명품 매장을 구경하기 위해 밖에서 대기하던 고객뿐만 아니라 동행인에게도 이름과 연락처, 거주지 같은 개인정보를 과도하게 요구한 샤넬코리아가 결국 과태료 처분을 받았다. 개인정보보호위원회(개인정보위)는 지난 22일 전체회의를 열고 “샤넬코리아가 개인정보 보호법을 위반한 사실이 인정된다”며 “과태료 360만원을 부과하기로 의결했다”고 23일 밝혔다. 앞서 샤넬코리아는 지난 6월 서울의 한 백화점 샤넬 매장 밖에서 입장 대기 번호를 받으려고 줄을 선 고객들에게 개인정보를 요구했다는 사실이 언론 보도로 알려졌다. 해당 매장은 구매자는 물론 동행인에게도 이름과 연락처, 생년월일, 거주지역(국가)까지 요구한 것으로 알려져 개인정보를 무리하게 수집했다는 비판이 제기됐다. 샤넬코리아 측은 “1인당 구매 물량이 한정돼 있어 대리구매를 방지해야 한다는 목적이었다”고 해명했지만 사실상 고객을 예비 범죄자로 취급했다는 비난을 받았다. 개인정보위는 샤넬코리아의 이 같은 행위가 대기 고객 관리 등의 목적에 필요한 범위를 벗어난 것으로 판단했다. 특히 개인정보 수집에 동의하지 않은 대기 고객에게 서비스 제공을 거부한 것은 명백한 법 위반이라는 게 개인정보위의 결론이다. 개인정보 보호법 제16조 3항은 “정보 주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 재화 또는 서비스의 제공을 거부해서는 안 된다”고 규정한다. 이를 어기면 3000만원 이하의 과태료를 부과할 수 있다. 샤넬코리아는 논란이 불거진 뒤 개인정보 수집 대상 고객을 실제 ‘입장객’으로 한정하고, 생년월일과 거주지역 대신 이름과 전화번호만 적도록 내부 규정을 손질한 것으로 알려졌다. 한편, 샤넬코리아는 2021년 당시 해킹을 당해 자사 고객 8만여명의 개인정보가 유출되는 사고를 냈다. 당시 사건으로 샤넬코리아는 개인정보위로부터 과징금 1억 2616만원과 과태료 1860만원을 부과받았다.

알쓸금지는 ‘알면 쓸 데 있는 금융지식’입니다. 경제기사 너무 어렵고 멀게 느껴지시나요. 알쓸금지에서는 소소하지만 실제 금융생활에 도움이 될 수 있는 알토란 같은 정보를 전하겠습니다.최근 윤석열 대통령이 취약 계층을 약탈하는 불법 사금융에 대해 전쟁을 선포했습니다. 시중은행은 물론 카드, 캐피털사 등 2금융권까지 대출 문턱을 높이면서 돈을 빌리기 어려워진 서민들을 상대로 한 불법 사금융 피해가 커지고 있기 때문입니다. 피해자 중에는 불법 대부업체인 줄 모르고, 급한 마음에 돈을 빌렸다가 수백 %의 이자를 물게 되는 경우도 많은 것으로 알려졌습니다. 소셜미디어(SNS)에서 불법 사금융 광고가 넘쳐나는 상황에서 일단은 스스로 주의를 기울이는 수밖에 없습니다. 11일 금융업계에 따르면 금융감독원에서 최근 안내한 ‘대부업체 이용 시 반드시 기억해야 할 10가지 유의사항’을 살펴보면 좋을 것 같습니다. 금감원은 우선 대부업체를 이용하기 전에 정책서민금융상품 이용이 가능한지 먼저 확인하라고 조언하고 있습니다. ‘어차피 안 되겠지’라고 미리 포기하지 말라는 얘기입니다. 서민금융진흥원과 금융회사는 저신용자 등을 위해 ‘최저신용자 특례보증’, ‘소액생계비대출’ 등 정책서민금융대출을 제공하고 있습니다. 지원 대상이 될 수 있을지 꼼꼼히 확인해봐야 합니다. 정책서민금융대출을 이용할 수 없다면 결국 대부업체를 알아보게 되는데, 이때는 꼭 등록된 대부업체인지 반드시 먼저 확인해야 합니다. 등록대부업체는 금융감독원 ‘파인’ 홈페이지에서 ‘금융회사 정보’, ‘등록대부업체 통합관리’에서 확인할 수 있습니다. 통합관리에 게시된 등록증번호, 업체명, 대표자, 소재지, 전화번호와 광고에 게시된 정보 중 하나라도 일치하지 않으면 불법업체일 가능성이 매우 큽니다. 한 등록대부업체에 대출 문의를 했는데 ‘등록 대부업체 통합조회’에 등록되지 않은 전화번호로 연락이 오는 경우 받지 않거나 바로 끊어야 합니다. 등록 대부(중개)업체가 대출희망자의 개인정보를 불법업체에 제공하거나 해킹을 통해 유출되는 일도 있습니다. 다른 업체에서 연락이 오는 경우 응대하지 말고 최초 문의한 대부업체를 관리·감독하는 기관에 해당 사실을 제보해야 합니다. 또 출처가 확인되지 않는 대출 관련 홈페이지, SNS 등에는 이름, 연락처 등 개인정보를 남기지 말아야 합니다. 통장 또는 휴대전화를 개통해 넘기거나, 신분증을 대부업체 등 타인에게 맡겨서도 안 됩니다. 무엇보다 연 20%를 초과하는 이자를 요구하는 경우는 모두 불법입니다. 연 20% 초과하는 이자를 요구하는 경우 경찰이나 금감원 홈페이지 ‘불법금융신고센터’에 신고해야 합니다. 법정최고금리(연 20%)보다 높은 대출금리는 불법으로 형사처벌(3년 이하의 징역 또는 3000만원 이하의 벌금)을 받습니다. 최고금리 초과분은 반환 청구도 가능합니다. 또 신체사진, 지인 연락처, 휴대전화 애플리케이션 설치를 요구하는 업체는 불법업체이므로 거래를 중단해야 합니다. 불법업체 중에는 채무자의 가족, 친구, 직장동료 등에게 신체사진을 보내거나 채무사실을 알리겠다고 협박하는 경우들도 있습니다. 경찰·금감원에 신속하게 신고해야 합니다. 불법추심 피해를 겪고 있다면 ‘채무자대리인 제도’를 적극 활용하는 방법도 있습니다. 불법추심에 시달리지 않도록 대한법률구조공단 변호사가 채무자를 대신해 추심과정 일체 대리, 불법성 검토 등 법률서비스를 지원하고 있습니다.

4년 전 미 동부 매사추세츠주 케임브리지시 찰스강변에 있는 매사추세츠공과대(MIT)의 10번 건물 위 약 50m 높이의 돔이 하룻밤 사이에 ‘캡틴 아메리카의 방패’로 변해 화제가 된 적이 있다. 스스로를 해커집단이라고 밝힌 수십명의 학생들이 영화 ‘어벤저스: 엔드게임’의 대미를 기념하기 위해 1년 넘게 준비한 이벤트였다. 캡틴 아메리카역을 맡았던 배우 크리스 에번스는 “매우 멋지다”라는 트윗으로 학생들을 응원하기도 했다. MIT도 마찬가지였다. ‘해킹은 독창적이어야 하고, 머리를 써야 하고, 안전이 담보돼야 하고 시설물에도 해가 없어야 한다’는 해킹 가이드라인을 두고 있을 정도로 윤리적 해킹은 장려한다. 학생들에게 기술적인 도전과 창의적 사고를 통한 성장을 유도하려는 뜻이다. 이런 창의력을 권장하는 교육풍토 덕분에 빌 게이츠나 마크 저커버그 같은 이들이 세계적인 인터넷기업을 만들 수 있었다고도 볼 수 있다. 그런데 기술 발달로 이런 ‘착한 해킹’뿐 아니라 개인정보 도용, 온라인 결제정보 탈취 등의 방법으로 돈을 빼내고 가로채는 블랙 해킹 또한 기승을 부려 문제가 되고 있다. 북한의 중앙선관위 해킹 공격, 학력평가 응시생 성적 유출, 통신사나 신용카드사의 회원정보 유출 사고 등 해킹으로 인한 사고는 잊을 만하면 터져 나오고 있다. 갈수록 지능화하는 해킹 위협에 대응하기 위해 각 기업들이 보안전문가인 화이트 해커를 채용하며 노력하곤 있으나 한계가 있다. 이런 실정에서 금융보안원이 ‘레드 아이리스’(RED IRIS)라는 30명의 전문 모의 해킹 조직을 어제 출범시켰다고 한다. 레드 아이리스는 늑대의 순우리말 표현인 이리(IRI)와 들(S)의 합성어다. 이리(늑대)처럼 전략적으로 블랙해킹범을 사냥한다는 것이다. 미국의 경우 IBM·구글 등이 이런 모의 해킹 조직을 운영 중이다. 레드 아이리스는 해커의 시각에서 은행, 증권, 보험 등 금융분야 정보의 해킹 시나리오를 발굴하고 보안취약점을 찾아낸다고 한다. 하지만 2년 전 아파트 거실에 설치된 월패드를 화이트 해커로 유명세를 탄 보안전문가가 해킹하는 어처구니없는 일이 벌어진 바 있다. 자기 정보는 스스로 주의해서 관리하는 게 중요한 시대다.

복권사업 운영자인 동행복권은 자사 홈페이지가 해킹 공격을 받아 개인정보가 유출됐을 가능성이 확인됐다고 6일 밝혔다. 동행복권은 전날 외부 해킹 공격에 따라 이름·생년월일·전화번호·이메일·가상계좌 등의 유출 가능성을 확인했다. 이에 외부 해킹 공격으로 비밀번호가 변경된 회원 아이디의 비밀번호를 초기화했다. 유관기관에 신고한 뒤 보안 조치도 완료했다. 동행복권은 공지문에서 “사고 발생에 깊은 사과의 말씀을 드린다”며 “개인정보 유출 회원은 개별적으로 안내해 드릴 예정이며, 문의 사항이 있거나 피해가 의심되는 경우 고객센터로 연락해달라”고 밝혔다. 동행복권 홈페이지에서는 복권 구매와 당첨 결과 확인 등이 가능하다.

트리플콤마의 ‘골드스푼’이 한국인터넷진흥원으로부터 ‘정보보호 관리체계 ISMS’ 인증(ISMS-KISA-2023-140)을 획득했다. ISMS는 한국인터넷진흥원(KISA)이 증명하는 정보보호 및 개인정보 관리체계 인증이다. 골드스푼은 정보보호 관리체계 수립과 운영(16개), 정보보호 대책 요구사항(64개) 등 총 80개에 이르는 인증 기준 심사를 통과했다.이에 15만명의 골드스푼 앱 사용자 데이터 자산 보호에 주력하고 정보 주체에게 더 안전한 환경의 서비스를 제공할 수 있게 됐다. 또한 우수한 보안성으로 이용자는 해킹 등 위험 요소로부터 안전하게 본인 개인정보를 보호받을 수 있게 됐다. 특히 골드스푼은 ISMS 인증 의무 대상자는 아니지만 고객정보 보호관리 강화의 중요성을 사회분야의 핵심 역량으로 인식하고 자발적으로 인증을 추진해 눈길을 끌었다. 골드스푼 관계자는 “골드스푼이 2030세대에 두터운 사랑을 받고 있는 가운데, ISMS 인증은 국내 정보보호 관리체계에 적합한 수준으로 운영되고 있음을 확인받았다는 점에서 큰 의미가 있다”며 “데이팅앱 서비스 업계 최초로 ISMS 인증을 획득한 만큼 앞으로도 앱 내 모든 사용자가 개인정보보호로부터 안전하고 신뢰할 수 있도록 사용자의 정보자산 보호에 주력할 것”이라고 전했다.

중앙선거관리위원회의 선거 관리 시스템 전반이 사실상 해킹에 무방비 상태인 것으로 국정원 보안점검 결과 드러났다. 유권자 명부가 탈취·조작될 수 있을 만큼 보안관리가 취약하고 심지어 개표 결과마저 조작될 소지를 안고 있는 것으로 확인됐다. 대통령 선거와 국회의원 총선 등 민주체제의 근간을 관장하는 선관위의 인식과 운영이 얼마나 안이하고 허술한지 말문이 막힌다. 국정원에 따르면 선관위는 내부 시스템 접속 패스워드와 개인정보 등을 암호화하는 아주 기초적인 보안 작업도 하지 않은 상태로 확인됐다. 특히 놀라운 점은 선거 관리의 핵심인 ‘통합 선거인명부 시스템’이 해킹에 노출돼 있다는 사실이다. 외부 세력이 해킹을 통해 사전투표한 사람을 투표하지 않은 사람으로 표시하거나 사전투표하지 않은 사람을 투표한 사람으로 표시할 수 있다고 한다. 투개표 조작이 가능하다는 얘기다. 사이버보안에 대한 선관위의 몰인식은 지난 2년 국정원이 전파한 북한발 해킹 사고들을 일절 인지하지 못하고 있다는 데서 잘 드러난다. 심지어 선관위는 직원 컴퓨터가 북한 ‘킴수키’ 조직의 악성 코드에 감염돼 대외비 문건 등이 유출된 뒤에도 해당 직원에게 이를 알리지 않아 이 직원을 통한 해킹이 되풀이되기까지 했다. 국정원 점검 결과 31.5점에 그친 보안 수준이건만 선관위는 앞서 무자격 업체로부터 받아 든 100점의 보안평가 결과를 버젓이 국정원에 제시하며 보안점검 요청을 거부하고 국민을 기망했다. 그렇지 않아도 지난 21대 총선 부정선거 논란이 4년 가까이 이어지는 상황이다. 내년 22대 총선을 앞두고 사이버보안 체계를 대폭 강화해야 함은 말할 나위가 없겠으나 선관위의 인식 개조가 더 급해 보인다.

CJ그룹의 IT서비스 전문기업 CJ올리브네트웍스가 업무 전문성을 활용해 중소기업의 정보보호 역량 강화를 위한 활동을 추진하며 ESG 경영 실천에 앞장서고 있다. 4년째 운영 중인 CJ화이트햇은 중소기업의 안전한 디지털 정보 보호 환경을 지원하는 대표 프로그램으로 모의 해킹, 개인정보 컴플라이언스 점검, 정보보호 교육 등 맞춤형 컨설팅을 무료로 제공한다. 특히 전 세계적으로 정보보호의 중요성이 점차 높아지는 가운데 지난해부터 한국인터넷진흥원(KISA)과 파인더갭이 함께 참여하는 ‘화이트햇 투게더’를 추진하며 고도화했다. 22일 CJ올리브네트웍스에 따르면 올해는 지원 규모를 확대하고 프로그램 다양화로 더 많은 기업이 혜택을 받을 수 있도록 했다. 지원 대상을 중견기업까지 포함하고, 프로그램 총예산도 5억원으로 전년 대비 3배가량 늘렸다. 현재 24개의 중소·중견 기업이 ▲버그바운티 참여 ▲정보보호 컨설팅 ▲컨설팅 및 솔루션 제공 등 니즈에 따른 선택을 통해 정보보호 역량을 키워가고 있다. CJ올리브네트웍스 CJ정보보호센터는 디지털 시대에 정보보호의 중요성이 점차 강조되고 있는 흐름에 맞춰 지난 30여년간 CJ그룹 정보보호를 담당하고 있으며, 다년간 쌓아온 역량과 화이트햇 투게더 활동을 통한 경험을 기반으로 대외 사업에도 적극 나서고 있다. 모의해킹이나 웹∙모바일 취약점 점검, 개인정보 컴플라이언스 컨설팅 등을 제공해 고객사의 보안 위협 요소를 사전에 진단하고 조치할 수 있도록 해 고객의 서비스가 외부 환경에서 보다 안전하게 운영될 수 있도록 지원한다는 계획이다. 또한 CJ올리브네트웍스는 IT 서비스기업으로 현대 사회의 문제에 공감하여 ESG 전략과제로 ‘디지털 접근성과 리터러시 향상’을 선정, 지난해부터 시니어 디지털 리터러시 교육 프로그램을 운영해 디지털 격차 해소에 기여하고 있다. 시니어 디지털 리터러시 교육은 크게 ▲스마트폰 교육 ▲키오스크 교육 ▲키오스크 현장실습 등 3개 과정으로 실생활에서 바로 활용할 수 있도록 구성했다. 총 8곳의 노인사회복지관과 협력해 400여명의 어르신께 1대1 맞춤형 교육을 제공했다. 마지막 수업에는 CJ올리브네트웍스 임직원들과 어르신이 함께 패스트푸드점, 카페, 영화관 등에 방문해 매장 내 키오스크를 직접 사용해 보는 시간을 갖기도 했다. 이외에도 코로나19 엔데믹 전환에 따라 한강 플로깅(걸으면서 쓰레기를 줍는 활동) 캠페인, 반려동물보호소 동물 돌봄 등 다양한 임직원 봉사활동에도 적극 참여해 사회공헌 활동을 펼치고 있다.

지난 6월 경기 수원시에 거주하는 50대 여성 A씨는 ‘모바일 청첩장 : 결혼식에 오세요 han.gl/Kd○○’라고 적힌 문자메시지를 받고 링크 주소를 눌렀다가 악성코드에 감염, 개인정보를 해킹 당하면서 자신의 은행계좌에서 1억원이 인출되는 피해를 입었다. 경기 용인시에 사는 60대 남성 B씨도 같은 달 ‘송장번호 ○○번 주소 불일치로 물품 보관중입니다. 아래 링크를 눌러 확인하세요’라고 적힌 문자를 받고 링크 주소를 눌러 자신 소유 계좌에서 6220만원을 인출 피해를 봤다. 경찰은 현재 두 사건에 대해 용의자 아이피(IP)주소 및 계좌 추적에 나선 상황이다. 경기남부경찰청은 추석을 전후해 명절상품 판매를 빙자한 인터넷 사기와 택배 배송을 가장한 스미싱 범죄가 늘고 있다고 19일 밝혔다. 올해 8월 스미싱 범죄건수는 156건으로 지난해 동월(87건)보다 두배 가까이 늘었다. 특히 과거 스미싱이 악성코드가 담긴 문자를 눌렀을 때 200만원 이하의 휴대폰 소액결제가 됐던 반면 최근에는 비대면 대출 등이 활성화되면서 개인정보와 계좌번호만 있으면 대출이 가능해 피해금액이 수억원에 달하고 있어 각별한 주의가 필요하다. 스미싱이란 인터넷주소가 포함된 문자를 피해자에게 보내 악성코드 설치 후 개인정보를 탈취하는 수법을 말한다. 또 경기남부지역 기준 인터넷사기 발생 건수도 전년보다 증가했는데, 올해 8월 한달간 1만 9674건이 발생하면서 지난해 동월(1만 8287건) 대비 1000여건 늘어났다. 주요 인터넷사기 피해 사례 대부분은 중고거래 카페 및 앱에서 발생했다. 주요 피해 품목으로는 전자제품 11건(냉장고 4건 등)이 가장 많았고, 상품권 5건, 숙박권 2건, 캠핌용품 2건, 공연티켓 1건으로 이어졌다. 실제 지난달 25일 수원서부경찰서에서는 가짜쇼핑몰 사이트를 만들어 놓고 물건을 사려고 접속한 피해자들에게 “카드결제 대신 계좌로 현금 이체하면 추가 할인해주겠다“고 속이는 수법으로 436명으로부터 9억 4000여만원을 편취한 사기 조직 4명이 구속된 바 있다. 경찰 관계자는 “인터넷사기를 당하면 피해 회복이 어려운 만큼 예방이 매우 중요하다”며 “인터넷 쇼핑몰에서 물품을 구입 할 때에는 검증된 공식사이트를 이용하고 개인간 직거래시에는 반드시 안전거래사이트(에스크로)를 이용해야 한다. 또 상대방이 보내주는 안전거래사이트는 가짜 사이트일 수 있어 주의가 필요하다”고 말했다.

간편결제 서비스 이용이 늘면서 관련 사고 금액이 최근 5년간 13억원을 넘는 것으로 나타났다. 사고 건수는 SSG닷컴이 가장 많았으며, 사고 금액이 가장 큰 곳은 NHN페이코였다.1일 금융감독원이 김성주 더불어민주당 의원에게 제출한 자료에 따르면 2018년부터 지난해까지 간편결제 서비스의 부정 결제 사고 건수는 382건, 사고 금액은 13억 7200만원이었다. 부정 결제는 개인정보 유출로 인한 명의도용이나 해킹 등에 의해 이용자가 결제하지 않았는데도 결제가 이뤄진 것을 말한다. 간편결제 서비스 사고 금액은 2018년 4020만원, 2019년 7742만원이었지만, 코로나19 이후 결제가 늘면서 2020년 3억 933만원, 2021년 4억 3502만원으로 크게 늘었으며 사회적 거리두기가 완화된 지난해 3억 7054만원으로 소폭 감소했다. 사고 금액이 가장 큰 전자금융업자는 NHN페이코로 3억 7656만원이었으며 쿠콘이 1억 9133만원, 비즈플레이가 1억 4408만원 순이었다. 사고 건수로는 SSG닷컴이 93건으로 최다였고 쿠콘 72건, 비즈플레이 48건, 지마켓 39건 등 순으로 많았다. 일부 전자금융업자들은 자체적으로 부정 결제 피해자들에 대한 선보상 제도를 운용하고 있는데, 네이버파이낸셜은 사고 금액 1445만원 중 1088만원을, 비바리퍼블리카는 1160만원 중 1015만원을 각각 선보상했다. 김 의원은 “지난해 간편결제 서비스 일평균 이용 건수는 2342만건, 이용액은 7326억원에 이른다”면서 “전자금융업자들은 억울한 피해자가 나오지 않도록 정보 보안을 강화하고 안전장치를 마련해야 한다”고 말했다.

휴대전화 문자메시지에 포함된 링크를 클릭해 스마트폰을 해킹당한 피해자의 통장에서 다른 사람 통장으로 거금이 이체되는 사건이 부산에서 발생했다. 피해자는 수십차례에 걸쳐 비정상적으로 자금이 이체될 동안 은행 측 연락을 못받았다고 주장하고 있다. 피해금액은 4억원 가량인 것으로 전해졌다. 부산에서 자영업을 하는 A씨는 지난 22일 택배 수신 주소가 잘못돼 정정을 요구하는 휴대전화 문자 메시지를 보고 인터넷주소(URL) 링크를 눌렀다가 피해를 당했다. 27일 사상경찰서 등에 따르면 경찰은 해당 사건은 A씨에게 휴대전화 문자메시지를 보내 개인정보를 해킹한 해커 범죄로 추정하고 있다. A씨에 따르면 지난 24일 오후 4시 17분 누군가 3억원이 넘는 자신의 정기예금을 해지하고 보통예금으로 입금한 뒤 약 8시간 30분 동안 29차례에 걸쳐 다른 사람에게 계좌이체로 돈을 빼돌렸다. A씨는 사건 발생 다음 날 오전 9시/즘 비정상적으로 계좌이체가 되고 있다는 은행의 전화를 받고 경찰에 신고했다. 당시 A씨의 휴대전화는 스미싱으로 이미 ‘먹통’이 된 상태여서 은행 통보 시점까지 피해를 알 수 없었던 것으로 전해졌다. 경찰은 모바일 일회용 비밀번호 생성기(OTP) 발급의 허점을 노린 범행으로 보고 수사를 벌일 예정이다. 경찰 관계자는 “금융기관이 온오프라인에서 계좌 주인과 동일 인물이라는 것을 확인하고 발급해야 하는데 이번 사건은 온라인으로 금융기관에서 OPT 재발급을 받아 계좌이체에 사용했을 가능성이 있다”고 밝혔다. 이 관계자는 “보통 계좌에서 이체가 되면 휴대전화 문자메시지로 소유주에게 알려주는데 이번 사건은 누군가 A씨의 휴대전화를 먹통으로 만든 뒤 계좌에서 돈을 빼낸 것으로 보인다”며 “비대면으로 이뤄지는 모바일 OPT 발급 여부 등 계좌 이체 과정 전반을 살펴볼 예정”이라고 덧붙였다.

대학교와 공공기관 등 15곳 정보통신망을 해킹해 81만명의 개인정보를 빼돌린 20대 대학생이 구속됐다. 대구경찰청은 27일 정보통신망법 위반 및 위계에 의한 공무집행방해 혐의로 대학생 A씨를 구속하고, 범행에 가담한 또 다른 대학생 B씨를 불구속 입건했다. 이들은 2021년 8월부터 2022년 11월까지 경북대, 숙명여대, 구미대, 대구가톨릭대학교, 대구한의대 등 5개 대학교와 10개 공공기관에 분산된 로그 기록을 분석해 81만명의 개인정보 217만여 건을 빼돌린 혐의를 받고 있다. 경북대 재학생인 A씨는 중간고사 문제도 미리 빼돌린 것으로 드러났다. 다만 시험 직전에 문제를 확인해 성적에 큰 영향을 주진 않은 것으로 경찰은 보고 있다. 경찰에 따르면 이들은 주로 정보통신망의 취약점을 이용하는 수법을 사용해 개인정보를 빼돌렸다. 경찰 조사결과 이들은 파라미터값 변조 등 6가지 수법을 사용했다. 이들은 보안 시스템에 비슷한 취약점을 가진 기관을 물색해 범행 대상으로 삼은 것으로 파악됐다. 경찰 관계자는 “피의자들이 이게 큰 범죄인지 인식이 부족했던 것 같다”며 “지금은 범행을 저지른 것에 대해 반성하고 있다”고 말했다. 그러면서 “한번 성공하니 비슷한 시스템을 사용하는 기관에도 추가 해킹이 가능하다고 봐 시도했고 성공했다”며 “수집한 개인 정보로 인한 2차 피해는 확인되지 않았으나 추가 수사를 통해 피해 사실을 밝혀낼 계획”이라고 말했다.

경찰청 국가수사본부는 최근 텔레그램 메신저를 이용한 개인정보 탈취 사건이 빈번하게 발생하고 있다며 주의를 당부했다. 21일 경찰에 따르면 최근 텔레그램 공식 계정에서 발송한 문자인 것처럼 속여 계정 재인증을 위해 피싱 사이트에 접속하게 해 개인정보를 탈취하는 수법이 횡행하고 있다. 경찰은 “아직 금전 피해 사례는 확인되지 않았지만 추가 피해 가능성이 크다”며 “출처가 불분명한 문자는 가급적 확인하지 말라”고 밝혔다. 아울러 스마트폰에 주민등록증, 운전면허증, 여권 사진 등 개인정보가 담긴 자료가 있다면 즉시 삭제할 것을 당부했다. 또 안드로이드 운영체제인 스마트폰을 사용하는 경우 ‘차단 문구 관리’ 기능을 통해 피싱 문자를 사전 차단하는 방법도 소개했다. IOS 운영체제는 ‘암호 및 보안’ 메뉴에서 ‘이중 인증 켜기’ 및 ‘암호 변경’을 실행해 보안을 강화하면 된다.

북한이 포털사이트 네이버를 정교하게 복제한 피싱사이트를 개설해 국민을 대상으로 해킹을 시도한 정황을 포착했다고 국가정보원이 14일 밝혔다. 국정원에 따르면 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라 한 사이트를 제작해 개인정보 탈취를 시도했다. 증권이나 부동산, 뉴스 등 자주 이용하는 세부 메뉴까지 동일하게 복제했다. 국정원은 “화면에 있는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어렵다”며 “단순히 네이버 로그인 페이지만 복제해 아이디(ID)와 비밀번호를 탈취하던 기존 방식에서 더 나아가 개인정보 탈취 가능성을 높이려 공격 수법을 진화시킨 것”이라고 밝혔다. 국정원은 이 피싱사이트 관련 정보를 국가·공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며 현재 피싱사이트에 대한 접속 차단 조치를 취했다. 국정원은 “서버가 해외에 있어 해외기관과 정보 공유로 해킹조직 활동을 추적하고 있다”며 “피해 차단을 위해 다각적으로 대응할 계획”이라고 말했다. 국정원은 특히 “포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다”며 이용자들의 주의를 당부했다. 한편 방미 중인 김건 외교부 한반도평화교섭본부장은 13일(현지시간) 브라이언 넬슨 미 재무부 테러·금융정보차관과 면담하고 북한의 불법적 사이버 활동 대응을 위한 양국 협력을 강화하기로 했다고 밝혔다. 넬슨 차관은 미 독자제재 프로그램을 운영하는 재무부 해외자산통제국(OFAC)을 관장하고 있다. 김 본부장과 넬슨 차관은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 것은 가상자산 탈취와 정보기술(IT) 분야 외화벌이 활동 때문이라는 데 인식을 함께했다. 또 한미가 지난 4월과 5월 북한의 불법 사이버 활동에 관여한 개인과 단체를 독자제재 대상으로 지정하면서 긴밀히 공조한 것을 평가하고, 협력 외연을 국제사회·민간 등으로 확대하기로 의견을 모았다고 외교부는 전했다. 김 본부장은 이날 구글과 구글 산하 사이버 보안업체 맨디언트 관계자들과 간담회도 열었다. 김 본부장은 “북한의 전방위적 사이버 공격은 개인과 기업의 재산상 피해를 야기할 뿐 아니라 글로벌 IT 생태계 전반에도 심각한 위협”이라고 강조했다. 그는 맨디언트가 지난 4월 북한 해킹그룹 ‘김수키’의 주요 공격 대상 등을 분석한 보고서를 낸 것을 높이 평가하고, 앞으로도 “긴밀히 협력하자”고 말했다.

북한이 포털사이트 네이버를 정교하게 복제한 피싱사이트를 개설해 국민들을 대상으로 해킹을 시도한 정황을 포착했다고 국가정보원이 14일 밝혔다. 국정원에 따르면 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 따라 한 사이트를 제작해 개인정보 탈취를 시도했다. 증권이나 부동산, 뉴스 등 자주 이용하는 세부 메뉴까지 동일하게 복제했다. 국정원은 “화면에 있는 외관만으로는 실제 사이트와 피싱사이트를 구분하기 어렵다”면서 “단순히 네이버 로그인 페이지만 복제해 아이디(ID)와 비밀번호를 탈취하던 기존 방식에서 더 나아가 개인정보 탈취 가능성을 높이려 공격 수법을 진화시킨 것”이라고 밝혔다. 국정원은 이 피싱사이트 관련 정보를 국가·공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며, 현재 피싱 사이트에 대한 접속 차단 조치를 취했다. 국정원은 “서버가 해외에 있어 해외기관과 정보공유로 해킹조직 활동을 추적하고 있다”면서 “피해 차단을 위해 다각적으로 대응할 계획”이라고 말했다. 아울러 “포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다”며 이용자들의 주의도 당부했다. 외교부는 김건 외교부 한반도평화교섭본부장이 미국 워싱턴DC를 방문해 브라이언 넬슨 재무부 테러·금융정보 차관과 면담하고 북한의 불법적인 사이버 활동 대응을 위한 양국 협력을 강화하기로 했다고 밝혔다. 넬슨 차관은 미국의 독자제재 프로그램을 운영하는 재무부 해외자산통제국(OFAC)을 관장하고 있다. 김 본부장과 넬슨 차관은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 것은 가상자산 탈취와 정보기술(IT) 분야 외화벌이 활동 때문이라는 데 인식을 함께했다. 또한 한미가 지난 4월과 5월 북한의 불법 사이버 활동에 관여한 개인과 단체를 독자 제재 대상으로 지정하면서 긴밀히 공조한 것을 평가하고, 협력의 외연을 국제사회·민간 등으로 확대하기로 의견을 모았다고 외교부는 전했다. 김 본부장은 이날 구글과 구글 산하 사이버 보안업체 맨디언트와 간담회도 열었다. 김 본부장은 북한의 전방위적 사이버 공격은 개인과 기업의 재산상 피해를 야기할 뿐 아니라 글로벌 IT 생태계 전반에도 심각한 위협이라고 강조했다. 그는 맨디언트가 지난 4월 북한 해킹그룹 ‘김수키’의 주요 공격 대상 등을 분석한 보고서를 낸 것을 높이 평가하고 앞으로도 긴밀히 협력하자고 말했다.

북한이 포털사이트 ‘네이버’를 복제한 피싱 사이트를 만들어 해킹을 시도하고 있는 사실이 확인돼 국정원이 포털 이용자들에게 주의를 당부했다. 14일 국가정보원은 북한이 네이버를 실시간으로 복제한 피싱 사이트로 해킹을 시도하고 있다고 밝혔다. 북한은 도메인 주소 ‘www.naverportal.com’에서 네이버 메인화면에 있는 실시간 뉴스·광고 배너와 메뉴 탭을 그대로 베껴 홈페이지를 만든 것으로 확인됐다. 국정원은 사이트 외관만으로는 북한의 가짜 사이트를 구분하기 어렵다면서 북한이 개인정보 탈취 가능성을 높이기 위해 공격 수법을 다변화한 것으로 파악했다. 과거 북한은 네이버 로그인 페이지를 복제하는 방식으로 국내 이용자들의 아이디·비밀번호 등을 탈취한 이력이 있다. 국정원은 관련 사실을 국가기관, 공공기관, 한국인터넷진흥원(KISA) 등에 공유했으며, 이들 기관은 현재 피싱 사이트에 대한 접속 차단 조치를 진행하고 있는 것으로 알려졌다. 국정원 측은 해당 복제 피싱 사이트의 서버가 해외에 있어 해외기관과 정보공유로 해킹조직 활동을 추적하고 있다면서 피해 차단을 위해 다각적으로 대응할 계획이라고 밝혔다. 아울러 포털사이트를 이용할 땐 주소를 직접 입력해 접속하거나 즐겨찾기 기능을 사용하는 것이 안전하다고 당부했다.

숭실대 정보보호학과 신설 이어상반기 중엔 CISO·CPO도 선임 올해 초 잇단 사이버 보안 사고를 겪은 LG유플러스가 지난 2월 했던 약속을 속속 이행하고 있다. 숭실대에 정보보호학과를 신설하기로 한 데 이어 이번엔 외부 전문가로 구성된 정보보호자문위원회를 발족한다. LG유플러스는 23일 자문위를 발족하고 첫 회의를 진행했다고 밝혔다. 위촉된 위원은 총 7명으로 이기주 김앤장 법률사무소 정보보호연구소장 및 고문(자문위 총괄 위원장), 김진환 법률사무소 웨일앤썬 변호사, 김익균 한국전자통신연구원(ETRI) 사이버보안연구본부 책임연구원, 김휘강 고려대 정보보호대학원 교수, 이상민 연암공대 스마트전기전자공학과 교수, 최동근 고려대학교 정보보호대학원 교수, 이상엽 LG유플러스 최고기술책임자(CTO, 전무) 등이다.위촉식에선 앞으로 정기 회의를 갖고, 회사의 기술·관리 정책 자문 역할을 수행하기로 했다. 본회의에서는 지난 4월 정부에서 발표한 시정 요구사항과 개선과제의 방향성을 살펴 보고, 투자·인력·모의훈련·교육 등에 걸친 실행 계획에 대해 논의했다. 자문위 총괄을 맡은 이기주 위원장은 “기업을 넘어 사회 전반에 걸쳐 사이버 보안의 필요성이 증대되고 있다”며 “특히 통신 업계는 다양한 데이터가 모이는 곳인만큼 정보보호의 양적, 질적 강화를 위한 다양한 실행 방안들을 살펴 나가겠다”고 말했다. 황현식 LG유플러스 최고경영자(CEO, 사장)는 “회사 보안 체계의 미비점을 보완하기 위해 외부의 다양한 시각을 수렴할 수 있는 기구를 마련했다”며 “고객에게 더 신뢰받는 회사로 거듭나기 위해 자문위원들과 함께 보안 검증 체계를 더욱 강화해 나가겠다”고 밝혔다. LG유플러스는 지난 2월 발표한 ‘사이버 보안 혁신 활동’ 계획을 발표했다. 이에 따라 지난 8일 사이버 보안 전문 인재 양성을 위해 숭실대 정보보호학과 신설 및 운영에 나섰다. 상반기 중엔 정보보호최고책임자(CISO), 개인정보보호최고책임자(CPO) 선임도 마무리될 예정이다. 앞으로는 외부 보안 전문가와 취약점 사전점검·모의 해킹, 선진화된 보안기술 적용 및 미래 보안기술 연구·투자, 사이버 보안 혁신 과제 수행 등 활동을 이어갈 예정이다.

개인정보를 단돈 몇천원에 판매하거나 불법 대출 업체 광고를 대행해 준 중소형 온라인 대부업체가 대거 적발됐다. 22일 금융감독원과 경기도청, 경찰청, 금융보안원은 지난달 12~21일 경기도에 등록된 대부중개 업체 7곳(대출고래·대출나라·대출브라더스·대출세상·돈조이·머니투머니·365헬프론)에 대해 합동점검을 한 결과 다수의 법규 위반 사항을 적발했다고 밝혔다. 이에 따르면 A대부중개업체는 약 20만명의 개인신용정보를 고객 동의 없이 대부업자뿐만 아니라 불법 사금융업자에게 건당 1000~5000원에 판매한 것으로 나타났다. 주소, 연락처, 생년월일과 같은 개인 식별 정보 외에도 대출, 연체 이력, 신용점수 등의 신용정보도 갖고 있었다. 다른 대부중개업체는 홈페이지에 등록 대부업자 광고만 취급해 안전하다고 홍보했으나 실상은 불법 대출업체 광고도 게시했다. 또 다른 대부중개 업체는 제삼자로부터 해킹을 당한 정황도 포착됐는데, 플랫폼에 광고를 게시했던 특정 대부업체가 해킹으로 고객 전화번호를 몰래 열람한 사례가 드러난 것이다. 대형 대부업자(자산 100억원 초과 법인 등)는 금융위원회와 금감원에, 중소형 대부업자는 지자체가 관리한다. 지난해 6월 말 기준 대부업체는 총 8775곳이며 이 중 7823개(89.2%)가 지자체에 등록돼 있다.

대만에서 출판된 반중 서적 ‘중국이 공격하면 어쩌지’를 구매한 독자가 중국 공산당원으로 의심되는 이들로부터 전화를 받는 사건이 일어났다. 당국은 이에 중국 공산당의 인지전으로 보고 엄중 대처할 방침이다. 이번 사건은 대만해협의 위기가 고조되고 있는 가운데 대만이 2024년 1월 총통 선거를 앞둔 상황에서 발생해 더욱 주목된다. ‘중국이 대만을 공격하면 어쩌지’라는 책은 전쟁이 발발한다면 어떻게 될까라는 주제와, 중국 인민해방군 관점에서 군대 건설의 목적 등을 분석했다. 책 말미에서는 넒은 관점에서 대만 주변국을 소개하고 국제 전략을 다뤘는데, 이는 중국 공산당의 입장과는 완전히 상충되는 내용으로 알려져 있다. 15일 대만 언론들을 종합하면 지난 14일 오전 대만 독립성향의 대만기진당이 연 기자회견에 해당 서적을 산 독자 양신쭈 씨가 받은 전화 내용을 공개하며 당국에 철저한 진상 규명을 요구했다. 양신주 씨는 ‘히어 아이 스탠드 프로젝트’(Here I Stand Project)라는 비영리 단체의 부주석이다. 해당 단체는 대만을 대만으로서 세계에 알리는 청년 단체로 알려져 있다. 신문에 따르면, 양 씨는 13일 오후 3시 반경 국가번호 28이 표시된 전화 두 통을 받지 못한 뒤 같은 국가 번호로 저녁 7시경 전화가 걸려와 받게 됐다. 상대 여성은 청핀서점의 직원이라며 양씨가 청핀서점에서 지난 2월 구매한 ‘중국이 공격한다면 어떡하나’라는 책의 구매 여부를 확인했다. 양씨는 즉각, 구매 여부를 확인시켜 주면서 개인정보가 유출됐을 가능성을 의심했다. 그는 “상대방의 억양이 매우 대만인스러웠지만 몇 마디를 들어보니 대만 출신이 아니라는 것을 바로 알 수 있었다”며 “중국이 정말로 전화를 했다는 것을 직감했다”고 밝혔다.　 그는 통화 녹음을 준비하기 위해 상대방에게 10분 후 다시 전화해달라고 했고, 10분 후 한 남성으로부터 전화를 받았다. 그의 억양은 앞서 전화한 여성보다 대만 억양이 덜했다. 이 남성은 자신을 청핀서점 마케팅부서 직원이라고 소개한 뒤 “중국 군사력은 매우 강하다, 대만은 절대 승리할 수 없다”, “미국은 돕지 않을 것이다”, “대만군은 전쟁을 두려워한다”, “국민당이 (민진당보다) 더 낫다”, “대만 통일은 반드시 이루어진다. 민진당에 투표하면 무력 통일이, 국민당에 투표하면 평화 통일, 일국양제(한 국가 두 체제)가 실시된다”는 등 중국 공산당의 통일전선 표현들을 이어 갔다. 양씨는 상대 남성은 양씨의 계속되는 의심에 화를 내며, 상대방은 줄곧 청핀 고객센터에서 전화한 것이라고 주장했다. 이 통화가 끝난 후 양씨는 또 다른 전화를 받게 됐다. 상대 여성은 10분 정도 통화 시간을 갖자고 했다. 양씨는 이 여성도 대만인이 아니라는 것을 말투로 알아차렸고, 상대 사무실에는 10명가량이 이런 전화를 한다는 것도 알게 됐다. 양씨는 보이스피싱 전화가 만연하고 있다는 것을 알고 있지만 이번 전화는 그들이 내 돈을 노리는 대신 내게 인지전을 펼쳤다며 대만 여론과 해당 책에 대한 대만인들의 생각을 알고자 했던 것이라고 강조했다. 또 양씨가 해당 책을 구입한 서점인 청핀서점을 향해 고객 정보가 어떻게 중국으로 유출됐는지도 해명해줄 것을 촉구했다. 대만 디지털발전부는 14일 보도자료를 통해 청핀서점에 관련 설명을 요구했다고 밝혔다. 15일 대만 정원찬 행정원 부원장은 규정에 따라 행정 점검을 3일이내 완료할 것이라며 개인정보 유출사고가 발생한 경우 행정처분을 예고했다. 그는 이어 “이 사건이 (중공의) 인지전 문제와 관련이 있다면서 개인정보 유출 경로를 명확히 규명하겠다”고 말했다. 그러면서 “이는 신상 정보를 미끼로 정치공작을 벌이는 새로운 형태의 수법이라면서 엄정 수사할 방침”이라고 밝혔다. 청핀서점 측은 “인터넷에서 벌어지는 다양한 해킹과 침투 수법에 대해 청핀은 앞으로도 정보보안 보호를 강화하고 정기적으로 고객들에게 알려드리도록 하겠다”고 밝혔다. 일각에서는 보이스피싱이 아닌 세뇌 작전이라고 분석했다. 대만 기진당 우신타이 주임위원은 이번에 반중 서적 독자를 겨냥했다면 나중에는 친중 서적 독자들에게 전화를 걸어 세뇌시킬 수 있다고 경고했다. 

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP 주소, IP 주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 경찰청 관계자는 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”고 말했다.

2021년 서울대병원에서 발생한 83만건의 개인정보 유출 사건은 북한 해킹조직의 소행으로 드러났다. 악성코드 감염으로 바깥으로 새 나간 정보는 조직검사와 같은 병리 검사 결과, 진단명, 환자 이름 등 모두 81만건에 달한다. 경찰은 이들이 주요 인사에 대한 진료 정보를 노리고 해킹을 저지른 것으로 봤다. 경찰청 국가수사본부는 2021년 발생한 서울대학교병원 개인정보 유출사건 수사 결과를 10일 발표했다. 경찰청 관계자는 “공격 근원지의 IP주소, IP주소 세탁 기법, 시스템 침입·관리 수법, 내부망 장악 시 사용한 계정 비밀번호에 북한 어휘가 사용된 점 등을 종합적으로 판단해 북한 해킹조직의 소행으로 판단했다”며 “‘김수키’와 연관이 있는 것으로 추정된다”고 밝혔다. 김수키는 라자루스, 블루노로프, 안다리엘 등과 함께 북한 정찰총국 내 있는 여러 개의 해킹조직 중 하나다. 이들은 서울대병원 내부망을 장악할 때 사용했던 계정의 비밀번호에 ‘다치지 말라’(건들지 말라는 의미)는 북한 어휘를 사용하기도 했다. 경찰청 관계자는 “암호화돼 있는 비밀번호를 풀어보니 이런 단어를 사용한 것”이라며 “그동안 남한 쪽 여러 기관을 해킹하는 과정에서 압수되거나 공격이 막힌 것에 대한 메시지로 보인다”고 설명했다. 이들은 2021년 5~6월 국내외에 소재한 서버 7곳을 장악해 서울대병원을 해킹하기 위한 기반을 마련한 것으로 조사됐다. 서울대병원 내부망에 침투하기 위해 여러 서버를 살피던 이들은 게시판 글쓰기 기능에서 사진과 파일을 업로드할 때 악성코드를 심을 수 있다는 취약점을 발견했다. 이후 이들은 서울대병원 내부망에 침투해 각종 개인정보를 빼냈다. 경찰은 이들이 환자 81만여명, 전현직 직원 1만 7000명 등 모두 83만명의 개인정보를 빼낸 것으로 판단했다. 경찰은 “전현직 직원 1만 7000명의 정보는 실제로 유출된 것을 확인했고, 나머지 81만명의 환자 개인정보는 유출 정황을 확인했다”며 “아직까지 개인정보 유출 이후 2차 피해가 확인되거나 신고가 접수된 경우는 없다”고 설명했다. 북한 해킹조직은 조직검사와 세포 검사 등 병리 검사 사진과 진단명 등이 저장됐던 서버를 주 타깃으로 삼은 것으로 조사됐다. 유출 정황이 확인된 환자 81만명의 정보도 모두 병리 검사 결과가 저장됐던 서버에서 새 나갔다. 경찰청 관계자는 “피의자 검거 이후 진술을 받아야 해킹 목적을 확인할 수 있지만, 이번 사건은 검거가 불가능하다”면서도 “다만 주요 인사 등에 대한 진료 정보를 빼내기 위한 것이 목적으로 서울대병원을 해킹한 것으로 보인다”고 말했다. 다만 주요 인사의 진료 정보가 실제로 유출됐는지에 대해선 “확인해주기 어렵다”고 했다.