개인 정보를 취급하는 데이터 브로커 업체 ‘내셔널 퍼블릭 데이터’(NPD·National Public Data)가 지난 16일 소셜 번호 등 민감한 개인 정보가 해커로 보이는 범죄로 인해 유출됐음을 시인했다. 아직 정확한 피해 규모와 유출된 정보 내용 등은 밝혀지지 않았지만, NPD는 소비자들에게 주요 신용 평가 기관에 사기 피해 모니터링을 신청하고 주요 온라인 금융 계정을 주의해서 관리할 것을 당부했다. 그동안 소문으로만 알려졌던 이번 정보 유출 사고를 해당 업체가 공식 인정하면서 데이터 브로커 업계에 대한 철저한 규제가 필요하다는 지적이 나오고 있다.

■올해 4월, 8월 민감 정보 유출

NPD는 보안 사고가 있었음을 인정하며 지난해 12월 외부에서 데이터 해킹 시도가 있었고 올해 4월과 8월 잠재적인 정보 유출이 발생했다고 밝혔다. NPD는 자체 조사를 통해 이번 사고에 대한 후속 내용이 파악됐다고 밝혔지만, 파악된 내용을 공개하지 않았다.

그러면서 사법 기관과 협력해 추가 조사를 진행 중이며 보안 조치를 강화했다고만 밝혔다. 유출된 개인 정보 규모는 밝혀지지 않았지만, 데이터 브로커 업계에 따르면 NPD와 같은 대형 업체의 경우 거의 모든 미국인에 대한 기록을 관리하고 있을 것으로 추산된다.

그럼에도 불구하고 크레딧 기록을 관리하는 업체에 대한 규제는 까다로운 반면 수백 개가 넘는 데이터 브로커 업체에 대한 규제는 많지 않은 것이 이번 사고를 키웠다는 지적이다. 데이터 브로커 업체가 다루는 개인 정보는 이메일 주소, 주거지 주소, 전화번호, 소셜 시큐리티 번호, 친척, 부동산 및 법적 기록 등으로 다양하면서도 매우 민감하다.

고용주가 직원을 채용할 때 데이터 브로커 업체에 정보를 요청하고 마케팅 목적으로 개인 정보가 거래되기도 한다. 사람을 찾아 주는 인터넷 업체들도 데이터 브로커 업체의 주요 고객이다.

해커들은 지하 시장을 통해 지난 4월부터 NPD에서 유출된 수십억 건의 개인 정보를 제공한다고 주장하고 있으나 보안 업계는 가짜 정보나 중복 정보 등이 포함될 수 있어 이들이 주장하는 규모에 과장이 있을 것으로 보고 있다.

■크레딧 계좌 동결

피해가 우려된다면 크레딧 계좌를 동결한다. 크레딧 계좌를 동결하면 새 계좌 개설이 막히기 때문에 추후 범죄 피해를 방지할 수 있다. 크레딧 계좌를 동결해도 크레딧 점수에 미치는 영향은 없다. 크레딧 계좌 동결은 에퀴팩스, 익스페리언, 트랜스유니언 등 3대 신용평가기관 웹사이트에서 신청할 수 있다.

각 기관의 웹사이트에서 ‘계좌 동결 관리’(Manage Freeze) 또는 ‘계좌 동결 신청’(Add Freeze)을 클릭한 뒤 개인 정보 확인 양식을 작성하는 방식으로 신청하면 된다. 더 이상 피해가 우려되지 않는다고 판단되면 웹사이트, 전화, 우편 등으로 동결을 해제할 수 있다. 사회보장국 웹사이트의 ‘마이 소셜 시큐리티’ 페이지에서 계정를 개설하면 소셜 시큐리티 번호와 관련된 의심스러운 활동을 감시할 수 있다.

▶에퀴팩스: https://www.equifax.com/personal/credit-report-services/, ▶익스페리언: https://www.experian.com/help/, ▶트랜스 유니언: https://www.transunion.com/credit-freeze, ▶사회 보장국: https://www.ssa.gov/myaccount/

■이중 인증 설치

이중 인증 기능을 사용하는 것이 해킹 피해를 막는 가장 안전한 방법이다. 이중 인증 기능을 설치하면 각종 온라인 계정에 로그인할 때 패스워드 입력 외에도 문자, 이메일 등으로 별도의 인증 절차를 거쳐야 한다. 이중 인증 절차는 새 계정을 개설할 때 추가할 수 있고 이미 개설된 계정도 이중 인증 절차로 변경하면 된다.

인터넷 보안 업계에 따르면 이중 인증 절차가 개인 정보 유출을 막는 가장 효율적인 방법임에도 불구하고 귀찮다는 이유로 무시하는 사용자가 많아 해커들의 먹잇감이 되고 있다. 아직 이중 인증 절차를 사용하지 않고 있다면 금융이나 의료 보험 등 민감한 정보가 포함된 계정부터 이중 인증 절차를 설치하라고 인터넷 보안 전문가들은 조언한다.

■다크 웹 모니터링 서비스

데이터 브로커들은 신용카드 회사나 은행, 보험사, 유통업체 등으로부터 카드 사용 내역, 예금 등의 정보를 사들이고, 법원 기록이나 건강보험 기록 등 공공정보를 수집해 데이터를 축적한다. 그런 다음, 이 정보들을 가공 처리해서 금융회사나 판매자들이 필요로 하는 데이터를 제공한다. 때로는 사법 기관에 개인 정보를 제공하는 경우도 있다.

일반인이 데이터 브로커가 내 소셜 시큐리티 번호를 확보했는지 확인할 수 있는 길은 거의 없다. 하지만 다크 웹 모니터링 서비스를 통해 개인 정보 유출 여부 등을 확인하는 방법이 있다. 서비스를 통해 개인 정보가 유출된 것이 확인되면 삭제 요청 등이 사용자를 대신해 전송된다.

■안전한 패스워드 설정

패스워드 하나로 여러 웹사이트 계정의 로그인을 돌려 사용하는 사용자가 해킹 피해가 가장 취약하다. 계정마다 독특하고 긴 패스워드를 설정해야 해킹으로 인한 정보 유출 피해를 막을 수 있다. 패스워드는 문자(대문자, 소문자 혼합), 숫자, 특수 문자를 혼합해 생성해야 비교적 안전하다. 패스워드에는 생년월일, 반려동물 이름 등 개인 정보를 포함하지 않는 것이 좋다.

패스워드를 복잡하고 길게 설정하면 안전하지만 기억하기 힘든 것이 단점이다. 패스워드 관리 앱을 사용하면 복잡한 패스워드를 매번 기억해야 하는 불편함 없이 안전하게 사용할 수 있다. ‘대시레인’(Dashlane)과 ‘1패스워드’(1Password) 등의 패스워드 관리 앱은 안전한 패스워드를 자동으로 생성해 주고 각 계정에 로그인할 때 입력을 돕는다.

대시레인은 패스워드 25개까지(개인 사용자·기기 1대) 무료로 사용할 수 있고 1패스워드는 개인 사용자에 한해 월 2달러 92센트만 내면 안전한 패스워드를 무제한으로 생성 및 관리하는 서비스를 제공한다. 애플과 구글도 자체 운영시스템을 통해 무료 패스워드 관리 프로그램을 제공한다.

■소셜미디어 비공개 전환

‘인플루언서’ 목적이 아니라면 소셜 미디어는 비공개로 사용해야 개인 생활과 개인 정보가 새는 것을 막을 수 있다. 소셜 미디어상에 공개된 개인 생활을 악용해 가족이나 친구를 사칭한 사기 범죄가 자주 발생하고 있다. 모바일 결제 앱이나 유튜브 등도 비공개로 설정을 전환한다. 최근 한 유명 정치인의 모바일 결제 앱 거래 내역이 유출돼 그의 사회적 관계가 일반인들에게 공개된 바 있다.

사용하지 않는 인터넷 계정이 있다면 반드시 폐쇄해야 한다. 개인 정보가 인터넷상에 오래 돌아다니면 정보 유출 위험도 커진다. 한국판 싸이월드인 ‘마이스페이스’와 같은 온라인 계정도 반드시 폐쇄를 요청해야 한다. 그래야 사용자 동의 없이 개인 데이터가 매매되는 것을 방지할 수 있다.

내용을 삭제하고 계정 폐쇄해도 관리업체에 저장된 데이터가 삭제되지 않을 수도 있다. 일부 주에서는 사용자의 정보 삭제 요청이 있을 경우 업체 서버에서도 영구히 삭제하도록 하는 규정을 시행 중이다. 비영리 소비자 보호 기관 컨슈머리포츠는 사용자가 한 번에 여러 계정 정보 삭제를 요청할 수 있는 ‘퍼미션 슬립’(Permission Slip) 서비스를 제공한다.