데이터 유출에 무감각해진 당신에게

개인정보 도용 무서워해야 하는 이유, 그리고 그것을 지키기 위해 취해야 할 4가지 조치는?
정보가 일단 외부 세계에 유출되면 다크웹에서 여러 차례 팔리면서 범죄자마다 그 이름으로 계좌와 대출한도 설정을 시도한다. / 사진:GETTY IMAGES BANK

2018년 11월 말 소비자 데이터 유출 뉴스가 또다시 터져 나왔다. 그동안 수년간 발생해온 데이터 유출을 이어받은 최신 버전이다. 실제로 그런 일이 너무 많아 공격당한 업체보다 당하지 않은 쪽을 떠올리는 편이 더 쉬울 듯하다. 11월 마지막 주 던킨 브랜드 그룹과 매리엇 인터내셔널의 데이터베이스가 해킹당해 정도는 다르지만 고객 정보가 해커에게 노출됐다는 뉴스가 전해졌다.

적어도 표면적으로는 매리엇의 해킹 피해가 더 심각한 듯하다. 세계 최대 호텔 체인 매리엇은 2014년부터 시작된 해킹으로 최대 5억 명에 달하는 고객의 정보가 노출됐다고 밝혔다. 피해자 중 3억2700만 명의 경우 이름·생년월일·전화번호·주소·이메일주소·여권번호 같은 정보가 유출됐다. 던킨 도너츠는 모바일 앱 고객 보상 프로그램 DD 퍼크스 회원 일부의 이용자명과 비밀번호가 노출됐다고 밝혔다. 그들은 이번 사고가 내부 해킹이 아니라 다른 회사에서의 해킹에서 비롯됐다고 여긴다. 그 뒤 그 정보를 이용해 회원 계정에 접근하려는 시도가 있었다.

왜 데이터 유출이 무서운가

소비자는 이런 데이터 유출 뉴스에 거의 무신경에 가까운 반응을 보이는 듯하다. 근년 들어 데이터 유출 소식이 끊이지 않았으니 그런 반응도 이해할 만하다. 그렇다고 해서 이런 유출이 초래할 수 있는 위험까지 무시하는 건 현명하지 못하다. 매리엇 해킹으로 유출된 정보만 해도 해커에게는 보물단지다. 그 뒤 그 정보를 다크웹(일반 검색엔진으로는 접근이 불가능한 심층 웹)에 내다팔거나 직접 신원도용에 이용해 피해자를 추후 수년간 신원도용과 사기의 잠재적인 표적으로 만들 수 있다.

나는 경제범죄 수사관으로 일하면서 이런 데이터 유출이 피해자에게 미치는 영향을 직접 목격했다. 다수의 신고자가 사기와 신원도용을 여러 번 당했는데 왜 그런 일이 계속 일어나는지 알 수 없다고 말한다. 정보가 일단 외부 세계에 유출되면 다크웹에서 여러 차례 팔리고 또 팔리면서 범죄자들이 저마다 그 이름을 이용해 계좌와 융자한도 설정을 시도하게 된다.

최상의 시나리오에선 피해자가 입는 금전적 손실은 없지만 제3자인 채권 추심원에게 특정 계좌를 개설한 적이 없다고 설명하고, 경찰에 신고하고, 부정 계좌에 관한 신용기록을 정리하는 데 여러 시간을 허비해야 한다. 그에 수반되는 혼란이 신용점수에도 악영향을 미쳐 그런 부정행위가 발견되지 않거나 제때 바로잡지 않을 경우 대출금리가 높아질 게 거의 확실하다.

개인정보 보호를 위해 할 수 있는 일

데이터가 유출되면 당신의 개인 신원정보가 해커 손에 들어갔을 수 있다. 정보보호를 위한 건설적인 조치 몇 가지를 소개한다.

1. 비밀번호에 신경 쓰자: 계정 정보가 유출됐을 때 이용자는 계정에 사용된 비밀번호를 그리 소중한 항목으로 여기지 않는 경우가 많다. 그러나 여러 계정에 걸쳐 같은 비밀번호를 사용하는 사람이 많다는 점에서 해커가 훔쳐낸 정보 중 가장 큰 가치를 지닐 수 있다.

계정의 비밀번호를 만들 때 어떻게 해야 하는지는 널리 알려졌다. 문자와 숫자를 결합해 쉽게 추측할 수 없게 만들어야 한다. 문제는 수십 개 계정을 관리해야 하는 탓에 그렇게 하기가 거의 불가능에 가깝다는 점이다. 하지만 그래야 한다. 무작위로 비밀번호를 생성해 저장해두는 프로그램을 찾아보면 이 문제를 해결할 수 있다. 요즘 다수의 웹브라우저 그리고 라스트패스(LastPass) 같은 기타 비밀번호 관리 플랫폼이 그런 기능을 무료 제공한다. 물론 안전한 단말기에서 그런 기능을 사용해야 한다.

또 다른 솔루션은 각 계정 고유의 코드와 함께 사용할 수 있는 일련의 보편적인 문자를 생성하는 방법이다. 이 방법에선 각 계정의 코드를 기억하기 쉬우면서도 추측하기 어렵게 만드는 게 중요하다. 어떤 방법을 선택하든 해킹으로 유출된 계정 정보와 같거나 비슷한 비밀번호는 모두 재설정해 변경해야 한다.

2. 금융계좌를 면밀히 모니터하자: 해킹으로 정보가 유출됐다고 생각할 경우 계좌를 주의 깊게 관찰하면서 부정행위나 계좌 프로필의 연락처 정보에 변화가 있는지 살펴야 한다. 범죄자가 피해자의 은행 또는 신용카드 계정에 침입한 뒤 부정 거래를 하는 계정탈취 사기가 무서운 속도로 증가하고 있다.

3. 신용보고서를 확인하자: 기존 계정을 주의 깊게 모니터하는 외에도 신용보고서를 주기적으로 열람해 내가 개설하지 않은 계정은 없는지 확인해야 한다. 범죄자가 내 개인 신원정보를 손에 넣으면 내 이름으로 계좌를 개설하기가 비교적 쉽다. 신용정보를 빈번히 확인하지 않으면 이런 부정계좌가 발견되지 않고 몇 달 심지어 몇 년 동안 살아 있을 수 있다. 이 경우 이런 계좌가 발견되지 않는 동안 내 신용점수가 불가피하게 타격받게 된다. 제3자 채권 추심기관으로부터 연락을 받은 뒤에야 부정계좌가 개설된 사실을 알게 돼 사기가 발생한 지 몇 년 지나 수사를 요청하는 피해자도 있었다.

4. 디지털 지갑을 검토하자: 끝으로 디지털 결제 플랫폼을 이용한 온라인 결제를 고려하자. 애플페이·구글페이·페이팔 같은 디지털 지갑은 토큰화(tokenization, 신용카드 정보의 디지털 토큰 전환)를 이용하는 안전한 형태의 결제형식이다. 사실상 신용카드나 직불카드 정보를 저장하지 않는다는 의미다.

요즘 같은 디지털 시대에는 이런 해킹으로 인한 정보 유출을 막기가 거의 불가능하다. 하지만 웹사이트에 남기는 정보를 최소화해 해킹이 발생할 때 피해를 줄이도록 해야 한다.

– 매튜 코크레인

※ [이 기사는 금융정보 사이트 모틀리풀에 먼저 실렸다.]