개인정보이용 범죄가 진화하고 있다. 
납치나 사고 등 다급한 상황을 연출해 송금을 요구하는 전화사기는 보이스 피싱의 오래된 수법이다. 한 노년의 여성은 아들로부터 다급한 목소리로 “교통 사망 사고를 냈으니 합의금으로 1천300만원을 입금해 달라”는 전화를 받고 놀란 마음에 급하게 돈을 보냈다가 돈을 뜯겼다. 아들의 목소리를 모사한 사기범은 전국의 여관을 전전하며 유사한 수법으로 모두 16차례에 걸쳐 1억원 가까이를 송금 받았다. 범인은 결국 경찰에 덜미를 잡혔다.

스마트폰 등 스마트기기의 진화로 개인정보 이용 범죄도 스마트해졌다.
요즘의 보이스 피싱은 단독범행이 아니라 팀을 이루어 이루어진다. 국가정보원, 검찰청, 경찰 등 다양한 인물을 사칭해 전화로 개인 정보를 빼내서, 사기성 계좌이체 등 범죄에 사용하는 수법이다. 메신저 피싱은 전화대신 온라인 메신저를 이용한 전자금융사기이다. 불법 사이트나 악성코드를 이용한 파밍(Parming)은 피싱(Phishing)과 농사(Farming)의 합성어로 PC에 가짜 은행사이트로 유도하는 악성코드를 설치한 후, 금융정보를 빼내어 예금을 무단 인출하는 수법이다. 스미싱은 불법 메시지를 이용한 문자결제사기이다. 문자 메시지(SMS)를 이용해 개인정보.금 융정보를 낚는(fishing) 수법이다. 문자메시지내 인터넷주소를 클릭하면 스마트폰에 악성코드가 설치되고 범인에게 소액결제 인증번호가 전송되며, 범죄자는 게임아이템이나 사이버머니로 소액을 훔치는 수법이다. 이외에도 대금청구송금 오류를 빙자한 금전 요구 등이 있다.

우리나라만이 아니라 미국도 개인정보 이용 범죄는 늘고 있다.
맨하탄에 거주하는 한 유학생은 어느 날 누군가 자신의 계좌에서 3,000달러를 몰래 인출해간 사실을 알게 되어 경찰에 신고했다. 경찰 수사결과 신분도용 범죄자들이 ATM기계에 ‘스키머스(Skimmers)’라 불리는 첨단 무선기기를 장착한 후 이용자들의 계좌번호와 비밀번호를 훔친 뒤 현금을 인출하는 수법을 사용했다.
수년 전 관광비자로 입국해 미국에서 운전면허를 취득한 한 이민자는 운전면허 갱신을 위해 필기시험에 응시하고 보험회사를 알아보다가 놀라운 소식을 접했다. 그가 한국에 있었던 때에 누군가가 그의 운전면허로 운전을 하다 속도위반에 적발된 것이다. 자신도 모르게 누군가 자신의 신분으로 운전까지 했다니 등골이 오싹했다.
신분도용 범죄자들은 대부분 훔친 타인의 개인 정보를 이용해 은행계좌 등에 접근해 돈을 인출하거나 크레딧 카드를 발급하거나, 불법체류자의 신분 세탁 등에 이용한다.
미국에서 2012년 발생한 신분도용 피해자 수는 대략 1000만 명이다. 개인 피해액은 50억 달러에 이르고 기업피해는 500억 달러이다. 신용카드 사기 피해자가 42%로 가장 많고 전기나 수도, 가스요금 등 유틸리티 관련 사기가 22%, 은행계좌 사기가 17%를 차지한다.

인터넷 덕분으로 개인정보이용 범죄는 국경을 넘어 가능해지고 있다.
페이스북 등 SNS 서비스 이용자는 영어로 된 또는 친절하게 우리말 번역까지 곁들인 사기성 이메일을 받은 경험이 있다.
“나는 00은행직원인데, 갑자기 고인이 된 000의 유산 4천만 달러를 가지고 있다. 당신이 상속인임을 입증해야 하니 여권사본을 보내달라. 2000만 달러 씩 나눠 갖자.”
“나는 미군의 간호장교로 시리아 파병 중에 1억 달러가 든 돈 가방을 얻게 되었다. 내가 전쟁 중에 죽을 경우 당신에게 보낸다는 유언장을 작성해야 하니 여권 사본을 보내달라” 등등.
이런 메일에 심심해서 답장을 해보면 그들이 1차적으로 노리 것은 당신의 개인정보이며, 2차적으로 노리는 것은 당신의 돈이라는 사실을 알게 된다.
일대일로 개인정보를 빼가려는 이유는 범행에 이용하기 위해서이다. 당사자가 범행대상이 될 수 있으며, 신분도용으로 제3의 피해자가 생길 수도 있다.

대량으로 개인정보를 빼갔다
카드사 개인정보 유출사고는 온라인으로 해킹에 의해 이루어진 사건이 아니라, 프로그램 개발자가 USB로 개인정보를 복사해 훔친 사건이다.
박 모는 개인신용평가 전문회사인 코리아크레딧뷰로(KCB)소속의 파견 직원이다. 카드 도난 및 분실, 위·변조 탐지 시스템 개발 프로젝트(FDS)를 진행하면서 카드회사로부터 고객 인적사항정보 등을 불법 수집하여 그 중 일부를 한 대출광고업자에게 팔았다. 대출광고업자는 다시 대출모집인에게 개인정보 100만건을 제공했다.

박모가 대출광고업자에게 건낸 개인정보는 KB국민카드 5,300만 명, NH농협카드 2,500만 명, 롯데카드 2,600만 명으로 합이 1억 4백만 명이다.
카드사 개인정보에는 고객의 성명, 휴대전화번호, 직장명, 주소, 일부는 카드번호와 유효기관 등을 포함해 신용카드사용 등과 관련한 신용정보도 일부 들어있었다.
이 사건을 수사한 창원지검은 박 모와 최초 유통자인 대출광고업자를 검거해 불법 수집된 원본 파일과 1차 복사 파일 등을 압수함으로써 외부 유출을 차단했다.
이 사고가 보도되자 신용카드를 해지하거나 갱신한 사람이 5백만명에 달한다.

대부분의 금융회사는 고객 정보가 외부로 빠져나가지 못하도록 하기 위해 USB사용을 아예 금지하고 있다. 삼성카드·현대캐피탈의 경우 회사 컴퓨터에 USB를 접속하지 못하게 막아 놨다. 이 때문에 용역업체 직원은 물론 내부 직원도 회사 컴퓨터에서 USB로 아무 자료도 복사할 수 없다.
KB국민카드·NH농협카드·롯데카드는 용역업체 직원이 USB를 사용하고 있다는 사실조차 몰랐다. 검찰이 범인을 체포하고 회사에 알려준 뒤에야 USB를 이용해 고객 정보를 빼내갔다는 사실을 확인했다.
현오석 경제부총리 겸 기획재정부 장관은 “이번 고객 정보 유출 사태에서 금융기관의 안전 불감증이 어떤 수준인지 드러났다”고 논평했다.
개인정보는 해킹, 내·외부 직원의 계획적 유출, 프로그램 오류 등으로 유출된다.

안전행정부, 방송통신위원회, 금융감독원의 자료에 따르면, 2009년부터 2013년까지 금융사, 기업, 공공기관 등 58곳에서 1억3천752만건의 개인정보가 유출됐다.
2011년 4월에는 현대캐피탈 웹사이트 서버에 해커가 4만3천376차례에 걸쳐 침입해 고객 175만여명의 개인정보를 빼갔다. 2011년 하나SK카드는 텔레마케팅 지원 업무 담당 직원이, 삼성카드는 고객관리 담당 직원이 각각 9만7천여건과 47만건의 고객정보를 빼돌렸다. 인터넷쇼핑몰 옥션은 해킹으로 2008년 1월 개인정보 1천81만건이 유츨되었다. SK커뮤니케이션즈에서는 2011년 7월 중국 소재 IP를 통한 해킹으로 네이트와 싸이월드 회원 3천500만명의 개인정보가 유출됐다. 2011년 11월 넥슨도 게임 ‘메이플스토리’ 백업서버가 해킹당해 회원 1천 320만명의 개인정보가 유출되었다. 2012년에는 EBS와 KT에서도 해킹으로 각각 웹사이트 회원 422만명과 휴대전화 가입자 873만명의 개인정보가 유출되었다.

훔친 개인정보로 뭘 하나?
개인정보보호법에서는 개인정보를 수집·이용하는 행위에 대해 엄격한 제한을 두고 있지만, 유출된 개인정보의 총합이 전체 국민 수의 2배에 달하므로 개인정보는 이미 공유정보가 된 셈이다.
흠친 개인정보는 각종 대출 권유·대리운전·불법 도박 사이트 홍보 등 각종 스팸문자발송 대상자 명부로 이용된다.

한 직장인은 “월요일 새벽 4시에 ‘일요일인데 뭐해요, 가입만 해도 10만원 지급’이라는 내용의 불법도박 사이트 홍보 스팸문자를 받았다.” 새벽에 잠이 깨어 화가 나지만 어찌할 방법이 없다. 다른 여성 직장인은 결혼 직전까지 각종 결혼정보회사의 스팸 전화에 시달렸다. 많을 때는 하루에 3통까지 왔다. 어떤 결혼정보회사에 정보를 제공한 적이 없는데도, 나이와 직업, 주소를 알고 있던 상담원은 친근하게 이름까지 부르며 가입을 권유했다. 그렇게 끈질기던 가입 권유 전화는 결혼 이후 뚝 끊어졌다.

취업포털 잡코리아가 2012년 직장인 805명을 대상으로 한 조사에 의하면 직장인이 하루에 평균적으로 받는 스팸성 전화·문자는 6.8회에 달한다.
정부는 두낫콜(Do-Not-Call)서비스를 확대 시행하고 있다. 두낫콜(Do-Not-Call) 서비스는 마케팅 전화, 문자메시지 등을 제한할 수 있도록 하는 서비스이다.
잦은 개인정보 유출사고와 정부대응으로, 시달리는 다른 직장인은 텔레마케터이다.

텔레마케팅은 어렵게 사전 동의를 얻어 수집한 개인정보 DB를 이용하는 마케팅이다. 한 보험회사 텔레마케터는 "개인정보유출 사건 터지고 정말 죽을 맛이다. 전화 받자마자 '당신 내 정보 어디서 났냐'며 험악한 목소리가 들리고. 전화를 바로 끊는 사람이 평소보다 두 배 늘어서 아예 영업이 안된다.“고 한다. 다른 텔레마케터는 "고객에게 보험가입 권유를 위해 전화를 하면 먼저 개인정보를 어떤 식으로 얻게 됐냐며 꼬치꼬치 묻는 사람들이 크게 늘었다"면서 "이런 분들을 상대로 어떻게 보험가입을 권유 하겠냐"고 하소연했다.
대형 보험사의 TM 통화 성공률은 20%가량 급감했다.
13개 손해보험사의 2013년 상반기 TM채널 원수보험료는 3조5260억원으로 전체 원수보험료(32조3723억원)의 11% 가량을 차지한다.

신용 카드사의 개인정보 대량유출은 변호사들에게는 기회이다.
한 변호사는 카드사를 피고로 한 단체소송을 위한 카페를 개설하고, 원고단체를 모으고 있다. 한 카페에는 이미 2만 여명이 가입했다. 개인정보보호법에 의하면 개인정보 피해보상을 위한 단체소송을 위해서는 변호사를 소송대리인으로 선임해야 한다.
소송보다 시급한 것은 대량 개인정보 유출로 발생할 가능성이 높아진 ‘신분도용 범죄’ 등 각종 개인정보 이용 범죄에 대한 예방과 대응일 것이다.

개인정보 보호, 생각만큼 쉽지 않다
월스트리트저널의 보도에 따르면 미국 연방거래위원회(FTC)가 최근 새롭게 강화된 개인정보보호 가이드라인을 발표하면서 소매점, 마케팅업계는 크게 반발하고 있다.
새 가이드라인은 온라인 거래에 있어 특정거래가 종료된 경우 해당 고객의 전자정보를 파기하고, 다른 마케팅 목적 등으로 활용을 금지한다는 내용이다.

NRF(National Retail Federation) 등 소매단체와 직접마케팅 업체들은 자신들이 고객 정보의 저장기간 및 방법을 결정할 수 있어야 한다며 이에 반대 입장을 보이고 있다. 고객정보를 관리함으로써 필요한 정보나 제품을 추천하고 고객이 이용할 수 있어 상호간 필요하다는 이유에서다. NRF 회원사인 아마존의 경우 고객이 도서를 구매한 이후 관심 도서를 추천할 수 있지만 현행 가이드라인대로라면 구매가 끝난 동시에 고객정보를 파기, 이 같은 서비스가 불가능하다. 이 서비스는 특허등록이 되어있다. 금융이나 의료정보 등과 같은 민감 정보에 국한해야지 모든 개인정보에 이를 적용하는 것은 문제라는 주장이다.
우리나라는 안정행정부가 개인정보보호법에 의해, 방송통신위윈회가 정보통신망 이용촉진 및 개인정보보호에 관한 법률에 따라 온오프라인으로 촘촘히 개인정보보호를 보호하고 있다.

범죄자가 불법으로 개인정보를 보유하려는 이유는 범죄를 위해서이다. 정부기관이나 국회기관 등이 개인정보를 보유하려는 이유는 대국민 서비스 개선을 위해서일 것이다. 기업이 개인정보를 보유하려는 이유는 마케팅을 위해서일 것이다. 기업의 핵심활동인 마케팅을 중단시키려는 시도는 경제에 치명적인 손실을 끼칠 수도 있다.
인터넷으로 발달한 디지털 문명으로 개인정보 갈등은 커지고 있다. 우리 모두가 일시에 PC, 스마트폰, 스마트TV 등 디지털 문명을 포기하면 이런 갈등은 사라진다.
개인정보보호가 생각처럼 쉬운 것은 아니다.

익재 커뮤니케이션 연구소/소장 오익재(ukclab@nate.com)