해킹된 개인정보는 암시장에서 얼마나 될까?

개인정보 한건당 1~10원 특정 정보는 수백만원에

업체가 해주는 배상액은 피해자 1인당 10만원 정도

옥션(www.auction.co.kr)에 중국인으로 추정되는 외부 해커가 침입, 고객 개인정보가 유출되는 사고가 발생했다. 해커들은 해킹 이후 옥션 측에 전화를 걸어 훔친 개인정보를 담보로 금품을 요구하기까지 한 것으로 밝혀졌다. 본지 2월 6일자 보도

옥션에서 유출된 개인정보가 암시장에서 거래된다면 값이 얼마나 될까? 지난해 11월 경찰에 붙잡힌 김모(45)씨 일당은 이동통신사 상담원·동사무소 상근예비역 등을 이용해 알아낸 개인정보를 건당 10만~700만원을 받고 심부름센터에 팔았다. 만약 옥션에서 전 회원의 개인정보가 유출됐다고 가정하고, 건당 10만원을 적용한다면 옥션에서 해킹된 개인정보 전체의 가격은 1조8000억원에 달하게 된다.

옥션의 개인정보가 1조8000억원에 정말로 팔릴까? 그렇진 않다. 김씨 일당의 개인정보 가격은 심부름센터에서 부탁받은 특정한 개인정보를 찾아주는 조건으로 받은 삯이기 때문이다. 개인정보의 암시장 시세는 보통 건당 1~10원꼴. 하지만 옥션에서 유출된 개인정보는 이보다 비쌀 것이라고 한다. 텔레마케팅 업계 관계자는 "옥션에서 유출된 정보에 고객의 구매·환불 기록이 있다면 1인당 10원 넘게도 받을 수 있을 것"이라며 "구매 기록에 따라 각 개인에게 맞는 광고를 하는 쪽이 효율적이기 때문이다"라고 설명했다.

개인정보가 유출된 이용자들은 어떻게 보상을 받을 수 있을까. 가장 빠른 방법은 업체의 자발적인 배상이다. 옥션 홍보팀의 서민석 부장은 "피해 상황이 밝혀지는 대로 개인 이용자별로 유출 내용을 알리고, 이로 인해 피해를 입은 이용자에 대해선 보상하겠다"며 "보상의 규모와 구체적인 방법은 고민 중"이라고 말했다.

지난해 10월 SK텔레콤은 개인정보가 유출된 이용자 2500명에게 총 1억7500만원의 상품권을 지급했다. 1인당 7만원꼴이다. SK텔레콤은 지난해 9월 블로그 서비스를 시범 운영하던 중 이용자 2500명의 개인정보를 유출했다. 시험 과정에서 관리자 페이지가 공개되면서 2500명의 이름, 휴대전화 번호, 블로그 주소 등이 유출된 것. 이용자들의 항의가 빗발치자 SK텔레콤은 2500명 전원에게 위로의 의미로 7만원의 상품권을 보냈다.

SK텔레콤이 7만원에 상당하는 상품권을 스스로 내어놓은 것은 피해자가 적었기 때문이기도 하다. 2004년 일본의 소프트뱅크가 계열사 야후!BB의 고객정보 유출에 대해 사과의 의미로 야후!BB 이용자 전원에게 보낸 상품권은 고작 500엔(4400원)이었다. 하지만 소프트뱅크가 여기에 지출한 돈은 총 40억엔(353억원)에 달했다. 380만 명이나 되는 이용자 수 때문이었다. 옥션이 보상을 선택한다 해도 SK텔레콤이나 소프트뱅크에 비해 더 적은 액수가 될 가능성이 크다. 가입자 1800만 명 모두에게 1000원씩만 지급해도 180억원이나 들기 때문이다.

개인정보가 유출된 이용자가 배상을 받을 수 있는 또 다른 방법은 한국정보보호진흥원(KISA) 개인정보분쟁조정위원회의 조정을 거치는 것이다. 조정제도는 2002년 도입됐고, 위원 9명의 전원 합의를 통해 이뤄진다. 조정위원으로는 변호사, 교수, 시민단체 간사 등이 참여하고 있다. 개인정보분쟁조정위의 조정에는 일종의 '시세'가 형성돼 있다. 인터넷을 통한 개인정보 유출 사례가 워낙 빈번하게 일어난 탓이다.

개인정보분쟁조정위원 이형규 교수(한양대 법대)는 "주민등록번호, 주소, 전화번호 등을 포함한 일반적인 유출에는 1인당 10만원 정도로 조정이 성립된다"며 "하지만 기업의 과실 여부, 규모, 개인정보의 내용, 침해의 범위 등에 따라 수천원에서 수십만원까지 차이가 난다"고 말했다. 조정위의 조정 결과는 법원 판결과 비슷한 편. 법원에서 1인당 10만원을 지급하라고 판결된 '리니지2'는 조정위에서도 같은 금액으로 조정이 성립됐다.

배상을 받을 수 있는 최후의 방법은 민사 재판. 하지만 오래 걸린다. 2005년 발생한 온라인게임 '리니지2' 개인정보 유출에 대한 2차 소송은 지난달에야 이뤄졌다. 서울중앙지법은 게임제작사 엔씨소프트에 대해 이용자 1인당 10만원을 지급하라는 판결을 내렸다. 재판부는 판결문에서 "개인정보 유출로 인한 후속 재산피해는 없었지만 사용자들의 정신적인 피해가 인정된다"고 밝혔다. 개인정보 유출 배상금은 '정신적 피해에 대한 위로금'이란 의미를 지닌다는 얘기다.

이런 까닭에 개인정보 침해 배상금은 "그때그때 달라요"다. 서울중앙지법은 지난달 2006년 발생한 LG전자 취업원서 유출 사건에 대해서는 지원자 1인당 70만원을 지급하라는 판결을 내렸다. '리니지2' 판결의 6배에 달하는 금액이다. 인터넷 보안업체 관계자는 "취업원서에는 자기소개 등 개인의 삶에 대한 기록이 담겨있는 만큼 프라이버시로서 가치를 법원에서 높게 평가한 것으로 보인다"고 말했다.

하지만 개인정보가 범죄 집단에 넘어가는 경우, 돈으로 환산하기 어려운 최악의 피해가 벌어질 수도 있다. 사이버범죄연구회장 정완 교수(경희대 법대)는 "옥션에서 개인정보를 해킹한 것이 정말로 중국인 해커라면 전화를 통한 피싱 범죄에 악용될 가능성이 크다"며 "각 개인의 정보를 가지고 이름과 주민등록번호를 대며 검찰을 사칭하면 피해자가 엄청나게 늘어날 것"이라고 말했다.