“내 이름은 NEIS. 나이스라고 읽지만, 네이스라고도 하지요.” 안녕, 신문에서 인사하는 게 참 오랜만이네. 10년 전인 2003년에는 365일 중 200일은 신문에 나왔던 것 같은데 말이지. 나는 1만여개 초·중·고·특수학교와 178개 교육지원청, 17개 시도교육청과 교육부가 모든 교육행정 정보를 전자적으로 연계 처리하고 있어. 내게는 2125만명의 학생들의 정보가 축적돼 있지. 그동안 안전행정부나 대법원 등 유관기관의 행정정보를 이용하는 ‘교육행정통합정보서비스’(NEIS)인 내가 구축된다고 하니 ‘정보혁명’이라며 반기는 이들도 많았지만, ‘빅브러더’라는 시선으로 나의 등장에 우려를 표하는 측도 많았어. 그래서 나를 반기던 보수적인 사람들은 내 영어 약자를 “좋아”(Nice·나이스)라는 말과 같은 발음으로 불러 줬지만, 나를 싫어한 진보적인 사람들은 발음기호대로 건조하게 ‘네이스’라고 불렀어. 당시 누군가를 만나서 보수인지, 진보인지 성향을 파악하기 위해 내 이름을 한 번 읽어 보라고 하면 3초 만에 성향을 짐작할 수 있을 정도였다니까. 각설하고, 서울 중구 쌍림동에서 대구 신서혁신도시로 이사 가. 내가 입주한 한국교육학술정보원(KERIS) 전산센터가 지난 10일부터 오는 29일까지 이전하는데, 선발대로 먼저 대구에 가게 됐어. 서버 181식, 통신·보안 105식, 데이터베이스(DB)·백업 54식, 기타 59식 등 전국 학생들의 학교생활기록부 10년치 자료를 옮겨야 하는 대작업이라 시간이 많이 걸려. 게다가 내 자료가 유실되기라도 하면 학창시절의 기록이 사라지는 것이니 문제가 커져. 외부충격으로 인해 사고가 날지 몰라 무진동차에 몸을 싣고 이사를 가게 됐어. 덕분에 평소 보기 어려운 5t 규모 무진동차를 11대나 한꺼번에 볼 수 있었어. 무진동차는 서울청사에서 중부고속도로를 주행하다 경부고속도로로 진입해 대구의 새 보금자리인 KERIS 신청사까지 335㎞의 거리를 시속 80㎞로 달릴 거야. 6시간 동안 무진동차 앞뒤로는 경찰 호송차량이 함께 가고. 그 시간 동안 이사를 하기 위해 투입된 KERIS 직원과 경찰 등 242명이 모두 초긴장상태가 되는 셈이지. 이사를 마치고 18일까지 시범운영이 끝나면 NEIS 제공 서비스는 예전처럼 활용할 수 있어. 사실 교육부 산하 기관 중에서 KERIS가 가장 먼저 공공기관 이전을 하게 됐는데, 9월 4일에 시작되는 2014학년도 대입 수시전형 원서접수를 차질 없이 하려면 내가 갖고 있는 학교생활기록부 자료를 안정적으로 대학에 제공할 수 있어야 해. 이래 보여도 내가 없으면 대입 전형이 불가능할 지경이라고. 과거에 원서철이 되면 대학 건물 앞이 북새통을 이루고, 건물을 감으며 줄 서던 풍경을 본 지 오래된 이유가 내 덕분이야. 지금은 수험생들이 인터넷으로 원서를 접수하고, 그러면 내가 학생부 기재내용을 대학에 입시 전형 목적으로 보내주고 있거든. 혹시 시범운영 중인 18일까지 급하게 졸업증명서, 성적증명서, 검정고시합격증명서 같은 게 필요하면 어떡하냐고? 걱정하지마. 전국 17개 시도교육청에 NEIS 서버가 구축되어 있기 때문에, 증명서가 필요한 경우에는 시도교육청과 지역교육청·학교·주민센터 민원실 등에서 발급받을 수 있어. 그간 학부모서비스 이용실적은 2011년 5423만건, 지난해 3740만건, 올해 상반기 707만건으로 이용이 아주 활발한 편은 아니야. 하지만 이용한 학부모들을 상대로 만족도 조사를 해보면 2011년 89.6%, 지난해 89.0%가 만족한다고 답했지. 올해 만족도가 90%가 넘도록 노력하고 있어. 2011년부터 시범서비스로 운영해 온 학생서비스도 올해 7월부터 정식서비스로 제공되고 있어. 학생서비스를 통해 학생부 열람뿐 아니라 정기시험 정오답표, 신체활동일지, 학습도움자료 등을 조회할 수 있어. 내가 가진 통계들을 분석해 제공하면 좋겠다는 의견도 있어. 10년간 축적된 방대한 자료를 토대로 다른 학생들에 비해 체력이 약한 이유를 분석해 적당한 운동을 권해준다면 좋지 않을까. 특정 학급 성적만 오르지 않는다면 원인을 분석해 공부법을 바꿔 보는 등 대책을 세워줄 수도 있겠지. 2008년 ‘나이스 운영 시범학교’였던 충남 부여정보고에서는 내가 가진 자료를 활용해 통계를 내서 취업 진로 자료를 학생들에게 제공했어. 몇 년 동안 축적된 자료를 활용해 성적별로 지원 가능한 기업을 추천할 수 있었고, 아주 좋은 반응을 얻었어. 하지만 이런 서비스를 전국적으로 실시하려면 ‘개인정보’를 활용해야 하기 때문에 조심스럽기도 해. 나를 ‘네이스’라고 부르는 사람들은 내가 해킹당할 가능성과 내가 갖고 있는 학생에 대한 방대한 개인정보가 유출될 경우 돌이킬 수 없는 피해가 생길 수 있다고 걱정했거든. 특히 지금처럼 내 서버를 시도교육청에서 관리하면서 보안 전문가들이 배치되기는 했지만, 만에 하나 정보가 유출될 경우 한꺼번에 엄청나게 많은 양의 정보가 새어나갈 수 있다는 얘기야. 노기호 군산대 법학과 교수는 지난해 ‘NEIS에 의한 교육정보 공개와 학생의 개인정보 보호’라는 논문에서 “오늘날 학교는 개인정보은행이라고 할 만큼 많은 양의 개인정보를 보유하고 있는 공공기관”이라면서 “학부모를 비롯한 학생 개인 정보가 영리업자에게 유출돼 사회문제가 되고 있다”고 걱정했어. 학생 개인의 신상카드와 학교성적이 사설학원이나 개인과외 브로커들에게 제공돼 악용되는 경우가 있고, 입시학원이 취업이나 진학 정보를 학교에 제공하는 조건으로 학생들의 희망대학이나 전공, 교과성적 등 진로 관련 정보를 대량으로 복사하거나 제공받는 경우가 종종 발생한다는 것이야. 또 학교나 학교 내 학생선도위원회가 경찰에 학생과 보호자의 명부와 사진을 포함해 성적과 성격에 대한 정보를 제공하는 경우도 있다고 해. 그래서 노 교수는 “학교와 행정당국에 의한 비공개 정보의 자의적 운용이나 기업체의 개인정보 보호에 대한 인식부족 및 비협력에 대한 개선이 시급하다”고 주장했어. 요즘 학교폭력 문제가 심각한 사회문제가 되면서 지난해 3월 학교폭력과 관련된 징계내용을 NEIS 중 학생부에 기재할지 여부를 놓고 “기재해야 한다”는 교육부와 “기재할 수 없다”고 버틴 일부 교육청 간 논란은 나를 둘러싼 논란이 ‘현재진행형’임을 보여준 사례야. 경기도교육청이 학교폭력 가해사실을 NEIS에 기록하되 심의를 거쳐 졸업 후 삭제하도록 한 교육부 방침을 받아들였지만, 논란 과정에서 “복제가 쉽고, 유출 가능성이 높으며 영구 저장되는 NEIS에 법적으로 기재를 금지한 징계사항을 기재하는 것은 입법 의도를 침해한 것”이라고 한 일부 교육청의 의견은 귀담아들어야 할 것 같아. 내가 가진 방대한 양의 정보는 교육행정을 효율화하고 학생들의 교육 편의를 도모하는 데 큰 도움이 되지만, 한편으로 집적된 정보가 잘못 쓰일 경우 부작용을 낳을 수 있기 때문이야. 내가 태어났을 때부터 나를 ‘나이스’라고 불러온 교육부는 학생과 학부모, 교사가 나를 쉽게 쓰는 방법을 가르쳐주기 위한 홍보캐릭터로 ‘나()씨 가족’을 선택했어. 모든 사람들에게 ‘나이스’한 선택이 되기 위해 나는 앞으로 보안에도 더 신경쓰고, 개인 프라이버시 보호와 학생 인권을 위해 노력해야 될 거야. 나를 ‘네이스’라고 부르는 사람들 역시 나를 완전히 폐기하는 방법을 포함해 여러 보완방안과 대안을 제시해 주기를 부탁할게. 홍희경 기자 saloo@seoul.co.kr

폭로 전문 웹사이트 ‘위키리크스’에 미국의 군사 기밀을 넘긴 혐의로 재판을 받고 있는 브래들리 매닝(25) 일병이 자신의 행동으로 피해를 본 미국민과 국가에 대해 사과했다고 영국 BBC방송이 14일(현지시간) 보도했다. 매닝은 이날 메릴랜드주 포트미드 군사 법정에서 열린 심리에서 “나의 행동으로 세상을 바꿀 수 있다고 믿은 것은 실수였으며, 지난 3년간의 경험을 통해 깨닫게 됐다”며 이같이 밝혔다. 그러면서 “(기밀을 외부로 유출하는 대신) 군대 안에서 문제를 해결할 수 있도록 해야 했다”며 “나로 인해 발생한 예상치 못한 결과에 대해서도 미안하게 생각한다”고 덧붙였다. 한편 미국 정보기관의 전 세계 개인정보 수집 활동을 폭로한 전 중앙정보국(CIA) 직원 에드워드 스노든이 노벨평화상 후보로 추천됐다고 영국 일간 데일리메일이 보도했다. 노벨상 추천권을 갖고 있는 스웨덴 우메오대학 스테판 스발포르스 사회학과 교수는 노벨위원회에 보낸 편지에서 “스노든은 자신의 희생을 감수하면서까지 미 국가안보국(NSA)이 감행한 사이버 감시 활동의 존재를 폭로했으며, 이를 통해 인간의 기본권과 자유 옹호에 힘썼다”며 노벨상 추천 이유를 밝혔다. 최재헌 기자 goseoul@seoul.co.kr

’미스 틴 USA’에서 우승을 차지한 여성이 해킹을 당해 자신의 침실 모습이 모두 유출된 것으로 알려져 충격을 주고 있다. 지난 10일(현지시간) 캘리포니아 출신의 케시디 울프(19)가 미국 전역 14~18세 여성을 대상으로 한 ‘미스 틴 USA’에서 우승해 왕관을 썼지만 미디어의 관심은 다른 곳에 쏠렸다. 바로 미 연방수사국 FBI가 울프가 신고한 해킹 사건을 수사 중이라는 사실이 알려졌기 때문. 울프의 악몽은 4달 전 부터 시작됐다. 누군가가 침대에서의 그녀 모습을 컴퓨터 웹캠으로 모두 촬영했다면서 이메일을 보내왔던 것. 울프는 “누군가 내 컴퓨터를 해킹해 침대에 있는 내 모습을 웹캠으로 지켜봤다는 사실에 경악했다” 면서 “몇 달 전 부터 내 페이스북도 다른 주에서 접속한 기록이 있는 등 이상한 일이 있었다”고 밝혔다. 이후 ‘은밀한 사진’을 무기로 해커는 그녀에게 돈 등을 요구하기 시작했고 참다못한 울프는 경찰에 신고해 사건은 세간에 알려졌다. 울프는 “침실에 있는 나를 누군가 지켜봤다고 생각하면 지금도 몸서리 쳐진다” 며 “누구나 피해자가 될 수 있기 때문에 반드시 비밀번호를 자주 바꾸는 등 개인정보 보호에 스스로 노력해야 한다”고 말했다. 　 　 나우뉴스부 nownews@seoul.co.kr

7월 수출 458억달러… 2.6% 증가 산업통상자원부는 우리나라 7월 수출이 전년 동기 대비 2.6% 증가한 458억 4100만 달러를 기록했다고 1일 밝혔다. 수입은 2.7% 증가한 431억 2700만 달러로 집계됐고 무역수지는 27억 1300만 달러 흑자로 18개월 연속 흑자를 기록했다. 부동산 매물 광고, 중개사 실명 표시 국토교통부는 공인중개사법 시행령과 시행규칙 개정안을 2일 입법예고하면서 12월부터 부동산 매물 광고는 반드시 부동산중개업자(중개사무소 대표)의 실명으로만 내도록 했다. 중개업자와 소속 공인중개사는 2년마다 보수교육(연수교육)을 받아야 한다. 국민카드 ‘개인정보 배상보험’ 가입 KB국민카드는 지난달 31일 서울 종로구 내수동 본사에서 LIG손해보험과 개인정보 보호 배상책임보험 가입식을 가졌다. 고객 정보가 유출돼 발생한 경제적 손해 등을 보상하는 상품이다.

내년 8월부터 정부나 공공기관도 주민등록번호를 수집할 수 없게 된다. 안전행정부는 주민등록번호의 수집과 이용을 원칙적으로 금지하고 유출 시에는 과징금을 부과하는 내용을 담은 ‘개인정보보호법 일부개정안’이 30일 국무회의에서 의결됐다고 밝혔다. 상당수 정부기관들이 실명 인증 과정 등에서 주민번호를 요구하고 있는 관행을 근절하기 위한 조치로, 새 개정안은 다음 달 초 공포하고 내년 8월부터 시행할 예정이다. 개정안에 따르면 앞으로 민간은 물론 정부나 공공기관도 정보 주체나 제3자의 급박한 생명, 신체, 재산상 이익을 위해 명백한 필요가 있다고 판단될 때 등을 제외하고는 주민번호의 수집과 이용이 금지된다. 또 이 같은 이유가 아닌 경우, 이미 수집한 주민번호는 법 시행 후 2년 안에 파기해야 한다. 정보 주체가 동의한 주민번호 수집도 금지되며 이를 위반하면 3000만원 이하의 과태료를 물린다. 또 앞으로 주민번호를 유출한 기관이나 기업에는 최대 5억원의 과징금을 물리고 대표자에게 해임을 권고할 수 있도록 해 책임을 강화하기로 했다. 지금은 안전 조치를 제대로 하지 않은 것과 정보 유출 사고 간의 명확한 인과관계를 따져서 과태료를 물려 실효성이 낮다는 지적을 받아 왔다. 안석 기자 ccto@seoul.co.kr

페이스북과 트위터 등 소셜네트워크서비스(SNS)는 물론 인터넷 쇼핑 등 온라인 생활에 능숙한 직장인 김모씨는 개인정보가 유출돼 도용당한 사건이 뉴스에 나올 때마다 걱정스럽다. 자신이 숨진 뒤에도 남아 있을 온라인 정보가 다른 사람에 의해 악용될 수 있다는 생각 때문이다. 온라인 정보를 효율적으로 삭제할 수 있는 방법을 알아보던 김씨는 유망직종으로 부상한 ‘디지털 장의사’(사이버 언더테이커)와 사후(死後) 자신의 온라인 정보를 모두 지워 달라는 계약을 맺기로 했다. 이런 상황은 아직은 가상 시나리오에 불과하지만 몇 년 안에 현실화될 수 있을 전망이다. 고용노동부는 23일 청와대에서 열린 국무회의에서 디지털 장의사를 비롯한 신(新)직업 발굴·육성 추진 방안을 보고했다. 신직업 발굴·육성은 ‘외국직업 비교·분석→신직업 발굴·육성 방안 마련→새로운 일자리 창출 연계’의 3단계로 진행된다. 이를 위해 노동부와 한국고용정보원은 지난 4월부터 1단계 작업을 진행해 국내에 없는 다른 나라의 직업 650여종을 확인했다. 정부는 이 가운데 국내에 도입할 수 있는 직업 100개를 우선 선별해 육성키로 했다. 국내 도입이 가능한 100개 직업에는 고인이 생전에 인터넷에 남긴 흔적 등을 삭제해 주는 디지털 장의사와 가구 재배치 및 화분 배치 등을 통해 주택을 조금 더 높은 가격에 판매할 수 있도록 도와주는 매매주택 연출가 등 국내에는 생소한 직업이 포함됐다. 사립탐정(민간조사관)과 장애인 여행도우미, 신사업 아이디어 코디네이터,댄스 치료사 등도 100개 직업군에 포함됐다. 정부는 2017년까지 모두 500개의 새로운 직업을 발굴할 방침이다. 이를 위해 관계부처 협의체를 구성해 오는 8월부터 가동하기로 했다. 박성국 기자 psk@seoul.co.kr

지난달 25일 청와대를 비롯해 정부기관, 언론사 등 69곳에서 동시에 발생한 ‘6·25사이버테러’의 주체가 북한인 것으로 결론났다. 2011년 3·4디도스 공격, 농협 금융망 해킹, 올해 3·20사이버테러 등에 이어 또다시 북한 공격에 뚫린 셈이다. 6·25사이버테러 사건의 분석을 맡은 민·관·군 합동대응팀은 16일 미래창조과학부에서 설명회를 열고 “이번 공격 수법이 기존 북한의 해킹 수법과 일치한다”고 밝혔다. 대응팀은 공격 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종, PC 접속기록(로그), 인터넷주소(IP) 등을 과거 북한의 대남 해킹 자료와 비교·분석해 이 같은 결론을 내렸다고 설명했다. 공격은 최소 5개월 전부터 준비됐던 것으로 분석됐다. 북한은 국내 파일 공유 사이트, 웹하드 서비스 등을 사전에 해킹해 공격 거점으로 삼았다. 특히 다수 기관을 일시에 공격하고, 해외로부터의 서비스 응답으로 공격을 위장하거나 IP를 숨기는 등 진화된 공격 수법을 사용했다. 북한의 IP는 2개가 발견됐다. 해커는 로그를 삭제하고 하드디스크를 파괴했으나 복구 과정을 통해 이를 확인했다. 전길수 한국인터넷진흥원 침해사고대응단장은 “정보기관에서 보유하고 있던 북한 IP 대역과 일치하는 주소”라며 “어떤 목적으로 사용됐는지, 북한 IP 외에 총 몇개 IP가 발견됐는지는 보안 문제 때문에 밝히기 어렵다”고 말했다. 공격에 사용된 IP 주소는 북한 외 다른 국가의 것도 상당수 있는 것으로 알려졌다. 서버를 다운시키기 위해 시스템 부팅영역(MBR)을 파괴, 시스템 파일 삭제, 공격 상황 모니터링을 한 수법, 사용한 악성코드 문자열의 특징도 3·20사이버테러와 같았다. 분산서비스거부(DDos) 공격에 사용한 악성코드도 3·20 때 발견된 악성코드의 변종 형태인 것으로 분석됐다. 대응팀은 그러나 개인정보 유출의 경우는 언제 일어난 것인지 파악하지 못했다. 전 단장은 “개인정보는 공격 때 유출된 것인지, 사전 준비 과정에서 유출된 것인지 확실치 않다”고 말했다. 이번 공격이 또 북한 소행이라는 결론이 나옴에 따라 정부의 향후 대응에 관심이 쏠리고 있다. 오승곤 미래부 정보보호정책과장은 “대응팀의 역할은 사고를 분석하고 그 결과를 밝히는 것뿐”이라며 “이를 바탕으로 정부가 어떻게 대응할지는 정확히 단정할 수 없다”고 못 박았다. 한편 대응팀에는 미래부, 국방부, 검찰, 국가정보원 등 18개 기관의 전문가들이 참여했다. 강병철 기자 bckang@seoul.co.kr

#사례1 미국의 국가테러방지센터(NCC)는 소셜네트워크서비스(SNS), 신문, 잡지 등 매일 1만 건 이상의 테러 관련 정보 및 데이터를 분석한다. 이를 통해 테러 동향을 파악하고 테러 징후의 사전예측 체계를 마련하고 있다. #사례2 지난해 8월 미국 소비자보호 기구인 연방거래위원회(FTC)는 구글이 맞춤형 광고 제작을 목적으로 애플의 웹 브라우저 사파리 사용 고객의 개인정보를 무단 수집한 것과 관련해 벌금 2250만 달러(약 253억원)를 부과했다. 미래창조과학부와 한국과학기술기획평가원은 ‘2012년도 기술영향 평가’ 결과를 8일 정홍원 국무총리 주재로 열린 제1회 국가과학기술심의회에서 발표하고 최근 정보통신기술(ICT) 분야에서 주목받는 빅데이터(거대자료) 분석 기술의 명암을 조명했다. 빅데이터란 방대한 양의 디지털 정보를 이용해 새로운 가치를 창출하는 산업을 일컫는다. 평가에 따르면 민간 부문은 데이터 분석을 토대로 한 과학적인 의사결정을 통해 기업의 경쟁력·생산성 향상이 가능할 것으로 봤다. 공공 부문은 기후변화 예측, 우범지역 모니터링으로 범죄 예방, 거래 정보 분석으로 탈세 방지 등에서 긍정적 영향을 가져올 것으로 분석했다. 반면 법적, 기술적 기반이 부족한 상태에서의 무분별한 도입은 부작용을 낳을 것이라고 평가했다. 개인정보의 불법 접근과 음성적 거래가 대표적이다. 외국계 기업에 의존한 빅데이터 분석은 국가 정보의 대외 유출로 이어질 수 있다고 지적했다. 실제 국내 빅데이터 산업은 주로 IBM, 오라클처럼 글로벌 기업의 기술에 의존하고 있는 상태다. 미래부 관계자는 “정부 주도로 전문인력 및 현장활용 인력을 양성해야 하고, 프라이버시 보호를 위한 법적·제도적 장치 마련도 시급하다”고 강조했다. 이범수 기자 bulse46@seoul.co.kr

지난 몇년 새 발생한 대규모 개인정보 유출 사고에는 피해자들의 ‘집단 소송’이 자연스럽게 이어졌다. 그렇다면 지난달 25일 발생한 사이버 공격으로 10만명가량의 개인정보를 유출한 청와대에 대해서도 집단 민사소송이 가능할까. 법적으로는 가능하다는 게 전문가 판단이다. 1일 법조계와 관련 업계에 따르면 지난해 9월 KT의 873만명 개인정보 유출을 비롯, 기업들의 개인정보 유출 사고는 줄줄이 집단 민사소송으로 이어졌다. KT 사고 피해자 2만 4000명은 지난해 1인당 50만원씩을 요구하는 손해배상 청구 소송을 서울중앙지법에 냈다. 2011년 SK커뮤니케이션즈 회원정보 유출 사고, 2008년 옥션 사고 등도 재판 중이다. 청와대 회원정보 유출도 기업들의 경우와 크게 다르지 않다. 청와대도 마찬가지로 해킹 공격을 받아 개인정보가 유출됐고, 여기에 어느 정도 개인을 특정할 수 있는 이름과 생년월일, 주소 등이 포함됐다. 따라서 기업과 마찬가지로 관련 민사소송이 가능하다는 게 전문가들 얘기다. 김경한 민후 변호사는 “이번 개인정보 유출은 개인정보보호법을 근거할 때 민사소송감으로 충분하다”며 “공공기관의 정보 관리에 대한 법 적용은 기업보다 훨씬 엄격하다”고 전했다. 관련 소송이 진행 중인 기업 관계자도 “개인정보 관리 노력이 부족했다는 점이 입증되면 책임을 물을 수 있다”고 전했다. 반면 소송으로 이어져도 승소 가능성이 적다는 분석도 있다. 기업을 상대로 한 소송도 SK커뮤니케이션즈에 대한 일부 소송을 제외하고는 모두 원고 패소 판결이 내려졌다. 소송 중인 다른 기업 관계자는 “업체나 기관들이 개인정보 보호를 위한 장치를 마련하고 있는데도 해킹 공격을 받는 건 모두 억울한 측면이 있다”며 “이 때문에 전적으로 책임을 묻기가 어렵다”고 말했다. 다만 소송과 별개로 개인정보 유출에 대한 일정 책임은 피할 수 없을 것으로 보인다. 한 보안업계 관계자는 “최근 정부가 기업의 경우 명백한 잘못이 아니더라도 개인정보 사고가 나면 처벌을 강화하는 법안을 추진 중인 것으로 안다”며 “기업에 보안 책임을 묻는 만큼 정부도 책임을 져야할 것”이라고 말했다. 한편 한국인터넷진흥원은 이날도 영남일보, 정보넷 등 10곳의 사이트가 사이버 공격을 받았다고 밝혔다. 새누리당은 미래창조과학부와 당정협의를 갖고 전체 정보기술(IT) 예산 중 5% 수준인 정보보호 예산을 10%로 확충하는 방안을 요구했다. 강병철 기자 bckang@seoul.co.kr

지난 25일 발생한 청와대 홈페이지 해킹으로 약 10만명의 회원 개인정보가 유출된 것으로 확인됐다. 청와대 홈페이지 회원의 개인정보가 해킹으로 대량 유출된 것은 처음이다. 지난 2009년 7·7 분산서비스거부(디도스) 공격 때도 개인정보 유출 피해는 없었다. 청와대 관계자는 30일 “청와대 홈페이지 회원은 20만명가량인데 이번 해킹으로 회원정보가 유출된 회원은 10만명가량으로 확인됐다”고 말했다. 이들 10만명의 개인정보 중 이름, 생년월일, 아이디(ID), 주소, IP 등 총 5개 개인정보가 유출된 것으로 알려졌다. 다만 비밀번호와 주민번호는 암호화돼 유출되지 않았다. 이와 관련, 청와대는 지난 28일 ‘청와대 개인정보 유출에 대한 사과 공지’를 통해 “지난 6월 25일 발생된 청와대 홈페이지에 대한 사이버공격으로 회원님의 소중한 개인정보가 일부 유출되었음을 알려드리게 된 점, 진심으로 사과의 말씀을 드린다”고 밝혔다. 장세훈 기자 shjang@seoul.co.kr

25일 발생한 해킹은 한국전쟁이 발발한 6·25에 맞춰 청와대 및 정부 부처, 정당, 언론사 등 16개 기관을 대상으로 광범위하게 이뤄졌다는 점이 특징이다. 안랩은 이번 디도스(DDoS) 공격을 유발한 악성코드가 25일 0시부터 배포됐으며 오전 10시에 디도스 공격을 수행하도록 서버로부터 명령을 받은 것으로 확인했다고 밝혔다. 프로그래밍대로 공격은 오전 10~11시에 집중됐다. 안전행정부, 미래창조과학부, 통일부 홈페이지가 줄줄이 문제를 일으켰고 오후 2시 40분쯤 보건복지부 홈페이지에도 접속 장애가 발생했다. 안랩은 또 지난 2011년의 3·4 디도스 공격 때와 마찬가지로 웹하드를 통해 악성코드가 배포된 것으로 분석했다. 이번 해킹 피해는 단순 홈페이지 위·변조나 접속 장애 외에 개인 정보 유출로까지 이어진 것으로 보인다. 해킹을 당한 새누리당 일부 시·도당에서는 당원 명부가 유출됐다는 의혹이 나오고 있다. 박재문 미래부 정보화전략국장도 이날 브리핑에서 “유출된 개인정보를 유포하는 사이트 3곳을 발견해 차단했다”면서 “유출된 정보의 진위 여부와 유출 기관 등을 파악 중”이라고 설명했다. 정부는 이번 해킹을 ‘한 단체의 소행’으로 의심하고 있지만 어떤 단체인지, 목적이 무엇인지를 특정하지 못하고 있다. 해킹된 홈페이지에는 국제 해커그룹으로 알려진 어나니머스(Anonymous)의 이름이 쓰여 있으나 정부는 단정하기는 이르다는 입장이다. 이번 해킹은 북한 소행이라는 주장도 나온다. 6월 25일에 맞춰 대대적인 해킹 공격이 이뤄졌다는 점, 공격수법이 2009년과 2011년 북한이 벌인 디도스 공격과 유사하다는 점 등이 근거다. 그러나 박 국장은 “아직 단정할 단계가 아니다”라면서 “해킹의 경로나 방법, 로그 기록 등을 분석해서 유사성이 발견돼야 하는데 아직 조사하고 있다”고 말했다. 이런 가운데 방송사·금융사 정보전산망이 공격받은 3·20 사이버 테러 이후 석 달 만에 청와대 등의 보안망이 뚫리면서 그간 대책 마련이 소홀했던 게 아니냐는 지적도 나온다. 한편 어나니머스 소속 일부 해커들은 이날 낮 12시를 기해 북한 관련 사이트 46곳을 디도스 공격하겠다고 밝혔다. 일부 사이트는 접속 장애 등을 일으킨 것으로 전해졌다. 어나니머스 측은 이날 북한 웹사이트의 해킹을 통해 확보한 명단을 공개했다. 어나니머스는 이를 “북한 군 고위간부”라고 주장했다. 이 명단에는 곽종구, 권덕기, 김석일, 리철석 등 13명의 이름과 생년월일, 전화번호, 주소 등이 적혀 있다. 하지만 명단 속 주소지가 대부분 북한이 아닌 중국인 데다 일부 인사들은 1982년, 1989년생 등으로 표기돼, ‘고위 간부’란 주장은 무리라는 지적이 나온다. 강병철 기자 bckang@seoul.co.kr

소셜네트워크서비스(SNS)인 페이스북 국내 이용자들의 이메일 주소와 전화번호 등 개인정보가 유출된 것으로 드러났다. 다만 개인정보가 유출된 이용자 수와 구체적인 피해 사례는 확인되지 않고 있다. 페이스북의 전 세계 가입자 10억명 가운데 이번에 개인정보가 유출된 이용자는 600만명이다. 국내 페이스북 이용자 수가 1100만명 이상인 만큼 페이스북의 무성의한 대응에 대한 비판도 나오고 있다. 23일 현재 페이스북 한국 공식 사이트에는 본사 공지를 한국어로 번역한 안내문이 게시돼 있다. 페이스북 본사는 22일(현지시간) 인터넷 공지를 통해 “계정 설정의 ‘내 정보 다운로드’ 기능에서 버그가 발생해 회원의 이메일이나 전화번호 같은 정보가 노출되는 일이 있었다”고 밝혔다. 버그가 발생한 다운로드 기능은 게시글, 사진, 페이스북 친구의 이메일 주소 등 과거 활동 기록을 컴퓨터(PC) 등에 저장하는 서비스다. 페이스북 한국 공식 사이트에는 ‘유출 피해를 공지하는 페이스북 메일을 받았다’, ‘당장 피해가 없어도 잠재된 금전적·정신적·물질적 피해는 어떡하려고’, ‘같은 일이 발생되지 않기를 바란다’ 등의 댓글이 올라와 있다. 한 네티즌은 ‘번역 안내문이 개인정보가 유출된 것인지 아닌지 모르겠다’고 지적했다. 이에 대해 페이스북코리아 관계자는 “공식 홈페이지에 관련 공지 사항을 올렸으며 유출된 이용자는 이메일로 알림 공지를 받은 것으로 알고 있다”며 “국내 이용자들이 어떤 피해를 입었는지 파악할 수 없다”고 말했다. 강병철 기자 bckang@seoul.co.kr

소셜네트워크서비스(SNS) 페이스북에 버그가 생겨 세계 각국의 회원 10억명 가운데 약 600만명의 이메일 주소와 전화번호 정보가 유출된 사실이 뒤늦게 알려졌다. 페이스북 보안팀은 22일 인터넷 공지를 통해 “계정 설정의 ‘내 정보 다운로드’ 기능에서 버그가 발생해 회원의 이메일이나 전화번호 등 연락정보가 노출됐다”고 밝혔다. 내 정보 다운로드 기능은 게시글, 사진, 페이스북 친구의 이메일 주소 등 과거 활동 기록을 저장하는 서비스다. 보안팀에 따르면 지난해부터 이 내 정보 다운로드 기능에 버그가 생겨 한 회원이 활동 기록을 내려받으면 잘 모르는 사람의 전화번호와 이메일 주소까지 의도치 않게 받게 됐다. 이를테면 단순히 연락처에 등록된 이들이나 친구 외에 관계를 맺은 사람의 이메일, 전화번호 등이 당사자의 동의 없이 활동 기록안에 노츨된다는 것이다. 보안팀은 이 버그가 페이스북의 ‘친구 추천’ 기능 때문에 발생했다고 설명했다. 보안팀은 지난주 버그의 존재를 알아채고 다음날 바로 문제점을 고쳤다. 보안팀은 “이 버그로 약 600만명의 이메일·전화 정보가 뜻하지 않게 공유된 것으로 추산된다”면서 “버그가 악의적으로 활용됐다는 증거는 없으며 범법 행위 등 피해가 신고되지도 않았다”고 설명했다. 또 “미국, 캐나다, 유럽의 규제 당국에 문제를 알리고 당사자 회원에게 이메일 통보 절차를 밟고 있다”고 덧붙였다. 한국에서도 연락처 유출이 일어났는지는 아직 명확하게 밝혀지지 않았다. 맹수열 기자 guns@seoul.co.kr

대리운전 업체들이 불법으로 유출된 운행정보 400만여건을 스팸 문자(광고성 문자) 발송 등 영업활동에 사용한 것으로 드러났다. 서울중앙지검 첨단범죄수사2부(부장 조재연)는 대리운전 고객정보 수백만 건을 몰래 빼내 판 이모(30)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속기소했다고 12일 밝혔다. 이씨로부터 개인정보를 받아 영업에 활용한 대리운전업체(콜센터) 운영자 최모(42)씨 등 5명도 불구속 기소했다. 이씨는 지난해 9월 자신이 일하던 대리운전 운행정보 관리업체의 서버에서 고객 전화번호 등이 포함된 운행정보 184만건을 무단으로 내려받아 이를 콜센터 운영자 최씨에게 넘긴 혐의를 받고 있다. 이씨는 또 시중에 몰래 유통되고 있던 다른 관리업체의 운행정보 240만건을 입수해 최씨에게 넘기고 500만원을 받았으며, 콜센터 업자 박모(34)씨에게도 제공하고 100만원을 챙긴 것으로 조사됐다. 이씨를 통해 정보가 새 나간 관리업체 두곳은 콜센터 수백곳을 관리하는 대형업체이다. 유출된 고객정보 424만 건은 국내 승용차 소유자(지난해 4월 기준 1428만대)의 약 30%에 해당하는 수치라고 검찰은 전했다. 유출된 개인정보는 시중에서 유통되면서 스팸 문자를 보내는 데 불법으로 사용됐다. 휴대전화 번호가 유출된 피해자 중에는 최근 보이스피싱을 당해 136만원을 사기당한 사람도 있는 것으로 조사됐다. 최지숙 기자 truth173@seoul.co.kr

미국 국가안보국(NSA)의 내부고발자 에드워드 스노든(29)에 대한 상반된 여론이 들끓고 있다. 국가 안보를 위태롭게 한 배신자라는 비난이 쏟아지는 반면 국가적 영웅이라는 평가도 나온다. 10일(현지시간) 백악관 청원 웹사이트 ‘위더피플’에는 스노든의 사면을 지지하는 서명운동이 진행된 지 하루 만에 4만건 이상의 서명이 접수됐다. 전날 미 정보기관과 일부 의원들이 법무부가 기밀 정보 유출자를 송환해 범죄수사에 나서야 한다고 주장하자, 스노든을 옹호하는 네티즌들이 백악관에 직접 청원을 올린 것이다. 전 중앙정보국(CIA)직원인 스노든은 7일 가디언, 워싱턴 포스트(WP) 등 언론에 NSA의 개인정보 수집 기밀프로그램인 ‘프리즘’을 폭로한 바 있다. 청원문에는 “에드워드 스노든은 국가적 영웅이고 그가 NSA의 감시 프로그램 기밀을 고발하면서 저지른 어떤 범죄도 즉각 사면돼야 한다”는 내용이 담겨 있다. 30일 이내에 10만명 이상이 스노든의 사면을 지지하는 서명을 할 경우 백악관은 이에 대한 공식적인 답변을 내놓게 돼 있다. 앞서 민주당의 다이앤 파인스타인 상원 정보위원장은 파이낸셜타임스(FT)와의 인터뷰에서 “반역죄에 해당하기 때문에 내부 고발자로 평가받아서는 안 된다”고 주장했다. 마이클 뮤케이지 전 법무장관은 ‘기밀을 누설하는 것은 테러리스트들에게 힘을 실어주는 것’이라는 요지의 기고문을 월스트리트저널(WSJ)에 싣기도 했다. 한편 스노든이 제보한 내용을 최초 보도한 영국일간 가디언의 글렌 그린월드 기자는 이날 “아직 밝히지 않은 중대한 사실들이 많으며 앞으로 수주일에서 수개월 내에 차례로 이를 폭로하겠다”고 밝혔다. 최훈진 기자 choigiza@seoul.co.kr

미국 국가안보국(NSA)의 민간 사찰 기밀을 폭로한 당사자로 밝혀진 미 중앙정보국(CIA) 전 직원이 아이슬란드 망명을 요청했다가 거부당했다. 미 의회에서도 국가 안보와 국민의 기본권 가운데 무엇이 우선순위인지에 대해 논란이 일고 있다. 9일(현지시간) 영국 일간 가디언은 NSA 등 미 정보기관들이 민간인의 전화통화와 개인정보를 수집해 온 기밀 프로그램 ‘프리즘’을 폭로한 이가 전 CIA 정보기술요원이자 NSA 협력업체에서 일한 에드워드 조지프 스노든(29)이라고 보도했다. 지난달 20일부터 홍콩에 체류 중인 스노든은 가디언과의 인터뷰에서 “(나와) 가치를 공유하는 아이슬란드로 망명하길 원한다”고 밝혔다. 하지만 크리스틴 아르나도티르 중국 주재 아이슬란드 대사는 “아이슬란드 법에 따르면 당사자가 아이슬란드에 있어야만 망명 신청서를 낼 수 있다”면서 “그가 홍콩에 있는 한 망명을 허용할 수 없다”고 말했다. 스노든이 홍콩에 계속 체류할 경우 미국은 1997년 협정에 따라 홍콩 당국에 스노든의 본국 송환을 요청할 수 있다. 현재 홍콩 정치권은 스노든의 본국 송환을 놓고 찬반이 나뉜 상황이다. 스노든은 앞서 “나의 목표는 미 정부가 개인들의 정보를 어떻게 이용하고 있는지 알리는 것이었다”면서 “내가 한 선택이기에 미국의 보복이 두렵지 않다”고 밝혔다. 현재 스노든은 논란이 커지자 머물던 호텔에서 떠난 것으로 알려졌다. 미 정부는 2001년 ‘9·11 테러’를 계기로 만들어진 ‘애국법’에 따라 법원이 발부한 영장 없이도 통신회사나 인터넷 서비스 제공 기업, 은행 등으로부터 개인정보를 수집할 수 있다. 스노든의 폭로를 놓고 미국 내에서 논란이 커지고 있다. 일부 의원들이 개인의 기본권보다 국가안보를 강조하고 나섰다. 하지만 상원 정보위원회 소속 마크 유달(민주당) 의원은 “NSA의 광범위한 정보 수집이 미국민의 기본권을 침해할 가능성이 있다”면서 “이런 활동을 가능하게 한 애국법의 적용 범위를 제한해야 한다”고 주장했다. 이런 상황에서 제임스 클래퍼 국가정보국(DNI) 국장이 “NSA의 민간인 개인정보 수집 비밀 프로그램은 국가의 안전과 안보를 위한 핵심 수단”이라며 국가기밀 유출자에 대한 범죄 수사를 요청하면서 이번 사태가 법정 공방으로까지 이어질 전망이다. 한편, 이번 파문이 곧 본격적인 협상에 돌입할 유럽연합(EU)-미국 간 자유무역협정(FTA)에도 악영향을 미칠 것으로 보인다고 EU 전문매체 유랙티브가 보도했다. EU가 아무리 시민들의 개인정보 보호를 위한 장치를 마련한다고 해도 미국 정보기관의 불법적인 정보 수집 행위를 막지 못하면 아무런 소용이 없다는 데 분노하고 있다는 것이다. 최훈진 기자 choigiza@seoul.co.kr

할리우드 SF 영화에서나 볼 수 있는 기술들이 속속 공개돼 실용화를 앞두고 있다. 지난 29일(현지시간) 미국 캘리포니아에서 진행된 디지털 관련 콘퍼런스 D11에서 하이테크 기술이 집약된 첨단 문신이 공개돼 관심을 끌었다. 모토로라가 공개한 이 문신은 바로 현재의 패스워드 기입을 통한 접속 방식을 대체 하고자 하는 것. 기존 사용자가 자신의 컴퓨터와 휴대전화 및 인터넷 등을 사용할 때 패스워드를 기입하는 것이 아닌 문신을 통해 자동으로 인증 접속하는 방식이다. 이 방식으로 접속하면 사용자의 불편을 더는 것은 물론 보안도 한층 강화될 것이라는 것이 회사 측의 생각이다.　 모토로라 측은 “만약 이 문신이 사용자에게 부착돼 있다면 일일이 스마트폰의 잠금해제(비밀번호)를 할 필요가 없다.” 면서 “사용자의 계정에 자동으로 로그인돼 편리함을 제공하는 것은 물론 각종 개인정보 유출, 분실, 도난 등을 방지할 수 있다.”고 밝혔다. 이어 “이 문신은 고무 도장을 사용해 간단하게 부착 가능하며 올해 연말 일반에 공개할 예정”이라고 덧붙였다. 한편 이날 콘퍼런스에서는 이 문신 외에 같은 기능을 가진 알약도 공개됐다. 이 알약 역시 컴퓨터 칩이 내장돼 있어 한번 먹으면 30일 동안 자신의 모바일 기기 및 외부 컴퓨터와 자동 접속이 가능하다. 　　 박종익 기자 pji@seoul.co.kr

회사원 김모(30)씨는 최근 포털의 인터넷 쇼핑몰에서 배낭을 구입했다. 수십 개의 배낭을 검색한 끝에 요즘 유행하는 스타일의 배낭을 선택하고 값을 치렀다. 김씨는 다음 날 같은 PC로 신문사의 인터넷사이트에서 뉴스를 보다가 깜짝 놀랐다. 기사 옆의 광고창들이 모두 배낭 제품으로 채워져 있었다. ‘내가 검색한 기록과 정보를 누군가가 제공하는 것은 아닐까’ 하는 의문이 들 수밖에 없었다.　김씨가 경험한 것은 ‘행동 타기팅’(Behavioral Targeting)이나 ‘온라인 행위 기반 맞춤형 광고’(Online behavioral advertising)라고 부르는 기술 중 하나다. 사용자들이 웹사이트에 남긴 검색어, 이미지·동영상 조회, 채팅, 서핑 등 모든 행위를 분석하고 부호화해 사용자의 성향과 기호를 파악한 뒤 그에 맞는 정보나 광고를 보내준다. 즉 인터넷사업자가 김씨의 컴퓨터에 저장된 쿠키(Cookie·인터넷 웹사이트의 방문 기록을 남겨 사용자와 웹사이트 사이를 매개해 주는 정보)를 읽고 분석해 그의 인터넷 프로토콜(IP) 주소로 다시 광고를 보낸 것이다.　인터넷에서 검색 흔적을 쫓아 제공되는 맞춤형 광고가 마케팅 차원을 넘어 개인정보 유출에 따른 인권침해의 소지가 있는 것 아니냐는 지적이 제기되고 있다.　정보보호 전문가들과 인권 전문가들은 사용자들의 방대한 쿠키를 모아 저장하는 것은 위험할 수 있다고 지적한다. 쿠키와 IP를 함께 이용하면 사용자를 어느 정도 식별 가능하고 개인의 웹 활동 내역이 특정인에게 제공될 가능성이 있기 때문이다. 김현진 한국정보화진흥원 책임연구원은 27일 “쿠키가 사용자가 어디서 무엇을 했는지에 대한 정보를 담고 있다면 IP는 사용자가 누구인지에 대한 정보가 될 수 있다”면서 “공용 컴퓨터 등 일부의 경우를 제외하면 쿠키와 IP가 결합돼 충분히 개인정보가 될 수 있다”고 밝혔다.　국가인권위원회의 한 정보인권담당자도 “현행법상 IP 주소 등의 자원은 국가에서 관리하고 있으며 실제로 탈영병 검거 등에 사용하고 있다”면서 “국가가 이용하기에 따라 인권을 중대하게 침해할 수도 있다”고 지적했다.　유럽연합(EU)은 지난해부터 웹사이트로부터 쿠키를 사전 동의 없이 이용하는 것을 막고 있다. 미국은 기본적으로 웹사이트의 추적을 허용하면서도 사용자가 별도로 ‘추적하지 마시오’(Do not track)를 체크하면 추적하지 못하도록 하고 있다.　반면 방송통신위원회는 사용자의 쿠키와 IP가 개인 정보라고 판단하기에는 아직 어렵다는 입장이다. 쿠키와 IP는 종류별로 성격이 다양해 그것을 사용하는 문제에 대해 세계적으로도 토론이 끝나지 않았다는 것이다. 특히 박근혜 정부에서는 쿠키와 IP 등을 포함한 ‘빅데이터’를 중요한 정보 자원으로 보고 사용을 극대화하려는 움직임을 보이고 있다. 포털들도 쿠키와 IP만으로는 개인에 대한 식별이 어렵고, 사용자들이 각 사이트에 가입할 당시 쿠키와 IP 사용에 동의했기 때문에 정보 이용에 문제될 것이 없다고 주장한다.　김민석 기자 shiho@seoul.co.kr

소셜네트워크서비스(SNS)와 온라인 게시판을 중심으로 윤창중 전 청와대 대변인 성추문 피해여성이라고 지칭한 사진이 급속히 퍼지고 있어 논란이 예상된다. 일부 네티즌이 무분별한 신상털기에 나서 2차 피해까지 우려되고 있는 상황이다. 12일 일부 포털사이트와 SNS에는 ‘윤창중의 그녀’라는 제목의 사진이 잇따라 게재됐다. 미모의 젊은 여성을 담은 증명사진과 거울을 보고 찍은 사진 등이다. 증권가 정보지를 통해 유출됐다는 설명을 단 글도 올라오고 있다. 심지어 피해여성의 실명을 거론한 사진도 나온 상태다. 증명사진은 하얀색 블라우스를 입고 머리를 단정히 묶어 뒤로 올린 여성이 밝은 미소를 짓는 모습을 담고 있다. 편안한 복장을 입고 웃음을 짓는 사진도 있다. 네티즌들은 미모의 여성 사진에 대해 “모델 뺨칠 정도의 미인”이라며 사진을 유포하고 있다. 그러나 타인의 사진을 무분별하게 유포하는 것은 엄연히 불법이며 개인정보보호법에 저촉돼 수사를 받을 수도 있다. 또 피해여성의 사진인지 확실하지도 않은 상황에서 사진이 무분별하게 유포돼 논란이 이어지고 있다. 네티즌들은 “사진 여부가 확실하지도 않고 설혹 맞다고 해도 공개하는 것은 위험한 행동”, “이 사진이 과연 피해여성 사진이 맞나”, “누구인지 정확하지는 않지만 상당한 미모” 등의 반응을 보이고 있다. 온라인뉴스팀 iseoul@seoul.co.kr

고3 수험생들의 학력진단을 위한 수능모의고사 및 전국연합학력평가 시험답안을 유출한 현직 교사와 시험시간에 학생들에게 카카오톡으로 정답을 전송한 학원장이 경찰에 붙잡혔다. 경기경찰청 광역수사대는 16일 현직 교사들로부터 학력진단용 문제지를 넘겨받아 수강생들에게 답안을 전송한 혐의(위계에 의한 공무집행방해 등)로 안양 모 입시학원 원장 조모(36)씨에 대해 구속영장을 신청했다. 또 조씨에게 모의고사 문제와 답안을 건넨 안양A고 이모(43)씨와 B고 윤모(34·여)씨 등 현직 교사 2명을 포함한 5명을 개인정보호법 위반 혐의로 불구속 입건했다. 한편 학원장 조씨는 넘겨받은 답안을 수험생 17명의 스마트폰 문자메시지나 카카오톡으로 전송한 혐의를 받고 있다. 조씨는 2011년 6월 안양 동안구에 학원을 설립한 후 수강생들에게 “내가 평가원 직원이다. 나만 믿고 따라오면 좋은 대학에 갈 수 있다”며 학원수업 이외에 특별과외를 권한 것으로 조사됐다. 그러나 대다수 수험생들은 이후 공부를 게을리해 정작 실제 수능시험은 망친 것으로 확인됐다. 수험생 17명중 상당수가 수능시험에서 과목별 5등급 이하를 받았으며 10명은 대학입시에 낙방한 것으로 확인됐다. 경찰은 “수험생들은 특별과외를 받기 전에는 2~4등급의 성적을 유지했으나 학원장인 조씨 말만 믿고 공부를 게을리해 내신성적이 지속적으로 떨어졌다”고 말했다. 한상봉 기자 hsb@seoul.co.kr