대형 건강 보험 업체‘유나이티드 헬스 그룹’(UnitedHealth Group) 자회사인‘체인지 헬스케어’(Change Healthcare)가 얼마 전 대규모 랜섬웨어 공격을 받았다고 공식 발표했다. 이후 수많은 고객에게 개인 정보 유출 피해가 있을 수 있다는 내용의 우편물이 발송됐다. 이 외에도 여러 해킹 피해로 인해, 개인 정보 유출과 관련된 우편물을 받는 사례가 최근 급증하고 있다. 그렇다면 이런 우편물을 받았을 때 내용이 사실인지 어떻게 구분하고 사실이라면 관련 계좌와 개인 정보를 보호하기 위해 어떤 조처를 취해야 할까?

■대규모 개인 정보 유출 갈수록 빈번

대규모 개인 정보 유출 피해가 갈수록 빈번해져 일일이 확인하기도 힘들 정도다. 비영리단체 ‘신원도용 자원센터’(ITRC·Identity Theft Resource Center)에 따르면 올해 상반기에 발생한 사이버 공격은 작년 상반기에 비해 약 14% 증가했다.

올해 3월 신용카드 회사 아메리칸 익스프레스의 고객 계좌 정보가 해킹에 의해 유출됐고, 불과 수 주 뒤에 AT&T 고객 수백만 명의 계좌 정보가 온라인에 노출되는 사건이 발생했다. 이어 8월에도 데이터 브로커 업체를 대상으로 일어난 사이버 공격으로 소셜시큐리티 번호를 포함한, 민감한 개인 정보가 대규모로 유출됐다.

사이버 보안 전문가들은 이들 기업들이 고객 개인정보를 너무 많이 수집하고 제대로 보호하지 않는 점이 최근 빈번한 개인 정보 유출 사고 원인으로 지목한다. 방대한 개인정보를 취합해 상품화하는 비즈니스 모델을 도입한 기업도 늘고 있는데 이 같은 사업 방식이 사이버 공격 피해를 늘린다는 지적이 끊이지 않는다.

■체인지 헬스케어, ‘전례 없는’ 규모 유출

체인지 헬스케어는 지난 2월 자체 시스템에서 랜섬웨어 공격 징후를 발견하고 사법 당국에 신고했다고 밝혔다.

5월 앤드루 위티 대표는 의회에 출석해 이번 사고로 상당수 미국인 민감한 개인정보가 유출됐다고 시인했다. 유출된 개인정보에는 고객 건강 상태, 치료 내역, 결제 정보, 보험 정보, 소셜시큐리티 번호 등이 포함된 것으로 알려졌다.

정부 기관 ‘인권 사무소’(The Office for Civil Rights)는 이번 피해를 전례 없는 규모로 보고 체인지 헬스케어를 포함, ‘의료정보보호법’(HIPAA·Health Insurance Portability and Accountability) 규제를 받는 기업에 대한 조사를 시작했다.

체인지 헬스케어는 개인정보 유출 피해가 우려되는 고객에게 7월부터 우편을 통해 단계적인 통보 조치에 나섰다.

회사 측은 또 우편물을 받고 전화 연락하는 고객에게 외부 업체 IDX와 협력해 무료 크레딧 감시 서비스를 제공하고 있다. 체인지 헬스케어 측은 구체적인 피해 규모와 유출된 개인 정보 내역을 아직까지 공개하지 않고 있다.

■ ‘이메일·문자’ 통보, 사실 여부 확인

개인정보 유출과 관련된 사기는 우편물을 통한 통보가 아닌 대부분 ‘피싱’ 이메일이나 문자 연락을 통해 이뤄진다. 체인지 헬스케어 사례와 같은 대규모 개인정보 유출 사건은 사기 범죄자들이 사용하기 좋은 범죄 수단이다. 따라서 의심스러운 통보를 받았다면 당황하지 말고 우선 관련 개인정보 유출 피해가 실제로 발생했는지부터 확인해야 한다.

개인정보 유출 피해가 발생한 회사에 직접 전화해 확인하는 것도 좋은 방법이다. 이때 통보에 적힌 연락처나 포털 사이트 검색 결과 나온 광고성 연락처는 피해야 한다.

사기 범죄자들은 흔히 피해자 유인을 위해 허위 웹사이트나 전화번호를 개설하기 때문이다.

체인지 헬스케어의 경우, 포털 사이트에 검색하면 모회사인 유나이티드 헬스그룹과 ‘연방보건복지부’(Department of Health and Human Services)가 관련 피해가 있었음을 공식 확인하는 성명서를 찾을 수 있다.

공식적인 정보의 출처는 ‘.gov’ 등 정부 공인 웹사이트나 관련 회사 공식 웹사이트 등을 통해 확인하도록 한다. 발송된 이메일이나 문자에 포함된 링크를 클릭하지 말고 반드시 관련 회사 웹사이트를 별도로 검색해 피해 유무를 확인해야 한다.

‘신원도용 자원센터’(ITRC) 웹사이트에서도 개인정보 유출 사고가 발생한 회사와 관련 정보를 검색할 수 있다. ‘레딧’(Reddit)과 같은 인터넷 포럼을 통해서도 비슷한 개인정보 유출과 관련된 통지서를 받은 피해자가 있는지 파악할 수 있다.

■의심스러운 계좌 내역 확인

사기 범죄자가 유출된 개인 정보를 범죄에 이용하는 방법은 크게 두 가지다. 입수한 계좌 정보에 직접 접속해 해킹을 시도하거나 개인 정보를 이용해 새 계좌를 개설하는 것이다. 통지서의 내용대로 개인 정보 유출 사고가 있었던 것으로 확인했다면 은행, 건강 보험 등 민감한 계좌의 비밀번호를 변경하도록 한다.

그런 다음 건강 보험회사, 은행, 신용 카드 회사 등에서 보내오는 명세서를 주의해서 살펴봐야 한다. 만약 사용하지 않은 금액이 청구됐거나 새 계좌가 개설됐다면 개인 정보 유출에 의한 피해가 발생한 것으로 볼 수 있다. 의심스러운 내역을 ‘연방거래위원회’(www.identitytheft.gov)에 신고하고 추가 피해를 막기 위해 신용을 동결해야 한다.

필요시 피해가 발생한 계좌를 해지하고 피해 내역을 경찰에 신고하도록 한다.

■사기 경고 서비스 설정

‘사기 경고’(Fraud Alert) 서비스를 설정하면 1년간 사기 범죄자 등이 무단으로 신용 계좌 개설을 시도할 때 연락을 받을 수 있다. 사기 경고 서비스는 3대 신용평가기관 익스페리언, 에퀴팩스, 트랜스유니언 등을 통해 전화 연락 또는 웹사이트로 신청할 수 있다.

신용을 동결하면 크레딧 점수 등 신용 정보 확인이 차단되기 때문에 신규 신용 계좌 개설을 막을 수 있다. 신용 동결 서비스도 신용평가기관의 전화 라인이나 웹사이트를 통해 신청하면 된다. 두 가지 방법 모두 무료로 신용 점수에 영향을 미치지 않으며 신용 동결이 더욱 안전한 방법이다.