MAU'S

◇개인정보 유출에 대한 사과 공지와 함께 개인정보 유출여부 확인을 할 수 있도록 바뀐 메이플스토리 초기 화면.

네이트·싸이월드 이용자 3500만명의 개인정보가 유출된 지 4개월 만에 넥슨의 온라인 게임 ‘메이플스토리’ 이용자 1320만명의 개인정보가 해킹으로 또 다시 유출되면서 인터넷 사용자들의 불안감이 커지고 있다. 기업들의 인터넷 보안 강화를 위한 투자 확대와 함께 온라인 사업자들의 개인정보 수집 방법을 바꿔야 한다는 목소리도 높아지고 있다.
 
◆개인정보 유출 불안감 확산
 넥슨이 25일 메이플스토리의 백업 서버 해킹으로 전체 회원 1800만명 중 1320만명의 계정 아이디, 이름, 암호화한 주민등록번호와 비밀번호 등이 유출됐다고 밝힌 직후 ‘넥슨 해킹’은 순식간에 포털 인기 검색어로 떠올랐다. 개인정보 유출에 관심을 갖는 이들이 그많큼 많다는 의미다.

 한 IT 관련 사이트 게시판에는 “(개인 정보를) 안 털린 업체를 세는 것이 더 빠르겠다”, “관리능력도 없으면서 개인정보는 왜 수집하느냐” 등 업체들의 보안 능력에 대한 우려과 불만의 목소리가 줄을 잇고 있다.

특히 이번 유출은 네이트·싸이월드 해킹 사건 후 인터넷 보안에 대한 중요성이 부각된 지 수개월 만에 발생했다는 점, 상대적으로 보안에 많은 투자를 하고 있다고 알려진 대형 게임사에서 발생했다는 점에서 우려를 더하고 있다.

넥슨은 주민등록번호와 비밀번호가 암호화되어 있어 2차 피해는 크지 않을 것으로 보고 있지만 개인정보 유출에 대한 불안감은 쉽게 수그러들지 않을 것으로 보인다. 계정 아이디와 이름 등만 알아도 비밀번호를 유추할 수 있는 경우가 많기 때문이다.
 
넥슨뿐 아니라 다른 기업들도 대부분 주민번호와 비밀번호를 제외한 개인 정보는 암호화하지 않은 채로 보관하고 있다. 주민등록번호와 비밀번호 등 암호화한 정보가 해독될 가능성도 배제할 수 없다.

 ◆개인정보 수집 방식 개선 시급

국내 온라인 기업들에 대한 해커들의 공격이 끊이지 않는 것은 이용자들의 많은 개인정보가 저장돼 있기 때문이다. 한 게임업계 관계자는 “셧다운제, 결제 정보 보관 규정, 실명제 등 규제가 많기 때문에 정보를 많이 보관할 수밖에 없다”고 설명했다.
 
방송통신위원회는 싸이월드·네이트 해킹 이후 연말까지 주민번호 수집을 원칙적으로 금지하는 개인정보 보호 강화방안을 내놓겠다고 밝힌 바 있다. 국회에서도 지난 9월 전자상거래 시 5년 동안 보관하도록 되어 있는 개인정보 내용 중 주민번호를 제외하는 법률안이 발의됐지만 아직 위원회 심사단계에 머물고, 여야 대립으로 언제 처리될지 불투명한 상태다.
 
이 법률안이 통과돼도 청소년 확인, 가입 시 실명 인증 방식 등 풀어야 할 숙제가 많다. 해외 사이트들은 이메일 외에 정보를 수집하지 않는 경우가 많다.
 
해킹으로 정보를 유출시킨 기업에 대한 처벌 수위를 강화해야 한다는 지적도 거세다. 옥션, 현대캐피탈, 신세계백화점 등 개인정보를 유출했던 기업들은 어떠한 처벌도 받지 않았다.

월스트리트저널(WSJ)이 미국의 페이지뷰 상위 50개 사이트를 분석, 얼마나 많은 개인정보 수집 툴이 있는지를 분석했습니다. 테스트용 컴퓨터를 이용해, 각각의 사이트에 접속한 후 얼마나 많은 툴이 깔리는지를 분석한 결과 무려 3180개의 개인정보 수집용 트래킹 파일이 발견됐습니다.
 
한사이트당 평균 64개 꼴로 트래킹 파일이 설치된 셈입니다. 가장 많은 개인정보 수집 툴이 설치된 곳은 인터넷 사전 사이트인 '딕셔너리닷컴'(Dictionary.com)입니다. 무려 234개가 설치됐으며 이중 168개는 이용자의 동의 없이 임의 설치된 것이었습니다. 딕셔너리닷컴을 포함 12개 사이트에서 100개 이상의 툴이 발견됐습니다. 기사를 쓴 WSJ에서도 60개의 툴이 설치됐습니다. 50개 상위 사이트 중 비영리 사이트인 '위키피디아'만이 유일하게 개인정보 수집툴이 하나도 발견되지 않은 '클린'사이트였습니다.

발견된 툴 중 3분의 1 가량은 무해했지만, 3분의 2는 정보를 돈으로 만드는 업체에 개인 정보를 유출하고 있는 것으로 드러났습니다. 구글, 마이크로소프트, 야후 등 검색 정보를 이용해 광고를 하는 업체들이 주로 관련돼 있는 것으로 보입니다. 

이들은 어떻게 개인 정보를 빼는 걸까요? 일반적으로 정보 모니터링 업체들은 특정 사이트를 방문하면 코드를 심습니다. 그리고 자신들이 코드를 심어둔 다른 사이트에 접속하면 그간의 행적을 조사하고 기록합니다. 실시간으로 무얼하고 있는지도 감시할 수 있습니다. 이렇게 성별, 나이, 인종, 우편번호, 취미, 좋아하는 영화, 건강 상태, 구매 성향 등 각종 정보를 수집합니다.

개인 정보 유출을 위한 파일은 '쿠키', '플래시 쿠키', '비콘' 등의 형태로 배포됐습니다. 일부는 동의하에 설치되지만 대부분은 사용자의 동의 없이 임의로 사용자의 컴퓨터에 설치된다고 합니다. 파일 중에는 타이핑 내용을 고스란히 수집하거나 툴을 삭제하면 자동으로 재설치하는 고약한 놈도 있었습니다.

이렇게 수집된 파일들은 타깃광고를 하거나 소비자의 구매 패턴을 파악하는데 이용됐습니다. 문제는 이러한 정보들이 어떻게 쓰이는지, 누가 정보를 사고 파는지 인터넷 사용자들은 알지 못한다는 겁니다.

인터넷을 이용하는 한 정보는 노출될 수밖에 없습니다. 이게 과연 미국만의 일일까요? 당신의 정보도 안전하지 않습니다.

월스트리트저널이 개인정보 수집 툴수와 위험도에 따라 '50개 사이트의 정보 노출 순위를 매겼습니다. 이 중 중간 정도 이상의 개인 정보가 노출되는 사이트들은 다음과 같습니다. 괄호안은 확인된 트래킹 툴 수.