더블린과 아일랜드에 기반으로 둔 신용평가 회사 익스페리안(Experian)이 신용 점수를 가진 거의 모든 미국인의 신용 점수를 유출해 화제다. 익스페리안은 자사 홈페이지에서 개인이 자신의 신용점수를 간편하게 확인할 수 있는 서비스를 제공했는데, 이 시스템의 보안이 취약했던 탓이다. 해당 신용점수 조회 서비스는 원래 고객이 자신의 이름과 주소, 생년월일을 입력할 경우 자신의 신용점수(FICO점수)를 확인할 수 있는 서비스다. 그런데 정확한 데이터를 입력하지 않고 임의의 숫자를 넣을 경우에도(예를 들어, 생년월일에 0000을 넣어도) 고객의 신용점수가 조회된 것이다.
Experian 홈페이지 신용점수 조회 서비스(출처:experian.com)
이번에 유출된 신용점수(FICO score)는 세 자리 숫자로 이루어진 신용도 점수로써 각종 대출기관, 보험회사 등이 개인의 신용도를 판단하고, 이를 근거로 서비스를 제공할 때 사용하는매우 민감한 개인정보다. FICO점수를 산출하기 위해서 사용되는 데이터는 현재 고객이 보유한 신용카드 개수, 보유 기간, 대출 보유 여부 및 기간, 신청 건수, 대출규모 등이 포함된다. 해당 점수만으로도 개인의 재정상태를 가늠할 수 있는 것이다. 따라서 FICO 점수의 유출은 상황에 따라 각종 금융범죄를 촉발할 수 있다. 예를 들어, 신용점수가 낮고 계좌가 많은 사람들에게 원래는 발급 불가능한 신용카드의 사전 승인이 통과됐다고 안내하는 금융 사기 등이 가능한 것이다.
이번 유출 사건이 더욱 놀라운 이유는 유출의 주체인 익스페리안이 작은 중소기업이 아니며, 이미 수차례의 유출사고를 겪은 바 있기 때문이다. 이들은 10억 명 이상의 사람 및 기업 정보를 수집 처리하는 신용 조사 기관이며, 여기에는 2억 3천5백만 미국 소비자와 2천5백만 개 이상 미국 기업을 포함하고 있다. 그럼에도 불구하고 2013년, 2015년, 2020년, 그리고 올해까지도 자사가 보유한 고객 정보의 유출사고에 휘말린 바 있는데, 민감한 정보를 다루는 회사로서 매우 불명예스러운 일이 아닐 수 없다.

어떻게 이런 일이 발생했을까. 조사에 따르면, 익스페리언의 2020년 유출 및 2021년 유출 사고는 본인 인증절차 및 권한 확인에 대한 제대로 된 감시가 없었던 탓으로 밝혀졌다. 해당 서비스의 시스템이 공개적으로 사용 가능한 정보(이름, 주소)를 인증에 사용하고, 별도의 추가 인증 없이 데이터에 접근 가능하도록 허술하게 설계되었던 것이다. 10억명 이상의 사람 및 기업정보를 수집, 처리하는 기업에서 민감한 고객의 개인정보를 보호하기 위한 최소한의 조치가 제대로 이루어지지 않았다는 점은 믿기 힘든 사실이다.
데이터 경제가 도래할 수록 데이터의 안전한 활용, 프라이버시 보호에 대한 사회적 요구도 점점 높아지고 있다. GDPR(유럽 개인정보 보호 법) 시행 등을 굳이 언급하지 않더라도, 정보주체의 권리를 보호하기 위한 법적/사회적 노력이 전 세계적으로 점차 강화되고 있으며 이에 따른 개인들의 프라이버시에 대한 인식도 높아지고 있다. 더 이상 반복되는 유출사고가 발생하지 않도록 기업들의 철저한 데이터 관리와 유출사고에 대한 높은 경각심이 요구되고 있다.