더불어민주당 황운하(전 울산경찰청장) 의원 선거캠프 관계자가 검찰에 구속됐다. 대전지검 공공수사부는 17일 공직선거법 위반 혐의로 A씨를 구속해 수사하고 있다고 밝혔다. 대전지법 오세용 영장전담 부장판사는 ‘증거인멸 및 도주의 우려가 있다’며 검찰이 청구한 영장을 발부했다. A씨는 지난 4·15 총선 전 민주당 대전 중구 후보 선정을 위한 당내 경선에서 당원 개인정보가 들어 있는 명부를 부당 유출해 활용한 혐의를 받고 있다. 지난 3월 있은 경선은 황운하, 송행수, 전병덕 등 3파전으로 치러졌다. 자동응답(ARS) 방식으로 여론조사(권리당원 50%, 일반 유권자 50%)를 해 황 의원이 대전 중구 민주당 후보로 공천을 받아 21대 총선에서 당선됐다. 이 과정에서 송행수 예비후보 측은 “황 후보 캠프 관계자들이 당원전화번호를 불법 취득해 황 후보 지지에 이용하고, 대전시 및 구의원들이 황 후보 지지 전화를 돌려 도운 것으로 안다”면서 당원명부 불법 유출 의혹을 제기하고 A씨를 검찰에 고발했다. 검찰은 지난 4월 24일 당시 당선인 신분이던 황 의원의 중구 용두동 선거 사무실을 7시간 동안 압수수색해 관련 서류와 컴퓨터 파일 등을 확보했다. 황 의원은 울산경찰청장 시절 문재인 대통령의 친구인 송철호 후보(현 울산시장)의 당선을 위해 김기현 당시 시장(현 미래통합당 국회의원)을 표적수사했다는 이른바 ‘청와대 하명수사’ 논란의 중심에 있었고, 경찰 재직 때부터 ‘검찰개혁’을 주장해왔다. 대전 이천열 기자 sky@seoul.co.kr

조 “지원센터 구청 신관으로 최종 입주해야” 조미향 구로구의회 의원이 아동학대 상담과 관련해 서울 구로구청 내에 별도 상담 공간이 없는 것과 관련해 ‘위기가정통합지원센터’의 독립 공간과 전담 인력 배치를 요구한 이후 아동학대 상담을 위한 별도 전용공간이 만들어질 계획인 것으로 확인됐다. 구로구청 관계자는 17일 “아동학대 상담과 관련해 현재 구청 신관 구로경찰서 민원실 자리에 위기가정통합지원센터 전용 공간을 확보할 계획”이라면서 “경찰서 민원실이 이전한 후 입주할 예정”이라고 밝혔다. 그동안 코로나19(신종 코로나바이러스 감염증) 장기화로 아이들이 가정에 머무는 시간이 길어지면서 가정폭력, 아동 학대에 대한 우려가 높았지만 별도 상담 공간이 없어 민감한 개인정보 유출 우려 등 우려들이 제기됐다. 조 의원은 지난달 구로구의회 제293회 정례회 ‘2020년도 행정사무감사’에서 “코로나19로 아동학대 등 가정 폭력 문제가 늘고 있는데 별도의 상담실이 없다”면서 “전화 상담시에 주변의 소음으로 인해 집중이 어렵고 방문상담을 원하는 민원인의 경우 가정 내 폭력 및 학대 등 민감한 개인정보가 노출될 위험이 높다”고 지적했다. 조 의원은 “별도의 공간 없이 구청 복지정책과 내에 설치·운영되고 있는 구로구 위기가정통합지원센터의 독립된 공간과 전담인력 배치가 시급하다”면서 “구청 내 또는 구청 외 청사 건물에 독립 공간을 확보하여 위기가정 통합 지원센터의 업무가 원활히 진행될 수 있도록 적극적인 행정을 펼치길 바란다”고 촉구했다. 위기가정 통합지원센터는 아동학대, 가정폭력 등 위기의 처한 가정을 선제적으로 파악하고 사후관리를 통해 사회 안전망을 강화하고자 만들어진 곳으로 전국에서 처음으로 서울시와 서울지방경찰청이 협업해 재발방지 목적으로 만들어졌다. 조 의원은 “현재 임시로 사용하고 있는 위기가정 통합지원센터가 구청 신관 2층 청사로 최종 입주할 때까지 끝까지 책임지고 추진할 것”이라고 말했다. 조 의원은 더불어민주당 서울시당 부대변인 출신으로 민주당 서울시당 자치분권 부위원장 등을 지냈다. 온라인뉴스부 iseoul@seoul.co.kr

커먼즈 파운데이션은 전세계적으로 디지털화 바람이 거센 가운데, 퍼블릭 분산원장 기반의 분산신원증명(DID) 개발에 시동을 걸었다. 커먼즈 파운데이션은 지난해 퍼블릭 분산원장을 활용한 추적관리 시스템에 대한 구상을 발표했고, 이달 초 포스트 코로나 시대에 맞는 분산원장 기술을 활용한 역학조사 시스템을 발표했다. 이번 DID 개발을 통해 해당 분야에 실사례를 구현하겠다는 계획이다. DID란 ‘Decentralized ID’의 약자로, 분산원장 기술을 기반으로 중앙기관 없이 자신의 신원을 증명하는 것을 뜻한다. 탈중앙화신원인증, 분산신원인증 또는 분산 ID로도 불린다. 특정 기관에 신원인증 또는 가입목적에 부합하지 않는 개인정보를 모두 제공하는 대신에 스마트폰에 개인신원인증에 필요한 정보를 저장하고, 각 기관 별 혹은 각 상황 별로 필요한 정보를 사용자가 직접 선택해 제공할 수 있어 개인정보 유출을 최소화할 수 있는 신원증명 체계이다. DID는 지문, 얼굴, 홍채 등 바이오인증을 통하여 사용할 수 있어 스마트폰을 분실하더라도 개인정보 노출 위험이 없다. 또한 발급 및 사용이력 등을 데이터 위변조가 불가능한 분산원장에 저장함으로써 접근통제 기록도 안전하게 관리할 수 있다.지난달 공인인증서 폐지를 골자로 한 전자서명법이 통과되었기에 DID가 새로운 인증방식으로 주목받을 가능성이 높아졌다. 이를 통해 커먼즈 파운데이션은 다 년 간의 퍼블릭 분산원장 연구개발(R&D) 성과를 퍼블릭 분산원장 위의 DID 시스템 구축을 시작으로 포스트 코로나 시대에 맞는 역학조사 시스템과 추적관리 시스템 등의 사업에 녹여내는 방향으로 사업간 연계를 강화해 나갈 계획이라고 밝혔다. 최용관 커먼즈 파운데이션 이사장은 “포스트 코로나 시대 사회경제적으로 비대면 서비스 요구와 필요성이 늘어나면서, 사용자가 간편하게 자신의 신원을 증명하고 개인정보를 관리할 수 있는 DID 서비스가 활성화될 수 있는 환경을 마련해야 한다”고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

코로나19 대유행으로 미국의 실업수당 청구가 폭증한 가운데, 신청하지도 않은 사람에게 수당이 지급되는 사태가 잇따르고 있다. 9일(현지시간) NBC계열 지역언론사 WGAL은 펜실베이니아주의 한 부부 계좌로 신청하지도 않은 실업수당 수천만 원이 입금됐다고 보도했다. 지난 7일 아침, 펜실베이니아주 랭커스터카운티에 사는 켄 크니어 부부는 계좌로 수천만 원이 입금됐다는 알림 문자에 잠에서 깼다. 크니어는 “아내 계좌로 들어온 8755달러를 포함해 우리 부부는 총 3만1559달러(약 3795만 원)의 실업수당을 받았다”고 밝혔다. 약 두 달 전 직장에 복귀한 이들 부부는 실업수당 청구 대상자도 아니었으며, 실업수당을 신청한 적도 없었다. 크니어는 “우리 돈이 아니다. 속상하다. 잘못 입금된 실업수당에 대한 세금 책임을 지고 싶지 않다”고 말했다. 그러면서 “만약 과거 노동부 서류에 문자 알림 서비스를 받겠다고 서명했다. 그러나 문자 알림을 거부한 사람들은 돈이 입금된 사실조차 모르고 있을 수 있다”라고 덧붙였다. 재무부 관계자는 현지언론에 이들 부부에게 잘못 지급된 실업수당을 다시 회수할 것이라고 밝혔다. 랭커스터 카운티에서는 지난달 12일에도 비슷한 일이 있었다. 당시 한 주민 여성은 “집으로 실업수당 7300달러가 수표로 날라왔는데, 아들 앞으로 지급된 거였다”고 황당함을 드러냈다. 아들은 8년 전 다른 지역으로 이사를 나간 데다, 실업수당을 청구한 적도 없었기 때문이다. 이 주민은 아들이 5년 전 신원 도용 피해를 당했는데, 그때 유출된 사회보장번호로 누군가 사기 행각을 벌인 것 같다고 추측했다. 실업수당 사기 청구가 잇따르자 주 정부가 계좌 입금 방식에서 수표 발송 방식으로 지급 방법을 바꾼 것이 그나마 부정수급을 막은 사례였다.하지만 워싱턴주는 수조 원에 달하는 피해를 봤다. 지난 5월 시애틀타임스에 따르면 워싱턴주는 실업수당 시스템의 허점을 꿰뚫은 나이지리아 사기단에 뒤통수를 맞았다. ‘산재한 카나리아’라 불리는 사기단은 도용된 개인정보를 이용해 지구 반대편에서 실업급여를 청구했다. 뒤늦게 이 사실을 알아차린 주 당국이 수당 지급을 중단했지만, 사기단은 이미 38억 달러(약 4조7000억 원)에 달하는 돈을 빼간 상태였다. 신분을 도용한 실업수당 사기 청구 사건이 잇따르자 조사에 나선 미국 비밀경호국은 펜실베이니아와 워싱턴을 비롯해 플로리다, 매사추세츠, 노스캐롤라이나, 오하이오, 오클라호마, 로드 아일랜드, 와이오밍주 등 총 9개 주에서 비슷한 범죄 사실을 파악했다. 사기단은 2017년 신용정보회사에서 유출된 고객 정보를 주로 사용한 것으로 알려졌다. 피해액은 수억 달러에 달하는 것으로 추산된다.미국은 코로나19 대유행과 함께 사실상 무제한 실업수당 지급에 나섰다. 3월 셋째 주부터 본격적으로 늘어난 수당 청구 건수는 같은 달 넷째 주 687만 건까지 치솟아 1967년 이후 최고치를 기록했다. 지난주(6월 28일~7월 4일) 신규 실업수당 청구 건수가 131만건으로 14주 연속 감소하긴 했지만, 100만건이 넘는 역대급 기록은 16주째 계속되고 있다. 팬데믹 이전인 3월 초 신규 실업수당 청구 건수는 21만~22만 건에 불과했다. 권윤희 기자 heeya@seoul.co.kr

전자문서 전문기업 (주)디지털존이 지난 6월 24일 한국인터넷진흥원(KISA)으로부터 ISMS(정보보호 관리체계-Information Security Management System) 인증을 획득했다고 밝혔다. ISMS 인증은 기업이 보유하고 있는 정보통신망의 안전성 확보를 위해 수립‧운영하고 있는 기술적‧물리적 보호조치 등 종합적인 관리체계에 대한 국내 최고 권위의 정보보호 인증 제도로서, 한국인터넷진흥원(KISA)의 전문 심사를 거쳐 정보보호 관리체계 수립과 운영 부문 16개, 보호대책 요구사항 부문 64개 기준을 통과한 기업에게 부여된다. ISMS 인증을 획득한 (주)디지털존은 대학, 병원, 공공기관 등 각 분야에서 전자문서 서비스 점유율 1위 기업으로 행정안전부, 경찰청, 한국교통안전공단 등 주요 공공기관의 시스템통합(SI) 사업을 수행하며 시스템 분석과 구축을 효과적으로 제공하고 있다. (주)디지털존은 ISMS 인증을 통해 주 고객사이자 ISMS 인증 의무대상자인 대학과 병원으로부터 신뢰를 얻음과 동시에 사용자 정보 유출의 위험으로부터 안전한 서비스임을 입증할 수 있게 됐다.(주)디지털존이 중소기업으로서는 막대한 비용이 투자되는 ISMS 인증을 선제적으로 취득할 수 있었던 것은 서울산업진흥원(SBA 대표이사 장영승)의 지원이 있었기에 가능했으며 중소기업지원사업의 바람직한 사례라 할 수 있다. 전정우 대표이사는 “약 240개 대학 및 200개 병원 사용자가 이용하고 있는 전자문서 발급‧유통 서비스의 운영 기업으로서 보안에 대해 높은 경각심을 가지고 철저한 관리체계를 구축하고 있다”며 “앞으로도 사용자들이 안전하고 편리하게 서비스를 이용할 수 있도록 지속적으로 정보보호와 시스템 보안을 강화해 나갈 것이다”라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

최근 개인정보가 유출돼 자신도 모르는 사이에 돈이 빠져나갔다는 뉴스가 종종 나온다. 개인정보가 새 나가면 한 번에 수천만명까지도 털리곤 하니, 누구도 자신의 개인정보가 완벽히 보호되고 있다고 장담하기 어려울 것이다. 마지막 방어선은 개인 비밀번호인데, 개인정보를 악용하려는 범죄자들이 암호화된 정보는 뚫지 못하길 바랄 뿐이다. 하지만 컴퓨터 암호 체계에는 심각한 약점이 존재한다. 간첩이 들키지 않고 정보를 전달하기 위해 난수표를 사용하듯 컴퓨터도 암호를 만들기 위해 난수에 의존한다. 그러나 알고리즘에 따라 정해진 값을 내도록 만들어진 디지털 컴퓨터는 진정한 난수를 만들지 못한다. 이 때문에 자칫하면 수백년이 걸려야 해독할 수 있다는 암호도 순식간에 뚫릴 수 있다. 이 약점을 보완하기 위해 물리적인 현상을 이용해 진정한 난수를 만들려는 노력이 진행되고 있다. 현재 많이 연구되는 방법은 양자역학적 현상을 이용하는 것이다. 양자역학에 따르면 사건이 일어날 확률은 계산 가능하지만 그 확률 내에서 사건 자체는 무작위로 일어난다. 그 대표적인 사례가 방사성 동위원소다. 방사성 동위원소의 핵은 정해진 시간 동안 일정 확률로 붕괴하지만 실제로 붕괴할지는 철저히 무작위다. 이처럼 양자역학을 이용하는 진성 난수 발생기가 보편화되면 우리도 조금은 안심해도 좋을 것이다. 하지만 기껏 기억하기 어려운 비밀번호를 만들어 놓고 모니터 옆에 붙여 놓으면 ‘말짱 도루묵’이다. 박승일 한국원자력연구원 융복합양자과학연구소장

‘1q2w3e4r!’ 군대에 다녀온 사람이라면 익숙한 문자와 숫자의 조합이다. 우스갯소리로 ‘대한민국 1급 군사비밀’이라고 불리는 이 조합은 군대에서 사용하는 PC의 비밀번호로 널리 쓰인다. 군 PC 비밀번호는 통상 문자와 숫자, 특수문자를 결합해 10자 이상으로 사용하도록 한다. 군대를 비롯한 정부 기관에서는 PC 비밀번호에 “10자 이상일 것”, “특정 문자가 연속되지 않을 것”, “1개월 주기로 교체할 것” 등의 보안 지침을 정해 놓고 있다. 지침대로 한다면 비밀번호가 복잡하게 구성되고 자주 바뀌어 좀처럼 알아내기 어려울 것이다. 하지만 비밀번호를 복잡하게 해 보안성을 높이라고 했더니 오히려 이를 간단하게 만드는 방법을 고안했다. 우선 1q2w3e4r을 차례대로 중지와 검지를 이용해 빠르게 입력한 뒤 끝에 특수문자를 붙인다. 숙달되면 한 손가락으로만 칠 수도 있다. 끝에 붙는 특수문자는 처음에는 ‘!’를 시작으로 달이 바뀔 때마다 ‘@, #, $, %…’ 등 키보드 순서대로 설정한다. 1q2w3e4r이 지겨우면 부처별로 맞는 비밀번호를 설정하기도 한다. 인사과의 경우 ‘인사1!’, 작전과는 ‘작전1!’ 등 기억하기 쉬운 비밀번호를 사용한다.쉽기만 하다면 다행이다. 비밀번호를 잊어버릴까 봐 포스트잇에 크게 적어 PC에 붙여 둔 경우도 허다하다. 상급부대에서 보안점검을 올 때 떼 버리면 그만이다. 이쯤 되면 과연 비밀번호가 맞는지 의심스럽다. 비밀번호를 자주 교체하다 보니 바꾼 비밀번호를 잊어버리는 경우도 많다. 후임자에게 인계를 하려는데 비밀번호가 생각나지 않는다. 기밀 파일을 열어 보려고 했더니 비밀번호가 기억나지 않아 괜히 선임자를 탓하는 경우도 많다. 장병들도 이를 보며 오죽 답답했는지 군 기밀 사고를 다룬 기사에는 꼭 “1q2w3e4r이나 어떻게 좀 해 보라”는 댓글이 줄줄이 달린다. 최근 군 보안 의식에 대해 많은 논란이 일고 있다. 군 기밀의 산실로 불리는 국방과학연구소(ADD)에서 대규모 군 기밀 유출 사건이 발생하며 군 보안이 쉽게 뚫렸다는 지적이 나왔다. 더군다나 ADD에서는 보안을 위한 퇴직자 보안점검과 보안검색대 등 기초적인 보안 장치도 마련해 놓지 않았던 것으로 밝혀지면서 전반적인 군 기밀 의식이 전혀 없었다는 비판이 제기됐다. 장병들의 휴대전화 사용이 지난 1일부로 전면 시행되면서 보안 의식에 대한 우려도 커지고 있다. 지난 5월에는 육군 장병들이 3급 기밀에 해당하는 암구호를 소셜네트워크서비스(SNS) 단체 대화방에 공유해 논란이 됐다. 병사들만 보안 사고를 일으키는 것은 아니다. 간부들의 경우 비교적 휴대전화 사용이 자유로운 탓에 보안 사고가 더 극심하게 발생한다. 보통 부대 간부들은 SNS 대화방을 만들어 업무를 공유한다. 사소한 대화부터 업무 얘기까지 자유롭게 나눈다. 민감하게 다뤄야 할 지휘관의 동선도 군 전화가 아닌 SNS 대화방을 통해 공유한다. 심지어 훈련 때도 간부들이 카카오톡을 활용하는 경우가 있다. 이 때문에 일부 군인 사이에서는 “전쟁 때 카톡 안 터지면 어쩌냐”는 얘기도 나온다. 간부들의 ‘온나라’(공문서 결재 시스템) ID와 비밀번호를 병사들과 공유하는 것도 일반적이다. 인사계 병사가 간부 ID로 몰래 휴가 결재 공문을 올려 휴가를 가려다 적발된 경우도 있었다. 최근 사회복무요원이 관리자의 문서 접근 권한을 이용해 개인정보를 알아낸 다음 스토킹 범죄에 악용해 병무청이 대대적인 대책 마련에 나서기도 했다. 왜 이렇게 보안 의식이 허술한 것일까. 야전부대 간부들은 관리 편의성 때문에 어쩔 수 없는 측면이 있다고 말한다. 후방부대의 한 작전장교는 “내가 관리해야 하는 군 전자기기만 해도 3개가 넘는다”며 “모든 기기에 비밀번호를 다 다르게 설정하면 비밀번호를 잊어버리기 십상이라 편의적인 측면에서 어쩔 수 없다”고 호소했다. 군에서 보안은 기밀 유지의 핵심이다. 보안이 뚫리면 군이 무너지게 된다. 편리함에 익숙해져 보안 의식을 소홀히 한다면 군이 무너지는 건 순식간일 것이다. 어느 때보다 간부들 스스로 보안 의식에 더 민감해져야 할 순간이다.

금융감독원이 대규모 금융·개인 정보가 유출된 사건<서울신문 6월 15일자>과 관련해 61만 7000개의 카드정보가 유출된 것으로 분석됐다고 3일 밝혔다. 경찰과 금융 당국은 관련 조사를 둘러싸고 지난 3월부터 ‘핑퐁 게임’을 되풀이하며 3개월을 흘려보냈지만, 두 기관의 협조가 이뤄지자 불과 2주일 만에 유출 정보 분석을 완료한 것이다. 두 기관의 공조가 일찍 이뤄졌다면 피해 발생을 줄였을 수 있었다는 지적이 나온다. 금감원에 따르면 현재까지 확인된 정보 유출 건수는 중복, 유효기간 경과, 소비자 보호조치가 완료된 건을 제외하고 61만 7000건이다. 이는 2019년 7월 카드 정보 도난 사건(56만 8000건)보다 많은 양이다. 게다가 은행계좌번호, 주민등록번호, 휴대전화번호 등 다른 금융·개인 정보에 대해서는 수사가 진행 중이다. 유출된 정보는 더 늘어날 것으로 보인다. 앞서 서울지방경찰청 보안수사대는 시중은행 해킹 혐의로 구속된 이모(42)씨의 추가 범행과 공범을 수사하는 과정에서 이씨가 국내 현금자동입출금기(ATM), 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 금융·개인 정보를 빼낸 사실을 확인했다. 이씨로부터 확보한 외장하드는 1.5테라바이트(TB)에 달했다. 하지만 경찰은 금감원이 수사 협조를 하지 않는다고 비판하고, 금감원은 경찰이 수사 기본도 모른 채 민감한 자료를 통째로 떠넘기려 한다고 반발했다. 경찰은 지난 3월 초 금감원에 관련 데이터를 줄 테니 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청했지만 금감원은 난색을 표했다. 금감원 관계자는 “압수물은 경찰이 먼저 분석을 한 뒤 데이터를 넘겨주는 게 순서지 금감원이 수사물을 들여다보고 분석할 권한은 없다”며 “경찰 측에 소비자 피해를 최대한 빨리 줄일 수 있도록 데이터를 분석해 넘겨 달라고 요청했다”고 말했다. 카드사 관계자들은 “카드 정보 외에 다른 정보도 있고, 타사 개인 정보까지 담겨 있었다”며 “이런 것까지 보는 건 문제 될 소지가 있어 협조할 수 없었다”고 해명했다. 개인·금융 정보 유출 사실이 알려지고 나서야 경찰과 금융 당국은 회의를 열고 수사 공조 방안을 논의했다. 두 기관이 서로에게 책임을 떠넘기는 사이 유출된 카드 정보로 138건(1006만원)이 부정 사용됐다. 수사 공조가 이뤄지자 불과 2주일도 채 지나지 않아 금감원과 경찰은 유출된 개인·금융정보 중 카드 정보에 대한 분석을 완료했다. 홍인기 기자 ikik@seoul.co.kr

이달 초 모바일 금융서비스 토스에서 이용자가 모르는 사이 수백만 원이 결제되는 사고가 여러 건 발생했다. 현재로서는 개인정보가 도용됐을 가능성에 무게가 실린다. 30일 금융권에 따르면 금융감독원은 토스를 운영하는 비바리퍼블리카를 조사한 뒤 토스를 통한 개인정보 유출은 없었다고 잠정 판단했다. 즉, 토스 자체가 해킹당했다기보다 특수 브라우저로 접속하는 다크웹을 통해 고객의 개인정보를 확보했을 가능성이 더 크다고 보는 것이다. 금감원은 비바리퍼블리카로부터 부정 결제 관련 서류를 제출받아 검토한 뒤 지난 11∼12일 현장 점검을 벌이는 방식으로 경위를 파악했다. 토스 측도 “제3자가 사용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 한 것으로 파악했다”면서 “토스를 통한 정보 유출이 아닌 도용된 개인정보를 활용한 부정 결제 이슈”라고 입장을 밝힌 바 있다. 다만 금감원은 보안이 허술하다는 비판을 받은 간편결제 시스템의 문제점을 파악하고자 간편결제 사업자 전체를 대상으로 토스와 유사한 사고가 있었는지 점검하고 있다. 지난 3일 토스 온라인 가맹점 3곳에서 총 8명의 토스 고객 명의로 938만원 상당의 부정 결제가 발생했다. 결제에는 고객의 전화번호와 생년월일, 비밀번호가 이용됐다. 경찰 역시 해당 사건에 대한 수사를 진행 중이다. 곽혜진 기자 demian@seoul.co.kr

이통사 본인 인증 앱 ‘패스’ 24일 서비스 모바일 운전면허증 증명… 보안성 높아 ‘아이티센’ 모바일 공무원증 사업자 선정 ‘라온시큐어’도 전자 도민증 연내 상용화 블록체인 기반 ‘탈중앙화 신원증명’ 발전 개인기기에 분산 관리해 해킹 위험 적어5년 내 30조원 규모로 커질 것으로 보이는 ‘디지털 신분증’ 시대가 열리면서 관련 업체들의 발걸음이 빨라졌다. 21일 업계에 따르면 국내 이동통신 3사의 본인인증 애플리케이션(앱)인 ‘패스’는 오는 24일부터 경찰청의 운전면허정보검증 시스템과 연동된 ‘모바일 운전면허증’ 서비스를 시작한다. 패스 앱에 사진이나 2차원 바코드(QR코드) 등이 표시되는데 이를 통해 운전면허증을 증명할 수 있다. 패스 앱의 서비스 중 유일하게 ‘블록체인’(분산저장 기술)에 기반해 보안성이 높다. 앞으로는 편의점에서 술이나 담배를 살 때도 모바일 운전면허증으로 신원인증이 가능하다. 중견업체들도 정부와 손잡고 디지털 신분증 사업에 뛰어들었다. ‘아이티센’은 최근 블록체인 기반의 모바일 공무원증 구축 사업의 우선협상대상자로 선정됐다. 오는 12월까지 시스템 구축이 완료되면 중앙부처 공무원들은 내년부터 모바일 공무원증을 발급받아 스마트폰만으로 청사를 드나들 수 있다. 보안업체인 ‘라온시큐어’도 지난달 경남 지역의 ‘모바일 도민증’ 사업을 수주해 이르면 연내 상용화를 목표로 하고 있다. 디지털 신분증의 상용화가 가능해진 것은 블록체인 기술을 기반으로 하는 ‘탈중앙화 신원증명(DID) 서비스’의 발전 덕이다. 개인정보를 제3기관의 중앙 서버에 저장하면 외부 해킹에 의해 대량 유출될 위험성이 있는데 DID에서는 스마트폰과 같은 개인 기기에 분산 관리하기 때문에 보안성이 높다. 사용자가 인증이 필요할 때만 제출하면 되기 때문에 개인이 자신의 정보 통제권을 가지게 된다. DID 기술은 ‘자율주행차량의 차량 및 이용자 정보 인증’이나 ‘디지털 화물 운송장 정보 시스템’ 등 적용될 수 있는 곳이 많아 여러 기업이 시장에 눈독을 들이고 있다. 현재 국내에서는 각자 조금씩 다른 기술을 지닌 DID 기업들이 3곳의 연합체(DID얼라이언스·마이아이디 얼라이언스·이니셜 DID 연합)를 만들어 시장 주도권을 잡기 위한 경쟁을 벌이고 있다. LG CNS는 지난 5월 캐나다 업체인 ‘에버님’과 글로벌 DID 표준 수립을 위한 업무협약을 체결하기도 했다. 라온시큐어가 취합한 자료에 따르면 블록체인 기반 신원인증 전 세계 시장 규모는 2021년 101억 달러(약 12조원) 규모에서 2025년에는 252억 달러(약 30조원)로 급성장할 것으로 추정된다. 업계 관계자는 “향후 장애인등록증이나 학생증, 주민등록증 등이 모두 디지털 신분증으로 바뀌게 될 것”이라며 “이제 막 시장이 태동하는 시기이기 때문에 앞으로 발전 가능성이 무궁무진하다. 업체별 주도권 싸움이 더 치열해질 것”이라고 말했다. 한재희 기자 jh@seoul.co.kr

“암호화폐 거래소가 해킹됐다고 하는 말을 믿는 업계 사람들은 아무도 없어요.” 암호화폐 거래소 해킹 사고는 매년 반복적으로 일어나고 있다. 2017년 암호화폐 투자 광풍 이후 외부로 알려진 대형 해킹 피해액만 1800억원에 달한다. 그럼에도 범인에 대한 처벌이나 피해자 보상 문제는 은근슬쩍 덮였다. 암호화폐 브로커 출신인 A씨는 21일 서울신문과의 인터뷰에서 “거래소 해킹 사고가 다 외부에서 침입해 발생한 것이라는 건 사실이 아니다”라고 주장했다. 그는 “거래소 직원이나 대표가 고객들의 암호화폐를 탈취한 후 해외 거래소로 옮겨 세탁하면 수사기관이 추적할 방법이 없다”며 “내부 금전 사고조차도 고객들에게는 ‘해킹 당했다’고 알리는 경우가 많다”고 했다. 업계에 따르면 2017년부터 현재까지 국내 주요 거래소에서 발생한 해킹사건 피해액은 1800억원에 달한다. 이 중 빗썸과 업비트의 해킹 피해액이 가장 크다. 빗썸은 2017년 4월 70억원, 2018년 6월 350억원, 2019년 3월 150억원에 해당하는 암호화폐 해킹으로 총 570억원의 피해를 입었고, 업비트는 지난해 11월 580억원 규모의 해킹 피해를 입었다. 이들은 모두 업체 자산으로 피해 보상을 한다고 밝혔다. 하지만 개인정보 유출에 따른 간접 해킹(고객의 계정 정보를 이용한 암호화폐 탈취)이었던 빗썸의 2017년 6월 사건을 제외한 나머지는 아직까지 범인 추적도 하지 못했다. 2017년 12월 해킹 피해로 파산한 거래소 코인빈은 225억원의 피해금액 보상을 하지 못했고, 각각 21억원, 400억원의 해킹 피해가 발생한 코인이즈와 코인레일은 자체 쿠폰이나 새로운 암호화폐로 보상을 대신하는 땜질식 해결에 그쳤다. 2017년 4월과 12월 두 번의 해킹 피해가 발생한 코인빈은 야피존과 유빗으로 거래소 명칭을 바꿔가며 운영을 이어갔지만 결국 파산했다. 코인빈 전 대표 박찬규씨는 유빗 대표와 코인빈 본부장을 지낸 이모씨가 내부 횡령을 했다는 의혹을 제기, 현재 검찰 수사가 진행 중이다. 박씨는 서울신문과의 통화에서 “거래소를 운영한 사람이 직접 고객 돈을 빼돌린 정황에도 검찰은 수사 인력 부족을 이유로 내세워 제대로 수사하지 않고 있다”고 제기했다. 암호화폐 업계조차 해킹 사고에 대한 진위 여부를 의심하는 건 그만큼 법·제도적 규제가 없기 때문이다. 김대규 온세 법률사무소 변호사는 “암호화폐 거래소가 해킹 등에 따른 손실 책임을 강제할 수 있도록 하는 법·제도적 정비가 필요하다”고 지적했다. 박재홍 기자 maeno@seoul.co.kr이태권 기자 rights@seoul.co.kr

“암호화폐 거래소가 해킹됐다고 하는 말을 믿는 업계 사람들은 아무도 없어요.” 암호화폐 거래소 해킹 사고는 매년 반복적으로 일어나고 있다. 2017년 암호화폐 투자 광풍 이후 외부로 알려진 대형 해킹 피해액만 1800억원에 달한다. 그럼에도 범인에 대한 처벌이나 피해자 보상 문제는 은근슬쩍 덮였다. 암호화폐 브로커 출신인 A씨는 21일 서울신문과의 인터뷰에서 “거래소 해킹 사고가 다 외부에서 침입해 발생한 것이라는 건 사실이 아니다”라고 주장했다. 그는 “거래소 직원이나 대표가 고객들의 암호화폐를 탈취한 후 해외 거래소로 옮겨 세탁하면 수사기관이 추적할 방법이 없다”며 “내부 금전 사고조차도 고객들에게는 ‘해킹 당했다’고 알리는 경우가 많다”고 했다. 업계에 따르면 2017년부터 현재까지 국내 주요 거래소에서 발생한 해킹사건 피해액은 1800억원에 달한다. 이 중 빗썸과 업비트의 해킹 피해액이 가장 크다. 빗썸은 2017년 4월 70억원, 2018년 6월 350억원, 2019년 3월 150억원에 해당하는 암호화폐 해킹으로 총 570억원의 피해를 입었고, 업비트는 지난해 11월 580억원 규모의 해킹 피해를 입었다. 이들은 모두 업체 자산으로 피해 보상을 한다고 밝혔다. 하지만 개인정보 유출에 따른 간접 해킹(고객의 계정 정보를 이용한 암호화폐 탈취)이었던 빗썸의 2017년 6월 사건을 제외한 나머지는 아직까지 범인 추적도 하지 못했다. 2017년 12월 해킹 피해로 파산한 거래소 코인빈은 225억원의 피해금액 보상을 하지 못했고, 각각 21억원, 400억원의 해킹 피해가 발생한 코인이즈와 코인레일은 자체 쿠폰이나 새로운 암호화폐로 보상을 대신하는 땜질식 해결에 그쳤다. 2017년 4월과 12월 두 번의 해킹 피해가 발생한 코인빈은 야피존과 유빗으로 거래소 명칭을 바꿔가며 운영을 이어갔지만 결국 파산했다. 코인빈 전 대표 박찬규씨는 유빗 대표와 코인빈 본부장을 지낸 이모씨가 내부 횡령을 했다는 의혹을 제기, 현재 검찰 수사가 진행 중이다. 박씨는 서울신문과의 통화에서 “거래소를 운영한 사람이 직접 고객 돈을 빼돌린 정황에도 검찰은 수사 인력 부족을 이유로 내세워 제대로 수사하지 않고 있다”고 제기했다. 암호화폐 업계조차 해킹 사고에 대한 진위 여부를 의심하는 건 그만큼 법·제도적 규제가 없기 때문이다. 김대규 온세 법률사무소 변호사는 “암호화폐 거래소가 해킹 등에 따른 손실 책임을 강제할 수 있도록 하는 법·제도적 정비가 필요하다”고 지적했다. 박재홍 기자 maeno@seoul.co.kr이태권 기자 rights@seoul.co.kr

30조원 시장 노리는 DID 기술 업계 5년 내 30조원 규모로 커질 것으로 보이는 ‘디지털 신분증’ 시대가 열리면서 관련 업체들의 발걸음이 빨라졌다. 21일 업계에 따르면 국내 이동통신 3사의 본인인증 애플리케이션(앱)인 ‘패스’는 오는 24일부터 경찰청의 운전면허정보검증 시스템과 연동된 ‘모바일 운전면허증’ 서비스를 시작한다. 패스 앱에 사진이나 2차원 바코드(QR코드) 등이 표시되는데 이를 통해 운전면허증을 증명할 수 있다. 패스 앱의 서비스 중 유일하게 ‘블록체인’(분산저장 기술)에 기반해 보안성이 높다. 앞으로는 편의점에서 술이나 담배를 살 때도 모바일 운전면허증으로 신원인증이 가능하다. 중견업체들도 정부와 손잡고 디지털 신분증 사업에 뛰어들었다. ‘아이티센’은 최근 블록체인 기반의 모바일 공무원증 구축 사업의 우선협상대상자로 선정됐다. 오는 12월까지 시스템 구축이 완료되면 중앙부처 공무원들은 내년부터 모바일 공무원증을 발급받아 스마트폰만으로 청사를 드나들 수 있다. 보안업체인 ‘라온시큐어’도 지난달 경남 지역의 ‘모바일 도민증’ 사업을 수주해 이르면 연내 상용화를 목표로 하고 있다. 디지털 신분증의 상용화가 가능해진 것은 블록체인 기술을 기반으로 하는 ‘탈중앙화 신원증명(DID) 서비스’의 발전 덕이다. 개인정보를 제3기관의 중앙 서버에 저장하면 외부 해킹에 의해 대량 유출될 위험성이 있는데 DID에서는 스마트폰과 같은 개인 기기에 분산 관리하기 때문에 보안성이 높다. 사용자가 인증이 필요할 때만 제출하면 되기 때문에 개인이 자신의 정보 통제권을 가지게 된다. DID 기술은 ‘자율주행차량의 차량 및 이용자 정보 인증’이나 ‘디지털 화물 운송장 정보 시스템’ 등 적용될 수 있는 곳이 많아 여러 기업이 시장에 눈독을 들이고 있다. 현재 국내에서는 각자 조금씩 다른 기술을 지닌 DID 기업들이 3곳의 연합체(DID얼라이언스·마이아이디 얼라이언스·이니셜 DID 연합)를 만들어 시장 주도권을 잡기 위한 경쟁을 벌이고 있다. LG CNS는 지난 5월 캐나다 업체인 ‘에버님’과 글로벌 DID 표준 수립을 위한 업무협약을 체결하기도 했다. 라온시큐어가 취합한 자료에 따르면 블록체인 기반 신원인증 전 세계 시장 규모는 2021년 101억 달러(약 12조원) 규모에서 2025년에는 252억 달러(약 30조원)로 급성장할 것으로 추정된다. 업계 관계자는 “향후 장애인등록증이나 학생증, 주민등록증 등이 모두 디지털 신분증으로 바뀌게 될 것”이라며 “이제 막 시장이 태동하는 시기이기 때문에 앞으로 발전 가능성이 무궁무진하다. 업체별 주도권 싸움이 더 치열해질 것”이라고 말했다. 한재희 기자 jh@seoul.co.kr

민갑룡 “확인과정서 엇갈린 부분 있었다” 피해 파악·소비자 보호조치 등 취하기로 참여연대 등 8개 시민단체들, 강력 비판 “사태 미룬 정부 책임… 피해 빨리 알려야”사상 최대 규모의 금융·개인 정보가 유출됐는데도 3개월째 핑퐁 게임만 하며 소비자 피해 예방 조치를 하지 않는다는 지적<서울신문 6월 15일자 1·8면>과 관련해 수사·금융 당국이 15일 협업을 통해 신속히 피해 규모를 파악하고 소비자 보호 조치를 취하기로 했다. 민갑룡 경찰청장은 유출 정보를 확인하는 과정에서 금융감독원과 “엇갈리는 부분이 있었다”고 인정했다. 시민단체들은 뒤늦게 협조 체제를 꾸린 것에 대해 경찰과 금감원을 강도 높게 비판했다. 금융위원회와 경찰청, 금융감독원은 이날 오후 2시 금융위 대회의실에서 수사 공조를 위한 회의를 갖고 “관계기관 간 적극 협력을 통해 필요한 소비자 보호 조치 등을 신속하게 진행할 계획”이라고 밝혔다. 금감원이 수사 협조를 하지 않는다고 비판한 경찰은 “금감원을 비롯한 관계기관 간 적극적인 협력과 공조를 통해 수사를 진행하고 있다”며 진화에 나섰고, 수사물을 분석할 권한이 없다던 금감원도 “경찰청의 압수물 분석 등에 인력 파견 등을 통해 적극 협력할 예정”이라고 했다. 참여연대, 경제정의실천연대, 민주사회를 위한 변호사모임, 민주노총, 한국소비자연맹 등 8개 시민단체는 이날 공동 논평을 통해 “개인정보 유출이 발생하면 가능한 한 빨리 소비자 보호 조치를 취해야 하는데 수사기관과 금융 당국은 조사가 시작된 지 3개월이 돼 감에도 서로 책임을 미룬 채 아직도 정확한 피해 사실조차 파악하지 못하고 있다”며 “이미 개인정보가 유출된 지 많은 시간이 지났기에 수사·금융 당국은 정확한 유출 경위와 내용, 예상되는 위험 등을 파악해 해당 정보주체에게 고지해 주는 게 급선무”라고 질타했다. 금융정의연대도 성명을 통해 “이번 사태의 큰 책임은 정부에 있다”면서 “범정부 차원의 태스크포스(TF)를 꾸려 유출 피해 규모를 파악하고 코로나19처럼 공공문자로 피해 예방을 위한 소비자 유의 사항을 알려주는 등 시급한 조치를 취해야 한다”고 목소리를 높였다. 민 청장은 이날 기자간담회에서 경찰과 금감원의 ‘네 탓 공방’으로 소비자 피해 조치가 늦어진 데 대해 “여러 금융 정보와 관련돼 있고 피해자 회복 조치 과정에서 (유출 정보) 분류 작업을 해야 해 금감원의 협조가 필요했다”며 “협의 과정에서 자료가 워낙 방대하고 다양한 자료들이 있다 보니 서로 얘기가 엇갈리는 부분이 있었다”고 말했다. 강윤혁 기자 yes@seoul.co.kr이성원 기자 lsw1469@seoul.co.kr

신한카드·LG CNS ‘페이스페이’ 국내 최초이자 中 이어 세계 2번째 상용화 3D·적외선카메라로 100여개 점 찍어 인지 1회 등록하면 가맹점 어디서나 결제 가능 보안 철저… 타인 사진으로 ‘도둑결제’ 불가 비접촉 방식으로 코로나19 예방 효과는 덤 신한금융그룹, 170여개 디지털 제휴 ‘주목’요즘 서울 성동구 한양대 안에 있는 편의점은 부쩍 ‘계산줄’이 줄었다. 코로나19 탓도 있지만 결정적 이유는 편의점 한켠에 설치된 ‘셀프계산대’ 덕이다. 이 키오스크를 통해 스스로 결제할 수 있는 방식이 여러 가지 있는데 그중 ‘페이스페이’가 가장 빠르다. 지난 12일 한양대 편의점을 방문해 ‘셀프계산대’에서 립밤(입술보습제)을 바코드에 찍으니 결제 방식을 고르는 화면이 나왔다. 그중에 페이스페이를 택하고 카메라를 쳐다보자마자 2초도 안 돼 결제가 끝났다. 지갑에서 신용카드나 현금을 꺼낼 필요도 없었다. ‘내 얼굴’이 신용카드의 역할을 했다. 너무 빨리 끝나서 마치 결제도 안 하고 물건을 훔친 것 같은 기분마저 들었지만 스마트폰으로 날아온 ‘립밤 결제 완료’ 문자를 확인하고서야 찜찜했던 기분이 사그라들었다. 신현보 CU 한양사이버점장은 “셀프계산대가 설치되고 나서 사람이 해야 하는 일이 많이 줄었다. 남는 시간에 청소와 물품 정리를 할 수 있어서 좋다”고 말했다.페이스페이가 외부에 상용화된 것은 한양대가 국내 최초이지만 서울 중구에 위치한 신한카드 본사 구내식당과 카페에서는 지난해 8월부터 이미 사전테스트를 진행 중이었다. 점심 시간 때마다 식사를 기다리는 줄이 길게 늘어서곤 했는데 페이스페이가 설치되면서 처리 속도가 빨라졌다. 코로나19 탓에 신용카드를 주고받는 것마저 불안해하는 이들도 있었는데 키오스크를 만질 필요도 없이 결제가 되니 감염증 예방 효과도 함께 누릴 수 있다. 신한카드는 LG CNS, 한양대, CU 등과 이종(異種) 협업을 통해 페이스페이를 국내 최초이자 중국에 이어 세계 두 번째로 상용화했다. 요즘은 사용자들이 전체 결제량의 약 20%가량을 ‘삼성페이’나 ‘카카오페이’와 같은 온라인결제를 통해 진행하다 보니 플라스틱 카드 위주로만 하다가는 뒤처질 수 있다고 판단한 것이다.페이스페이는 얼굴을 인식하는 방식이라 자칫 잘못하면 개인정보 유출에 대한 문제를 겪을 수 있는데 LG CNS는 대법원 등기시스템을 구축할 정도로 보안 문제를 안정적으로 관리하고 있다고 판단해 손을 잡게 됐다. 국내 업체와 협력하다 보니 ‘보안 이슈’에 대한 공감대가 더 빨리 형성됐고 필요할 때마다 수시로 만나니 일의 진행이 빨랐다. 여러 회사가 공동 프로젝트를 진행하면 이익을 어떻게 나눌지로 갈등이 벌어질 수도 있는데 이번 협력에서는 결제가 발생할 때마다 LG CNS에서 일정 부분 수수료를 가져가는 방식으로 정리됐다. 페이스페이는 3차원(3D)·적외선 카메라로 사람 얼굴에 100여개의 보이지 않는 점을 찍어 그 특징을 기억해 놓는 방식이다. 이 정보를 두개로 쪼개 따로 암호화하기 때문에 보안성이 높다. 이용자의 사진을 찍어 보관하는 방식이 아니다 보니 남의 얼굴 사진을 가지고 와 ‘도둑 결제’를 할 수도 없다. 카드나 스마트폰이 없이 맨몸으로 집밖에 나와도 얼굴만 인식하면 물건을 살 수 있는 세상이 열리는 것이다. 한양대 신한은행 점포의 키오스크에서 한번 얼굴을 등록해 놓으면 캠퍼스 내 편의점이나 식당에서 페이스페이를 이용할 수 있다. 본인인증을 한 뒤 카드를 등록하고 마지막으로 사진까지 찍으면 완료된다. 박재욱 신한카드 페이먼트이노베이션(PI) 셀장은 “일단 한양대에서 몇 달 운영한 뒤 문제점이 없다면 정부와의 협의를 통해 페이스페이의 사용처를 넓혀 나갈 계획”이라며 “페이스페이는 지난해 10월 금융위원회로부터 ‘혁신금융’으로 선정돼 국내에서 2년간 배타적 사업 권리를 얻었다”고 말했다. 2년 동안 빠르게 생태계를 구축해 낸다면 페이스페이는 신한카드의 ‘미래 먹거리’가 될 수 있다.요즘 신한금융그룹에서는 이와 같은 이종협업에 힘을 쏟고 있다. 카드, 금융투자, 생명 등 주요 그룹사가 170개가 넘는 디지털 제휴를 통해 생태계를 만들어 가는 중이다. 유태현 신한카드 디지털퍼스트 본부장은 “각 그룹사가 상호 부족한 부분을 보완해 협력하는 ‘코피티션’(협력+경쟁의 합성어)을 통해 더 큰 가치를 창출하려 한다”고 말했다. 실제로 신한생명은 핀테크 기업인 ‘투비콘’과 제휴를 맺은 기술로 이용자의 신체·혈관·신장 등 기능별 생체 나이에 따라 보혐료를 할인해 주는 서비스를 내놨고, 신한은행은 네이버와의 협력을 통한 인공지능(AI) 광학문자인식(OCR) 기술 덕분에 무역거래 송장을 스캔하고 저장할 때 발생하는 오류를 줄이고 있다. 조영서 신한DS 부사장은 “지금은 생소할 수도 있지만 몇 년 안에 얼굴이 지갑이 되는 시대가 활짝 열릴 것”이라면서 “이렇게 빠르게 변하는 시대에는 합종연횡이 큰 흐름이다”고 말했다. 이어 “특히 결제 사업에는 경계가 없다. 신한금융에서 모든 디지털 기술을 보유할 수는 없으니 앞으로 합종연횡을 더 해내 가야 한다”면서 “다른 기업들과 어떤 우호적인 생태계를 만드느냐의 게임이 될 것”이라고 말했다. 글 사진 한재희 기자 jh@seoul.co.kr

전자문서 전문 기업 (주)디지털존이 지난 8일부터 경상대학교병원 ‘의료증명서 인터넷 보안 발급 서비스’를 오픈했다고 밝혔다. ‘의료증명서 인터넷 보안 발급 서비스’는 이용자가 의료증명서를 필요시 시간과 장소에 제약받지 않고 병원 증명발급 포털인 메드서티 또는 의료기관 홈페이지를 통해 발급받을 수 있는 서비스이다. 해당 서비스를 통해 발급 가능한 경상대학교병원의 의료증명서는 진단서, 영수증, 세부내역서 등 총 11종으로, 공인인증서 또는 아이핀을 통해 본인인증 후 의료증명서를 즉시 발급받을 수 있다. 발급된 증명서는 즉시 출력해 사용할 수 있으며, 이메일 및 팩스 전송 기능을 통해 손쉽게 실손의료보험을 청구할 수 있어 이용자의 편익이 더욱 높아질 것으로 기대된다.인터넷을 통해 발급된 의료증명서의 경우 16자리 문서 확인 번호를 제공해 발급 홈페이지를 통해 진위여부 확인이 가능하도록 했으며, 환자 개인정보 및 증명서 위변조를 방지하기 위해 문서 보안기술을 적용해 보안성을 강화했다. (주)디지털존은 연세대학교 세브란스병원, 강북삼성병원, 서울성모병원 등 주요병원 중심으로 의료증명서 인터넷 보안 발급 서비스를 제공하고 있으며, 보건복지부가 지정한 2018년~2020년 상급종합병원 기준 시장 점유율 70%를 달성했다. 또한 (주)디지털존의 의료증명서 인터넷 보안발급 서비스는 중소형 병원까지 빠르게 확산되고 있어, 의료증명서 발급 서비스에 탄탄한 입지를 다지며 의료기관의 전자문서 시장을 선도하고 있다는 평을 받고 있다. 한편 (주)디지털존 관계자는 “2011년 서울성모병원을 시작으로 현재 200여개의 병원에서 의료증명서 보안 발급 서비스를 이용 중이며 민감한 의료정보에 대한 외부 유출 없이 안전한 서비스를 제공하고 있다”며 “향후 보험사 연계를 통해 발급된 의료증명서를 기반으로 실손의료보험 청구가 가능하도록 서비스를 확대할 예정이다”라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

포스단말기·ATM에 악성코드 심어 이용 때마다 카드 비번·개인정보 빼내 멤버십가맹점 서버도 뚫려 정보 숭숭 금감원 아직 해킹 진원지조차 파악 못해 공범 검거 안돼 게임사이트 등 결제 우려 범정부 TF 꾸려 소비자 피해 예방 나서야현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등 불특정 다수의 전산기기가 해킹돼 사상 최대의 금융·개인 정보가 유출되는 사건이 발생했다. 특정업체 한 곳이 아니라 카드사·금융사·기업 등 경제 근간을 이루는 곳들이 두루 연계돼 있어 범정부 차원의 태스크포스(TF)를 꾸려 유출 실태를 파악하고, 서둘러 소비자 피해 예방 조치에 나서야 한다는 지적이 나온다. 이번 유출 사건은 시중은행 해킹 혐의로 지난해 6월 구속된 이모(42)씨의 추가 범행과 공범 수사 과정에서 1.5테라바이트(TB) 분량의 외장하드를 확보하면서 불거졌다. 은행 보안 관련 일을 하는 이씨는 2012년 커피숍·중소형 슈퍼·생활잡화점·음식점 등 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심었다. 악성코드는 이메일로 유포돼 가맹점 사업주나 종업원들이 포스단말기에서 메일을 확인하는 순간 자동으로 깔렸다. 고객이 카드를 사용할 때마다 이씨가 설정해 놓은 메일로 카드 트랙 정보가 실시간으로 빠져나갔다. 이씨는 2014년 4월 경찰에 적발돼 복역하고 2016년 초 출소했지만 당시 악성코드를 심어놓은 포스단말기에선 지금도 정보가 빠져나가고 있다. 1.5TB 내 카드 정보도 그때 심어놓은 악성코드를 통해 유출된 정보들이다. 복수의 금융권 관계자는 “금융감독원은 아직도 포스단말기 해킹 진원지조차 파악하지 못하고 있다”고 지적했다. 유출 카드 정보는 카드 트랙 정보를 뜻한다. 카드 트랙엔 카드 번호, 유효 기간, 비밀번호 암호화값 등이 담겨 있다. 이 정보만 있으면 복제카드를 만들 수 있다. 카드 한 장에 들어가는 트랙 정보는 40줄로, 40바이트(Byte) 용량이다. 1.5TB는 1조 6492억 6744만 5000바이트로, 카드 정보 기준으로 412억 3168만 6125건이 들어간다. 최근 싱가포르 사설 보안업체에서 다크웹을 통해 불법 거래되는 국내 카드 정보를 파악해 우리 금융당국에 통보한 90만건은 35킬로바이트(KB) 수준으로, 비교 자체가 되지 않는다. 출소한 이씨는 은행 ATM에도 악성코드를 깔았다. 고객이 ATM을 이용할 때마다 실시간으로 카드 비밀번호, 은행계좌번호, 주민등록번호, 이름 등이 유출됐다. 1.5TB 분석 결과가 나오면 국내 어느 금융사의 ATM이 해킹됐는지, 계좌 유출과 피해 규모가 얼마나 되는지 파악할 수 있다. 멤버십가맹점 서버도 뚫렸다. 1.5TB 안엔 멤버십 회원번호와 주소, 휴대전화번호 등도 담겨 있다. 경찰은 서버 자체가 해킹된 것으로 보고 유출 경위를 확인하고 있다. 문제는 공범이 아직 검거되지 않았다는 점이다. 이씨와 해킹을 함께한 범인들이 1.5TB 분량의 금융·개인 정보를 갖고 있다면 휴대전화 간편결제 서비스와 도난 카드정보가 흔히 사용되는 게임사이트 등에서 악용할 수 있다. 김득의 금융정의연대 상임대표는 “2014년 카드 3사의 1억건 정보 유출보다 규모가 크다면 검찰까지 포함해 범정부 차원의 TF를 구성해 서둘러 수사하고 소비자 피해 예방 조치를 해야 한다”며 “정보 유출에 따른 피해와 관련해선 징벌적 손해배상이나 집단소송 등을 통해 소비자 피해 보상이 제대로 이뤄져야 한다”고 지적했다. 김승훈 기자 hunnam@seoul.co.kr 윤연정 기자 yj2gaze@seoul.co.kr

결제 내역과 접속 IP기록 등 압수수색금융당국, 간편결제 서비스 보안 점검 서울 노원경찰서는 11일 압수수색 영장을 받아 게임업체 블리자드엔터테인먼트에 모바일 금융서비스 ‘토스’로 부정 결제된 내역과 결제 회원 정보, 접속 IP기록 등의 자료를 요청했다고 밝혔다. 경찰은 이날 팩스로 영장을 블리자드에 보내 자료 제출을 요구하는 방식으로 압수수색을 진행했다. 경찰은 블리자드로부터 자료를 받는 대로 돈이 결제된 경위와 실제 결제자 등을 파악할 방침이다. 노원경찰서는 지난 4일 ‘모르는 사이 토스를 통해 계좌에서 돈이 빠져 나갔다’는 신고를 받고 수사에 착수했다. 피해자의 계좌에서는 지난 3일 오후 11시 13분부터 6분 동안 블리자드에서 4차례에 걸쳐 총 193만 6000원이 결제돼 빠져나간 것으로 조사됐다. 토스에 따르면 지난 3일 블리자드를 비롯해 온라인 가맹점 3곳에서 총 8명의 고객 명의로 총 938만원 상당의 부정 결제가 발생했다. 토스는 회사를 통한 정보 유출보다 개인정보 도용에 무게를 두고 있다. 노원경찰서는 블리자드로부터 관련 자료를 확보하면 사건을 경찰청 사이버수사대로 넘길 예정이다. 한편 금융당국은 간편결제 등 비대면금융 서비스의 보안에 대한 일제 점검에 나서기로 했다. 토스에서 발생한 부정 결제와 비슷한 사고가 재발하지 않도록 간편결제 금융시스템 전반의 허점을 찾겠다는 취지다. 토스나 카카오페이, 네이버페이 등 간편결제 서비스는 금융감독 당국의 감독·검사 영역에 있지만 은행과 카드 등 기존 금융사에 비해서는 감시가 소홀하다는 지적을 받아 왔다. 이번에 사고가 발생한 토스는 2015년 전자금융업자 등록 이후 금융감독원 검사를 한 번도 받지 않았다. 최선을 기자 csunell@seoul.co.kr

당국, 간편결제 등 보안 안전 조사 착수 “편의성 커진만큼 금융범죄 접근 쉬워져”1700만명이 가입한 모바일 금융 서비스 토스의 부정결제, 위조 신분증을 악용한 1억원대 명의도용 대출 사건 등이 연달아 발생하면서 간편결제, 비대면 금융 거래의 안전성 논란이 커지고 있다. 금융당국은 관련 사건 조사에 착수하는 한편 간편결제 등 비대면 금융서비스 보안에 대한 점검에 나섰다. 금융당국 관계자는 10일 “토스 사태와 같은 상황이 없도록 제도적 보완 방안을 찾기 위해 금융사들이 제공하는 비대면 금융 서비스 전반에 대한 점검에 나서기로 했다”고 말했다. 카카오페이와 네이버페이도 이번 점검 대상에 포함된다. 이번 점검은 지난 3일 게임업체 블리자드 등 토스의 온라인 가맹점 3곳에서 고객 8명의 명의를 도용해 938만원을 부정 결제한 사건에 대한 후속조치다. 지난 2월에는 토스의 생체인증(페이스 인증) 방식을 악용한 보이스피싱으로 200만원의 부정 결제가 이뤄지기도 했다. 토스 측은 두 건 모두 해킹은 아니라고 밝혔지만, 고객 정보가 어디서 유출됐는지는 파악하지 못한 상황이다. 비대면 거래의 취약점을 악용해 1억 4000만원을 부정대출한 사건도 금융감독원에 민원이 접수돼 경찰이 수사하고 있다. 범인은 피해자의 운전면허증에 자신의 사진을 합성해 위조 신분증을 만든 후 휴대전화를 개통해 금융사에서 대출을 받은 것으로 조사됐다. 계좌 개설과 대출은 모두 비대면으로 이뤄졌다. 경찰청에 따르면 2018년 5621건이던 사이버금융범죄는 지난해 1만 542건으로 87.5%나 급증했다. ‘개인정보 수집-금융정보 수집-금융정보 이용-자금세탁’ 순으로 이뤄지는 사이버금융범죄는 통상 금융정보 이용 단계에서 걸러지는 경우가 많다. 하지만 간편결제나 비대면 거래 등 편의성이 강조되면서 범죄자들의 금융정보 접근도 그만큼 쉬워졌다는 우려가 나온다. 임종인 고려대 정보보호대학원 교수는 “핀테크 업체가 시중은행보다 보안이 취약한 것은 사실”이라면서 “이용고객이나 거래금액 측면에서 성장한 만큼 보안성을 끌어올리고 부정 사용이 발생하면 신속하게 보상하는 체계를 만들어야 한다”고 말했다. 홍인기 기자 ikik@seoul.co.kr 윤연정 기자 yj2gaze@seoul.co.kr

큐알(QR)코드를 기반으로 한 전자출입명부 제도가 10일 전국 8대 고위험시설 8만여곳에서 일제히 시행됐다. 헌팅포차, 감성주점, 유흥주점(클럽·룸살롱 등), 단란주점, 콜라텍, 노래연습장, 실내 집단 운동시설(줌바·태보·스피닝 등 격렬한 단체운동), 실내 스탠딩 공연장(관객석 전부 또는 일부가 입석으로 운영되는 공연장) 등 집단 감염 위험이 높은 시설을 방문할 때는 개인 신상정보가 담긴 QR코드를 찍고 들어가야 한다. 8대 고위험 시설 외에 지방자치단체가 전자출입명부 적용을 명한 시설도 의무 적용대상에 포함된다. 김강립 중앙재난안전대책본부 1총괄조정관은 이날 브리핑에서 “전자출입명부를 도입한 학원에 인센티브를 주는 방식으로 학원의 참여도 독려하겠다”고 밝혔다. QR코드 적용하면 집단감염 때 추적 용이 방역당국이 QR코드 전자출입명부를 도입한 것은 고위험시설에서 코로나19 확진자가 발생했을 때 집단감염으로 이어질 가능성이 매우 높기 때문이다. 그 동안에는 이런 시설을 이용할 때 이용자가 이름과 전화번호를 기입하는 수기 출입명부를 작성하도록 했다. 하지만 이태원 클럽발 집단감염 때 허위로 출입명부를 작성한 이들이 많아 접촉자를 찾기 위한 역학 조사에 혼란을 겪었고, 그 사이 집단 감염이 지역사회로 확산한 사례가 있었다. 또 신분증을 확인하고 수기로 개인 정보를 작성했을 때는 내 개인 정보가 업주 뿐만 아니라 같은 공간을 방문한 타인에게까지 쉽게 공개될 수 있어 개인 정보 침해 우려가 컸다. 펜과 장부 등을 불특정 다수가 공유하면서 교차 오염의 위험도 존재했다. 그래서 정확한 정보를 바탕으로 신속하게 코로나19 확산을 막고 안전하게 개인 정보를 보호하고자 도입한 게 바로 QR코드를 활용한 전자출입명부다. QR코드는 정사각형 모양의 불규칙한 마크로 된 일종의 암호화된 코드다. 스마트폰으로 포털사이트 네이버에 접속해 로그인을 하고서 처음 뜨는 화면 상단에 ‘내 정보 아이콘’을 누르고 QR코드 체크인을 클릭하면 개인 QR 코드가 생성된다. 이렇게 생성된 QR 코드를 입장할 때 인식해주면 된다. 본인 QR 코드는 15초마다 새롭게 생성되기 때문에 여러 곳에서 중복으로 사용할 수 없다. 이용자의 휴대폰이 스마트폰이 아닌 2G폰이거나 전자출입명부를 기록하기 싫다면 수기로 개인 정보를 남기면 된다. 정부는 QR코드 발급 회사를 더 확대할 계획이다. 개인정보는 2개 기관서 각각 보관, 필요할 때 퍼즐 맞추듯 결합 이용자가 QR코드를 찍으면 암호화된 QR코드와 출입기록이 보건복지부 산하 기관인 사회보장정보원으로 자동 전송된다. 수집된 정보는 4주 후에 자동 폐기된다. 사회보장정보원은 QR코드와 방문 기록만 갖게 된다. 또 QR코드 발급 업체는 개인 정보와 QR코드만 갖는다. 따라서 각 기관이 가진 정보만으로는 누가 언제 어디를 방문했는지 알 수 없다. 역학조사가 필요할 때 질병관리본부가 요청해야 QR코드 제공 업체와 사회보장정보원이 가진 각각의 정보를 결합해 누가 몇월 며칠 몇시에 그 시설을 방문했는지 확인할 수 있다. 여러개의 조각을 맞춰야 하나의 그림이 완성되는 퍼즐과 같다. QR코드 기반의 전자출입명부를 도입하는 시설주는 별도의 장비가 없어도 된다. 사용 중인 스마트폰이나 와이파이가 연결된 공기계를 사용해 QR코드를 스캔할 수 있다. 먼저 사용하려는 스마트폰에서 전자출입명부 앱을 다운 받는다. 처음 실행할 때는 사업자 신규 등록을 해야 한다. 사업자 신규 등록 버튼을 누르고 약관에 동의한 뒤 사업자 정보를 입력하고 사업자 등록증을 첨부하고서 등록 버튼을 누르면 된다. 다음으로 휴대폰 본인 인증을 하면 사업자 등록이 완료된다. 이어서 나오는 화면에 아이디와 비밀번호를 입력하고 회원 가입을 하면 끝이다. 이렇게 만든 QR코드 인식 앱을 켜고 방문자의 QR코드가 화면에 잘 보이게 갖다 대면 자동으로 인식되고 ‘인증되었습니다’라는 안내 음성이 나온다. QR코드 스캔은 사업주가 아닌 직원도 할 수 있다. 앱에서 직원 등록 버튼을 누르고 직원의 이름, 아이디, 비밀 번호 입력하면 해당 직원도 방문자 스캔이 가능하다. 30일까지 계도기간, 명단 부실 작성 시 300만원 이하 벌금 정부는 자신이 운영하는 시설이 QR코드 의무 도입 대상이라는 것을 모를 수도 있고, 고령자는 QR코드 이용 자체를 어려워할 수 있어 오는 30일까지 계도기간을 두기로 했다. 계도기간에는 전자출입명부를 도입하지 않더라도 사업주에게 바로 벌칙을 적용하지 않고 개선 기회를 준다. QR코드 기반의 전자출입명부를 바로 도입하지 못하더라도 수기 등 다른 방법을 동원해 방문자 명단은 작성해야 한다. 이는 이용자도 마찬가지다. 출입자 명단을 허위로 작성 또는 부실하게 관리하다가 적발되면 사업자와 이용자 모두 300만원 이하 벌금형에 처해질 수 있다. 이현정 기자 hjlee@seoul.co.kr