최근 개인정보가 다크웹에 유출됐다는 통보를 심심치 않게 받게 된다. 은행이나 개인정보 보안 모니터링 서비스에서 이 같은 이메일을 받았다면, 나만의 문제가 아니다. 그렇다고 가만히 있다가는 자칫 큰 피해로 이어질 수 있기 때문에 서둘러 적절한 조치를 취하는 것이 좋다.

■ 개인 정보 유출 여부 확인부터

비영리단체 ‘신원 도용 자원 센터’(Identity Theft Resource Center)의 에바 벨라스케스 최고경영자는 “당신의 데이터는 이미 다크웹에 있다고 봐야 한다”라며 “개인정보 유출 사실을 통보받았을 때쯤이면, 발생할 수 있는 피해의 대부분은 이미 일어난 뒤”라고 경고했다.

해당 통보를 받았다면, 개인정보가 과거 데이터 유출 사고를 통해 이미 외부로 빠져나갔을 가능성이 크다. 가장 먼저 해야 할 일은 어떤 정보가 얼마나 노출됐는지를 파악하는 것이다. 이메일 주소를 ‘해브 아이 빈 포운드’(Have I Been Pwned·www.haveibeenpwned.com )와 같은 서비스에 입력하면, 자신의 정보가 포함된 데이터 유출 사고를 확인할 수 있다.

개인정보 노출 범위를 어느 정도 파악했다면 이제 대응에 나설 차례다. 인터넷 보안 전문가들은 비밀번호 관리, 계정 보안 강화, 금융 및 신원 보호 조치 등 기본적인 안전장치를 반드시 점검해야 한다고 조언한다. 이들 조치 대부분은 한 번만 설정해두면 장기간 보호 효과를 볼 수 있다.

■ 재정 정보… 소셜시큐리티 번호 유출 시

소셜 번호가 유출된 것으로 확인됐다면, 가장 먼저 모든 금융 계좌 내역을 자세히 검토해 수상한 거래가 있는지 점검해야 한다. 의심되는 거래가 발견될 경우 즉시 해당 금융사의 고객센터에 연락해 수상한 거래로 신고해야 한다. 직접적인 피해 발생 여부와 상관없이 다음 단계는 추가 피해 예방을 위한 ‘신용 동결’(Credit Freeze) 조치이다.

범죄자가 이름과 소셜 번호만 확보해도 크레딧 카드를 새로 발급하거나 대출을 발급받는 일이 얼마든지 가능하다. 데이터 유출 피해 이후 가장 일반적인 대응책이 바로 신용 동결로, 이 조치만으로 웬만한 피해를 막을 수 있다.

에퀴팩스, 익스피리언, 트랜스유니언 등 3대 신용평가사는 간단한 절차로 신용 동결 서비스를 제공한다. 일부 사용자는 새 크레딧 카드 발급이나 대출 신청 계획이 없는 경우, 평소에도 신용을 상시 동결 상태로 유지해 만에 하나 모를 피해에 대비하기도 한다. 온라인으로 신용 동결을 관리할 경우, 세 신용평가사는 해제 신청 후 1시간 이내에 동결을 해제해야 하며, 필요한 절차가 끝난 뒤 다시 동결하는 절차도 간단하다.

한단계 높은 대응이 필요하다고 판단되면 추가 조치도 가능하다. 은행 계좌 개설 정보를 관리하는 ‘첵스시스템’(ChexSystems)에 보안 동결을 설정하면 타인이 본인 명의로 입출금 계좌를 개설하기가 불가능해진다. 또 ‘연방국세청’(IRS)에 ‘신원 보호용 개인식별번호’(Identity Protection PIN)를 설정해 두면, 제3자가 허위 세금 신고를 통해 환급금을 가로채는 위험을 줄일 수 있다.

■ 휴대전화 번호… 이름·주소·전화번호 유출 시

이름과 주소, 휴대전화 번호가 동시에 유출됐다면 각별한 주의가 필요하다. 휴대전화 번호만으로도 해당 번호가 어떤 통신사에 연결돼 있는지 파악하는 것은 어렵지 않다. 여기에 이름과 주소까지 함께 유출됐다면 범죄자가 ‘심 스와핑’(SIM Swap) 공격을 통해 전화번호를 탈취하는 데 필요한 정보가 사실상 모두 갖춰진 셈이다.

심 스와핑은 휴대전화 ‘유심’(SIM)을 가로채는 사기 범죄로, 범죄자가 통신사에 피해자인 것처럼 접근해 휴대폰 번호를 자기 유심으로 옮긴 뒤 그 번호로 오는 문자 인증, 전화를 가로채는 수법이다. 심 스와핑이 발생하면 휴대전화가 일시적으로 사용 불가능해지는 데 그치지 않는다. 탈취된 번호를 통해 본인 인증 문자나 보안 코드가 가로채질 수 있고, 해당 번호와 연동된 각종 계정 접근이 가능해질 위험이 크다.

이 같은 피해를 막기 위해서는 이동통신사에 연락해 계정 변경이나 회선 조정 시 반드시 입력해야 하는 보안 PIN을 설정해 두는 것이 중요하다. PIN이 설정돼 있지 않으면 제3자가 고객센터를 통해 계정 정보를 변경하거나 전화번호를 탈취할 가능성이 높아진다.

■ 온라인 계정…이메일·비밀번호 유출 시

이메일 주소와 비밀번호가 데이터 유출 사고로 노출된 사실이 확인됐다면, 가장 먼저 해야 할 일은 해당 계정의 비밀번호를 즉시 변경하는 것이다. 인터넷 보안 전문가들에 따르면 많은 이용자가 여러 웹사이트와 서비스에서 동일한 비밀번호를 재사용하고 있어 데이터 유출 사고가 발생하면 큰 피해로 이어지기 쉽다.

여러 인터넷 서비스마다 다른 비밀번호를 관리하는 것이 번거롭게 느껴질 수 있다. 하지만, ‘대시레인’(Dashlane·www.dashlane.com)과 같은 비밀번호 관리 프로그램을 활용하면 복잡한 비밀번호를 자동으로 생성, 저장, 입력할 수 있어 여러 비밀번호를 안전하고 수월하게 관리할 수 있다.

본인 인증 방식도 재점검해야 한다. 온라인 뱅킹 등에서 문자 메시지로 일회용 인증 코드를 받는 방식이 안전하게 여겨지지만 심 스와핑 공격 시 피해가 발생하기 쉽다. 가능하다면 온라인 계정에 ‘패스키’(Passkey)를 설정하거나, 일회용 비밀번호 생성형 인증 앱을 기반으로 한 이중 인증 방식을 사용하는 것이 안전하다. ‘오시’(Authy), ‘라스트패스’(LastPass), ‘구글 인증기’(Google Authenticator) 등이 대표적인 앱이다. 이 같은 방식은 기기를 직접 보유하고 있는 본인만 계정에 접근할 수 있기 때문에, 외부 침입을 효과적으로 차단할 수 있다.

■ 과거 정보…주소·전화번호 유출 시

과거에 사용했던 전화번호나 이전 거주지 주소 같은 정보는 타인이 본인 명의로 계좌를 개설하거나 신분을 사칭하는 데 악용될 수 있다. 더욱 심각한 점은 이러한 정보가 대규모 데이터 유출 사고가 없더라도, 인터넷 검색만으로 비교적 쉽게 확인 가능하다는 것이다.

유료 서비스를 이용하면 ‘인물 검색’(People Search) 사이트에서 주소와 신원 정보를 삭제 요청해주는 업체들이 적지 않다. 하지만 컨슈머리포츠의 조사에 따르면 직접 정리하는 방식보다 효과가 떨어지는 경우도 있었다. 다소 번거롭더라도 직접 대응하는 것이 가장 확실한 방법이다.

구글 계정이 있다면 ‘Results About You’ 도구를 활용해 온라인상에 노출된 개인정보 위치를 확인하고, 일부 정보는 몇 번의 클릭만으로 삭제 요청을 할 수도 있다. 데이터 유출 이후 제공되는 무료 신용 모니터링이나 개인정보 삭제 지원 서비스를 활용하고, ‘신원 도용 자원 센터’(Identity Theft Resource Center)와 같은 기관의 무료 전문가 상담 라인을 통해 대응 방안을 안내받는 것도 도움이 된다.

www.idtheftcenter.org/victim-help-center