지난해 말 타깃 등 미국 대형 유통업체에서 대규모 고객정보 유출 사건이 발생했다.
미국 연방정부와 민간 조사기관은 이 해킹 사건으로 고객 4000만명의 신용카드와 직불카드 등 금융 정보가 유출됐고 7000만명은 주소, 전화번호 등의 개인정보가 도난당했다고 조사결과를 밝혔다.
타깃 사건으로 은행과 유통업체가 책임져야 할 피해액이 최소 180억 달러(약 19조1400억원)에 달할 것이라는 전망이 나오고 있으며 소비자들이 보상받지 못할 손실도 40억 달러(4조2500억원)에 이를 것으로 추정된다.
명품 백화점인 니만마커스도 올해 초 고객의 일부 고객의 신용카드 계좌와 거래 내용 등의 정보가 유출됐다고 밝혔다. 지난해 12월 니만마커스 매장에서 승인되지 않은 신용카드 결제가 적발된 이후 조사를 통해 이런 사실을 확인했으며 현재까지 구체적인 피해 규모는 알려지지 않고 있다.
2010년에는 범죄 조직이 JP모건체이스 등의 고객계좌 비밀번호를 빼내 거액을 인출했으며, 2007년에는 한 의류업체에서 9000만명의 정보가 빠져나갔고, 2008년에는 대형 서점인 반즈앤드노블 등에서 대규모의 고객 정보가 도난당하기도 했다.
미국의 개인 정보 유출은 해커들의 해킹을 통해 주로 이뤄졌다.
최근 월스트리트저널(WSJ)은 타깃과 니만마커스 등의 고객 정보 유출도 고도의 해킹 기술을 가진 대규모 국제 해커 집단에 의해 이뤄진 것으로 조사됐다고 보도했다.
해커들은 현재의 보안 소프트웨어로는 찾기 어려운 컴퓨터 바이러스를 유통업체의 카드 판독기에 침투시킨 후 고객들이 사용하는 카드의 마그네틱 선에 담긴 정보를 빼낸 것으로 알려졌다. 유출된 고객 정보는 암시장에서 거래된 후 가짜 신용카드와 직불카드 등을 만드는 데 악용됐다.
미국 당국은 개인 금융정보 유출 방지를 위해 2006년부터 17개 부처가 참여하는 태스크포스를 운영하고 있다. 또 정보를 빼낸 해커에게는 징역 20년 등 중형을 선고하고 있다. 그럼에도 개인정보 유출 사고가 끊이지 않아 고심하고 있다.
미국과 비교하면 우리나라는 솜방망이 처벌에 그친다는 지적이 일고 있다.
현재 우리나라에서는 개인정보를 유출한 자에 대해 5년 이하의 징역이나 5000만 원 이하의 벌금형에 처한다. 최고 20년의 중형에 처하는 미국과 비교하면 턱없이 적은 형량이다.
정보유출 금융기관에 대한 형사처벌 수위 역시 낮다. 신용정보보호법과 전자금융거래법을 적용하면 1개월 영업정지 혹은 과징금이 전부다.
국민일보 쿠키뉴스 김민석 기자 ideaed@kmib.co.kr