중국에서 한국 주요 포털사이트, SNS 사이트 계정 뿐만 아니라 아이핀 계정 등 한국인 개인정보를 조직적으로 대량 판매하고 있는 조직이 데일리시큐 조사에 의해 발견됐다. 이들 조직은 판매 사이트 내에 친절한 상품 소개와 구매가격, 그리고 전화번호, 메신저 주소 등 문의처를 올려놓고 상담을 기다리고 있었다. 심지어 회사 소개에 “7년간 믿음과 신용”으로 “단 한 명의 고객도 소홀히 대하지 않는다”고 밝히고 있어 얼마나 오랜 기간 한국인 개인정보를 판매해 왔는지 짐작할 수 있었다.
 
현재 해당 사이트에서 판매되고 있는 상품은 네이버, 다음, 네이트, 티스토리, 아프리카TV, 이글루스 계정 등이며 서비스가 종료된 미투데이와 해외 기업인 구글, 트위터 계정 그리고 소위 ‘막 DB’로 추정되는 각종 홍보용 DB 등을 판매하고 있었다.

 
◇판매 조직원과 통화 및 메신저 통해 확인한 결과
데일리시큐는 실제로 DB를 판매하는지 확인을 위해 보안전문가와 함께 판매 사이트에 공개된 문의전화번호로 통화를 시도했다.
“홍보용 DB가 필요해 전화했는데 판매처가 맞나요?”
“네. 맞습니다.”
“어떤 DB들을 판매하나요?”
“사이트에 보시면 잘 나와있어요. 자세한 내용은 메신저로 해요.”
“대입 DB말고 실제로 해킹한 최신 DB도 판매하나요?”
“네 당연히 최신 DB들이죠. 메신저로 문의해주세요.”
“아이핀 계정도 구매하고 싶은데 가능한가요?”
“네…얼마든지 가능해요.”
“거기 한국이면 만나서 구매하고 싶은데. 위치가 어디세요?”
“여긴 중국 청도에요. 메신저 등록하고 대화 걸어주세요.”
 
판매 조직원 중 한 명으로 보이는 자와 통화한 결과, 말투는 중국 조선족으로 추정된다. 자신들이 한국 사이트를 해킹한 DB들과 아이핀 계정까지 해킹을 통해 입수한 DB를 판매한다고 직접 확인해 준 것이다.
 
통화 후, 판매 사이트에 공개된 메신저를 통해 좀더 상세한 내용을 확인하기 위해 대화를 시도했다.
 
◇주요 포털, 블로그 및 아이핀 계정까지 원하는 만큼 구매할 수 있어
메신저를 통해 문의한 결과, 이들은 사이트에 공개한 판매 상품인 국내 포털사이트 해킹 DB를 판매하고 있으며 판매 양은 고객이 원하는 대로 가능하다고 답했다. 그만큼 많은 양의 DB를 수집하고 있는 것으로 추정된다. 가격은 고정금액이라고 못 박는다. 깍지 말라는 것이다.  
판매 가격은 네이버 생성아이디 1,800원, 네이버 휴면아이디 2,000원, 네이버 중고열심회원, 1,500원, 네이버 해킹아이디 400원, 다음 해킹아이디 200원, 다음 블로그 전용아이디 1,000원, 네이트 200원, 티스토리 1,200원, 아프리카TV 200원, 이글루스 600원, 미투데이 400원, 트위터 400원, 구글 300원, 각종 홍보용디비 100원 그리고 아이핀 계정은 1,500원에 판매하고 있었다.

언제 해킹한 자료인가를 묻자 “바로바로 추출한 거다”라고 답한다. 그러면서 샘플도 보내주고 최근에 해킹한 최신 DB라는 것을 강조한다. 주로 해킹 DB, 휴면계정, 생성계정 등을 판매하는 것으로 확인됐다.
 
대화 중에 샘플로 받은 개인정보 5,000여 건을 살펴본 결과, 파일 내용에는 아이디, 패스워드, 이름, 주민등록번호, 이메일, 상세주소 등이 포함돼 있었다. 하지만 실제 어떤 사이트를 해킹해 얻은 DB인지는 알 수 없었다.
 
또 아이핀 계정도 판매가 가능한지 물었다. 그는 “네 있어요” “아이핀 정상 추출됩니다”라고 답했다. 최근 공공아이핀 시스템이 해킹을 당해 75만건의 아이핀이 부정 발급된 사건이 있어 이와 연관된 정보인지는 알 수 없지만 아이핀 계정도 원하는 만큼 대량으로 판매되고 있다는 것은 심각한 상황이다.
 
한편 이 판매 조직은 사이트에 “7년간 믿음과 신용으로 일해 오고 있다. 해킹 및 명의도용은 하지 않는다. 가상주민번호로 직접 생성한 생성계정만 취급한다. 30개국에 서버를 보유하고 있는 VPN 회사로 모든 생성아이디는 랜덤소트해 판매한다”고 말한다. 하지만 실제 DB구매의사를 밝히고 전화통화와 메신저 대화를 통해 확인 결과 생성계정도 판매하지만 해킹을 통해 DB를 판매하고 있다는 것을 알 수 있었다.
 
그리고 구매자 대부분이 한국인임을 알 수 있다. 상담을 위해 전화를 해도 조선족이 받고 메신저 대화로 스카이프, 네이트온, 카카오톡 등을 통해 누구나 쉽게 DB구매 상담을 할 수 있도록 사이트를 구성해 놓았다. 그 만큼 많은 한국인 구매자들이 많다는 것이다.
 
◇한국인 개인정보 판매 게시글 1년에 8천건 올라와
이에 모 포털 관계자는 “실제로 해킹한 DB는 아닐 것이다. 최근 판매되는 대부분의 DB들은 중소사이트를 해킹해 모은 DB를 가지고 포털사이트에 대입해 살아있는 DB를 모아서 분류해 파는 형식이 대부분”이라고 해명했다.
 
한편 한국인터넷진흥원 관계자는 “중국 사이트에서 한국인 개인정보들이 거래되는 글이 올라오면 중국 관련 협회와 긴밀한 관계를 통해 삭제 요청을 하고 있다. 바이두 등 검색엔진을 통해 개인정보 판매와 관련된 키워드를 사용해 판매글을 찾아내는 작업을 계속 해 오고 있다”며 “한국인 개인정보 판매 게시글이 1년에 8천건 이상 검출되고 있다. 삭제는 80% 정도 이루어지고 있다. 하지만 이번 건처럼 모든 게시글을 차단할 수는 없는 상황이다. 아이핀 판매 글도 가끔 올라오기는 하지만 그리 많지는 않고 주로 주민등록번호가 많다”고 설명했다.
 
물론 중국 판매조직의 말을 모두 믿을 수는 없다. 하지만 이들의 한국인 개인정보 판매는 아주 조직적으로 이루어지고 있으며 이미 7년간 계속 되고 있다. 얼마나 많은 거래가 있었으면 고객관리도 철저히 하고 있다. 이런 상황을 막기 위해 정부는 아이핀 제도를 만들었지만 아이핀도 이미 그들의 판매상품이 될 만큼 취약한 상황에 놓여 있다는 것을 알 수 있다. 개인정보보호 관계 기관인 행정자치부, 방송통신위원회, 한국인터넷진흥원이 보다 근본적인 해결책을 마련하지 않는 한 이런 판매 사이트는 계속 생겨나고 우리의 개인정보는 계속해서 팔려나갈 것이다.
 
데일리시큐는 앞으로도 지속적으로 한국인 개인정보를 판매하고 구매하는 조직들에 대해 조사를 진행해 나갈 예정이다.

한편 데일리시큐는 이러한 개인정보 유출을 막고 개인정보보호 강화를 위해 오는 4월 2일 공공기관, 지자체, 금융기관, 교육기관, 일반기업 개인정보보호 책임자, 실무자, 취급자, IT정보보안 책임자 등을 대상으로 G-Privacy 2015를 개최한다. 올해 가장 핵심적인 개인정보보호 컨퍼런스다.

-실무자 사전등록: dailysecu.com/gprivacy2015/index.html
(공공, 금융, 일반기업 실무자만 등록 가능. 이외 학생, 보안기업, 영업사원 등 컨퍼런스 취지와 관련없는 분들은 참석이 제한됨.)

★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com