진화하는 ‘보이스피싱’···시작은 개인정보 유출?

#직장인 A씨(30)는 검찰청 문자메시지와 함께 전화 한 통을 받았다. 현재 A씨가 사기사건에 연루됐으니 검찰청 홈페이지에 들어가서 개인 정보를 입력하라는 내용의 전화였다. 개인정보는 휴대폰으로 전송된 주소를 통해 입력하면 된다는 것. A씨는 검찰의 지시를 따랐고, 결과적으로 자신의 통장에 예치된 2000만원 가량이 자신도 모르는 사이에 인출됐다.

A씨가 의심없이 정보를 홈페이지에 입력했던 것은 보이스피싱에서 제시한 A씨의 생년 월일·주소 등의 개인정보가 정확했기 때문이다. 이후 A씨는 경찰의 사이버수사대에 신고하면서 수습에 나섰지만, A씨가 개인정보를 입력한 홈페이지는 정교하게 만들어진 ‘가짜’였다는 답변을 들었다. 이어 경찰도 A씨와 비슷한 ‘타깃형’ 피해 사례가 최근 급증하고 있다고 설명했다.

경찰 등 수사기관은 과거 보이스피싱 수법이 불특정 다수에게 무작위로 행해졌다면, 최근에는 개인정보를 미리 확인한 후에 접근하는 ‘타깃형’ 수법으로 진화하고 있다고 말한다. 이 같이 개인정보를 활용한 금융범죄 등이 발생하자 정부가 실태파악 등 점검에 나서고 있다.

12일 보안업계에 따르면, 행정자치부를 포함한 정부부처는 개인정보처리시스템을 개발·운영하는 IT수탁사에 대한 자체점검을 실시한다. 정부는 우리나라 개인정보와 관련된 시스템이 대부분 IT전문 기업에 위탁해 운영하는 경우가 많기 때문에 자체점검을 실시한다고 밝혔다. 자체점검 수탁사는 전체매출액이 30억원 이상, 또는 최근 3년간 50개사 이상 위탁받은 곳을 대상으로 하고 있다.

이 같은 정부의 조치는 최근 발생한 보이스피싱·파밍 등의 금융사고가 IT수탁사의 개인정보유출과 직접적인 연관성이 있다고 보고 있기 때문이다. 이를 위해 정부는 세부점검표를 마련하고 자체점검을 유도한다는 방침이다. 세부점검표에는 개인정보의 수집·제공, 주민등록번호 처리제한, 개인정보의 파기, 업무위탁계약, 개인정보취급자 감독, 개인정보처리방침의 수립·공개, 안전성확보조치 등 7개 분야 23개 항목으로 구성됐다.

위탁사와 수탁사 모두 민감하게 받아들이는 부분은 주민번호 수집과 관련된 항목이다. 지난해 8월부터 시행된 개인정보보호법 개정안은 법령상 근거가 없는 경우에는 대체수단 도입 등을 통해 주민번호 수집을 금지했고, 이미 보유한 주민번호는 2016년 8월까지 파기해야 한다.

특히 지난해 시행된 개정안은 주민번호가 유출될 경우 피해확산 등의 후속조치를 고려해 최대 5억원까지 과징금을 부과할 수 있다. 또 법령에 근거가 없는 주민번호 수집시 최대 3000만원의 과태료가 부과된다.

이처럼 개인정보보호에 대한 법령이 강화되면서 관련업계는 보안 시스템을 고도화 하거나, 이와 관련한 경력자를 채용하는 등의 조치를 취하고 있다. 보안업계 관계자는 “보안시장이 새로운 국면에 접어들고 있다”면서 “최근 개인 정보처리와 관련한 법령이 강화되면서 IT기업들이 이와 관련된 업무를 담당했던 경력직 모집과 보안 시스템 고도화에 나서고 있다”고 말했다.