개인정보 유출이 ‘보복 대행’ 범죄로…대전 18만 건 유출 전례도 경고음
작성일
텔레그램 청부조직 전국서 87건…주소·연락처가 주거지 공격 수단으로 악용
대전 종합병원도 2024년 개인정보 18만 건 유출…이번 사건과 직접 연관은 없어
빠져나간 정보는 스미싱·스토킹·협박 등 다양한 2차 범죄에 이용될 수 있어
[대전=위키트리 양완영 기자] 개인정보 유출이 단순한 전산 사고를 넘어 주거지 공격과 협박을 위한 온라인 청부범죄로 이어지면서, 개인정보를 대량 보유한 지역 기관의 보안 체계를 다시 점검해야 한다는 목소리가 커지고 있다.
경찰청은 인천·대구경찰청 광역범죄수사대가 이른바 ‘사적 보복 대행’ 범죄에 가담한 텔레그램 채널 운영자와 자금관리책, 행동대원 등 9명을 검거해 8명을 구속했다고 밝혔다.
지난해 8월 대구에서 처음 확인된 관련 사건은 지난 6월 17일까지 전국에서 87건 발생했다. 경찰은 80건과 관련해 실행자 65명을 검거하고 23명을 구속했다. 나머지 7건은 추적 중이다.
범죄는 올해 초 빠르게 확산했다. 지난해 6건이던 발생 건수는 올해 1월부터 3월까지 62건으로 급증했다. 4월 이후에도 19건이 추가로 발생했다. 경찰은 개인정보 유통 조직과 채널 운영자, 자금관리책 등 윗선을 검거한 뒤 사건 발생이 줄어든 것으로 보고 있다.
범행 구조는 분업화돼 있었다. 의뢰자가 보복 대상자를 지정하면 채널 운영자가 행동대원을 모집했다. 자금관리책은 대포계좌와 가상자산을 이용해 의뢰비와 범행 대가를 주고받았다. 행동대원은 피해자의 집을 찾아가 오물을 뿌리거나 낙서하는 방식으로 범행을 실행했다.
피해자의 주소와 연락처를 확보하는 과정에는 불법 개인정보 유통이 개입했다. 경찰은 배달 대행업체 관련 조직이 고객정보를 빼돌려 범죄에 제공한 사건을 수사한 데 이어 다른 기관에서도 개인정보가 유출됐는지 확인하고 있다. 배달업체 외 기관에서 확보된 것으로 보이는 주소가 발견되면서 수사 범위도 확대됐다.
이번 사건은 개인정보가 외부로 빠져나간 뒤 어떻게 현실 범죄의 도구로 바뀔 수 있는지를 보여준다. 이름과 전화번호만으로는 범행이 쉽지 않지만, 주소와 주문 이력, 가족관계 등 다른 정보가 결합하면 특정인을 찾아내는 표적 정보가 된다.
대전에서도 대규모 개인정보 유출 전례가 있다. 2024년 6월 대전의 한 종합병원 누리집이 해킹돼 회원 아이디와 비밀번호 등 약 18만 건의 개인정보가 유출된 사실이 확인됐다. 병원은 경찰청 사이버수사대의 통보를 받은 뒤 유출 사실을 알리고 피해자들에게 통지했다.
대전 병원 유출 사건이 이번 사적 보복 대행 범죄와 연결됐다는 정황은 확인되지 않았다. 다만 대량으로 빠져나간 개인정보는 명의도용이나 스미싱, 계정 탈취뿐 아니라 스토킹과 협박, 보복범죄 등 여러 2차 범죄에 이용될 가능성이 있다.
특히 같은 아이디와 비밀번호를 여러 사이트에서 사용하는 이용자는 계정 도용 피해를 볼 수 있다. 이름과 연락처가 유출되면 기관이나 가족을 사칭한 문자·전화 범죄에 노출될 수 있다. 주소까지 결합되면 범죄자가 피해자의 생활 반경과 주거지를 파악하는 데 악용할 위험이 커진다.
병원과 배달 플랫폼처럼 다수 시민의 정보를 보유한 기관은 일반 기업보다 높은 수준의 관리 책임을 져야 한다. 병원에는 계정정보뿐 아니라 진료와 예약, 연락처 등 민감한 정보가 축적된다. 배달업체에는 주소와 전화번호, 주문 이력이 저장된다. 이런 정보는 개인의 일상과 이동 경로를 추정할 수 있는 자료다.
기관 내부자의 접근 통제도 중요하다. 경찰 수사에서는 배달앱 상담업체에 위장 취업한 조직원이 고객정보를 빼돌린 정황이 확인됐다. 외부 해킹만 막아서는 충분하지 않다는 뜻이다. 직원이 업무상 필요 없이 특정인의 정보를 조회하거나 대량 열람하면 즉시 경고가 작동해야 한다.
접근 기록과 출력·전송 내역을 주기적으로 점검하고, 외주업체 직원의 권한도 업무 범위에 맞게 제한해야 한다. 퇴직자 계정을 즉시 삭제하고 비정상적인 대량 조회를 자동 차단하는 장치도 필요하다.
개인정보 유출 사고가 발생하면 피해자 통지에 그쳐서도 안 된다. 어떤 정보가 빠져나갔는지, 외부에서 거래되거나 범죄에 사용됐는지까지 추적해야 한다. 비밀번호는 바꿀 수 있지만 주소와 의료정보, 가족관계는 쉽게 바꾸기 어렵다. 유출 뒤 위험이 장기간 이어질 수 있는 정보들이다.
경찰은 이번 보복 대행 사건의 행동대원뿐 아니라 의뢰자와 개인정보 제공자까지 수사하고 있다. 단순한 호기심이나 고수익 아르바이트라는 이유로 가담했더라도 범행 실행에 관여하면 형사책임을 피하기 어렵다는 입장이다.
텔레그램의 익명성과 가상자산 결제는 범죄자들이 서로 얼굴을 보지 않고도 조직을 운영할 수 있게 했다. 그러나 채널 운영자와 자금책이 붙잡힌 뒤 사건이 줄어든 점은 지시망과 자금 흐름을 차단하는 수사가 효과를 낼 수 있음을 보여준다.
이번 사건은 개인정보 보호를 전산 담당 부서만의 문제로 볼 수 없다는 경고다. 개인정보가 통제 밖으로 나가면 금융범죄와 스미싱을 넘어 주거지 공격과 스토킹, 협박의 수단이 될 수 있다. 대전지역 병원과 공공기관, 플랫폼 기업도 유출 이후의 사과보다 유출 자체를 막는 사전 통제에 무게를 둬야 한다.