다크웹에 떠돌아다니는 한국인 개인정보가 4억여건에 달하는 것으로 나타났다.
아이디(ID)·패스워드, 이메일, 주민등록번호, 집주소, 휴대폰 번호 등 한국인 개인정보가 마치 해커들의 '공공재' 마냥 다크웹에 흘러 다니면서 크리덴셜 스터핑(Credential Stuffing)과 피싱 등을 통한 2차 피해로 이어질 수 있다는 우려가 나온다.
6일 다크웹 전문 보안기업 스텔스모어 인텔리전스에 따르면, 현재 다크웹에서 유통되는 한국인 개인정보는 4억6704만8278건에 이른다. 한국 인구수(약 5000만명)를 감안하면 한 사람당 9건 이상 개인정보가 다크웹에서 떠다니는 셈이다.
다크웹은 인터넷 익스플로러 등으로 접속 가능한 일반 인터넷과 달리 토르(Tor)와 같은 특수한 브라우저 통해 접속하는 인터넷 공간이다. 익명성을 보장할 뿐만 아니라 아이피(IP) 추적도 불가능해 해커들은 다크웹을 놀이터 삼아 개인정보를 거래하거나 유포한다.
스텔스모어가 다크웹에서 분석한 데이터는 약 3200억건으로, 이 가운데 개인정보는 약 886억건이다. 이 중 4억여건이 한국인 개인정보로 판명된 것이다. 대개 해커는 한 개인의 ID·패스워드·이메일 등 개인정보를 묶어 판매하는데, 이를 1건으로 셌다.
문제는 이처럼 한국인 개인정보가 손쉽게 해커들의 손아귀에 들어가지만 손 쓸 방도가 사실상 없다는 점이다.
한국인터넷진흥원(KISA) 관계자는 “다크웹의 특성상 유통되는 데이터에 대한 진위 여부를 확인하기 위해선 불법적인 행위(구매 등)가 발생할 수밖에 없어 모니터링에 한계가 있다”고 말했다.
2차 피해로 이어질 공산도 크다. 해커는 확보한 아이디·패스워드 정보를 무차별 대입해 접속을 시도하는 크리덴셜 스터핑 공격 기법을 애용한다.
실제 최근 GS리테일의 홈쇼핑 업체인 GS샵 홈페이지가 크리덴셜 스터핑 공격을 받아 개인정보가 유출됐다. 다크웹에서 확보한 아이디·패스워드를 무차별 대입, 로그인한 후 개인의 추가 정보를 털어간 것이다. 해피포인트 운영사 섹타나인, 대성마이맥 운영사 디지털대성 등 민간 기업은 물론 한국고용정보원과 한국장학재단 등 공공기관도 크리덴셜 스터핑에 뚫렸다.
개인에 대한 세부 정보를 가지고 타깃팅을 통한 보이스피싱에 악용할 수도 있다.
전문가들은 개인정보 유출 예방을 위해 기업·기관과 사용자(국민) 모두의 노력이 필요하다고 강조한다.
개인정보를 다루는 기업·기관은 운용체계(OS)·서버·애플리케이션의 최신 보안 패치를 적용해야 한다. 또 개인정보 저장·전송 시 암호화하면 유출 사고가 발생해도 피해를 최소화할 수 있다. 개인정보에 필요 최소한의 접근 권한만 부여하고 이상 행위 감지 및 실시간 대응 체계를 구축할 필요도 있다.
사용자 역시 2단계 인증을 활성화하고 최신 보안 패치를 적극 적용해야 한다. 또 웹 브라우저 자동 로그인 기능 사용에도 주의가 필요하다. 악성코드가 브라우저에 저장된 계정 정보를 털어갈 수 있기 때문이다.
한국개인정보보호최고책임자(CPO)협의회 회장인 염흥열 순천향대 정보보호학과 명예교수는 “우선 다크웹 모니터링을 통해 개인정보 유출 여부를 확인해야 한다”며 “불법 사이트 차단과 다크웹 마켓 폐쇄를 위한 국제 공조도 필요하다”고 말했다.
조재학 기자 2jh@etnews.com
![[단독] ‘청첩장 스미싱’ 기승… 무심코 눌렀다 2300만원 털려](https://img.segye.com/content/image/2025/03/05/20250305518467.jpg)
