IT보안. 서울 사는 김부장의 개인정보, 얼마일까
- 다크웹에서 당신은 생각보다 훨씬 비싸다 -
얼마 전 고객사 담당자 집에 초대받은 적이 있다. 일 얘기 하다 보니 친해졌고, 어쩌다 저녁 식사까지 하게 됐다. 오래전 출장 다닐 때 사뒀다는 야마자키 12년산을 꺼내주셨는데, 요즘 가격 생각하니 괜히 미안해지더라. 그 분위기에 거실 홈캠이 눈에 들어왔다. 혹시 비밀번호 바꾸셨냐고 물었더니 돌아온 대답이 걸작이었다.
"그게 바꾸는 거예요?"
말문이 막혔다. 그분 집 거실이 지금 이 순간 누군가에게 열려있을 수도 있다는 걸, 어디서부터 설명해야 하나 잠깐 고민했다. 결국 그냥 핸드폰 꺼내서 직접 보여드렸다. 설명보다 그게 빨랐으니까.
오늘은 그 얘기다.
김부장을 소개한다.
서울 마포구 거주. 44세. 중견 제조업체 영업부장. 아파트 담보대출 있고, 카드 세 장 돌려막는 중이고, 건강검진에서 작년에 고지혈증 소견 받았다. 초등학생 딸 하나. 해외 출장이 연 2~3회라 여권은 항상 유효기간 챙긴다. 쿠팡 로켓배송 단골이고, 카카오뱅크 계좌 있고, 거실엔 홈캠 하나 달아뒀다. 애 혼자 있을 때 확인하려고.
지극히 평범하다. 털어봤자 나올 게 없을 것 같다.
근데 다크웹 기준으로 김부장은 꽤 비싼 사람이다.
김부장 몸값, 항목별로 계산해 보면
이름·전화번호·주소 조합 한 건.
1~3달러. 쿠팡 같은 대형 유출 사건에서 대량으로 풀리는 그 데이터다. 싸 보이지만 수천만 건씩 묶음으로 거래된다. 김부장 혼자 특별히 노린 게 아니라는 얘기다.
신용카드 정보.
5~20달러. 유효기간 안 지난 카드일수록 비싸다. 돌려막는 카드 세 장이 최대 60달러다. 카드값 막으려다 카드 정보까지 털리는 셈이다.
금융 계좌 로그인 정보.
잔액 대비 10~20분의 1 수준으로 거래된다. 카카오뱅크에 300만 원 있으면 15~30만 원짜리 정보가 된다. 공격자 입장에선 꽤 남는 장사다.
여권 정보. 50~200달러.
위조 서류 제작이나 해외 금융 사기에 쓰인다. 유효기간이 길수록 값이 올라간다. 김부장이 출장 때마다 호텔 체크인하면서 무심코 넘기던 그 페이지다.
주민등록번호.
이건 좀 특수한 케이스다. 다크웹 시세가 거의 없다. 이유는 뻔하다. 이미 너무 많이 풀려있어서다. 수십 년간 크고 작은 유출이 반복되면서 업계에서는 반쯤 농담처럼 "한국인 주민번호는 이미 공공재"라는 말이 나돈다. 희소성이 없으니 값이 안 나간다.
근데 이게 안심할 이유가 아니다. 오히려 반대다. 주민번호 단독으로는 별 쓸모가 없지만, 이름·전화번호·금융정보랑 조합되는 순간 얘기가 달라진다. 명의도용, 비대면 대출 개설, 휴대폰 개통. 이미 공공재가 된 정보가 다른 정보랑 결합되면서 피해가 시작된다.
의료기록.
여기서부터 단가가 달라진다. 건당 수십~수백 달러. 병명, 복용 약물, 수술 이력이 묶이면 더 비싸진다. 보험 사기에 쓰이고, 협박에 쓰인다. 김부장 고지혈증 소견서 한 장이 생각보다 값어치가 있다는 얘기다.
로그인 자격증명.
(자격증명으로 얻는 정보의 질에 따라) 5~10달러.
근데 여기서 진짜 문제가 생긴다.
비밀번호 하나가 열쇠 꾸러미가 된다
김부장이 쿠팡 비밀번호랑 카카오 비밀번호랑 회사 이메일 비밀번호를 같은 걸로 쓴다면?
공격자 입장에선 로또다.
크리덴셜 스터핑(Credential Stuffing)이라고 한다. 어딘가에서 유출된 아이디·비밀번호 조합을 다른 사이트에 그대로 대입해보는 방식이다. 사람들이 비밀번호를 돌려쓴다는 걸 공격자들도 안다. 그래서 자동화된 툴로 수백 개 사이트에 동시에 때린다.
한 곳이 뚫리면 연쇄반응이다. 쿠팡 유출로 시작해서 카카오가 열리고, 카카오로 카카오페이가 열리고. 김부장 입장에선 쿠팡 비밀번호 하나 털린 것뿐인데 어느 날 카카오페이에서 결제 알림이 날아온다.
가격을 매길 수 없는 정보도 있다
자녀 이름, 나이, 학교 정보, 얼굴 사진. 이게 한 세트로 묶이면 단순한 개인정보 거래가 아니다. 학교 앞에서 "아빠 친구야"가 통하려면 이름이랑 얼굴이 있어야 한다.
김부장이 인스타그램에 딸 사진 올릴 때 학교 이름 태그를 같이 달았다면, 그 정보는 이미 공개된 거다. 해킹이 필요도 없다. 사진 메타데이터에 위치정보가 박혀있거나, 게시물에서 생활 패턴이 노출되거나. 거창한 기술 없이 공개된 정보를 조합하는 것만으로도 충분히 위험한 그림이 그려진다.
물론 자녀 정보만큼은 시세를 매기는 게 적절하지 않다. 가격의 문제가 아니기 때문이다.
그 카메라, 김부장만 보는 거 맞죠?
처음에 언급한 그 카메라 얘기로 돌아오자.
홈캠이든 현관 카메라든, 결국 외부 서버를 경유해서 영상을 전송한다. 그 서버가 털리거나, 공유기 비밀번호가 약하거나, 앱 계정이 유출됐다면 제3자가 실시간으로 들여다볼 수 있다. 이게 이론적인 얘기가 아니다.
2023년 중국 해커가 국내 IP 카메라를 해킹해 가정집 영상 4,500개 이상을 텔레그램에 유포한 사건이 있었다. 거실, 침실, 목욕탕까지. 피해자 대부분은 자신이 찍히고 있다는 사실 자체를 몰랐다. 그리고 그 해커는 텔레그램에 이렇게 적었다. "앞으로도 오랫동안 업데이트될 예정이다."
더 황당한 건 따로 있다. 제조사 기본 비밀번호 그대로인 카메라가 아직도 수두룩하다. admin/admin, 혹은 그냥 1234. 공격자들은 이 디폴트 비밀번호 목록을 들고 자동으로 스캔한다. 특별한 해킹 기술이 필요 없다. 그냥 문이 열려있는 집을 찾는 거다.
집 안이 보인다는 게 단순한 프라이버시 침해로 끝나지 않는다. 언제 집을 비우는지, 가족 구성이 어떻게 되는지, 귀중품 위치까지 파악된다. 그리고 카메라 앵글에 아이가 잡힌다면 - 더 이상 설명이 필요한가.
카메라 설치하고 비밀번호 바꿨는지 기억이 안 난다면, 지금 당장 확인해라. 이 글에서 뭐 하나만 실천하겠다면 이거다.
그래서 김부장 총 몸값은
대충 더해보자.
이름·전화번호·주소 3달러. 신용카드 세 장 60달러. 카카오뱅크 잔액 기준 수십 달러. 여권 정보 100달러. 의료기록 수십 달러. 로그인 자격증명 몇 개 30달러.
보수적으로 잡아도 300달러는 넘는다. 환율 적용하면 40만 원 안팎.
근데 이게 낱개 시세다. 이름, 주소, 카드번호, 여권, 의료기록이 한 사람 기준으로 묶이면 얘기가 달라진다. 풀 패키지(Full Package)라고 부르는데, 낱개 합산보다 훨씬 비싸게 거래된다. 사기나 명의도용에 바로 써먹을 수 있는 완성형 세트니까.
김부장 본인은 모른다. 자기 정보가 지금 얼마짜리인지, 어디서 거래되고 있는지.
그래서 어떻게 해야 하나
거창한 솔루션 얘기가 아니다. 진짜 효과 있는 것들만.
비밀번호 돌려쓰지 말 것.
힘들면 패스워드 매니저(1Password, Bitwarden 등)를 써도 되지만 IT에 친숙하지 않은 사람들은 이마저도 버겁다. 아니 솔직히 귀찮다. 내가 가장 추천하는 방법은 마스터 패스워드를 하나 정해놓고, 비밀번호를 설정할 때마다 마스터 패스워드+그 사이트 고유명사를 붙이는 방법이다. 예를 들면 내 마스터 패스워드가 ****1004! 라면 쿠팡 비밀번호는 ****1004!znvkd 이런 식이다. (znvkd는 영타로 놓고 쿠팡 친 것, 그 이상 이하도 아니다.) 처음엔 귀찮을 수 있어도 (모든 패스워드를 다 다르게 할 자신이 없다면) 기술적으로도 충분히 유효한 방법이다.
MFA(다중 인증) 켜둘 것.
금융 앱, 이메일, 주요 서비스에 OTP나 인증 앱을 연동해두면 비밀번호가 털려도 2차 벽이 생긴다. 딱 한 번만 설정해두면 된다.
내 정보가 이미 유출됐는지 확인할 것.
haveibeenpwned.com에 이메일 주소를 넣으면 어떤 유출 사건에 포함됐는지 바로 확인된다. 무료다. 한번 해보면 생각보다 많이 나온다.
사실 유출된 거 확인해봤자 비밀번호 다시 바꾸는 거 외에는 딱히 할 수 있는 게 없다. 멘탈만 털린다. 이미 다크웹에 퍼진 정보는 회수가 불가능하다. 그냥 위에 있는 것들부터 하나씩 하자.
카메라 비밀번호 지금 당장 바꿀 것.
홈캠이든 현관 카메라든 설치 당시 기본값 그대로라면 오늘 바꿔라. 공유기 관리자 비밀번호도 같이.
자녀 사진 올릴 때 위치·학교 정보는 빼는 습관.
제일 좋은 건 자녀 사진은 SNS에 안올리는게 제일 좋은데, 그걸 지키기가 얼마나 힘든지 나도 안다. 최소한 얼굴이 나온 사진에 학교 이름이나 동네가 같이 노출되지는 않게 하자. 생각보다 큰 리스크다.
김부장은 아무것도 잘못한 게 없다. 쿠팡 쓴 것도, 카메라 단 것도, 딸 사진 찍은 것도 전부 지극히 정상적인 일상이다. 근데 그 일상이 쌓인 데이터가 어딘가에서 지금 이 순간도 거래되고 있을 수 있다는 게, 이 이야기의 핵심이다.
이제는 장기(臟器) 대신 개인정보다!사족.
참고로 나는 현관 카메라에 대일밴드 붙여놨다. 노트북 카메라도. 일반 밴드 아닌 예쁜 걸로.
직업병이다.