[中 10억명 개인정보, 해킹당했다!]

중국인 10억명의 개인정보가 탈탈 털렸다. 미국의 뉴욕타임스(NYT)는 5일(현지시간) “‘차이나댄(ChinaDan)’이라는 이름으로 활동하는 해커가 중국 주민 10억 명의 개인정보를 20만달러(약 2억6000만원)어치 비트코인을 받고 팔겠다는 글을 온라인에 올렸다”고 보도했다.

▲ 미국의 뉴욕타임스(NYT)는 5일(현지시간) “‘차이나댄(ChinaDan)’이라는 이름으로 활동하는 해커가 중국 주민 10억 명의 개인정보를 20만달러(약 2억6000만원)어치 비트코인을 받고 팔겠다는 글을 온라인에 올렸다”고 보도했다.

‘차이나댄’은 “이 정보를 상하이 공안 당국으로부터 해킹했다”면서 “이 정보에는 주민의 성별과 나이, 출생지와 주소, 학력, 직업은 물론이고 키와 신분증 번호, 결혼 여부, 얼굴 사진 등 세세한 정보를 포함한 24테라바이트(TB) 분량”이라고 주장했다. 그러면서 ‘차이나댄’은 “경찰에 접수된 범죄 신고 기록과 신고자 정보 등 민감한 자료도 함께 판매하겠다”고 밝혔다.

실제로 유출된 개인정보에는 온라인 상점에서 물건을 구매한 내역과 여행, 숙박업소 이용 내역, 개인이 가진 정치적 입장, 은행 신용 거래 내역, 개인 사진 등 다수가 포함돼 있는 것으로 알려졌다. 사실상 중국의 모든 성인들의 중요 정보들은 거의 다 털렸다는 의미다.

이에 대해 파이낸셜타임스(FT)는 “데이터가 진짜일 경우, 사상 최대의 개인정보 유출 사태로 기록될 것”이라고 했다.

[유출된 자료, 사실 맞나?]

중국인 10억명에 대한 개인정보 유출과 관련해 중국 암호화폐 거래소 바이낸스 창업자 겸 최고경영자인 자오창펑은 이날 트위터에 올린 글에서 “‘아시아의 한 나라’에서 주민 10억명의 기록이 유출된 것을 탐지했다”면서 “해킹 피해를 봤을 수 있는 사용자들을 위해 인증 절차를 강화했다”고 밝혀 차이나댄의 주장이 사실임을 확인했다.

또한 NYT는 “해커가 데이터의 진위를 증명하기 위해 공개한 25만건의 샘플 중 일부를 사실로 확인했다”면서 “공개된 샘플 가운데는 중국 공안에 의해 ‘요주의인물’로 분류되었는지의 여부도 알 수 있었다”고 보도했다.

CNN도 “해커가 제공한 개인정보 샘플에서 24건의 정보를 확인한 결과, 모두 실제와 같았다”고 전했고, 영국 사이버보안회사 소포스는 “유출된 데이터 대부분이 광고회사들이 보유한 자료와 일치했다”고 주장했다.

[상상초월하는 유출 데이터의 파급성]

문제는 유출된 개인정보가 해외에서부터 인터넷에 나돌기 시작한다면 그 피해가 상상할 수 없을 정도로 커질 수 있다는 점이다.

미국의소리(VOA) 중국어판은 이 분야에 정통한 창 모 씨의 견해를 빌어 “국제 해커들 사이에서는 이미 중국인의 인구 구조와 생활습관, 범죄 여부 등에 대한 매우 개인적인 정보들이 거래되고 있을 것”이라면서 “이 정보들이 향후 보이스 피싱 등 각종 흉악 범죄에 악용될 가능성이 매우 커졌다”고 우려했다.

글로벌 보안업체 아크로니스(Acronis)의 공동 설립자이자 기술 총괄 사장인 스타스 프로타소브(Stas Protassov) 씨도 “해커가 제시한 샘플에는 △개인 정보 파일 △전화번호와 통화 위치 데이터(또는 소유자 주소)△장소 및 짧은 사건 설명이 포함된 경찰 사건 또는 형사 사건 정보 등 3가지 유형의 데이터가 있다”면서 “형사사건 정보는 ‘수도계량기를 도난당했다. 경찰이 기록을 남겼다’, ‘경찰에 신고한 사람이 차를 몰다가 실수로 차량 왼쪽을 긁었다’ 등인데, 이러한 기록은 관련자를 직접 언급하기 때문에 정보가 유출되면 피해를 줄 수 있다”고 했다.

그런데 유출된 데이터는 또다른 측면에서 엄청난 파문을 불러올 가능성도 있다. 유출된 데이터를 통해 중국의 인구 분석도 속속 이뤄지고 있기 때문이다. 중국 인구 전문가인 이푸셴(易富賢) 미국 위스콘신 매디슨대 연구원은 자신의 트위터를 통해 “유출된 10억 인구 데이터의 샘플 자료 25만명분의 나이와 성별 인구 데이터를 분석한 결과 중국 인구 위기의 엄중함이 상상을 초월한다”고 주장했다.

▲ 중국 인구 전문가인 이푸셴(易富賢) 미국 위스콘신 매디슨대 연구원은 자신의 트위터를 통해 “유출된 10억 인구 데이터의 샘플 자료 25만명분의 나이와 성별 인구 데이터를 분석한 결과 중국 인구 위기의 엄중함이 상상을 초월한다”고 주장했다.

이푸센 교수는 7일 올린 트윗에서도 “이번 상하이 개인정보 유출자료를 통해 추산해 보면 중국의 출생아수는 1990년 이후 계속 감소했고 전체 인구도 줄어들고 있음을 확인했다”면서 지난 2020년 중국의 인구센서스 결과 중국 총인구를 14억1000만 명이라고 발표했지만 이번 샘플을 분석한 결과 중국 인구를 12억8000만 명으로 추산했다.

이푸센 교수는 25만명의 샘플데이터로 이렇게 분석했지만 만약 10억명의 개인정보가 모두 공개된다면 사실 중국의 다양한 민낯이 모두 공개될 수도 있다고 진단했다. 중국으로서는 감출 수 없는 비밀들이 백일하에 공개될 수도 있다는 의미다.

[어떻게 털렸나?]

데이터의 유출과 관련해 FT는 “상하이 공안(경찰)이 가상 서버에 보관하던 정보가 작년에 해킹됐고, 이 데이터가 최근 매물로 나온 것으로 보인다”고 추정했다.

사이버 보안회사 아크로니스 관계자도 “중국 최대 IT 커뮤니티에 공무원이 실수로 올린 것으로 추정되는 클라우드(가상 서버) 접속 인증 데이터가 있었다”며 “이곳을 통해 해커가 진입했을 가능성이 높다”고 설명했다.

스타스 프로타소브 사장도 “중국 공무원이 실수로 중국인 10억명의 개인정보를 IT기술 커뮤니티에 게시한 게 사건의 발단이 됐을 가능성이 있다”면서 “실제로 접근 시 자격 증명이 포함된 데이터가 중국 최대 IT 기술 커뮤니티인 ‘CSDN(중국소프트웨어개발연맹)’의 개발자 블로그 게시물로 있었는데, 이것이 공격자의 진입점이었을 수 있다”고 분석했다.

[당혹스런 중국, “아는 바 없다”]

자국민 10억명의 개인 정보 유출과 관련해 중국 외교부는 5일 정례 브리핑에서 “아는 바 없다”며 확인을 거부했다. 그러나 중국 당국은 이번 개인정보 유출에 발빠르게 대응하고 있다.

NYT는 “웨이보(중국판 트위터)에 해킹 소식을 올린 시민들이 ‘허차(喝茶·정부 기관에 불려가 훈계를 받는 일)’를 당했고, 인터넷에서 관련 정보가 전부 차단됐다”고 전했다. 이는 10억명에 대한 개인정보 유출 사실 자체가 내부적으로 전파되는 것을 막기 위한 봉쇄조치인 것으로 보인다.

그럼에도 불구하고 내부적으로는 개인정보 유출 사실이 확산되면서 상당한 불안을 느끼고 있는 것으로 보인다. 베이징의 ICT 업계 관계자인 저우잉(周穎) 씨는 “이번 사건으로 중국의 모든 성인들의 중요 정보들은 거의 다 털렸다고 봐도 된다”면서 “이들이 완전히 속살까지 드러나는 투명인간이 됐다는 말이 나도는 것은 확실히 괜한 게 아니라고 해야 할 것 같다”고 말해 상황이 심각해 질 수 있음을 암시했다.

저우잉(周穎) 씨는 이어 “이번 사건이 1949년 신중국 건국 이후 최악이자 초유의 일이라 해도 과언이 아니다”면서 “말할 것도 없이 단일 규모로도 세계 최대 사건이라고 할 수 있으며 앞으로도 비견될 만한 사건은 일어날 가능성이 지극히 적다고 해도 좋다”고 단언했다.

당혹감을 느낀 중국 정부도 곧바로 입단속과 함께 수사에 들어간 것으로 보인다. 그러나 아직 누구의 소행인지는 완벽하게 밝혀내지 못한 것으로 알려지고 있다.

[정치적 의도는 없을까?]

해커가 개인정보를 유출한 시기를 놓고 정치적 의도가 있는 것 아니냐는 추측도 나온다. 미국 미국의고리(VOA) 중국어판은 “올가을 당정 지도부를 교체하는 20차 당 대회를 앞두고 이야기가 나오고, 요구하는 금액이 적다는 점에서 정치적인 행위일 가능성이 높다”면서 “중국 당국은 해킹 사실을 끝까지 인정하지 않을 것”이라고 전망했다.

특히 리앙(李䀚) 시사평론가는 “이번 빅데이터 유출은 일반적인 해커와 수단이 아니며 20차 당 대회를 몇 달 앞두고 데이터를 공개했다는 점에서 정치적 의도가 금전 추구 욕구를 넘어선다”고 VOA에 지적했다. 특히 “지난해 궁다오안(龔道安) 상하이 공안국장의 낙마가 이번 해킹 사건과 관련됐을 가능성이 있다”고 VOA는 전했다. “해커가 공개한 인터넷 주소 ‘oss-cn-shanghai-shga-d01-a.ops.ga.sh’가 중국 공안국의 웹사이트 주소라는 점도 이러한 주장을 반증해 준다”고 VOA는 전했다. 상하이 공안국은 데이터뱅크를 인터넷 기업 알리바바가 운영하는 클라우딩 서비스인 알리윈(阿里雲)에 저장하고 있다.

[중국에 미칠 영향은?]

이번 10억명의 개인정보 유출은 우선 중국의 빅데이터 거버넌스 정책에 엄청난 타격을 주었다. 한순간에 중국 모두가 탈탈 털릴 수도 있다는 사실이 입증되었기 때문이다.

이에 대해 미국의 월스트리트저널(WSJ)은 6일(현지시간) “데이터베이스에 대한 관리 및 액세스 대시보드가 2021년부터 열려 있었으며 기본적인 기술 지식이 있는 사람은 누구나 들어갈 수 있었다”고 보도했다.

이러한 사실은 중국을 정말 부끄럽게 만들고 있다. 중국은 그동안 개인정보를 포함한 민감한 데이터의 상업적 수집을 철저하게 제한하면서 모든 데이터를 국내에 저장하도록 요구하는 법률도 통과시켰다. 데이터 보안과 개인정보 보호를 최우선 과제로 선정했다는 의미다. 그런데 그 모든 것들이 뚫렸다.

중국은 또한 이러한 조치와는 상반된 작업을 정부가 직접한다. 중국 사회에 대한 통제를 강화하기 위해 전국적으로 디지털 감시장치를 치밀하게 확대하면서 방대한 양의 데이터베이스를 구축하고 있다.

이번에 유출된 데이터도 그러한 주민감시 자료들이 방대하게 담겼다. 25만명의 샘플 자료만으로도 전문가들은 중국 정부의 개인정보 감시자료 확보능력에 깜짝 놀랐다고 미국의소리(VOA)중국어판은 전했다.

문제는 그러한 중국정부의 개인감시 데이터베이스가 해킹에 의해 뚫릴수도 있다는 점이다. 이번에 유출된 10억명 자료가 이를 말해준다. 그렇게 해킹되면 사실상 중국 모두의 내밀한 자료들까지 모두 공개된다는 것을 의미한다.

이런 관점에서 이번 데이터 유츌사건은 중국정부에게는 매우 당혹스러운 일이며 중국 정부의 디지털발전에 엄청난 타격을 주었다고 평가할 수 있을 것이다.