개인정보 불법유통 게시물이 ‘양지’에서 들통난 것만 지난 3년간 64만 건에 육박하는 것으로 나타났다. ‘암시장’에 해당하는 다크웹까지 고려하면 불법유통되는 개인정보는 더욱 방대할 것으로 보인다.

29일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 2022년부터 2025년 8월까지 국내외 웹사이트에서 개인정보 불법유통으로 탐지된 게시물의 건수가 63만9634건이다.

일반 검색엔진으로 탐지되지 않는 ‘다크웹’은 제외한 수치라는 게 KISA의 설명이다.

이 같은 게시물은 2022년 16만1743건, 2023년 17만9138건, 지난해 17만8479건, 올들어 8월까지 12만274건을 기록, 증가세를 보이는 중이다.

게시물이 탐지된 웹사이트는 미국 사이트가 33만7446건으로 가장 많았다. 다음으로 국내는 21만6704건, 유럽국가들을 비롯한 기타 지역에서 7만1829건, 중화권 1만3655건 순이었다. 기타 지역 국가는 프랑스·독일·캐나다·파나마·인도 순이었다.

개인정보 불법유통 게시물 유형은 △포털 계정이 19만9239건으로 가장 많았고 △개인정보 데이터베이스 19만5591건 △위조 개인정보, 복제폰, 해킹대행 등 기타가 12만7943건 △여권 및 통장정보 11만6861건 순이었다.

게시물 삭제에 소요되는 시간은 10일 이상 30일 미만이 27만1935건으로 전체의 55%를 차지했다. 10일 미만 소요는 26%(13만876건)로, 30일 이상 60일 미만은 10%(5만139건), 60일 이상 180일 미만은 8%(4만575건) 순이었다. 180일 이상 소요된 게시물은 2254건이었다.

2022년부터 2024년까지 탐지된 개인정보 불법유통 게시물 중 3년간 삭제되지 못하고 미삭제로 남아있는 게시물도 3902건이었다.

황 의원은 “64만건의 불법유통 개인정보 게시물이 탐지됐다면 실제로 유통되고 있는 개인정보는 수백수천만건일 가능성이 있다”고 강조했다.

업계에 따르면 다크웹을 통해 유통되는 개인정보의 규모는 일반 웹과 비교해 결코 작지 않을 것으로 추정된다. 실제 ‘건라(Gunra)’ ‘킬린(Qilin)’ 등 랜섬웨어 공격을 일삼는 해킹조직들은 최근 국내 중견 제조업체들 및 10여개 자산운용사들의 데이터를 자신들의 다크웹 사이트에 올려놓고 실력을 과시하기도 했다. 이들이 올린 자료 가운데는 임직원들의 이름·계좌번호·ID·비밀번호 등 민감한 개인정보도 상당수인 것으로 나타났다.국내 보안업체 안랩 등이 파악한 다크웹 거래 내역에 따르면 한국인 신용카드 정보는 건당 수천원에서 최대 100여만원에까지 팔리는 것으로 전해진다. 특정 정보만 찾는 구매자를 위한 ‘맞춤형 검색 서비스’나 데이터베이스에 일정 기간 접속할 수 있는 ‘구독 서비스’까지 등장했다.

한편 개인정보 유출에 대한 불안이 확산되는 가운데 이를 책임져야 할 정부기관은 사실상 마비상태에 빠지는 웃지 못할 상황이 계속되고 있다.

개인정보보호위원회 서비스는 26일 국가정보자원관리원 전산실 화재 여파로 닷새째 중단된 상태다.

임시방편으로 전화, 이메일, 팩스 등 대체 접수창구를 운영 중이다. 구체적인 안내는 개인정보 침해신고센터 포털이나 국번 없이 118상담센터를 통해 받으면 된다.

앞서 22일 개보위에 따르면 국내에서는 2021년부터 올해 7월까지 451건의 사고로 8854만3000여건의 개인정보가 유출된 것으로 확인됐다.

이재걸 기자 claritas@naeil.com