고객이 신용카드 기업에 등록한 정보는 신용정보기관을 통해 수집되어 지불 능력 등을 확인하는데 사용된다. 이런 정보 유통에 대해 조사 결과 이런 종류 개인 정보는 범죄자에게 먹잇감이 되고 있어 정보에 따라선 개당 수만 원이라는 저가에 판매되고 있다고 한다.
보도에 따르면 텔레그램을 통해 범죄자 커뮤니티에 참여한 기록에 따르면 개인 정보를 알고 싶은 대상에 대한 정보 예를 들어 이름과 사는 것으로 보이는 주 정도만 알아도 타깃에 대한 이름이나 전화번호, 사회보장번호, 주소 이력, 가족명이나 생년월일까지 온갖 정보를 얻을 수 있었다고 한다. 이런 데이터는 모두 비트코인으로 판매되고 있으며 대략 15달러에서 40달러 가격으로 취급되고 있었다고 한다.
이런 정보는 스와팅이나 SIM 카드를 탈취하는 SIM 스와핑, 단순히 개인 집에서 폭력 등 범죄 행위를 하는 등 다양한 용도에 사용되고 있다고 한다. 확인한 봇의 경우 상당히 강력하며 기밀 데이터를 얻기 위해 고급 기술이 거의 필요하지 않아 사용자가 정보 유출을 방지하기가 어렵다고 한다. 이런 개인 정보는 모두 신용카드 기업에서 유출됐다는 지적이다.
연방준비제도이사회 FRB 데이터에 따르면 2022년 미국인 성인 중 82%가 신용카드를 소지하고 있다. 누군가 신용카드를 신청하면 신용카드 기업과 금융기관은 고객 개인 정보를 3대 신용 정보 기관(Experian, Equifax, TransUnion)으로 전송한다. 이는 각 기관이 사용자 신용 정보를 확인하고 신원 확인을 해 사기를 방지하는 등 목적을 위해 이뤄지는 것이지만 성인 인구 대부분은 이런 신용정보기관에 개인 정보가 수집되어 저장된다는 뜻이다.
하지만 일부 신용 정보기관은 이런 데이터를 다른 기업이 사용할 수 있도록 한다. 카드 사용 이력 등을 기록한 신용보고서는 공정신용보고법 FCRA라는 법률에 따라 용도가 한정되어 있지만 성명이나 생년월일, 현재 주소, 이전 주소, 사회보장번호, 전화번호 같은 기본 정보는 해당 법에 의한 제한을 받지 않는다.
신용정보기관이나 데이터 브로커는 이런 기본 정보는 은행업, 증권업, 보험업 통합을 허가한 GLBA(Gramm-Leach-Biley Act)에 해당한다는 자세를 관철해 이 법으론 규제되지 않는 제3자에 대한 정보 판매를 실시하고 있다는 지적이다. 기본 정보 판매처는 사립탐정사무소나 부동산업계 등 다방면에 걸쳐 정보가 브로커를 통해 각 곳에 흩어지는 어딘가에서 범죄자에게 새어나가고 있다는 것이다.
범죄자 데이터 입수 경로는 시간 경과에 따라 변화하고 있다. 한때는 트랜스유니온이 관리하는 데이터 분석 도구(TLOxp)가 악용된 적도 있었다. 법 집행기관이 사용할 수도 있는 이 도구는 범죄자에게 악용되면 강력한 개인 정보 검색 도구가 될 수 있다. 트랜스유니온 역시 악용 사실을 인정하며 다양한 안전책과 보호책을 도입하고 있으며 극히 드물게 악용이 확인된 경우 법집행기관과 협의하고 있다고 밝혔다.
일반 소비자에게 신용정보기관이 제3자에 대한 데이터 판매를 멈추게 하는 일은 어렵다. 데이터를 완전 삭제하는 것도 불가능하다는 지적이다. 소비자가 개인 정보를 보호할 수 있는 옵션이 없다면 대신 정부기관이 보호하는 게 중요하다는 설명이다. 기본 정보를 FCRA에 포함하면 판매를 제한할 수 있다는 제안도 나온다. 관련 내용은 이곳에서 확인할 수 있다.