미국서 개인정보 2억건이 유출된 것으로 드러났다. 피싱이나 악성코드 유포, 혹은 시스템 해킹을 통해 개인정보가 유출된 것이 아니라 사설탐정으로 신분을 위장한 신원정보 절도범이 한 회사에 돈을 지불하고 개인정보를 획득한 것으로 드러나 파문이 일고 있다. 이 회사는 미국 3대 소비자 신용평가 기관인 익스퍼리안(Experian)의 자회사였다.

 <출처: Krebsonsecurity.com. 보안전문가 브라이언 크렙스(Brian Krebs)는 자신의 블로그를 통해 개인정보 유출 사실을 최초 보도했다.>
  
베트남 국적의 히우 민 응오(Hieu Minh Ngo)는 지난주 연방법원에서 열린 심리에서 유죄를 인정했다. 심리 내용을 담은 속기록에 따르면 그는 사설탐정으로 신분을 위장해 익스퍼리안의 자회사이며 공공 전자문서 제공업체인 코트 벤처스(Court Ventures)에 돈을 지불하고 데이터베이스에 접근했다.
 
코트 벤처스는 US 인포 서치(Info Search)와 계약을 맺어 데이터베이스 접근 권한을 가지고 있었으며, 하우 민 응오는 이를 이용해 개인정보 2억건이 담긴 US 인포 서치의 데이터베이스에 접근할 수 있었다. 그는 신원정보 절도 웹사이트를 운영하면서 이를 판매했으며, 해당 정보에는 주소, 전화번호, 이메일 주소, 생년월일, 사회보장번호 등이 포함됐다.
 
히우 민 응오는 베트남에 있는 자택에서 해당 웹사이트를 운영하고 매달 싱가포르에서 전신환 송금을 통해 회사에 돈을 지불한 것으로 나타났다. 그가 벌어들인 돈은 190만 달러(약 20억원)로, 2007년부터 2013년 2월까지 총 1,300명에게 판매한 것으로 파악됐으며, 판매된 개인정보는 명의를 도용한 세금 환급금 사기, 신용카드 발급 혹은 대출 사기 등의 각종 범죄에 이용됐을 것으로 미 당국은 보고 있다.
 
결국 지난해 고객으로 위장한 비밀경호국 요원에 의해 괌에서 검거된 히우 민 응오는 전신 사기(wire transfer fraud), 접근 장치 사기(access device fraud), 신원도용 사기(identity fraud) 죄목으로 최대 45년형의 징역형을 선고 받게 될 전망이다.
 
익스퍼리안은 심리에서 이번 사고를 인정했으며, 조사를 진행 중이라고 밝혔다. 그러나 비밀경호국이 회사에 통보하기 전까지는 개인정보 유출 사실을 알지 못했던 것으로 전해졌다. 부주의로 발생한 이번 보안사고를 둘러싸고 비난을 받고 있는 익스퍼리안의 부회장인 토니 해들리(Tony Hadley)는 “우리도 피해자다. 그에게 사기 당한 것”이라고 말한 것으로 알려졌다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com