2024년 한국인터넷진흥원(KISA)이 발표한 자료에 따르면, 국내에서 다크웹에 유출된 것으로 확인된 개인정보는 연간 1억 건을 넘어섰습니다. 이름, 주민등록번호, 휴대전화번호는 물론이고 금융 계좌정보와 의료기록까지 거래 대상이 되고 있습니다. 문제는 개인정보가 다크웹에 유출된 사실을 피해자 본인이 뒤늦게 알게 되는 경우가 대부분이라는 점입니다.
이 글에서는 다크웹 유출이 어떤 법적 의미를 가지는지, 피해를 인지했을 때 어떤 순서로 대응해야 하는지를 정리합니다.
개인정보 유출 자체는 여러 법률의 적용 대상이 됩니다. 우선 개인정보를 무단으로 취득하거나 제3자에게 제공하는 행위는 개인정보 보호법 제71조에 따라 5년 이하의 징역 또는 5,000만 원 이하의 벌금에 해당합니다. 해킹을 통해 정보를 탈취한 경우에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제48조의 '정보통신망 침입 금지' 위반으로 별도 처벌이 가능합니다.
다크웹에서 타인의 개인정보를 구매하여 보이스피싱, 스미싱, 명의도용 등에 활용하는 행위는 사기죄(형법 제347조), 전자금융거래법 위반 등 후속 범죄로 이어지므로 처벌 범위가 확대됩니다.
정리하면, 다크웹 개인정보 거래는 (1) 정보 탈취 단계, (2) 유통 단계, (3) 악용 단계 각각에서 별도의 형사 책임이 성립할 수 있으며, 피해자는 각 단계의 행위자를 상대로 법적 대응이 가능합니다.
다크웹 유출 피해는 초기 대응 속도가 2차 피해 규모를 좌우합니다. 실무에서 권장하는 대응 순서는 다음과 같습니다.
개인정보 유출의 원인이 기업의 관리 부실에 있는 경우, 피해자는 해당 기업을 상대로 민사상 손해배상을 청구할 수 있습니다. 개인정보 보호법 제39조는 "개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실, 도난, 유출된 경우 정보주체는 손해배상을 청구할 수 있다"고 규정하고 있으며, 같은 조 제3항은 법정손해배상(실제 손해를 입증하지 않아도 300만 원 이하 배상을 인정)을 별도로 두고 있습니다.
대규모 유출 사건의 경우 집단소송 또는 단체소송 형태로 진행되는 사례도 늘어나고 있습니다. 다만, 기업이 기술적, 관리적 보호조치를 충분히 이행했음을 입증하면 면책될 수 있으므로, 유출 경위에 대한 조사 결과를 면밀히 확인한 뒤 소 제기 여부를 판단해야 합니다.
다크웹에 유출된 개인정보는 단순히 '팔리는 것'에서 끝나지 않습니다. 실무에서 자주 접하는 2차 피해 유형은 다음과 같습니다.
이러한 2차 피해를 예방하려면 유출 인지 즉시 위 대응 절차를 진행하는 것이 가장 효과적입니다. 또한 평소에 사이트별로 다른 비밀번호를 사용하고, 2단계 인증을 활성화해 두는 습관이 피해 확산을 막는 데 도움이 됩니다.
다크웹은 익명성이 극대화된 네트워크이므로, 유통 행위자를 특정하는 것이 현실적으로 쉽지 않습니다. 경찰청 사이버수사국의 인력과 기술이 지속적으로 강화되고 있지만, 해외 서버를 경유하는 범죄의 경우 국제 공조가 필요하여 수사 기간이 6개월에서 1년 이상 소요되기도 합니다.
그러나 최근에는 가상자산 추적 기술의 발전으로 다크웹 거래 대금의 흐름을 역추적하여 범인을 검거하는 사례가 늘고 있습니다. 2023년 이후 국내에서도 다크웹 개인정보 판매자에 대한 검거가 이루어지고 있으며, 개인정보보호위원회의 과징금 부과 규모도 매년 확대되는 추세입니다.
결론적으로, 다크웹 유출 피해에 대해 '어차피 범인을 잡기 어렵다'는 인식으로 대응을 포기하는 것은 2차 피해를 자초하는 결과로 이어질 수 있습니다. 피해 인지 시점에서 신속하게 차단, 증거 확보, 신고의 3단계를 이행하는 것이 현재 법률 체계 안에서 피해자가 할 수 있는 가장 실질적인 자기 보호 방법입니다.
