[비즈니스포스트] 기업이나 정부기관의 통신망이나 전산시스템이 해킹을 당해 개인정보가 대량 유출된 것으로 드러나 사회적으로 시끄러워질 때마다 꼭 불거지는 게 있다.

바로 '북한 소행설' 내지 '중국 배후설'이다. '러시아 해커조직 소행설'도 가끔 불거지지만 잦지는 않다.

익명의 정부 당국자 내지 보안 업계 전문가의 정황 발언을 근거로 삼는다.

해킹 사태 조사가 막 시작된 단계에서 '설'이 불거지고, 이런 경우 해커 추적 결과가 끝내 공표되지 않는다는 공통점도 있다. 기자로써 한국인터넷진흥원과 과학기술정보통신부 내지 민관합동조사단이나 경찰 쪽에 물어보면, 처음에는 '조사 중이라 말할 수 없다'고 하다가 시간이 지나면 '확인해줄 수 없다'고 하고, 시간이 더 지나면 '언제 적 얘기를 물어보냐'고 일축한다.

쿠팡 이용자 3370만 명의 이름·전화번호·집주소 같은 개인정보가 유출돼 난리다. 쿠팡 이용자들이 스미싱 같은 2차 피해를 당하지 않을까 떨고 있다고 한다. 배송지(집) 주소까지 유출된 것으로 드러나자, 아파트 주민들이 쿠팡 측에 알려준 동 현관문 공동 비밀번호를 교체해달라고 관리사무소에 요청하는 사태까지 벌어지고 있다고 한다.
 
쿠팡 측은 이용자 개인정보 유출 사실을 인정하면서도 결제·신용카드·로그인 정보는 유출되지 않았다고 주장한다. 거래 과정서 수집된 민감 정보는 유출되지 않았다는 얘기다. 하긴 이런 정보까지 유출된 것으로 드러나면 이번 사태는 걷잡을 수 없는 상황으로 커질 수 있다.

하지만 애초 4500건 유출됐다고 했다가 3370만 건이라고 말을 바꾸는 등 쿠팡의 그동안 행태로 볼 때 믿기 어렵다는 지적도 나온다.

지난 4월 SK텔레콤 해킹 및 개인정보 유출 사태 앞에 붙던 '사상최악' 기록도 쿠팡 개인정보 유출 사태로 경신됐다. 일단 개인정보 유출 건수가 SK텔레콤 때보다 1천여만 건 더 많다.

언론 보도에 따르면, 쿠팡은 지난 11월18일 개인정보 유출 사실을 인지했고, 20일 개인정보보호보위원회에 개인정보 4500건이 유출됐다고 신고했다. 29일 쿠팡은 개인정보 유출 건수를 3370만 건으로 정정했고, 30일 정부 민관합동조사단이 가동됐다.

그런데 민관합동조사단이 가동된 지 단 하루 만에 뜬금없이 '중국 국적 쿠팡 직원 범행설'이 불거졌다. '중국 국적 쿠팡 직원이 범행을 저질렀고, 이미 퇴사한 뒤 국외로 떠났다'는 보도가 나왔고, 박대준 쿠팡 대표는 이를 확인하는 기자들의 질문에 "정부의 조사나 수사가 이뤄지면 그런 부분이 명확해질 것라고 생각하고 있다"고 답했다.

부인하지 않은 것이다. 박 대표 답변은 '중국 국적 쿠팡 직원 범행설이 정부 조사나 수사로 명확해질 것으로 생각한다'로 해석될 수도 있다.

일각에선 벌써부터 쿠팡 개인정보 유출을 '중국인 범행'으로 몰아가며 '혐중' 정서를 키우는 불쏘시개로 활용하는 모습이 보여진다.

한겨레 보도에 따르면, 보수 성향 커뮤니티에 "쿠팡 죽이고 중국 기업 알리·테무 등 쓰게 만들려고 중국이 벌인 짓", "국내외적으로 쿠팡 심판 여론을 만들어서 유통시장까지 중국 자본이 다 먹으려는 듯 하다. SK텔레콤과 KT(해킹과 개인정보 유출)도 다 중국 작품"이라는 글이 게시되고 있다.

이런 상황 전개가 이번이 처음도 아니다.

지난 11월28일 국내 최대 가상자산 거래소 업비트에서 발생한 445억원 규모 가상자산 해킹 사건을 두고는, 북한 정찰총국 산하 해킹조직 라자루스가 배후로 유력하게 지목되고 있다는 언론 보도가 나왔다.

해당 언론은 '정부 당국이 북한 정찰총국 소속 해킹조직 라자루스의 소행일 가능성을 유력하게 열어두고 업비트를 현장 점검하고 있다'고 전했다.

라자루스는 2019년 업비트에 보관된 580억원 규모의 이더리움이 탈취됐을 당시에도 지목됐던 해커 조직이다. 당시에도 이번처럼 핫월렛(인터넷과 연결된 개인지갑)에서 해킹이 발생했다.

해당 언론은 "서버 공격보다는 관리자 계정을 탈취했거나 관리자인 척해서 자금 이체를 했을 가능성이 있다. (현재로선) 6년 전 해당 방식으로 해킹이 이뤄진 만큼 해당 방식을 제일 맞게 보고 있다"는 정부 관계자 말을 근거로 앞세웠다.

"수사 결과가 나와야 알 수 있지만, 외화 부족에 시달리는 북한이 업비트를 해킹해 가상자산을 탈취했을 정황이 높다"는 보안 업계 관계자 말도 근거로 활용했다. 이 관계자는 "해킹 후 다른 거래소 지갑으로 호핑(전송)한 뒤 믹싱(자금세탁)이 발생했는데, 라자루스 조직의 수법으로 볼 수 있다. 믹싱이 이뤄질 경우 거래가 추적이 불가능한데 국제자금세탁방지기구(FATF)에 가입된 국가들은 믹싱이 불가능한 만큼 북한의 소행일 가능성이 높다"는 논리를 폈다.

물론 당국이 어디인지, 보안 업계 관계자가 누구인지에 대해서는 언급하지 않았다.

업비트 해킹에 대해서는 금융감독원과 금융보안원이 한국인터넷진흥원의 인력 지원을 받아 현장 점검 중이다. 아직 누구 짓인지 단정지을 수 있는 단계까지 조사가 진전되지 못했다.
 
'북한 소행설' 보도는 지난 4월 SK텔레콤 해킹 및 개인정보 유출 사태 때도 있었다. 2012년 KT 해킹 및 개인정보 유출 사태 때도 북한 소행설이 불거졌다.

'북한 해커가 흔히 쓰는(해커가 습관처럼 남기는) 코드가 발견됐다'는 게 근거로 삼아지기도 했다.

북한 소행설 내지 중국 배후설이 불거졌던 해킹 건은 한결같이 경찰이나 한국인터넷진흥원 등의 해커 추적 결과가 발표되지 않았다.

지난 4월 SK텔레콤 통신망을 뚫어 2300 만(이 업체 통신망을 이용하는 알뜰폰 가입자 포함) 가입자의 개인정보를 빼간 해커 조사 과정과 결과도 오리무중이다.

북한 소행설 내지 중국 배후설을 두고, 정부 당국이 사실상 해커 추적 '불가' 내지 '포기'를 선언한 것이라는 해석이 나오는 배경이다.

하지만 이게 2차 피해를 일으키며, 특정 국가를 지목해 소행설 내지 배후설을 흘리는 게 무책임한 처사란 비판도 나온다. 특정 국가에 대한 혐오 정서를 키우는 용도로 악용되는 게 대표적이다. 북한(조선)이 발끈하며 남북 긴장을 키우기도 한다.

국가정보원을 빼고는 누가 어떤 경로로 공격했는지가 별로 궁금하지 않다. 해커 추적이 사실상 불가능하다는 것은 다 아는 사실이다. 그보다는 뚫렸다는 사실이 중요하고, 더 필요한 것은 발빠른 사후 대책과 재발 방지 노력이다.

그냥 추적이 어렵다거나 쫓을 수 없다고 자인하면 될 것을, 왜 '설'을 흘려 2차 피해로 이어지게 하는지 모를 일이다.  

한편, '사상 최대 개인정보 유출 사태'로 기록될 이번 쿠팡 사태로, 개인정보 유출에 따른 사후 대책의 지향점이 바뀌어야 한다는 주장에 다시 힘이 실리고 있다. 범인(해커)를 쫓고 추가 유출을 막는 것도 필요하지만, 그동안 유출된 개인정보가 불러올 수도 있을 '끔찍한 사태'에 대한 대비책도 서둘러야 마련해야 한다는 것이다.

정말 그래서는 안되지만, 만약 앞서 SK텔레콤 통신망을 뚫어 2300만 가입자 개인정보를 빼내간 해커(혹은 해킹 조직)가 롯데카드 전산시스템을 공격해 이용자 297만명의 카드번호·주민번호·전화번호 등을 빼갔고, 쿠팡 이용자 3370만 명의 개인정보도 빼갔다면? 이 해커가 주민번호나 휴대전화번호로 개인을 식별한 뒤 그동안 빼간 개인정보 중에서 각 개인과 관련된 정보들을 추려 재정렬한다면?

개인별로 이름, 전화번호, 주민번호, 카드번호, 휴대전화 식별번호, 이메일 주소, 배송지(집) 주소 등 개인정보가 입체적으로 집대성돼 해커 손에 쥐어질 수 있다. 기술적으로 불가능하지도 않다.

해커들이 각자 빼낸 정보를 서로 공유하거나 거래하는 방식으로 이런 시도에 나서는 상황도 예상해볼 수 있다. 더욱이 AI라는 유용한 데이터 추출·재정렬 도구도 등장했다.

데이터 전문가들이 "가장 우려하는 상황"이다.

우리나라 국민 이름·주민번호·전화번호 등은 2000년대 들어 수시로 유출됐다. 이들 정보를 수집해 본인확인 서비스까지 제공하는 통신사와 금융사와 이들 정보와 함께 거래 정보까지 수집해 갖고 있는 플랫폼 기업에서 유출된 것까지, 그동안 언론에 보도된 국민 개인정보 유출 건수만 단순 집계해도 1억 건에 육박한다.

이들 기업에서 탈취당하고도 인지하지 못했거나 언론에 보도되지 않은 다른 개인정보 유출 사례까지 더하면, 우리나라 사람 가운데 컴퓨터나 스마트폰 사용자 개인정보는 다 유출됐다고 해도 틀리지 않다.

누군가가 그동안 통신사·금융사나 플랫폼 기업 등서 유출된 정보를 공유나 거래 등의 방식으로 수집해왔다면, 그는 이미 '박 브라더'로 행동할 수 있는 기반을 갖췄다고 볼 수 있다.

데이터 전문가들이 그동안 해킹 공격에 대한 방어 노력 못지 않게 유출된 개인정보를 쓸모없게 만드는 대책 마련에도 나서야 한다고 주장했던 배경이다. 하지만 정부는 그동안 정보 보호에만 관심을 둘 뿐, 민간의 주민번호 수집 금지와 주민번호 변경 허용 등 유출된 개인정보를 쓸모없게 만들어야 한다는 주장은 외면해왔다.

"이미 다 유출됐는데 뭘 더 보호해! 지금은 유출된 개인정보를 무용지물로 만들어 2차 피해가 발생하지 않게 하는 노력이 더 필요해." 문송천 카이스트 명예교수의 제언이다. 김재섭 선임기자