[단독] 중국 타오바오에서 한국인 개인정보 사보니 "단돈 5300원"
중국 최대 인터넷 오픈마켓 타오바오는 한국인 개인정보 자동판매기 같았다. 가격을 흥정하고 온라인으로 금액을 지불하면 곧바로 이름, 주민등록번호, ID를 넘겨줬다. 개인정보를 도용 당한 피해자는 자기 이름과 주민등록번호가 중국에서 팔리고 있는지 알 길이 없다. 방송통신위원회, 한국인터넷진흥원(KISA)는 관할권이 없다는 이유로 이를 방치하고 있다.
◆ 한국인 개인정보, 타오바오서 5300원에 팔려
- ▲ 한국인 개인정보 판매업자는 타오바오 전용 메신저 ‘아리왕왕’만 이용했다.
지난 26일 기자는 타오바오(www.taobao.com)에 접속했다. 검색란에 한국ID를 입력하자 22개 판매업자가 떴다. ‘Naver’나 ‘한국’을 입력해도 결과는 마찬가지였다. 판매업자는 한국 포털사이트 로고를 걸어 놓고 한국인 개인정보를 팔고 있었다. 사이트에 표시된 가격은 1위안(약 180원)이었다.
판매업자에게 말을 걸어봤다. 알리바바 전용 인터넷 메신저 아리왕왕(阿里旺旺)을 이용했다. 판매업자에게 “한국인 개인정보 살 수 있나”묻자 “네”라는 짧은 답장이 왔다. “구체적으로 무엇을 살 수 있냐”는 질문에 “네이버, 다음, 네이트 등 포털사이트 계정과 주민등록번호”라는 답이 돌아왔다.
네이버 ID를 사겠다고 하자 “1개당 30위안(약 5300원)”라고 답했다. 처음에 제시한 1위안보다 가격이 뛰었지만 6000원도 되지 않는 금액이었다. 알리바바의 결제 프로그램 알리페이(支付宝)를 통해 송금을 마쳤다. 결제가 확인되자 판매업자는 원하는 ID와 비밀번호를 물어왔다. 기존 ID를 해킹하지 않고 새 계정을 대리 등록하는 방식이었다. 원하는 ID를 말한 뒤 판매자에게 “ID를 만드는데 내 주소나 다른 정보는 필요치 않나”라고 묻자 “필요치 않다”는 답변이 돌아왔다.
◆ 35분 만에 한국인 개인정보 넘겨줘
- ▲ 아리왕왕 메신저를 통해 한국인 개인정보를 거래하는 모습.
마지막으로 이메일 주소를 불러주자 30초도 지나지 않아 이름, 주민등록번호, 네이버 아이디와 비밀번호를 받을 수 있었다. 1980년생 한국인 남성의 주민등록번호와 이름, ID와 비밀번호가 적혀있었다. 주민등록번호 내 지역식별 번호가 ‘01’로 시작하는 걸로 봐서 서울에서 출생 신고한 사람인 것으로 추정된다.
검색부터 구매까지는 총 35분이 걸렸다. 판매업자에게 넘겨 받은 아이디와 비밀번호로 로그인을 시도해봤다. 처음 구매한 날에는 로그인이 가능했다. 하지만 구매한 네이버 계정은 하루 뒤 막혔다. ‘비정상적인 과정 또는 보안상 의심스러운 환경에서 가입돼 로그인을 제한한다’는 메시지가 떴다.
김정우 네이버 홍보실 차장은 “이미 회사 차원에서 타오바오의 개인정보 매매 사실을 파악하고 대응 중”이라며 “현재는 자체 보안망을 갖추고 있어 중국에서 만들어지는 네이버 계정의 대부분은 며칠 내로 차단된다”고 밝혔다. 잠금을 풀기 위해서는 계정을 만든 사람의 휴대전화 번호나 아이핀이 필요했다. 기자가 구매했던 ‘개인정보 세트’에는 담겨있지 않은 정보였다. 구매한 주민등록번호를 이용해서 다른 사이트 아이디를 만들어 봤다. 주민등록번호를 이용한 다른 사이트 가입이나 SNS 계정 등록은 수월했다. 그렇게 가짜 계정 수개가 생겼다.
◆ 방통위·KISA ‘속수무책’
한국인의 개인정보가 중국에서 암거래 된다는 사실은 그동안 공공연한 사실이었다. 그러나 타오바오는 G마켓·11번가 같은 오픈마켓이다. 누구나 검색해 판매업자를 접촉할 수 있다. 가격도 싸다.
정부 기관과 사법 당국은 이 같은 사실을 얼마나 인지하고 있을까. 이의돈 경찰청 사이버안전수사팀 수사관은 “중국 내에서 한국인 개인정보가 매매된 지 이미 수년째”라며 “주민등록번호와 이름만으로 금융 피해가 발생했다는 사례는 없었다”고 답했다.
실제 인터넷에서 주민등록번호와 이름만으로 금융거래를 시도할 수는 없었다. 이를 위해서는 아이핀이나 공인인증서 등 추가적인 정보가 필요했다. 이 경위는 “주민등록번호 유출이 가벼운 사안은 아니다”며 “작게는 악성 홍보 게시글이나 2차 범죄의 단초가 될 수 있다”고 설명했다.
- ▲ 한국인 개인정보가 중국 오픈마켓 타오바오에서 거래되고 있다. /조선일보DB
방송통신위원회와 KISA는 서로 책임을 미뤘다. 엄열 방송통신위원회 개인정보보호윤리과장은 “개인정보 매매는 전적으로 KISA가 관리하고 있다. 방통위의 주업무는 아니다”라고 말했다. 윤권일 KISA 개인정보침해점검팀장은 “2013년부터 중국인터넷기업진흥회와 양해각서(MOU)를 교환하고 단속에 나서고 있다”며 “타오바오에 삭제를 요청했지만 거절당했다. 경찰이나 방송통신위원회 차원에서 대응하도록 건의해 보겠다”말했다.