장위저 張宇哲 우위젠 吳雨儉 펑친친 彭骎骎 <차이신주간> 기자

 

 

“빅데이터 시대에는 모두가 옷을 벗은 채 달린다.” 빅데이터 홍수 속에 개인정보가 도용·남용되는 현실을 반영하는 웃지 못할 농담이다. 중국 공안부는 2017년 3월부터 해커 공격과 개인정보 침해 범죄 특별단속을 실시했다. 최근까지 전국적으로 개인정보 침해와 해커 공격 사건 1800여 건을 수사해 용의자 4800여 명을 체포했다. 또한 각종 개인정보 500억 건을 압수했다.

 

이번 특별단속의 특징은 이렇다. 첫째, 해커가 홈페이지에 침입해 불법으로 개인 정보를 절취한 범죄가 가장 많았다. 둘째, 기업 내부 직원이 개인정보 불법 유출의 주요 발원지였다. 셋째, 개인정보 침해가 또 다른 범죄의 기초가 됐다.

 

최근 애플차이나 내부 직원들이 개인 정보를 팔아넘긴 사건이 주목받았다. 이 사건은 현재 재판이 진행 중이다. 이 사건에 관련된 애플차이나 직원 20여 명은 애플 내부 시스템을 이용해 스마트폰에 연결된 전화번호와 이름, 애플 아이디 등의 정보를 불법 조회해 건당 10~180위안(약 1740~3만1300원)을 받고 팔았다. 관련 금액이 5천만위안(약 87억원)을 넘었다.

 

정보기술(IT) 업계 관계자는 개인정보를 팔아넘기는 ‘검은 산업’이 빅데이터 산업 전체에 널리 퍼졌다고 전했다. “빅데이터 산업 전체를 놓고 보면 ‘내부 첩자’가 일으킨 사건은 빙산의 일각이다. 산업 전반에서 매우 체계적으로 개인정보를 매매하는 것은 이미 공공연한 비밀이 됐다.”

 

빅데이터를 둘러싼 ‘검은 산업’에 대한 공식 정의는 없다. 보통 해커가 개인정보를 빼내 파는 행위를 말한다. 최근 빅데이터 업계에서 성행하는 신분인증 서비스는 ‘검은 산업’에 해당하지 않는다. 하지만 업계 변호사들은 신분인증 서비스의 많은 부분이 사생활 침해에 해당하고 개인정보 이용 동의를 명확히 받지 않는다고 지적했다. 특히 개인정보 거래의 경우 ‘데이터 마스킹’(Data Masking·데이터 일부를 알아볼 수 없게 처리해 데이터가 유출돼도 실제 정보가 노출되지 않게 하는 기법 -편집자)을 거치지 않고 세부 동의 항목조차 명시하지 않아 변칙적 거래에 해당한다고 변호사들은 주장했다. 엄격한 의미에서 데이터 업계가 제공하는 일부 서비스는 최근 기승을 부리는 ‘검은 산업’의 활성화를 촉발했다고 볼 수 있다.

 

중국에서 인터넷 공간의 데이터 유출 문제는 2011년 말부터 주목받았다. 최근 인터넷금융과 소매금융 분야에서 빅데이터를 이용한 리스크 통제 서비스가 발달하며 각종 빅데이터 업체가 생겨나 커다란 산업가치사슬을 형성했다. 공안부 소속 전국공민신분증번호조회센터(이하 신분증조회센터)와 고등교육학생정보망, 3대 이동통신사(차이나텔레콤·차이나모바일·차이나유니콤)가 핵심에 있고 각종 지급결제 서비스, 전자상거래 업체가 연관돼 있다. 주요 수요처는 인터넷금융 업체와 각종 소매금융 회사, 상업은행의 소매업무 부서다.

 

상황이 심각해지자 관리·감독을 책임진 정부 부처에서 빅데이터 산업가치사슬 정비에 나섰다. 2017년 6월1일부터 ‘인터넷보안법’을 시행해 개인정보 보호 관련 법규가 마련됐다. 이 법규는 개인정보를 요구할 경우 그 용도와 적용 범위 등을 명시해야 한다는 내용을 담았다. 이는 인터넷 공간에서 보안과 관리를 규정한 중국 최초의 기초 법률로 중국에서 인터넷 범죄 처벌이 새 국면에 진입했음을 보여준다.

 

같은 날 업계에서 더 주목한 발표가 있었다. 최고인민법원과 최고인민감찰원이 ‘개인정보 침해 형사사건 법률 적용 관련 문제에 관한 해석’이란 통지문을 발표하고 개인정보 침해 행위의 형량 기준을 명확하게 제시했다. 통지문은 범죄행위에 대해 회사뿐 아니라 회사 임원과 해당 업무의 직접적 실무자에게도 상응하는 책임이 있다고 명시했다. 한훙후이 베이징인터넷대출협회 데이터보안 전문가는 “현재 개인정보의 불법 이용이 매우 심각하다”며 “인터넷보안법 시행에 기대를 걸고 있지만 법 집행 의지와 처벌 강도가 관건이 될 것”이라고 말했다.

 

최고인민법원과 최고인민감찰원의 통지문에 따르면 개인정보를 50건 이상 불법 취득하거나 판매하면 처벌받는다. 업계에선 이 규정을 엄격히 집행할 경우 대부분의 빅데이터 업체가 즉시 업무를 중단해야 한다고 봤다. 한훙후이는 “데이터가 어디서 왔고 사용자에게 명확한 동의를 받았는지 물으면 대다수 빅데이터 업체는 대답하지 못한다”고 말했다.

 

현재 빅데이터 업체 15곳이 공안부의 조사 대상에 이름을 올렸다. 그 가운데는 기업가치가 수십억위안에 이르는 업체도 있다. 최초로 신싼반(중국 주식 장외시장)에 등록된 빅데이터 업체 수쥐탕(數據堂)도 투자회사에 대량의 사용자 개인정보를 제공한 혐의를 받고 있다. 현재 공안부 공공정보인터넷보안감찰국은 다양한 관리 방안을 강구하고 조사 대상을 30여 업체로 확대한 것으로 알려졌다. 유명 빅데이터 업체는 대부분 조사 대상에 포함됐는데 그중 기업공개를 앞둔 업체도 적지 않다.

 

공안부 관계자가 말했다. “2016년 발생한 전화금융사기 ‘쉬위위(徐玉玉) 사건’(산둥성 린이시에서 대학 입학을 앞둔 쉬위위가 학비 9900위안을 전화금융사기 당한 뒤 심장마비로 숨진 사건 -편집자)이 이번 통지문을 발표한 직접적 원인이다. 현재 각 성의 공안부서가 특별단속을 벌이며 아직 비밀조사 단계다. 과거 경험에 따르면 통지문이 발표되고 대규모 단속이 진행된 뒤의 변화를 지켜봐야 한다.”

 

2017년 3월 전국 ‘양회’(전국인민대표대회·전국인민정치협상회의)에서 푸잉 공안부 대변인은 “2017년 인터넷보안법의 집행 상황을 지켜볼 예정이며 불법으로 타인에게 제3자의 개인정보를 제공하는 행위를 중점 조사할 것”이라고 밝혔다. 7월27일 공안부와 국가표준위원회가 공동으로 개인정보 보호에 관한 특별업무를 시작해 모바일 메신저 위챗과 인터넷 쇼핑몰 타오바오 등 10개 인터넷 서비스의 개인정보 보호 조항을 심사했다. 특히 개인정보 수집 방식 등을 명확히 고지했는지 중점 조사할 계획이다. 중국 공안대학의 한 교수는 “현재 개인정보 유출 문제가 심각해 많은 사람이 피해를 입고 있다. 빅데이터 업체의 성장을 위해 개인정보 보안을 희생할 수는 없다”고 설명했다.

 

 

온라인에서 고객 확보나 리스크 관리를 위해 가장 중요한 것은 온라인 신분인증이다. 이는 모든 온라인 금융서비스의 출발점이다. 개인정보의 90%는 정부 부처가 보유하며 개인의 신분정보를 외부에 제공하는 공식 경로는 세 가지로 압축된다. 첫째, 공안부 소속 신분증조회센터와 고등교육학생정보망이다. 이름과 신분증번호를 대조하는 것으로 ‘2요소 인증’이라 불린다. 둘째, 통신실명제 시행 뒤 3대 이동통신 사업자가 확보한 휴대전화번호와 이름, 신분증번호를 대조하는 ‘3요소 인증’이다. 셋째, 은행에서 은행카드와 이름, 신분증번호, 휴대전화번호를 대조하는 것으로 업계에선 ‘4요소 인증’이라고 부른다. 이는 금융실명제 실시 뒤 은행계좌를 개설하는 필수 조건이다.

 

미국 3대 신용조회 업체 익스피리언(Experian)의 중국지사 관계자가 설명했다. “일부 국가기관 또는 부처에서 신분조회 업무를 외부 업체에 개방해 시스템에 접속하게 하면 기술 조작으로 정보를 얻어낼 수 있다. 어렵지 않은 기술이다. 해커는 일부 인터넷 사용자가 다수 웹페이지에서 동일한 아이디와 비밀번호를 사용하는 습관을 이용해 이미 확보한 아이디와 비밀번호로 다른 웹사이트 데이터베이스에 로그인을 시도한다.”

 

신분증조회센터는 정부 부처 소속 사업기관으로 8개 업체에 신분인증 서비스를 위탁했다. 궈정퉁과학기술주식유한공사, 정퉁주식유한공사, 상하이위안진금융정보서비스유한공사, 베이징잉타이, 상하이쥔위디지털과학기술유한공사, 중성신용관리유한공사, 장쑤파화신용인증유한공사, 위신이청과학기술유한공사 등 8개 업체다. 그중 정퉁공사만 증권감독관리위원회의 감독을 받는다.

 

하지만 신분증조회센터 홈페이지에선 앞서 소개한 8개 위탁업체 정보를 찾아볼 수 없다. 신분증조회센터의 한 책임자가 말했다. “조회센터에는 위탁대리업체라는 표현이 없지만 협력파트너 또는 협력기관 등 다양한 협력 방식이 있다. 협력파트너에 일률적인 표준과 조건을 적용하며 인터넷보안법과 최고인민법원, 최고인민감찰원의 통지문이 발표된 뒤 관련 기준을 보완하고 있다”고 말했다.

 

“신분증조회센터는 협력업체 명단을 공개해 합법적인 조회 기관을 알려줘야 한다. 그렇지 않으면 외부에 개인정보 조회 서비스를 제공하는 모든 업체가 공안부의 허가를 받았다고 주장할 수 있다.” 업계 관계자는 “수많은 제3자 지급결제 서비스 업체가 신분조회 서비스를 제공하지만 공식적으로 권한을 위임받은 대행사는 아니다”라고 지적했다.

 

2016년 신분증조회센터에서 진행한 조회 수는 약 26억 건으로 하루 평균 수백만 건에 이른다. 2012년에는 전체 조회 수가 10억 건에 불과했다. 최근 조회 수가 급증한 것은 소매금융 분야 수요가 크게 늘었기 때문이다. 업계 관계자는 “이름이 알려지지 않고 규모도 작은 제3자 지급결제 서비스 업체의 조회 수가 매우 많다”고 말했다. 예를 들어 주딩그룹(九鼎集團) 자회사가 인수한 제3자 지급결제 서비스업체 잉황진바이스인터넷기술유한공사는 2015년부터 신분증조회센터에 접속했는데 그 뒤 1년 동안 조회 수가 1억 건이 넘었다. 지급결제 서비스 시장의 90%를 장악한 알리페이(支付寶)와 위챗페이(微信支付)의 한 해 평균 조회 수가 5천만 건인 것에 비하면 두 배 넘는 규모의 개인정보를 조회한 것이다.

 

업계 관계자가 말했다. “이바오즈푸(易寶支付)와 후이푸톈샤(匯付天下), 징둥닷컴 산하 왕인짜이셴(網銀在線) 등 중소형 지급결제 서비스 업체의 조회 수가 특히 많다. 이 업체들은 한 달 조회 수가 100만 건이 넘는다. 이는 대형 은행에서 신용카드 발급을 위해 조회하는 수와 비슷한 수준이다. 만일 지급결제 업무만을 위해 계좌를 개설하는 용도라면 한 달 10만 건이면 충분하다.” 그렇다면 이 업체들은 무엇 때문에 많은 신분정보를 조회했을까?

 

신분증조회센터의 조회 비용은 결코 싸지 않다. 보통은 사용자가 1년 사용량을 어림잡아 제시하면 조회센터에서 전체 비용을 산정하는데 수백만위안에서 1천만위안 수준이다. 신분증조회센터와 달리 고등교육학생정보망은 대행사가 2곳밖에 없다. 펑위안신용조회와 궈정퉁과학기술주식유한공사만 해당 정보망에 접근할 수 있다. 하지만 고등교육학생정보망 역시 이 사실을 알리지 않았다. 업계 관계자에 따르면 고등교육기관, 즉 대학과 대학원의 학력 정보는 꽤 가치 있는 개인정보다. 전국적으로 고등교육 학력자 비중은 10분의 1이지만 이들의 생활이 안정되고 소득수준이 높아 인터넷 업계의 주요 마케팅 대상이다.

 

 

빅데이터 업체로부터 신분조회 비용 명세서를 입수한 결과 3대 이동통신사 역시 개인정보 유출의 주요 경로였다. 업계 관계자는 “차이나모바일 산하 스진스신용서비스유한공사와 차이나모바일온라인, 차이나텔레콤 산하 톈이신용조회와 하오마바이스퉁, 차이나유니콤 산하의 롄퉁콴다이는 대부분 휴대전화요금 납부, 인터넷 사용의 위치와 시간 정보를 외부에 제공한다”고 전했다. 한 신용조회 업체 관계자는 이 업체들과 업무계약을 체결했다고 말했다.

 

스진스는 차이나모바일이 2016년 7월 설립한 자회사로 자본금이 3억위안이다. 차이나모바일이 전액 출자한 자회사 차이나모바일온라인 역시 외부에 조회 서비스를 제공한다. 업계 관계자는 “최근 차이나모바일온라인은 ‘3요소 인증’ 서비스를 중단하고 시스템 접속을 차단해 일부 소매금융 업체들은 개인정보를 수집할 길이 막혔다”고 전했다. 차이나텔레콤도 2014년 12월 톈이신용조회를 설립했다. 이 회사는 홈페이지를 통해 차이나텔레콤이 보유한 인터넷 접속 정보 외에 차이나텔레콤의 자회사인 제3자 지급결제 서비스 업체 사용자 2억명의 지급결제 거래정보를 보유하고 있다고 밝혔다.

 

통신사 계열 업체들은 서비스 비용을 높게 책정해 독점을 이용한 폭리를 취했다. 그중 차이나유니콤과 차이나텔레콤이 저렴한 편으로 사용량에 따른 차등 요금을 적용하는데 기본 개인정보와 휴대전화번호를 연계한 인증서비스(3요소 인증)는 건당 0.5~0.9위안(약 87~157원)이다. 차이나모바일은 이보다 50% 정도 높은 요금을 받는다. “한 중형 인터넷금융 업체가 매일 1만 건을 조회한다고 가정하면 ‘3요소 인증’만 해도 매일 약 1만위안(약 174만원) 넘는 비용을 부담해야 한다. 1년이면 어림잡아 400만위안인데 이 가격을 감당할 업체가 몇이나 되겠는가. 대부분 뒷거래를 통해 구매한다.” 한 개인신용조회 업체 담당자의 말이다.

 

빅데이터 업체 지아오쥐허(集奧聚合)는 ‘3요소 인증’을 포함해 휴대전화 사용자의 주요 개인정보를 제공할 수 있다고 밝혔다. 이 업체가 고객사에 제공한 견적서를 보면 3대 이동통신사를 통한 ‘3요소 인증’과 휴대전화요금 납부, 인터넷 이용, 위치, 사용 시간, 휴대전화요금 연체 등 민감한 개인정보가 포함돼 있다.

 

3대 이동통신사는 위챗 등 소셜네트워크서비스(SNS)가 성장하면서 문자서비스나 통화량이 큰 폭으로 줄자 사업 형태의 전환이 시급해졌다. 이들은 이미 확보한 대량의 고객 정보를 바탕으로 빅데이터 신용조회 업체를 설립해 업계에서 영향력을 확대하고 있다. 업계 관계자는 3대 이동통신사 가운데 차이나유니콤이 빅데이터 사업을 가장 적극적으로 추진한다고 전했다. 2016년 차이나유니콤의 순이익은 6억3천만위안(약 1100억원)으로 전년 105억6천만위안에 비해 크게 줄었다. 업계 관계자는 “차이나유니콤이 실적 개선 부담을 빅데이터 부가서비스에 전가한다”고 꼬집었다.

 

整肅數據產業鏈_前言·中篇信息洩露溯源