"마음만 먹으면 여러 기관 정보 탈취"…보복대행 타깃된 'CS 외주업체'

(서울=뉴스1) 윤주영 기자 = 최근 경찰 수사로 드러난 '보복대행' 조직범죄 사건을 통해 고객서비스(CS) 외주업체가 필요한 정보를 빼내기 위한 범죄조직의 타깃이 된 것으로 나타났다. 경찰 조사 결과 최근 검거된 한 일당은 배달대행 플랫폼 배달의민족(이하 배민) 외주업체에 조직원을 위장취업 시켜 고객 집 주소 등 보복대행에 필요한 정보를 캐낸 것으로 파악됐다.

문제는 이런 CS업체가 통상 배민뿐 아니라 여러 기업의 고객 상담 서비스를 대행한다는 점이다. 정보 유출 범위가 예상보다 클 수 있어 대책 마련이 필요하다는 지적이다.

11일 경찰 등에 따르면 서울 양천경찰서는 배민뿐 아니라 타 기관이 취급하는 개인정보까지 유출된 정황을 포착하고 수사에 나섰다.

배민과 검거된 조직원 등을 압수수색해 얻은 증거물을 분석하는 과정에서 배민 회원 이외 고객 주소가 나오면서 고객 정보 유출 규모가 예상보다 클 수 있다는 지적이다.

실제로 플랫폼 업계와 보안 전문가들은 이같은 우려를 지적하고 있다.

플랫폼 업계 관계자는 "통상 CS업체는 배민뿐 아니라 여러 회사의 의뢰를 받는다"며 "대개 CS 업체 내부에 고객사별 상담 팀들이 있는 형태"라고 전했다.

문제의 CS업체가 팀별·직급별로 정보 접근에 차등적 제한을 두지 않았다면, 위장취업 상담사가 다른 기관·기업의 고객 정보를 빼돌리는 환경도 가능하다는 의미다.

황석진 동국대 국제정보보호대학원 교수는 "CS업체로선 한 고객사의 서비스만 대행해선 수익성이 떨어지기 때문에 여러 고객사 의뢰를 받는다"며 "이렇게 모인 회원 정보들이 통합적으로 관리될 가능성이 있다"고 설명했다.

그러면서 "(위장취업자 등이) 마음만 먹으면 여러 기관·기업이 보유한 개인정보를 탈취할 수도 있다"고 분석했다.

황 교수는 △고객 정보 접근권한 통제 △정보 비식별화 및 암호화 등 보안 조치가 부실한 경우 이같은 피해가 커질 수 있다고 짚었다.

황 교수는 "실무자가 정보에 접근한 로그기록 등을 종합적으로 모니터링할 수 있는 내부통제 시스템이 있어야 한다"며 "상대적으로 영세한 CS업체는 이같은 보안 조치를 혼자 해내기 어렵기 때문에 고객 정보를 맡긴 대기업 등 고객사도 어느 정도 책임은 져야 한다"고 말했다.

관련해서 배민 운영사인 우아한형제들은 지난달 "경찰 수사에 적극 협조하고 있다"며 "내부 통제를 보강하겠다"는 입장을 냈다. 관련 당국인 개인정보보호위원회에도 선제적으로 신고했다고 밝혔다.

개보위 역시 이 사건을 계기로 상담업무를 위탁한 개인정보처리자 및 수탁사에 대한 실태점검에 나섰다. 개인정보취급자 접근권한 부여 현황, 접속기록 보관·점검 실태 등 안전조치의무 준수 여부, 수탁사 대상 교육 등 관리·감독 등 사항을 집중적으로 살펴볼 계획이다.

한편 경찰청에 따르면 최근 다른 사람에게 위해를 가하는 '사적 보복' 범행 53건이 시도청을 통해 접수됐다. 경찰은 45건과 연루된 40명의 실행위자를 검거했으며, 이 중 중간책 이상은 3명이라고 설명했다.

양천서는 이달 2일 배민 외주업체에 상담사로 위장 취업한 혐의를 받는 40대 남성 여 모 씨와 윗선 30대 남성 이 모 씨를, 3일엔 총책 혐의를 받는 30대 남성 정 모 씨를 연달아 구속 송치했다.

경찰 조사 결과 이들은 텔레그램을 통해 불특정 다수로부터 보복 테러를 의뢰받고 경기 시흥과 서울 양천구 등지에서 타인의 주거지 현관문에 오물을 뿌리거나 낙서하는 등 범행을 저지른 것으로 파악됐다. 범행 대상자의 주소 등 개인정보를 확보하기 위해 여 씨는 배달의민족 외주 업체에 상담사로 위장 취업, 이후 약 1000건에 달하는 개인정보를 조회한 것으로 조사됐다.

중간책이 관련된 사건은 양천서에서 병합 수사하고, 나머지 사건의 경우 시도청 광역수사대에서 윗선 및 의뢰자 등을 집중 수사할 계획이다.

legomaster@news1.kr