다크웹 개인정보의 암시장, 2만 원에 거래되는 개인정보
2025년 4월, SK텔레콤의 유심(USIM) 정보 유출 사건은 한국 사회에 큰 충격을 안겼습니다. 국내 최대 이동통신사인 SK텔레콤의 약 2,300만 가입자의 유심 정보와 일부 개인정보가 해킹으로 유출된 것으로 확인되며, 개인정보 보호에 대한 경각심이 다시 한번 부각되었습니다. 특히, 유출된 정보가 다크웹에서 거래되고 있다는 소식은 국민들의 불안감을 증폭시키고 있습니다. 이번 글에서는 SK텔레콤 해킹 사태의 전말과 다크웹을 통한 개인정보 유출의 심각성, 그리고 이를 해결하기 위한 대응 방안을 살펴보겠습니다.
다크웹, 개인정보의 암시장
다크웹은 특수한 브라우저(예: Tor)를 통해서만 접속 가능한 인터넷 공간으로, 익명성과 추적이 어려운 특성 때문에 불법 거래의 온상지로 악용되고 있습니다. 동아일보에 따르면, 한 다크웹 사이트에서는 한국인의 신용카드 정보가 1건당 15달러(약 2만 원)에 거래되고 있으며, 카드 종류, 소지자 국적, 회원 등급, 비밀번호 등이 포함된 상세 정보가 유통되고 있다고 합니다. 또한, 국내 유명 온라인 쇼핑몰 플랫폼에 입점한 판매자 약 2,000명의 주민등록번호, 집 주소, 전화번호 등 개인정보도 유출된 것으로 확인되었습니다. 이러한 정보는 보이스피싱, 금융 사기, 계정 탈취 등 다양한 범죄에 악용될 가능성이 높아 심각한 사회적 문제로 대두되고 있습니다.
스텔스모어 인텔리전스에 따르면, 2025년 2월 기준 다크웹에 유출된 전 세계 개인정보는 약 900억 건에 달하며, 이 중 한국인 관련 정보는 약 4억 6,000만 건으로 추산됩니다.
랜섬웨어 조직 '드래곤포스' 다크웹 사이트
한국의 개인정보 유출, 반복되는 악순환
SK텔레콤 해킹 사태는 한국의 개인정보 유출 문제의 단면을 보여줍니다. 과거 2011년 SK커뮤니케이션즈(네이트, 싸이월드)에서 3,500만 명의 정보가 유출되고, 2016년 인터파크에서 1,000만 명 이상의 전화번호와 주소가 유출된 사례는 대규모 해킹의 대표적인 사례입니다. 최근에는 알바몬(2만2,473건), KS한국고용정보(36,000명), 법인보험대리점(1,000명) 등 크고 작은 유출 사고가 잇따랐습니다.
공공기관도 예외는 아닙니다. NSHC의 2021년 보고서에 따르면, 국내 350개 공공기관 중 90%(316개)의 계정 정보가 다크웹에 유출된 것으로 확인되었습니다. 국가정보원은 지난해 공공기관 이용자의 개인정보가 다크웹과 텔레그램을 통해 유통되고 있다고 경고한 바 있습니다. 이러한 현실은 한국인의 개인정보가 다크웹에서 ‘공공재’로 취급된다는 자조적인 평가로 이어지고 있습니다.
SK텔레콤 사옥에서 유영상 SK텔레콤 대표이사(가운데) 등이 용자 유심(USIM) 정보가 해커 공격으로 유출된 것과 관련해 고개 숙여 사과하고 있다. (사진=연합뉴스)
낮은 보안 경각심과 은폐된 사고
한국은 IT 강국으로 불리지만, 정보보호에 대한 경각심은 낮은 편입니다. 한국정보보호산업협회(KISIA)의 2024년 조사에 따르면, 정보 침해 사고를 경험한 기업 중 관련 기관에 신고한 비율은 19.6%에 불과했습니다. ‘피해 규모가 경미하다’(73.7%), ‘신고 절차가 복잡하다’(54.3%), ‘피해 사실 공개가 두렵다’(17.6%) 등의 이유로 많은 사고가 은폐되고 있습니다. 또한, 최근 1년간 정보보호 교육을 받은 인터넷 이용자는 12.0%, 임직원 대상 교육을 실시한 기업은 36.7%에 그쳤습니다. 이는 보안 인식 부족이 사회 전반에 만연해 있음을 보여줍니다.
SK텔레콤 사태에서도 초기 대응 지연과 로그 기록 부재로 인해 피해 규모를 정확히 파악하지 못한 점이 문제로 지적되었습니다. 특히, 유심 정보를 암호화 없이 평문으로 저장한 점은 SK텔레콤이 보안에 소홀했다는 비판을 받는 주요 원인이 되었습니다.
전문가들이 제안하는 대응 방안
보안 전문가들은 개인정보 유출 문제 해결을 위해 다음과 같은 방안을 제안합니다. 이일구 성신여대 교수는 클라우드와 웹 기반 서비스에 집중된 한국의 IT 환경이 해커의 주요 타깃이 되고 있다고 지적하며, 신속한 대응 체계와 규제 강화를 강조했습니다. 염흥열 순천향대 교수는 ‘제로 트러스트’ 보안 원칙을 적용해 모든 시스템을 지속적으로 검증하고, 정부가 기업의 자율 보안 체계를 유도할 것을 제안했습니다. 김지연 대구대 교수는 멀티팩터 인증(MFA)을 통해 추가 인증 단계를 도입해 보안을 강화할 것을 권장했습니다.
소비자 차원에서는 유심보호서비스 가입, SIM 카드 PIN 설정, 비밀번호 재설정, 얼굴인식 등 MFA 도입이 필수적입니다. SK텔레콤은 유심보호서비스 가입 시 추가 피해가 발생하면 100% 책임지겠다고 밝혔으며, 유심 교체를 희망하는 고객은 T월드 매장이나 공항 로밍센터를 방문해 무료 교체를 받을 수 있습니다.
다크웹과 보안의 미래
다크웹은 익명성과 추적 불가능성으로 인해 개인정보 유출의 최종 목적지로 자리 잡았습니다. SK텔레콤 사태와 유사한 사례로, 미국 T모바일은 2021년 7,660만 명의 개인정보 유출로 최대 3,200만 원의 배상을 진행한 바 있습니다. 반면, 한국에서는 개인정보 유출 소송에서 배상액이 10만~100만 원 수준에 그쳐, 기업의 책임이 상대적으로 경미하다는 비판이 제기됩니다.
전문가들은 다크웹에서의 정보 유통을 차단하기 위해 국제 공조와 기술적 대응이 필요하다고 강조합니다. 예를 들어, 한국인터넷진흥원은 리눅스 시스템을 대상으로 한 신규 악성코드 정보를 공유하며 기업들의 대응을 촉구하고 있습니다. 또한, 개인정보 보호법 개정과 과징금 상향, 집단소송제 도입 등 제도적 개선이 시급하다는 목소리가 커지고 있습니다.
SK텔레콤 해킹 사태는 한국의 개인정보 보호 체계의 취약점을 적나라하게 드러냈습니다. 다크웹을 통해 유출된 정보는 되돌릴 수 없는 피해로 이어질 가능성이 높으며, 이는 단순한 기업의 문제가 아닌 국가 안보 차원의 문제로 확장되고 있습니다. 소비자들은 유심보호서비스와 MFA를 적극 활용하고, 기업과 정부는 보안 인프라 강화와 제도 개선을 통해 신뢰를 회복해야 합니다. 이번 사태를 계기로 개인정보 보호에 대한 사회적 경각심이 높아지길 바라며, 더 안전한 디지털 세상을 위한 노력이 계속되기를 기대합니다.
