로 크레딧뱅크(http://safe.creditbank.co.kr/kbs.html)가 있으니 부지런히 이용하길 바란다. 3월31일까지밖에 못한다.

② 옥션에 대한 손해배상 청구. 당연 손해배상 청구 가능하다. 현재 김현성 변호사가 옥션을 상대로 한 손해배상 소송을 준비하고 있다. 법적조치, 옥션에 대한 손해배상 소송, 기타 조치에 뜻을 같이 할 사람은 옥션 피해자 대책카페(café.naver.com/savename)에 와서 글을 남겨주거나 김현성변호사(016-435-2228)에게 전화를 해주길 바란다.

옥션에 가입된 사람이라면 누구나 성명권, 프라이버시 침해를 이유로 옥션에 대한 손해배상청구를 할 수 있고 승소가능성 역시 높다 판단된다.

옥션이 피해범위를 밝히지 않는 이상 피해자 범위, 손해 범위를 명확히 할 수 없는 문제가 있긴 하나 이에 대한 법적 조치를 현재 검토 중이다.

③  근본적인 해결책. 왜 사이트에 가입할 때마다 주민번호를 넣어야 하나? 아래는 옥션의 개인정보보호취급방침이다. 옥션이 밝히는 주민등록번호를 수집하는 목적은 아래와 같다.

개인정보의 수집목적 및 이용목적
– 성명, 주민등록번호, 아이디, 비밀번호, 본인확인문답 : 서비스이용에 따른 민원사항의 처리, 본인식별, 연령제한 서비스 제공 등

민원사항 처리, 본인식별, 연령제한 서비스 등의 목적 달성은 가입단계에서 하는 실명인증으로 충분하다. 이러한 실명인증은 보통 그 사이트와 계약을 맺은 신용정보회사에서 해주는 것인데, 가입 당시 이런 회사를 통해 한 번만 확인해도 충분하다.

윗 그림은 인터넷 사이트 가입시에 뜨는 일반적인 실명 확인창이다. 하지만, 사이트들이 스스로 밝힌 이용목적에 벗어나게 주민번호를 DB화하여 쌓아놓고 있다는 점이 문제다.

당사는 이용자 개인의 실수나 기본적인 인터넷의 위험성 때문에 일어나는 일들에 대해 책임을 지지 않습니다. 회원 개개인이 본인의 개인정보를 보호하기 위해서 자신의 ID와 비밀번호를 적절하게 관리하고 이에 대한 책임을 져야 합니다.

게다가 인터넷이 좀 위험한가? 스스로 약관에서도 밝히고 있듯이 기본적인 인터넷의 위험성이 있고, 그게 아니더라도 내부 직원에게 유출될 수도 있는 건데, 왜 한 번 확인만 해보고 끝내면 되는 주민번호정보를 DB화하여 쌓아놓는지 모르겠다.

사이트에서, 가입시 관행적으로 주민번호를 요구하는 문제, 그리고 이용한 주민번호를 쌓아놓는 문제에 대해서 문제제기를 해야 한다. 이래저래 당 안팎이 시끄럽지만, 그래도 할 일은 해야 하지 않겠는가? 뜻을 같이 하는 사람들의 의견을 모아봤으면 한다.

대책모임 cafe.naver.com/savename 김현성 변호사 016-435-2228