이름·주소·신분증 등 10억 건 ‘개인정보’ 유출…베트남 2100만 건 털렸다

20일 ‘단트리(Dân Trí) 따르면 베트남 이용자를 비롯해 미국·멕시코·독일 등 전 세계 26개국에서 수집된 10억 건이 넘는 개인정보가 한꺼번에 유출된 사실이 드러났다. 

이번 개인정보 유출에는 이름·주소·성별·이메일·신분증 정보·전화번호 등 본인 식별이 가능한 민감 정보가 대규모로 포함된 것으로 확인돼, 신원 도용과 금융 사기 등 2차 피해가 장기화할 수 있다는 우려가 커지고 있다. 

디지털 경제의 핵심 인프라로 꼽히는 ‘고객알기제도(KYC·Know Your Customer)’는 전 세계 디지털 서비스가 정상적으로 운영되기 위한 필수 절차다. 

은행 계좌 개설, 간편결제 가입, 가상자산 거래소 이용 등 대부분의 온라인 금융·플랫폼 서비스가 KYC에 의존한다. 그만큼 이를 뒷받침하는 이용자 데이터가 한번 유출되면 피해 범위와 파급력이 국경을 넘어 확산되기 쉽다는 지적이다.

사이버 보안 매체 ‘사이버뉴스(Cybernews)’ 연구팀은 최근 용량이 거의 1테라바이트에 달하는 대규모 공개 데이터베이스를 인터넷에서 발견했다. 

이 데이터베이스에는 전 세계 이용자들의 각종 민감한 개인정보가 대량으로 저장돼 있었던 것으로 파악됐다.

연구팀 분석에 따르면, 해당 데이터베이스에는 이름, 주소, 성별, 이메일 주소, 신분증 관련 정보, 전화번호 등 민감한 개인정보가 광범위하게 포함돼 있었으며, 총 26개국 이용자의 정보가 들어 있는 것으로 추정된다.

연구진은 이 데이터가 AI 기반 디지털 신원 인증 서비스를 제공하는 업체 ‘아이디메릿(IDMerit)’과 연관된 것으로 보인다고 밝혔다. 아이디메릿은 기업들이 이용자의 신원을 온라인으로 확인할 수 있도록 각종 신원 확인·KYC 서비스를 제공하는 것으로 알려져 있다.

사이버뉴스 측은 “이번 개인정보 유출은 계정 탈취, 표적형 사기, 신용카드 사기 등 다양한 위험을 초래할 수 있다”며 “제3자 신원 인증 서비스 제공업체는 이미 디지털 경제의 핵심 인프라로 자리 잡았고, 이들 시스템이 악성 행위자에게 취약한 지점이 될 수 있다”고 경고했다.

현재까지는 이 데이터가 실제로 범죄나 악의적인 목적으로 사용됐다는 직접적인 증거는 없는 상태다. 그러나 연구진은 “인터넷상에는 유출된 데이터베이스를 자동으로 검색·수집하는 도구가 다수 존재한다”며, 노출된 데이터가 언제든 범죄 조직의 손에 넘어갈 수 있다고 우려했다.

연구팀은 “보안 담당자가 해당 데이터베이스를 찾아냈다는 것은, 그 이전이나 이후에 다른 사람들도 이미 동일한 정보에 접근했거나 이를 복사했을 가능성이 높다는 뜻”이라고 지적했다. 유출 사실이 발견된 이후 문제를 수정하기 전까지는 사실상 ‘무방비 상태’로 방치됐을 수 있다는 설명이다.

이번에 확인된 유출 기록 10억 건 이상 가운데, 미국 이용자 정보가 2억400만 건, 멕시코 이용자 정보가 1억2,300만 건, 독일 이용자 정보가 6,000만 건에 달하는 것으로 집계됐다. 베트남 시장 이용자도 피해를 피하지 못해, 2,100만 건이 넘는 데이터가 유출된 것으로 추산된다.

전문가들은 수천만 건에서 수억 건 단위에 이르는 이 같은 대규모 정보 유출은 단순히 스팸 이메일이나 피싱 문자가 늘어나는 수준을 넘어선다고 입을 모은다.

이름과 연락처뿐 아니라 신분증 관련 정보까지 함께 새어 나갈 경우, 장기간에 걸친 신원 도용, 계정 탈취, 금융 사기 등의 위험이 현실화될 수 있기 때문이다.

특히 한 번 유출된 데이터는 다크웹과 각종 불법 거래망을 통해 계속 복제·재판매되는 경우가 많아, 피해자 입장에서는 수년이 지나도 ‘완전히 안전해졌다’고 보기 어렵다는 점도 문제로 꼽힌다.

전문가들은 “유출된 데이터가 계속 유통·공유될 경우, 사생활 침해와 2차 피해 위험은 수년간 이어질 수 있다”며 “이용자 개인은 계정 비밀번호 변경, 2단계 인증 활성화, 금융 거래 내역 상시 점검 등 기본적인 보안 조치를 강화할 필요가 있다”고 당부했다.

출처 : 인사이드비나(https://www.insidevina.com)