불법 사이트 차단·다크웹 마켓 폐쇄 위한 국제 공조 필수

정순채 서울과기대 겸임교수 법무법인 린 전문위원
 

다크웹(dark web) 전문 보안기업 스텔스모어가 다크웹에서 유통되는 한국인 개인정보는 4억6704만8278건에 이른다고 밝혔다. 현재 인구수와 비교하면 한 사람당 9건 이상의 정보가 다크웹에서 떠다니는 셈이다.

 

다크웹은 특정 브라우저로만 접속이 가능한 공간이다. 익명성이 보장되고 IP 기록도 남지 않는다. 해커들의 놀이터로 악성 프로그램 유포나 마약 유통 등 범죄에 악용되는 경우가 많다.

 

스텔스모어가 다크웹에서 분석한 데이터 약 3200억건 중 개인정보는 약 886억건이다. 이 중 4억건 이상이 한국인 개인정보로 판명된 것이다. 해커는 개인의 아이디(ID)와 패스워드, 이메일 등 개인정보를 묶어 판매해 이를 1건으로 봤다.

 

아이디와 패스워드, 이메일, 주민등록번호, 집 주소, 휴대폰 번호 등은 민감한 개인정보다. 이들 정보가 해커들의 ‘공공재’인 양 다크웹에 유통돼 피해가 우려된다. 아이디와 패스워드를 무차별 대입해 접속을 시도하는 크리덴셜 스터핑(Credential Stuffing)과 피싱 등을 통한 2차 피해도 예상된다.

 

한국인 개인정보가 쉽게 해커들에게 들어갈 수 있지만 사실상 이를 제지할 방도는 없다. 관계기관에서도 다크웹의 특성상 유통되는 데이터에 대한 진위여부 파악이 쉽지 않다. 사실 확인을 위해서는 구매 등 불법적인 행위가 발생해 모니터링에 한계가 있다.

 

2차 피해로 이어질 공산도 크다. 올 2월 말 개인정보 158만건이 유출된 GS리테일의 홈쇼핑 사이트(GS샵)는 크리덴셜 스터핑 공격을 받아 개인정보가 유출됐다. 다크웹에서 확보한 아이디와 패스워드를 무차별 대입 공격에 당한 것이다.

 

교육콘텐츠를 서비스하는 대성마이맥 운영사 디지털대성 등 민간 기업도 이 수법에 당했다. 한국고용정보원과 한국장학재단 등 공공기관도 뚫린 것으로 알려졌다. 개인에 대한 세부 정보를 가지고 타깃팅을 통한 보이스피싱에 악용할 수도 있다.

 

개인정보를 다루는 기관과 기업은 운용체계(OS)나 서버, 애플리케이션에 최신 보안 패치를 적용이 필요하다. 개인정보 저장이나 전송 시 암호화로 유출 사고 피해를 최소화해야 한다. 개인정보 접근은 최소화하고 이상 행위 감지와 실시간.......................[정순채 칼럼] 2차 피해 우려되는 다크웹의 개인정보  SDG뉴스http://www.sdgnews.net