보이지 않는 곳, 당신의 정보가 새고 있다
온라인 기업의 도덕적 해이(Moral Hazard)
있어서는 안될 도덕적해이(모럴헤저드:Moral Hazard)의 피해는
고스란히 국민들한테, 소비자들한테 돌아간다.
누군가의 사적 이익을 위해,
수많은 사람들의 정보가 사고 팔리는 세상.
그저께 남편에게 지나가는 말로 들었던 내용이 오늘은 보니까 네이버페이와 토스까지 넘어갔다.
금감원이 일시성으로 쥐고 흔들다가 그냥 덮지 않길 바란다.
이거 상황이 점점 커지고 있는 것 같은데.
금감원에서 주시하는 거대공룡들의 개인정보 유출의혹.
어떻게 나오려나. 귀추가 주목된다. 나 토스페이 얼마전에 가입했단 말이다.....
제발 아니어라 토스페이녀석아.
일단 카카오페이에서는 개인신용정보 유출논란과 관련해서
지난 5월 22일부터 알리페이에 대한 정보제공을 중단했다고?
8월 14일에 밝힌 상태다.
이렇게 발을 빼고 있지만 실은 유출은 이미 벌어진 일.
금융감독원은 지난 5∼7월 카카오페이의 해외결제 부문에 대한 현장검사를 실시한 결과, 카카오페이가 해외결제를 이용하지 않은 고객까지 포함한 전체 가입 고객의 개인신용정보를 고객 동의 없이 제3자인 알리페이에 제공한 사실을 적발했다고 밝혔다.
금감원에 따르면 카카오페이는 2018년 4월부터 매일 1차례에 걸쳐 누적 4천45만명의 카카오계정 아이디(ID)와 휴대전화 번호, 이메일, 카카오페이 가입내역, 카카오페이 거래내역(잔고, 충전, 출금, 결제, 송금 등) 등 542억건의 개인신용정보를 알리페이에 제공했다는 것까지 확인이 됐다.
어쩌면 천문학적인 수익을 얻었을 지 모르는 정보습득자.
몸통이 어디일까.
누적 4천만명의 카카오계정 ID라고 한다면,
우리나라 인구로 따지면 80% 이상의 국민의 정보가 유출된 셈이다.
2018년 4월부터 6년간 유출되었다고 하는데 이 계정 유출여부가 확인이 될런지는 모르겠다.
이미 구글도 한번 겪은 일이란다. 지금은 서비스가 중단된 구글플러스의 개인정보유출은 보안감사가 아니었다면 세간에 묻혔을 것이다.
2018년 10월 8일(현지시간) 월스트리트저널(WSJ)에 따르면 구글은 지난 3월 보안감사를 통해 구글플러스의 버그(보안 허점)를 발견했다. 버그는 외부 앱 개발자가 구글플러스 이용자가 친구들에게만 공유하도록 설정한 데이터에 접근할 수 있도록 했다. 구글이 자체 분석한 결과 이 버그는 50만여개에 이르는 구글플러스 이용자 계정에 영향을 미친 것으로 확인됐다. 노출된 이용자 개인정보는 이름과 이메일 주소, 생년월일, 성별, 사진, 주소, 직업 등이 포함된 것으로 전해졌다. 구글 측은 “구글플러스에 게시한 글이나 이용자끼리 주고받은 메시지, 이용자 휴대전화 번호, 구글 계정 정보 등은 유출 가능성이 없다”고 주장했다.
구글 내부위원회는 이러한 개인정보 유출 가능성을 발견했지만 외부에 공개하지 않기로 결정했다. 내부 변호사들은 구글이 이 사건을 일반에 공개할 법적 의무가 없다고 판단한 것으로 알려졌다. WSJ가 입수한 구글 내부 문건에서 구글의 법률·정책 담당자는 이 사건을 공개할 경우 “즉시 규제 문제를 일으킬 수 있다”고 경고하며 페이스북의 케임브리지 애널리티카(CA) 스캔들과 같은 후폭풍을 우려한 것으로 드러났다. 순다르 피차이 최고경영자(CEO)에게는 사내위원회가 개인정보 유출 사실을 이용자들에게 통지하지 않기로 결정한 후 보고가 이뤄졌다. (서울신문 중)
이 사건 이후 구글플러스는 서비스가 중단되고 종료되기에 이른다.
네이버에서 나무위키로 구글플러스를 쳐 봤더니 종료된 서비스로 확인이 된다.
구글+
구글에서 페이스북의 대항마로 선 보였던 SNS 서비스. 지금은 SNS로서는 망했고 나머지 서비스도 망해 가는 중.(나무위키 쎈데??)
페이스북과 비슷하지만, 서클이라는 그룹으로 정리하는 것을 기본으로 하며, 페이스북과 같은 "담벼락"은 존재하지 않는다고 봐도 좋다. 2012년 4월 UI 업데이트 때부터 페이스북과 매우 비슷해졌다. 다양한 기능이 있지만 아직 성능 면에서 따라잡아야 할 부분이 꽤 많다.
사실상 구글이 애플처럼 메일/일정/위치는 물론 동영상/SNS/그외 모든 모바일 서비스까지 모든 서비스들을 자사 상품 하에 통합시키려는 계획의 일환으로 봐야 한다. 안드로이드 기반의 핸드폰들은 이미 구글 플러스 계정으로 위치 정보와 검색 정보를 지속해서 보내고, 데스크탑에서는 크롬을 통해 정보를 수집한다. 또한 구글 플레이와 유튜브는 구글 플러스에 강제 연동-통합되었는데, 접근성이 매우 좋지 못한 등 강제 연동의 부작용이 엄청나게 터져나왔다.
하지만 2014년 4월경부터는 구글 플러스의 비중이 점점 축소되고 있다. 2014년 9월부터 구글 가입 시 구글 플러스 계정 생성을 의무가 아닌 선택으로 변경했고, 2015년 3월 1일에는 SNS기능을 떼어낸 구글 스트림과 사진 기능을 떼어낸 구글 포토를 발표했다. 구체적인 내용은 5월에 열릴 구글 개발자 대회를 통해 공개된다고 한다. 또 2015년 7월 28일부터는 유튜브 등 타 서비스와 구글 플러스의 연동을 서서히 중단하기 시작했다.
그러다가 2018년 가을에 구글이 개인정보 유출 사건을 입막음하려다 논란이 커져 파문을 일으켰고 그 여파로 결국 2019년 4월 2일에 서비스를 종료할 것임을 예고했고 2019년 1월 28일부터 폐쇄 수순을 밟기 시작했다. 2월 4일부터 더 이상 새 Google+ 프로필, 페이지, 커뮤니티 또는 이벤트를 만들수 없다고 했다.#
결국 2019년 4월 3일 수요일 오전 7시 39분(한국 시간 기준)에 비상업적/개인용 Google+ 개인 프로필 페이지 및 모든 서비스 삭제를 위해 폐쇄되었다. (정보 출처 나무위키)
실제로 피해를 겪지 않은 유저들에게는 그게뭐?? 하면서 넘어갈 수 있는 일이지만, 나는 그럴 수가 없는 사람이다. 온라인 해킹 피해를 적지않게 겪어본 당사자이기 때문.
CASE 001.
가장 큰 사례로 2015년 12월 나와 남편의 결혼 이후, 우리가 식을 올린 웨딩영상으로 쓰려고 슬라이드사진들을 모아놓고 만들어놓았던 영상을 포함해서 모든 파일들이 해킹당한 적이 있다.
그 당시 비트코인이 70만원이어서, 이 파일들을 열고 싶으면 3비트코인을 내놓으라고 했던 해커새퀴들.........
(아 그 때 비트코인의 가치를 알았다면 나는 지금쯤은....!)
눈물을 머금고 모든 파일을 포기한 채 완전 초기화를 했고, 내 피같은 일주일간의 밤샘작업물과 10여년 간의 대학 과제부터 모든 파일들을 날렸다.
그 뒤로 외장하드를 사거나 메일로 중요 정보는 저장해두는데,
사실 메일도 안전하지 않다.
온라인상에서의 해킹이나 바이러스감염유도, 같은 피해는 생각보다 우리 곁에서 자주 일어난다.
CASE 002.
실제로 일했던 무역회사에서도 3천만원 가량의 피해가 있었는데, 주로 나이지리아 쪽이나 중국 쪽에서 시도가 많은 것으로 확인됐다.
그 당시 나는 해외영업팀으로 한국의 중장비부품을 호주,캐나다,중국,태국으로 수출하는 항공/선박 포워딩을 같이 진행했었는데, 선적서류를 보통 선임자가 컨펌하고 나면 메일을 보내곤 했다. 2009년 당시에는 지금처럼 PDF파일에 전자서명을 거는 암호화가 상용화되기 전의 상태라, 엑셀파일을 그대로 보내던 일이 비일비재했다. 입금요청기간이 지나 통화를 하다가 이상한 점을 발견한 차장님이 발견했을 때는 이미 사고가 터진 뒤였다. 엑셀파일이나 워드파일의 형태로 확장자가 된 파일들을 중간에 메일해킹등을 해서 임의로 계좌번호를 교묘하게 바꿔 보내서 돈이 이상한 곳으로 들어가게 하는 바람에, 우리는 받아야 할 선적대금을 못 받게 되었다.
회사 이름이 ABC COMPANY라면 ABC QOMPANY라던가 APC COMPANY 이런 식으로 회사명까지 비슷하게 예금주를 만들어 새 계좌를 파서 넣어놓기 때문에,
자주 거래하던 거래처가 아니면 회사들은 별 의심없이 입금처리를 하게 되는 것.
**호주에서 2억짜리 거래 건 중 7천만원을 그렇게 의심없이 입금했다가 우리 계좌가 아님을 알았을 때, 이미 계좌추적은 불가능했고, 우리는 7천만원 중 3500만원을 우리 자금으로 충당, 나머지는 젠틀했던 호주 바이어가 책임지고 다시 보내주어서 거래는 문제없이 선적이 되었던 일화가 있다.
그 뒤로 대표와 차장, 나를 비롯한 모든 직원들은 모든 엑셀파일을 PDF화 하고 암호화까지 해서 파일을 보내거나 한번 더 SKYPE로 확인한 후 입금처리를 확정하는 버릇이 생기기도 했다.
CASE 003.
그 후 일했던 전자서명기기 제조회사에서는 브라질 쪽 바이어를 맡아서 선적을 따오거나 프랑스 쪽으로 전시회를 나가는 일이 담당업무였을 때, 경찰서에서 전화 한통을 받는다.
"김00씨죠? 서울00경찰서 000경감입니다."
"네 안녕하세요."
나는 이 분이 그 유명한 스미싱 피싱업자라고 생각하고 대수롭지 않게 통화를 이어갔다.
"현재 김00씨 소유의 농협통장이 80만원의 부당이익을 챙긴것으로..."
"네? 저는 농협통장이 없는데요??"
"네? 아. 혹시 신분증 잃어버리신 적이 있으신가요?"
"그건 5년도 더 된 일인데... 이상한데요."
"네이버 메일주소 ********@naver.com 아니세요?"
"그건 제 메일주소 맞아요."
"어 거기서 게임 아이템 몇 회 결제하신 내역이 이메일로 발송이 된 걸로 나오는데요."
"..........게임을 한 적이 없는데요.?"
..............
느낌이 쎄했다.
이거 거짓말로 내 현금을 뜯어갈 줄 알았던 경찰은 확인 결과 진짜였다. 잠시 후에 업무처리 후 다시 전화를 드리겠다 하고 혹시나 해서 경찰청에 이름과 소속을 확인하니 실제 근무하고 계시는 민중의 지팡이 경찰분이맞았다. 나는 내 정보가 도용당한 것을 단번에 눈치챘다.
"안녕하세요 경감님 아까 전화주셨던 김00인데요, 저는 그 시간에 회사에서 서류를 만들던 회사 노트북으로 업무중이라 그 시간에는 네이버메일을 쓸 일이 없었거든요. 사이트 이메일을 쓰고 아웃룩으로 확인을 항상 하거든요."
"어....그럼 혹시 그 ip주소 좀 확인 가능할까요?"
내가 쓰는 회사용 pc의 ip주소 확인방법들을 경찰에게 안내받아, 회사에서의 알리바이를 증명하고, 하나의 확인방법으로 네이버 이메일 설정에 들어가서 해외 ip접속여부를 보니 이게 웬일.
나이지리아, 일본, 중국 에서의 ip유입검색이 뜨는 것이었다.
그 길로 바로 해외 IP 차단을 걸고,
타지역 IP차단도 걸어버렸다.
그리고 네이버 인증 2단계를 무조건 걸어서 귀찮아도 내가 허용한 기기에서만 내 ID로그인이 되도록 설정을 바꿔놓게 되었다.
CASE 004.
가장 최근의 피해사례는 2년 전 실제로 99만원의 계좌 잔액 인출이 되었던 남편의 구글플레이 해킹사건.
이 날 SMS메시지로 잔액 안내가 뜨게 해주는 서비스를 해놓지 않았다면 (앱으로만 확인되게 해놨더라면)
아마 남편은 본인의 통장에서 99만원이 모두 빠져나간 뒤에야 눈치 챘을 것을,
"어. 어어어! 어어어어 여보 나 폰이 왜이래!!!!"
차안에서 작업을 하던 남편이 자신의 스마트폰을 보다가 귀신이라도 본 듯이 소리를 지르며 나에게 달려왔다.
얼굴이 새하얗게 질린 남편의 문자화면을 보는 순간 나도 같이 소리를 질렀다.
"이,이게 뭐야아악!!"
[띠링]
출금 99,000원
[띠링]
출금,99,000원
[띠링]
출금,99,000원
.
.
이렇게 99,000원씩 무려 10번이나 출금메시지가 울리고 나서야 멈춘 남편의 스마트폰.
타고타고 찾아서 올라가보니,
소액결제한도를 정해놓지 않은 남편의 KT폰 설정에서 건당 10만원으로 자동설정된 KT방침에 따라, 게임아이디해킹을 한 해커가 99,000원씩 10번이 넘게 시도를 했을 것이고, 그 중 최대한도가 100만원까지라서 그나마 99만원에서 멈춘 것이었다.
즉시 남편은 통신사로 전화를 걸어 긴급으로 소액결제를 중단시키고, 아예 한도도 0으로 바꿔놓은 뒤 우리의 처절한 환불요청이 시작됐다.
어떻게 되었냐고?
3개월 뒤에 KT에서 99만원의 요금을 한달에 얼마씩 차감해주는 방식으로 끝이 났다. (회사방침상 현금환불입금이 안된다고함)
*구글플레이와 연동해놓았던 게 게임해킹의 주 원인으로 분석된다. 스마트폰으로 구글플레이 앱을 다운 받고 나서 그 사단이 났었기 때문에.
그리고 남편은 그 길로 구글플레이 설정을 0으로 해놓고 쓰지도 않음. 데일 때 제대로 데이고 나니 뭐든지 조심하고, 한달에 몇백원이 들어도 모든 은행 입출금과 잔액은 문자메시지로 받도록 한다.
한참동안 주식 리딩방 텔레그램 밴드가 기승을 부린 적이 있다. 요즘은 하도 수신차단해서 안옴.
몇 십만원 소액 주식을 하는 기간에는 또 미친듯이 주식 관련 문자가 쏟아지고,
남편이 여행하는 동안 카지노에 갔었던 뒤로 두세달은 또 카지노 관련 문자가,
토토를 하는 동안에는 토토 관련 문자가 쏟아지기도 했다.
*결국 나의 남편은 올해 휴대폰 번호를 과감하게 바꿔버림.
편리하고 신속한 결제사용과 유익한 정보획득을 위해 우리가 회원가입하고, 기재하는 모든 정보는
언제 어디를 돌아다니고 있는지 우리가 확인할 수 있는 길은 없다.
다만 내 정보를 이용하는 수많은 기업체나 개인들이 불법적이거나 범죄에 사용되고 있는 건 아닌지 수시로 확인이 필요한 것 같다.
그리고 가끔은,
그 편리성과 빠름보다
귀찮더라도 오래 걸리더라도 확실한 방법을 택할 필요도 가끔 있다는 것을
어쩌면 돌아가도 아날로그가 나을 때가 있다는 것을
요즘 부쩍 느끼고 있다.
내가 하루에 한번씩 스마트폰과 PC로 온라인 결제를 하는 앱을 열거나 인터넷뱅킹이 공인인증서가 일단 스마트폰에 깔려있다면 부디 아래 사항들을 꼭 실행하면서 조심해주길 바란다.
-스마트폰과 PC는 하루에 한번씩 완전히 껐다가 켜자.(해커에게 전원공급중단은 큰 변수)
-백신프로그램 업데이트를 해두자
-중요자료는 백업해두자(외장하드 등)
-ID나 비밀번호를 좀 어렵게 만들기
-평소에 공짜로 뭐 준다는 사은품 가입정보에 기재하지 않거나 동의하지 않기
-계좌 입출금내역과 잔액 등은 수시로 확인가능한 SMS메시지로 받기
-생성문서는 암호화하기
-이상한 제목이나 관련없는 첨부파일은 절대 열지 않기
-주요 사용 앱들의 정보접근권한들을 설정에서 디테일하게 설정해두기(KT같은 통신사 소액결제 한도 축소나 0원으로 해둘 것, 네이버같은 플랫폼들은 해외IP차단을 걸어둘 것 등등)
이 정도만 생활화해도 주요 해킹을 막는 데는 도움이 된다.
계정해킹범들...
손가락 다 짤려라!!!!
