'대통령 개인정보도 털렸다' 심각한 보안 불감증

■ 대통령 주민등록번호가 검색된다?

"박근혜 대통령의 개인정보가 털렸다." 지난해 1월 KB 국민카드 고객정보 유출 사태 때 화제가 됐던 소식입니다. 당시 박 대통령은 상당수 국민과 마찬가지로 피해를 보았습니다. 휴대전화 번호, 주민등록 번호, 자택 주소, 자가용 보유 여부, 주거 상황 등이 새나간 것으로 알려졌습니다.

그런데 최근 비슷하면서도 더 심각한 사례가 있다는 제보가 들어왔습니다. 누구라도 대통령 주민등록번호를 검색할 수 있다는 내용. 더 큰 문제는 대통령 한 명이 아니라 천600명 넘는 사람들의 개인정보가 덩그러니 노출됐다는 것이었습니다.

■ '박근혜 520202' 검색창에 쳐봤더니...

제보자가 알려 온 검색법(?)은 간단했습니다. 52년 2월2일, 공개된 박근혜 대통령 생년월일과 이름을 구글 검색창에 치는 겁니다. 실제로 해봤더니 수천 명의 한글 및 영문 이름과 주민등록번호 등이 적힌 명단이 함께 나왔습니다. 이 가운데는 박근혜 대통령의 주민등록번호가 13자리 모두 노출돼 있었습니다.

명단을 하나하나 보니, 낯익은 이름도 수두룩했습니다. 대통령의 측근 친인척과, 전 청와대 고위관계자, 현직 지자체장, 그리고 전 부총리급 인사들의 이름과 주민등록번호가 눈에 띄었습니다. 그리고 재벌 그룹 회장을 포함해 아들과 딸, 며느리 등 그 일가들의 개인 정보도 상당수 보였습니다. 특히 명단에는 '본인' '배우자' '자녀' 등 가족 관계까지 명시돼 있어 한 가족의 주민등록번호가 통째로 노출된 경우도 적지 않았습니다.

■ 13년간 누적된 '보안 불감증'

명단 출처를 추적해봤습니다. 취재 결과 문제의 파일은 국내 모 리조트의 이용객 명단으로 파악됐습니다. 해당 리조트에서 2000년부터 2002년까지 이용객 정보를 정리해 둔 것인데 외부로 나간 겁니다. 실제 이용했는지 여부도 불확실합니다. 본인 여부와 노출 경로 등을 따지려면 13년 전까지 거슬러 올라가야 합니다.

모 리조트는 2002년 당시 한 IT기업에 고객관리 전산 시스템 구축 사업을 맡겼습니다. 이 과정에서 문제의 파일은 해당 IT기업에 넘어갔고, 이후 또 다른 소규모 IT기업 서버로 옮겨진 것으로 파악됐습니다.

워낙 오래 전 일이라 정확한 경로는 취재가 어려웠지만, 분명한 것은 관련 업무가 끝나면 즉시 파기했어야 하는 정보였음에도 사업을 맡은 기업들이 제대로 처리하지 않았다는 점입니다.

■ '무방비 서버' 뒤지는 '구글'

낮은 보안 의식도 한 몫 했습니다. 해당 파일이 저장된 곳은 한 IT기업의 FTP 서버, 이른바 '파일전송 통신규약(File Transfer Protocol)' 서버였습니다. 이 서버는 여러 명이 네트워크를 통해 파일을 공유할 수 있는 저장장치입니다.

문제는 구글 검색 엔진이 워낙 강력한 탓에 여기에 저장된 정보도 찾아낼 수 있다는 데 있습니다. 2010년 이후 구글은 FTP 서버까지 검색 영역을 확대했고, 이 때문에 허술한 보안 체계를 갖고 있던 서버들은 시쳇말로 숱하게 털렸습니다.

물론, 비밀번호 설정만 제대로 했다면 노출은 막을 수 있었지만, 문제의 서버는 비밀번호 설정 없이 '익명(anonymous) 접속'이 가능하게 돼 있었습니다. 비유하자면 창문이며 대문까지 활짝 열어놓고 집안에 물건을 집어가도 모르게 내버려둔 겁니다. (취재진은 이런 사실을 해당 업체와 정부에 알렸고, 현재는 노출이 차단된 상태입니다.)

■ '위기의 개인정보' 수백만 건 무방비 노출

낮은 보안 의식 탓에 개인정보의 무방비 노출은 어쩌면 우리 일상이 됐습니다. 정부는 2012년부터 '개인식별정보 감시 시스템'을 정기적으로 가동해 노출 사례를 솎아내는 중이지만, 모두 가려내기에는 역부족입니다. 2~3개월에 한 번씩 이 시스템을 돌려보면 무려 200만 건이 넘는 노출 사례가 확인된다고 합니다. 탁월한(?) 구글 검색 능력만을 탓하는 것과 별개로 피해는 이미 현재 진행형입니다.

결국, 개인정보 보안은 나부터 그리고 내가 속한 곳부터 챙겨야 합니다. 민감한 식별 정보를 다루는 민간기업과 공공기업이라면 더더욱 그래야겠죠.

그리고 슬픈 얘기지만 이 방법도 권해봅니다. '대통령 주민등록번호 검색법'을 자신에게 적용해보는 것이지요. 이름과 생년월일을 구글 검색창에 가끔 쳐보고, 결과가 나온다면 한국인터넷진흥원 개인정보침해신고센터에 연락하는 겁니다.

☞ 바로가기 [뉴스9] 대통령 주민번호까지…1600명 정보 인터넷에 노출

※ 이 기사는 2월 24일 KBS 뉴스9에서 방송으로 보실 수 있습니다.

우한울기자 (whw@kbs.co.kr)