개인정보 유출 사건은 이전부터 꾸준하고 빈번하게 일어났다. 너무 많이 일어나서 인지 이제는 개인정보 유출 사건이 일어났다 하면 오히려 무뎌질 정도다. 며칠 전에 이스트소프트에서 13만 명의 개인정보가 유출되었지만, 조용하게 넘어가는 듯 보이는 점도 그렇다.[1] 하지만 이런 마음을 다잡고 이런 사건에 익숙함을 보여서는 안 된다고 생각한다. 반면, 최근에 일어난 미국의 Equifax 해킹 사건은 반응이 뜨겁다. 미국의 소비자 신용보호 기관인 Equifax에서 이번 해킹 사건으로 어마 무시한 규모의 개인정보가 외부로 유출되었다.[2] 만약, 지금 다 죽어가는 야후가 앞서 개인정보 유출 기록을 세우지 않았다면, 시원하게 갈아치워도 이상할 게 없어 보인다.[3] 오늘은 현재 외국에서 뜨겁게 논란이 되고 있는 Equifax의 해킹사건에 관해 이야기해보려 한다.
에퀴팍스(Equifax)는 미국 애틀랜타에 자리 잡고 있는 소비자 신용보호 기관으로, 8억 명이 넘는 개인 소비자와 전 세계 8,800만 개 이상의 기업에 대한 정보를 수집하고 집계한다.[4] 1899년에 설립된 Equifax는 빠르게 성장하여 미국과 캐나다 전역에 지사를 두고 있으며, 가장 오래된 미국의 3대 신용기관으로 뽑힌다.[5] 또한, Equifax는 전 세계 24개국에 9천 명이 넘는 직원들과[6] 약 31억 달러의 연간 수입을 내는 아주 뚝심 있는 기업이 아닐 수 없겠다.[7] 따라서 오래되고 기관이 큰 만큼, 미국과 캐나다를 포함한 여러 국가에서 수집한 정보가 많아 이번 해킹 사건이 엄청나지 않을까 예상된다.
Equifax 해킹 사건의 내막은 현재 정확히 밝혀진 바는 없지만, 웹 사이트의 취약점을 악용하여 특정 파일에 대한 접근 권한을 얻었을 것으로 추측된다. 더욱이, 공격은 5월을 시작으로 7월까지 계속 해왔던 것으로 보이지만, 막상 권한 없는 사용자가 데이터 베이스에 접근하거나 허가되지 않은 활동이 보인 것은 아니라고 한다. 이번 사건은 미국과 캐나다, 영국이 중심이 되어 벌어진 사건으로, 그 외 다른 국가 소비자의 개인 정보에 대해서는 이번 해킹의 영향이 없을것이라 관계자는 말했다. 이번 사건으로 유출된 정보는 신용카드 정보, 이름, 사회 보장 번호, 생년월일, 주소, 때에 따라 운전면허증 번호도 포함되어 있으며 이는 개인을 정확하게 식별할 수 있는 정보로 문제가 커질 것으로 예상한다. 즉, 약 209,000명의 미국 소비자에 대한 신용 카드 번호가 유출되었고, 약 182,000명의 미국 소비자에 대한 개인 식별 정보가 유출된 것으로 보고 있다.[8]
그렇다면 사람을 식별할 수 있는 정보의 유출이 왜 문제가 되는 것일까. Equifax 개인 정보 유출 사건에서 유출된 정보는 개인 식별 정보로 개인을 고유하게 구별할 수 있는 정보를 말한다. 예를 들어, 주민등록번호나 여권 번호 같은 경우도 이에 해당하며 이런 정보는 웹상에서 수집할 수도, 처리할 수도 없는 것이 법으로 정해져 있다. 또 개인의 사상이나 성생활, 정치적 견해 등 개인에 따라 민감할 수 있는 정보는 민감 정보에 해당된다. 민감 정보가 해킹당한 대표적인 사례는 불륜 권장 사이트, 애슐리 매디슨 해킹사건이 가장 대표적이지 않을까 한다. 따라서, 개인 정보가 외부로 유출된 것도 문제이긴 하나, 이번 사건 처럼 사회 보장 번호, 운전면허번호 등과 같은 개인을 식별할 수 있는 정보의 유출 문제는 2차 범죄로 이어질 수 있어 더욱 민감하게 봐야 할 부분이다.
그렇다면 Equifax에서 유출된 ‘사회 보장 번호’는 무엇일까. 이번 사건으로 유출된 사회 보장 번호는 약 1억 4천만 명의 정보로, 소니 픽처스 해킹 사건이나 일부 사건에서도 간혹 유출된 정보이긴 하다.[9] 하지만 야후나 웬만한 다른 사건에서도 유출되지 않은 정보로 우리나라와 비교하자면 주민등록번호와 비슷하다고 볼 수 있다. 국내 같은 경우 주민등록번호가 웹 초기부터 가볍고 당연시하게 수집해오던 정보였지만, 외국 같은 경우 이런 정보는 처음부터 아주 조심스럽게 다뤄져 이번 사건을 더 큰 문제로 보는 경향이 있다. 따라서 만약 사회 보장 번호가 유출되면, 유출된 사회 보장 번호와 운전 면허증 번호, 생년월일, 집 주소와 같은 다른 정보와 함께 사용하여 다른 이가 사용자를 사칭할 수 있으며, 이를 통해, 대출, 주택, 유틸리티 등 여러 정부 혜택까지 신청할 수 있다. 또한, 해당 정보가 공개 시장에서 판매될 경우 다른 범죄로 이어질 수 있기 때문에 문제가 크다.[10]
그렇다면, Equifax는 이번 해킹 사건이 일어나고 어떻게 대처했을까. 이번 사건이 알려진 것은 9월 초, Equifax가 해킹 피해를 알게 된 것은 7월 29일쯤으로 관계자는 밝혔다.[11] 거의 사건이 발생하고 공개되기까지 6주나 걸린 셈이다. Equifax 측이 발표한 바로는, 해킹 사실을 확인하고 다른 이의 침입을 막기 위해 즉시 행동을 취했다고 한다. 또한, Equifax는 사건이 일어나고 즉시 보안 업체에 맡겨 이번 해킹 사건의 영향을 받은 특정 데이터를 포함, 침입의 범위를 확인하여 포괄적으로 검토를 수행했으며, 이 문제에 대해 FBI에게 수사를 맡겨 계속 누구의 소행인지 찾아내기 위해 협력하고 있다고 밝혔다. 현재, Equifax내부에서 데이터에 관한 검토는 끝냈지만, 더 정확한 원인 및 침입 경로 파악은 몇 주 내로 완료될 것으로 예상한다고 한다.[12][13] 하지만 6주. 이는 앞서 야후 사건에서도 얘기했다시피 사건이 일어나고 중요한 시간임에도 함구했다는 것은 문제가 될만하다. 6주는 해킹이 일어나고 그 영향을 받은 사용자가 신용 카드, 은행 계좌 명세서, 여러 정보를 면밀하게 스스로 확인하고 조치를 할 수 있는 기간임에도 이를 알리기까지 너무 오랜 시간이 걸렸다. 즉, 이미 2차 범죄가 일어났을 수도 있고, 훔쳐간 데이터는 블랙마켓에 팔려 또 다른 범죄에 쓰이고 있을 수도 있단 이야기다.
이 때문에 사람들은 이번 사건이 용납되지 않는 것이다. 이번 사건으로 2건 이상의 소송과 적어도 24건의 연방 소송이 일어날 것으로 보고 있다.[14] 주식 역시 14% 하락하며 몇몇 변호사들은 주가 하락에 의한 증권사기 소송도 제기될 수 있다고 보고 있는데[15], 이에 대해서 해킹 발표가 있기 전 고위 간부 3명이 회사 주식을 180만 달러에 매각한 것으로 밝혀져 제대로 화난 상황이다. 따라서 소송을 제기한 기업 중 하나인 Geragos&Geragos의 변호사인 Ben Meiselas는 Equifax는 700억 달러의 손해 배상 청구에 직면할 수 있다고 전했다.[16] Equifax는 자신들의 발표 이후 사용자들에게 유출된 정보에 관한 확인과 이에 대한 해결방안을 제시하고 있다.[17][18]
이번 사건은 저번 야후 개인 정보 유출 사건과 비교하면 규모가 작았음에도 더 민감한 정보가 유출되었다는 점에서 큰 문제가 된다. 이는 2차 범죄를 만들어낼 수도 있으며, 금전적 피해와 같은 문제로 이어질 수 있어 더 크게 주목하는 것도 있다. 하지만 이번 사건이 야후를 제외한 역대 급의 대규모 개인정보 유출 사건이라는 점과 그리고 이 해킹사건을 처리한 관계자의 행동, 태도 면에서는 이전에 일어난 야후 사건의 선례를 무시하는 모습이었지 않나 생각한다. 비록, 야후보다는 더 보안시스템을 신경을 썼을지 모른다.[19] 하지만 수많은 개인정보를 다루는 만큼 보안시스템은 더 탁월했어야 했다. 정말 안타까운 점은 야후도 그렇고, 이번 Equifax 해킹 사건도 그렇고 결국 피해를 보는 것은 소비자들뿐, 어떻게 손을 쓸 여지가 없다는 것이 안타깝게 만든다.