내정보 어떻게 모여 어디로 새나
금융사·기업 무차별 개인정보 수집·공유
유출정보 DB化…돈만 내면 살 수 있어
불법 사금융업자·피싱조직 범죄에 악용
[ 장창민/김일규 기자 ]
경기 용인에 사는 주부 장미연 씨(36)는 얼마 전 거래가 전혀 없는 A카드사로부터 신규 회원 신청을 권유받았다. 카드사 직원은 이름과 주소 등은 물론 신용등급까지 훤히 꿰뚫고 있어 장씨는 깜짝 놀랐다. A카드사가 같은 그룹 내 A은행에서 고객 정보를 받아 이를 마케팅에 사용한 탓이다.
서울에 사는 회사원 권영만 씨(43)는 최근 대형 놀이공원에서 문자메시지를 받았다. ‘B카드를 보유한 고객을 대상으로 입장료를 20% 깎아준다’는 내용이었다. 권씨는 “한 번도 가본 적이 없는 곳에서 어떻게 내 전화번호를 알았는지 모르겠다”고 말했다.
◆피자·치킨 시켜도 정보 줄줄 새
개인 정보가 둥둥 떠다니고 있다. 금융회사뿐만 아니라 일반 기업까지 마구잡이로 개인 정보를 긁어모아 활용하고 있어서다. 개인 정보가 모이는 곳은 일일이 셀 수 없을 정도로 많다. 통신사나 포털사이트에 회원으로 가입하거나 홈쇼핑, 인터넷몰, 온라인게임 등을 이용할 때도 어김없이 이름과 주민등록번호 등을 입력해야 한다. 동네에서 짜장면이나 피자, 치킨 등 배달 음식을 주문해 카드로 결제할 경우엔 카드번호와 유효기간 등도 알려줘야 한다. 심지어 일부 커피전문점에서 무료 와이파이를 이용할 때도 주민등록번호와 휴대폰번호 등을 입력해야 한다. 동네 PC방, DVD 대여점, 헬스클럽도 예외가 아니다.
지난해 국정감사에선 조사 대상 웹사이트 1만여개 중 9478곳이 가입 절차에 주민번호를 요구했다는 조사 결과가 나왔을 정도다.
◆기업 간 무차별 정보공유
문제는 개인 정보를 서로 다른 회사들끼리 과도하게 공유하고 있다는 점이다. 금융지주사 내 계열사 간 정보 공유가 대표적이다. 예를 들어 같은 그룹의 카드사가 마케팅을 위해 계열 은행에 고객 정보를 요청할 경우 은행은 거래가 있는 활성화 고객 중 이용목적에 맞는 고객 정보를 따로 뽑아 넘겨 준다. 보통 계열사가 10곳이 넘기 때문에 한 곳의 금융회사와 거래해도 바로 10곳 이상의 회사에 개인 정보가 퍼지는 셈이다.
최근 금융위원회 조사에 따르면 KB 우리 신한 하나 농협 등 5대 금융지주가 지난 3년간(2011~2013년) 계열사끼리 공유한 정보는 약 88억건에 달했다. 이 중 1.7%인 1억5000만건은 계열사 마케팅에 사용된 것으로 분석됐다.
금융사와 일반 기업 간 정보 공유도 무차별적으로 이뤄진다. 예컨대 고객이 카드사에서 신용카드 한 장을 만들면 영화관, 백화점, 놀이공원, 서점, 정유사, 여행사, 자동차회사 등 100곳이 넘는 카드사 제휴업체로 정보가 빠져나간다.
고객으로선 자신도 모르게 카드사에만 제공한 정보가 엉뚱한 곳에 동시다발적으로 새나가 활용되는 셈이다.
일반 기업끼리 이뤄지는 정보 공유도 많다. 제조·유통·금융 등 다양한 업종의 계열사를 둔 롯데 삼성 등 대기업그룹은 계열사 간 상품 교차판매를 위해 각사별 고객 개인정보를 공유한다. 온라인 종합쇼핑몰인 현대H몰에 가입할 경우엔 51개 협력사에 고객 정보가 제공된다. 각 협력사에 제공된 정보는 해당 회사의 또다른 협력업체에 넘어가 정보공유 건수는 기하급수적으로 늘어나게 된다.
◆개인정보 DB 빼내려 위장취업
이렇게 쌓인 정보는 각 회사들의 마케팅 목적에 맞게 다시 분류돼 데이터베이스(DB)화된다. 업권별 DB는 사전에 맺은 제휴 협약에 따라 서로 교환된다. 각 회사는 공유한 정보를 텔레마케팅(TM) 조직에 다시 넘겨준다. 계열 채권추심회사 등에도 같은 정보를 제공한다.
개인 정보 유출은 이 과정에서 시작된다. 브로커 조직은 주로 TM 및 채권추심 조직을 파고든다. TM 및 채권추심 조직의 경우 비정규직이 많아 내부통제가 허술한 점을 노린 것이다. 브로커들은 내부자와 공모해 DB를 유출하거나 해킹을 해 직접 정보를 빼내기도 한다. 심지어 TM 조직에 ‘위장 취업’을 하는 경우도 있다.
유출된 정보는 주로 대출광고업자와 대출모집인 등에게 넘어간다. 대부업체, 불법사금융업자, 보이스피싱 조직, 위·변조 카드업자 등에도 팔려나간다.
본지 역시 브로커를 통해 어렵지 않게 개인 정보를 손에 쥘 수 있었다. 온라인 포털사이트 구글에 ‘DB 팝니다’라는 문장으로 검색해 브로커 수백명의 메신저 아이디를 발견, 접촉을 시도한 결과다.
“TM 사무실 운영을 목적으로 개인 정보를 사고 싶다”고 하자 한 브로커는 샘플로 5명의 개인정보를 보내주기도 했다. 이름, 주민등록번호, 집주소, 직장명, 카드번호, 유효기간 등이 빼곡히 담겨 있었다. 아무나 돈을 주면 개인 정보를 어렵지 않게 얻을 수 있다는 얘기다.
이 같은 전문 브로커와 사실상 브로커 역할을 하는 대출모집인까지 합치면 수천명에 달할 것으로 업계는 추산하고 있다.
불법 유출된 개인 정보는 국내 시장을 돌다 중국 등 해외로 팔려나가기도 한다. 중국에 점조직을 둔 보이스피싱 조직들이 주로 이런 정보를 사고판다. 건당 50원에서 500원 정도에 거래된다. 대출만기일자 등의 정보가 포함되면 값이 2~3배 뛴다.
한 대출모집인은 “은행 대출 만기나 카드 결제 내역 등의 금융정보가 포함된 게 가장 고급 정보로 통한다”고 귀띔했다.
장창민/김일규 기자 cmjang@hankyung.com
관련뉴스