“모르는 번호로 제 딸이라는 문제가 왔어요. ‘휴대폰을 떨어뜨렸는데 보험사에 신고를 해야하니 운전면허증이랑 계좌번호, 비밀번호 좀 보내달라’고 그러더라고요. 별 의심없이 다 보내줬죠. 무슨 어플을 깔라고 해서 그것도 깔고요.” 이처럼 가족을 사칭하며 개인정보를 탈취하는 보이스피싱 수법은 고전적이지만 실제 자녀가 있는 고연령층에게 잘 통한다. 지난해 메신저피싱으로 인한 피해금액만 990억이었다. 보이스피싱범은 주로 딸이나 아들, 동생 등을 사칭해 ‘액정파손보험’ 등을 위한 개인정보와 앱 설치를 요구한다. 그러면 피해자의 명의로 대출을 진행하고 계좌 잔액을 대포 통장으로 이체하는 방식으로 사기를 친다. KB국민은행이 자사 고객센터의 금융사기 피해 상담 데이터를 분석해 11일 내놓은 리포트에 따르면 가족을 사칭한 피해 고객의 경우 남성은 60대가 43%로 가장 많았고, 여성은 50대가 40%로 가장 많은 비중을 차지했다. 전체 피해자의 성별은 남성(41%)보다는 여성(59%)이 많았다. 고금리 시대 소상공인 등 취약차주를 겨냥한 대출빙자형 수법도 성행이다. 코로나19 이후 정부가 대출 지원 정책들을 펼치면서 여기 해당하는 차주들이 이러한 유형의 보이스피싱에 쉽게 노출됐다. 대출계약위반을 명목으로 ‘24시간 안에 기존 대출금을 현금으로 갚아야 한다’고 협박해 현금을 갈취하는 일이 많으니 주의가 필요하다. 가령 A은행에 대출이 있는 고객에게 ‘정부지원 상품이 개편됐는데 해당 상품은 B은행에 신청을 해야한다’는 식으로 문자가 온다고 해보자. 링크를 클릭하면 B은행을 사칭해 어플을 깔게 하고 대출상담을 진행하는데, 이 과정에서 A은행 직원을 사칭한 또 다른 피싱범이 “대출계약을 위반했다”며 기존 대출을 현금으로 상환하도록 한다. 대출금을 상환하지 못했을 때 발생할 수 있는 여러 상황을 염려한 피해자를 속이는 방식이다. 이런 유형의 수업에는 여성(42%)보다는 남성(58%)이 취약했고, 연령대로는 남성의 경우 50대(29%)와 60대(26%)가, 여성도 50대(35%) 피해자 비중이 가장 높았지만 남성과 달리 40대(26%)가 그 뒤를 이었다. 젊은층은 가족 사칭이나 대출 빙자보다 기관이나 택배사를 사칭한 수법에 걸려드는 일이 많다. 온라인 구매를 많이 하는 젊은층의 경우 허위 결제 문자가 오면 ‘그런 주문을 한 적이 없는데’하면서 저도 모르게 링크를 클릭하게 된다. 이 경우 해킹앱 설치를 유도해 원격 조정으로 개인정보를 탈취하는 일이 많으니 주의가 필요하다. 주로 소비자보호원이나 소비자보호·서비스센터, 검찰·경찰청, 금융감독원 등을 사칭하는 일이 많고 20대 남성 피해자가 다른 성별이나 연령대에 비해 피해 비중이 높았다. 이 외에도 주소가 일치하지 않아 택배 예정인 상품을 집으로 배송하지 못하고 보관중이라로 속이는 수법도 있다. 한진택배나 CJ대한통운, 우체국 등 실제 택배사를 사칭하기 때문에 속아 넘어가기 쉽다. 그러나 링크를 클릭하면 거짓 택배조회 페이지로 연결돼 개인정보를 가져간다. 또 최근 모바일 청첩장를 주고받는 일이 일상이 되다보니 거짓 청첩장이나 돌잔치 초대장을 보내는 일도 발생하고 있다. 보이스피싱 범죄에 대한 경각심이 높아지고 있지만 피해 규모는 줄어들긴커녕 오히려 늘어나고 있는 추세다. 지난해 보이스피싱으로 인한 피해금액만 7744억원으로 전년 대비 11% 늘었다. 수사기관과 금융기관 등에서 보이스피싱의 위험성과 예방법 알리기에 주력하고 있지만 수법이 갈수록 고도화·지능화되고 있어 각별한 주의가 필요하다. 리포트를 내놓은 KB국민은행은 KB스타뱅킹 어플 실행 시 악성 어플 탐지 기능을 적용하는 등 보이스피싱 대응 프로그램을 운영하고 있다고 밝혔다. 관계자는 “현재 추진하고 있는 ‘미래컨택센터(FCC)’ 구축사업을 통해 고객센터로 접수되는 보이스피싱 피해 상담을 실시간으로 탐지하고 선제적 경보를 발동하는 모니터링 시스템을 구축할 예정”이라고 설명했다.

해킹으로 환자 개인정보가 줄줄이 샜던 서울대병원에서 추가 피해가 더 있었던 것으로 확인됐다. 서울대병원은 최근 환자들에게 2021년 6월 악성코드 감염을 통해 발생했던 사이버 공격에 대한 수사 과정에서 일부 환자 정보의 유출 정황이 추가로 확인된 사실을 알렸다고 13일 밝혔다. 서울대병원은 “병원등록번호, 환자명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사 결과의 정보가 유출 가능성이 높은 것으로 추정하고 있다”면서도 “주민등록번호, 핸드폰 번호, 주소, 영상 검사나 사진 등의 검사 결과는 유출되지 않았다”고 설명했다. 이어 “유출 정황을 인지한 즉시 해당 IP와 불법 접속 경로를 차단하고 보안 조치를 완료했다”며 “현재까지 해당 정보가 외부에서 발견되거나 이용된 사례는 확인되지 않고 있다”고 덧붙였다. 서울대병원은 또 “개인정보보호와 관련해 불미스러운 일이 발생한 점 깊이 사과드리며 향후 유사한 사례가 발생하지 않도록 더욱 최선을 다하겠다”고 강조했다. 앞서 서울대병원은 지난해 7월 해킹으로 인한 개인정보 유출 정황이 드러나 경찰과 교육부, 보건복지부, 개인정보보호위원회에 신고한 바 있다.

국가 기간통신망의 안정성이 크게 강화된다. 양자암호기술 적용으로 도청 및 해킹의 리스크를 차단할 수 있게 됐기 때문이다. SK브로드밴드는 세계 처음으로 국가 기간통신망에 양자암호기술을 적용하는 데 성공했다고 21일 밝혔다. 이번 기술 적용으로 국가통신망 도청 등의 위험성을 사전에 차단할 수 있으며 특히 국가 기밀사항, 개인정보 등에 대한 피해를 예방하고 대응할 수 있게 됐다. 기존 암호기술은 양자컴퓨터의 등장처럼 공격자의 능력이 향상될수록 해킹 가능성이 커졌다. 하지만 양자암호통신은 불확정성, 중첩, 복제불가와 같은 빛의 양자적 성질을 이용하기 때문에 현존하는 어떤 해킹 기술로도 뚫을 수 없는 안전한 보안수준을 자랑한다. SK브로드밴드의 국가 기간통신망 양자암호기술 적용은 국내 최장인 총 800km에 달하며 이달 말 최종 완료할 계획이다. 그동안 구축된 민간의 대부분 양자암호망은 구간당 30km~70km에 불과했다. 이보다 먼 거리를 전송할 경우 중계 기술의 한계로 대규모 양자암호망 구성이 불가능했기 때문이다. SK브로드밴드는 국가융합망 각 구간을 약 30여개 양자중계기로 손실 없이 연결하는 기술 개발을 통해 총 800km에 달하는 전국망 규모 양자암호망 적용에 성공했다. 이번 국가융합망 구축을 위해 ‘T-SDN(Transport-Software Defined Network)’와 같은 차세대 네트워크 기술을 적용하고 설계 초기부터 단계별 확장성을 고려해 백본망과 액세스망을 최대한 분리해 구축했다. 특히 유럽전기통신표준화기구(ETSI)에서 승인받은 ‘양자암호통신(QKD 기반) 네트워크 통합관리규격 표준’ 7건을 이번 국가융합망 구축에 도입했다. 이에 따라 이번에 구축한 국가융합망은 중간에 양자키분배기(QKD)를 추가하는 것만으로 양자암호 서비스 구간을 쉽게 구성할 수 있어 확장성도 갖췄다. 김구영 SK브로드밴드 공공 담당은 “이번 800km 국가융합망 양자암호기술 적용 성공은 대한민국이 양자암호기술 개발과 상용화에서 세계 최고 수준임을 입증한 사례”라며 “차세대 양자암호망 구축이라는 기술 우위를 바탕으로 안전하고 효율적인 공공 솔루션을 계속 제공할 것”이라고 말했다.

지난 3일 해킹 공격으로 이메일 등 유출2019년 6월 이후 3년 만에 또다시 해킹지난달 코스닥 상장예비심사신청서 제출독서앱 ‘밀리의서재’가 지난 3일 해킹을 당해 1만 3000여명의 회원 정보가 유출된 것으로 나타났다. 밀리의서재가 해킹당한 것은 이번이 두 번째다. 6일 업계에 따르면 밀리의서재는 최근 앱 내 공지사항을 통해 이 같은 사실을 알렸다. 유출 시기는 이달 3일 오전 4시쯤으로, 1만 3182명의 정보가 유출된 것으로 파악됐다. 유출된 정보는 이메일 주소, 그리고 암호화되어 식별이 불가능한 전화번호와 비밀번호다. 밀리의서재는 “유출 정보 중 전화번호와 비밀번호의 경우에는 암호화되어 있어 외부에선 해당 정보만으로 회원의 정보에 해당한다는 사실을 알아내기 불가능하도록 조치돼 있다”고 설명했다. 아울러 밀리의서재는 침해 사실을 인지한 즉시 피해가 확대되는 것을 방지하기 위해 외부에서 접근하지 못하도록 차단하는 초기 대응을 실시했고, 24시간 모니터링을 진행하고 있다고 밝혔다. 또한 한국인터넷진흥원(KISA)과 방송통신위원회에 해킹 사실을 신고했다고 덧붙였다. 앞서 밀리의서재는 지난해 KT그룹 산하 지니뮤직에 인수되기 전인 2019년 6월에도 해킹 공격을 받아 약 11만명의 개인정보가 유출된 바 있다. 밀리의서재는 코스닥 상장을 목표로 지난달 한국거래소에 상장예비심사신청서를 제출한 상황이다.

북한 연계 해커 단체가 유포한 것으로 추정되는 악성 한글 문서파일(HWP) 전파 사례가 발견됐다. 정보보안업체 이스트시큐리티는 23일 문화체육관광부 산하 한국정책방송원(KTV)의 정책시사저널 프로그램 유튜브 방송 출연 섭외인 것처럼 위장해 대북 분야 전문가를 대상으로 해당 문서가 전파됐다고 전했다. 악성 문서에는 프로그램 진행자 소개와 함께 ‘윤석열 정부 남북정책 북한 코로나 지원, 남북대화 방향은?’이란 주제로 방송 출연 가능 여부를 문의하는 내용이 담겨 있다. 이 문서는 실행될 때 ‘상위 버전에서 작성한 문서입니다’라는 메시지 창이 뜨며 이용자들의 클릭을 유도한다. 이 창에는 악성 OLE(개체 연결 삽입) 명령이 들어있어 버튼을 누르면 북한 연계 해킹 조직이 주로 사용하는 C2 서버 주소에 통신을 시도한다. 이스트시큐리티는 북한 연계 해킹 조직인 ‘금성121’이 배후에 있다고 분석했다. 러시아 얀덱스(Yandex) 이메일을 사용하고 해외 클라우드 서비스에 탈취한 개인정보를 보관한다는 점 등이 이 조직과 유사한 수법이다. 이스트시큐리티는 최근 HWP OLE 기반의 지능형지속위협(APT) 공격이 눈에 띄게 증가하고 있다며 별도의 메시지 창 클릭 안내 화면을 볼 때 주의하라고 사용자들에게 당부했다. 또 문서보안 수준을 ‘높음’ 상태로 유지하도록 사용자들에게 제안했다.

기업을 상대로 한 사이버 해킹 범죄가 늘어나는 가운데 피해가 집중되는 중소기업 맞춤형 보안 솔루션의 중요성도 커지고 있다. 보안기업 에스원은 중소기업 기술 유출 예방을 위해 정보보안과 물리보안을 연동하는 ‘융합보안 솔루션’을 가동하고 있다고 19일 밝혔다. 지난해 정부가 기업의 기술보호 지원을 위해 술비한 제3차 지원계획에 따르면 중소기업 기술 보호역량은 대기업의 70% 수준에 그쳤다. 특히 중소기업 가운데 89%는 피해 입증을 위한 자료 준비나 법적 대처를 위한 시간, 비용 문제 등을 이유로 기술 유출에 적극 조치하기 어렵다고 답했다. 중소기업에게 현실적으로 사후 대처가 어려운 만큼 기술 유출 예방이 중요하다. 중소기업의 기술 유출 경로는 내부 직원에 의한 유출이 45.7%로 가장 높았고, 해킹 등에 의한 외부 침입이 17.1%로 나타났다. 기술 유출 방지를 위해서는 직원의 직접 유출을 막기 위한 ‘물리 보안’과 외부 해킹에 대비한 ‘정보 보안’을 동시에 해결해야 한다. 이에 에스원은 중소기업을 위한 구독형 서비스를 제공하고, 정보 유출 피해 사고 보상 정책도 실시하고 있다. 2019년 에스원이 자체 개발한 ‘정보보안 플랫폼’은 고객이 업무 환경에 맞는 솔루션을 일일이 찾아다닐 필요 없이 다양한 정보보안 사고에 효과적으로 대응할 수 있다. 특히 재택근무 환경에서 정보보안 사고를 예방할 수 있도록 클라우드 서버에 문서를 저장하는 ‘문서중앙화 솔루션’은 지난 1~2월 평균 판매량이 전년 평균 대비 13% 증가했고, 주52시간제를 관리할 수 있는 ‘PC-OFF 솔루션’도 지난해 판매량이 전년 대비 28.7% 늘었다. 나아가 에스원은 ‘랜섬웨어 피해복구 지원 서비스’를 통해 랜섬웨어 피해 발생시 데이터 복구를 위한 피해금액을 보상한도 내에서 지급하고 있다. 정보유출 사고에 대한 보상도 있다. ‘개인정보 안심플랜 서비스’에 가입하게 되면 해킹으로 인해 개인정보 유출 사고가 발생한 경우 법률상 손해배상금을 보상받을 수 있다. 에스원은 “국내 보안 대표기업으로서 중소기업의 기술 유출 예방을 위한 시스템 구축에 앞장서 왔다”면서 “물리보안과 정보보안을 동시에 제공하는 융합보안 선도 기업으로서 국내 보안시장을 더욱 성장시킬 수 있도록 최선의 노력을 다하겠다”고 밝혔다.

남의 컴퓨터를 해킹해 인터넷 메신저 아이디와 비밀번호를 알아냈더라도 해당 컴퓨터에 보안 설정이 없었다면 형법상 ‘전자기록 등 내용탐지죄’에 해당되지 않는다는 대법원 판단이 나왔다. 대법원 2부(주심 민유숙 대법관)는 전자기록 등 내용탐지와 정보통신망법 위반(정보통신망 침해 등) 혐의를 받은 A(35)씨의 상고심에서 일부 혐의를 무죄로 보고 징역 10개월에 집행유예 2년을 선고한 원심을 확정했다고 26일 밝혔다. A씨는 2018년 8∼9월 회사 동료 B씨의 노트북에 해킹 프로그램을 몰래 설치해 그의 인터넷 메신저와 검색엔진 아이디, 비밀번호를 알아냈다. 그러고는 B씨의 계정에 접속해 다른 사람과의 대화 내용 및 사진 등을 내려받는 등 모두 40차례에 걸쳐 정보통신망에 침입한 혐의를 받았다. 1심은 A씨의 혐의를 모두 유죄로 인정하고 징역 2년의 실형을 선고했다. 반면 2심의 판단은 달랐다. 해킹으로 개인적인 대화 내용 등을 내려받은 혐의는 유죄가 맞지만 애초에 피해자의 아이디와 비밀번호를 알아낸 것은 유죄로 볼 수 없다는 것이다. 내용탐지죄를 다루는 형법 316조 2항은 밀봉된 편지나 문서, 그림, 전자기록 등 특수매체기록의 내용을 기술적 수단을 이용해 알아내는 행위를 처벌하는 조항이다. 여기에서 문서 등은 ‘특정인의 의사를 표시한 것’을 의미하는데 계정 아이디와 비밀번호는 의사 표시로 보기 어렵다는 것이 2심 재판부의 판단이다. 이에 A씨의 형량은 징역 10개월에 집행유예 2년으로 낮아졌다. 대법원은 무죄는 맞지만 근거에는 문제가 있다고 지적했다. 의사가 표시되지 않았다고 무죄로 볼 수는 없다는 것이다. 다만 대법원은 “비밀장치가 돼 있지 않은 것은 기술적 수단을 동원해 내용을 알아냈더라도 전자기록 등 내용탐지죄가 성립하지 않는다”고 판시했다. 피해자 B씨는 노트북에 비밀번호나 화면보호기 등 별도의 보안장치를 설정하지 않았다. 전자기록 등 내용탐지죄의 전제조건은 비밀장치(보안)와 기술적 수단(해킹)인데 비밀장치가 없었으니 죄도 성립하지 않는다는 것이다.

과기부 “기업 이미지 타격 우려, 신고 못 해”사고 유형, 악성코드 감염 38%로 1위 차지“기업 IT 예산의 10~15%를 사이버 보안에”전 세계 렌섬웨어 피해 금액 6년 새 25배 증가삼성전자와 LG전자, 현대삼호중공업 등 국내 최대 기업에 해킹 사고가 연이어 터진 가운데 악성코드 감염 이후 금전을 갈취하는 랜섬웨어 공격도 계속해서 늘어나고 있다. 24일 과학기술정보통신부(과기부)에 따르면 올해 1분기 기준 랜섬웨어 해킹 피해 신고건수는 63건으로 2020년(21건)보다 3배나 늘었다. 지난해 동분기(35건)보다도 2배 가까이 늘어 매년 증가 추세다. 지난해 말 기준(223건)으로 보면 2020년(127건) 대비 76% 급증했다. 과기부 정보통신정책실 관계자는 “기업 이미지 타격 등의 이유로 신고를 꺼리는 사람들이 많기 때문에 실제 피해는 이것보다 훨씬 크다고 보면 된다”고 말했다. 랜섬웨어란 몸값(Ransom)과 소프트웨어(Software)의 합성어로 악성 프로그램을 사용해 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 공격이다. 악성코드 감염 사고는 대부분 대기업, 금융, 의료 등 자금 능력이 있는 회사를 공격해 금전을 갈취하려는 목적으로 발생한다. 최근 랜섬웨어 공격은 더 지능화되고 다양한 형태로 나타나는데, 탈취한 개인정보나 기밀정보를 외부에 공개하겠다고 협박해 금전을 요구하기도 한다. ●사이버 침해 사고 유형 6개…악성코드 감염 1위·개인정보유출 3위 실제로 SK쉴더스의 ‘2022 보안 위협 전망 보고서’에 따르면 지난해 침해 사고 유형별 발생 빈도 가운데 ‘악성코드 감염’이 38%로 제일 심각하다. 이어 ‘공급망 공격(21%)’, ‘개인정보 유출(15%)’, ‘시스템 장악(12%)’, ‘기밀 자료 유출(11%)’ ‘디페이스(홈페이지 변조·3%)’ 순으로 많았다. 국내에서도 지난 1월 현대삼호중공업이 악성코드(하이브)에 감염되면서 전산망과 인터넷, 사내 네트워크 등이 마비됐다. 랜섬웨어 공격을 감행한 해커는 이메일 주소만 남겨둔 채 별도의 요구사항을 전달하지 않았지만, 복구 과정에서 연락이 오면 금액을 제시했을 것으로 추정됐다.이 외에도 지난달에는 해커집단 랩서스(Lapsus$)가 삼성전자의 반도체 설계 소스와 LG전자 임직원의 계정정보를 유출해 주목받았다. 데이터 분석 전문기업 에스투더블유랩(S2W)은 지난해부터 활동을 시작한 랩서스가 대기업의 강력한 보안 시스템의 허점을 파고들어 데이터를 빼낸 실력자들로 구성된 집단이라며 이들의 가장 큰 목적은 금전적 이득으로 추정된다고 밝힌 바 있다. 과기부와 한국인터넷진흥원(KISA) 등 업계 관계자는 “최근 삼성전자와 LG전자 해킹 사건은 기존 악성코드를 감염시켜 접근한 랜섬웨어 공격은 아니지만, 범죄적 관점에서 보면 (해커집단 특성상) 정보 유출을 빌미로 돈을 요구하는 게 랜섬웨어 공격과 유사하다고 볼 수 있다”고 말했다. 지난달 랩서스는 삼성전자와 LG전자 이외에도 해외 기업 엔비디아, 마이크로소프트 등을 해킹하는데 이어 미국 2위 통신사인 T모바일 시스템에 침투해 진행 중인 프로젝트와 관련한 소스코드를 훔쳤다고 23일(현지시간) 미국 IT 전문매체 더버지는 보도했다. T모바일은 해킹사고로 고객정보 등 민감한 데이터는 유출되지 않았다고 밝힌 상태다. ●전 세계 랜섬웨어 피해 금액 지난해 7486억원에 달해 전 세계적으로 사이버 공격에 따른 피해 금액도 커지고 있다. 블록체인 데이터 플랫폼 기업 체이널리시스에 따르면 지난해 전 세계 랜섬웨어 피해액만 6억 200만달러(약 7486억원)로 6년 전인 2016년(2400만 달러)보다 25배 넘게 증가했다. 지난해 최대 피해액을 기록한 랜섬웨어인 콘티(Conti)는 피해자들로부터 1억 8000만 달러 이상을 갈취했다.조용민 신한금융투자 연구원은 사이버 보안 관련 보고서에서 “올해 기업 성장을 위협할 최대 위험은 사이버 공격”이라며 “해커에게 지불해야 하는 비용과 시스템 복원에 걸리는 시간, 기업 평판, 주가 급락 등 다방면으로 피해가 발생하기 때문”이라고 말했다. 이어 “국제적으로 지난해 사이버 보안을 강화하기 위한 지출이 12% 증가했지만 FBI(미 연방수사국)에 보고된 사이버 범죄 피해 규모는 전년 대비 64% 증가했다”며 “사이버 보안 투자 확대를 위해 기업은 사내 IT 예산의 10~15%를 사이버 보안에 배정해야 한다”고 말했다.

LG유플러스가 양자컴퓨터의 해킹 공격도 방어할 수 있는 양자내성암호(PQC) 전용회선 서비스인 ‘U+PQC 전용회선’을 세계 최초로 출시했다고 21일 밝혔다. 이동통신 3사 가운데 양자내성암호 이용약관 승인이 완료돼 정식 서비스를 출시하는 것은 LG유플러스가 처음이다. PQC는 현존 슈퍼컴퓨터보다 연산속도가 이론상 1000만배 빠른 양자컴퓨터를 이용한 모든 공격에 대해 안전한 내성을 가진 암호기술이다. 양자컴퓨터로도 해독하는데 수조 년 걸리는 복잡한 수학적 알고리즘을 기반으로 한다.LG유플러스가 세계 최초로 선보이는 ‘U+양자내성암호 전용회선’은 PQC 기술이 적용된 광전송장비(ROADM)를 통해 해킹할 수 없는 보안환경을 제공한다. 고객이 전용회선을 이용해 데이터를 송·수신할 때 양자내성암호 키(key)로 암·복호화하는 방식이다. 전용회선은 통신사와 고객을 1대1로 직접 연결한 통신회선이다. B2B(기업 간 거래) 서비스로 빠른 데이터 전송과 보안이 필요한 기업과 공공기관 등이 주로 사용한다. 가입자가 LG유플러스의 PQC 전용회선 서비스를 이용할 경우 데이터 송신 때 PQC 키(key)가 데이터를 암호화하고 수신할 때 암호를 푸는 복호화 작업이 진행된다. 데이터가 주고받는 선로에서 해킹이 통상 일어나는데 이러한 해킹이 사실상 불가능해지는 것이다. 가입자가 LG유플러스의 PQC 전용회선 서비스를 이용할 경우 데이터 송신시 PQC 키(key)가 데이터를 암호화하고 수신할 때 암호를 푸는 복호화 작접이 진행된다. 데이터가 주고 받는 선로에서 해킹이 통상 일어나는데 이러한 해킹이 사실상 불가능해지는 것이다. 이 같은 암호기술은 낮은 CPU 성능이나 작은 메모리 용량, 낮은 전력과 대역폭 등 제한적인 환경을 가진 IoT 환경에서도 적합하다. PQC는 네트워크 거리의 제약이 없을 뿐 아니라 키 교환이나 인증 등이 적용되는 통신망이면 어디에서든 사용할 수 있다. U+양자내성암호 전용회선은 ▲개인정보나 금융정보를 다루는 보안 민감도가 높은 금융기관, ▲금융서비스 플랫폼 ▲IDC 센터에서 거대한 데이터베이스를 관리하는 게임·플랫폼 ▲메타버스, NFT(대체불가토큰), AI(인공지능) 등 최신 기술을 도입한 IT기업 등에서 데이터를 안전하게 지키기 위한 보안 서비스로 활용될 것으로 보인다. B2B에서 개인 스마트폰까지 적용···“지금이 가장 적정한 시점” LG유플러스는 먼저 이 서비스를 B2B(기업 간 거래) 위주로 제공하고 개인 스마트폰이나 IoT(사물인터넷) 디바이스처럼 B2C(기업 대 소비자) 등을 대상으로 한 솔루션으로도 앞으로 구체화해 PQC 시장 1위 사업자가 되겠다는 목표도 밝혔다. 양자 컴퓨팅 기술이 아직 본격적으로 상용화되지 않았지만, LG유플러스는 지금부터 준비해야 하는다는 지적도 했다. 진재환 유선망개발팀장은 “보안기술은 해킹이 시작되기 전에 이미 구축이 완료돼 있어야 한다”며 “전체 시스템에 도입해서 준비하려면 적어도 지금이 가장 적정한 시점이 될 것”이라고 말했다. 이번 서비스 출시에 앞서 LG유플러스는 첨단암호 기술 개발 스타트업 ‘크립토랩’, 국내 최대 광전송장비업체 ‘코위버’와 함께 2019년부터 기술 개발에 매진했다. 우수한 보안성 덕분에 전 세계적으로도 PQC에 관한 관심이 증가하는 추세다. 미국 국토안보부와 연방정부 기관은 2030년까지 양자내성성을 갖추도록 ‘양자내성암호 전환준비 로드맵’을 내놓았고, IBM, 구글, 아마존 등 글로벌 기업들은 미국 국립표준기술연구소(NIST) 주도로 PQC 표준화 작업을 진행하고 있다. 구성철 LG유플러스 유선사업담당은 “U+양자내성암호 서비스의 뛰어난 보안성을 통해 다가올 양자 컴퓨팅 시대에도 고객경험을 혁신해 나가겠다”고 말했다. 윤연정 기자

흥신소 운영하며 개인정보 의뢰받아1207건 조회, 3800만원 부당이득기업 사이트를 해킹하고 고객정보 시스템에 무단 접속해 불법으로 취득한 개인정보를 돈을 받고 팔아넘긴 일당이 경찰에 붙잡혔다. 서울경찰청 사이버수사과는 19일 개인정보보호법, 정보통신망법 위반 등 혐의로 총책 A(51)씨 등 일당 16명(구속 6명 포함)을 검거했다고 밝혔다. 이들은 2019년 12월부터 지난해 9월까지 증권정보포털 등 8개 사이트를 해킹해 39만여명의 회원정보를 탈취하고 통신사(고객센터)·보험사 직원으로부터 고객정보를 매수한 혐의를 받는다. 일부는 택배기사로부터 택배사의 고객정보 시스템 계정을 넘겨받아 배송정보 수천여건도 직접 조회한 것으로 드러났다. 이후 흥신소를 운영하며 의뢰인으로부터 타인의 주민등록번호 등 개인정보 조회를 의뢰받은 뒤 1207건을 제공하고 그 대가로 3800만원 상당의 부당이득을 취한 것으로 조사됐다.현행 개인정보보호법은 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사·알선한 자’에 대해선 10년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 규정하고 있다. 한편 A씨 등 5명은 모텔 객실 PC에 내장된 웹캠으로 투숙객을 불법 촬영한 혐의도 받는다. 경찰 관계자는 “수사과정에서 확인된 개인정보 관리상의 문제점을 해당 기업에 알려 개선하게 하고, 개인정보 관리 부실 법인을 입건하고 행정조치 등을 위해 관계기관에 해당 사실을 통보했다”고 말했다.

개막이 보름 앞으로 다가온 베이징 동계올림픽의 ‘보안 리스크’가 부각되면서 참가자들이 임시 휴대전화, 일명 ‘버너 폰’을 사용하고 새 이메일 계정을 개설하는 것이 좋겠다는 전문업체의 권고가 나왔다. 영국 BBC 방송에 따르면 캐나다 보안업체 시티즌 랩(Citizen Lab)은 18일(현지시간) 제출한 보고서를 통해 베이징올림픽 기간 선수들과 미디어, 관중들이 사용하는 어플리케이션(앱) ‘마이2022’가 보안에 취약하고 사용자 데이터가 유출될 위험에 노출돼 있다고 경고했다. 사용자들이 ‘마이2022’를 통해 파일을 주고받을 때 암호화도 제공하지 않는다고 밝혔다. 특히 보고서는 앱에 ‘검열 키워드’와 ‘정치적으로 민감한’ 표현에 플래그를 다는 기능을 발견했다며 중국 지도자들의 이름, 톈안먼 사태, 종교집단 파룬궁 등이 포함된다고 설명했다. 사이버보안업체 인터넷 2.0도 선수들을 비롯해 대회 참가자들은 쓰고 그냥 버리는 버너 폰을 가져가거나 새로운 이메일 계정을 개설해 사용하라고 권고했다. 또 중국을 떠날 때는 사용했던 임시폰을 다시 쓰지 말고 반드시 버릴 것을 주문했다. 보고서는 이번 올림픽에 기술 지원을 하는 일부 스폰서와 그들의 제품에 주목하며 “중국에 존재하는 정교하고 폭넓은 감시 문화”를 보여주고 있다고 강조했다. 중국 기술업체 치안신에 의한 VPN(우회망)은 상당한 양의 사용자 데이터를 캡처할 수 있다며, 중국 법에 따라 당국은 이 데이터에 대한 접근을 요구할 수 있다고 설명했다. 시티즌 랩은 그러면서 “중국의 데이터 보안법은 프라이버시와 자유라는 서구의 가치에 맞지 않아 서구와 같은 수준의 보안을 제공하지 않는다”는 점을 강조했다. 여러 나라는 이미 대회에 참가하는 자국 선수들에게 임시폰 등 새로운 기기를 이용할 것을 당부하고 나섰다. 미국은 이날 선수들에게 임시폰과 함께 올림픽 참가 시 사용할 컴퓨터는 빌려 쓰거나 처분 가능한 것을 사용하도록 권고했다. 앞서 영국과 네덜란드도 자국 올림픽 대표들에게 임시 휴대폰을 지급하기로 했다. 한편 베이징동계올림픽 조직위원회 대변인은 관영 신화통신과의 인터뷰를 통해 조직위의 모든 행위는 중국의 개인정보 보호법 등 관련 법규를 엄격히 준수한다며 휴대전화 해킹 가능성이 없다고 일축했다.

최근 국내 아파트·오피스텔 등 700여곳에 설치된 월패드(가정 내 사물인터넷 연동 기기) 해킹으로 사생활 영상이 유출됐다는 의혹이 제기된 가운데, 목록에 오른 일부 아파트에서 악성코드 사용 흔적이 발견됐다. 6일 더불어민주당 전용기 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 경찰청 사이버범죄테러수사대가 최근 월패드 해킹 피해 추정 아파트 704곳 중 3곳을 현장 조사한 결과, 서울 강남구 아파트 1곳과 종로구의 도시형 생활주택 1곳에서 악성코드 ‘웹셸’(Web Shell) 사용 흔적을 발견했다. 웹셸은 업로드 과정의 취약점을 이용해 해커가 시스템에 명령을 내리는 악성코드다. 웹셸 설치가 성공하면 해커는 보안 시스템을 피해 별도 인증 없이 시스템에 쉽게 접속할 수 있다. 2008년 옥션, 2011년 현대캐피탈에서 웹셸을 이용한 개인정보 유출이 발생한 바 있다. 보안업계는 웹셸 방식을 가장 기초적인 수준의 해킹 방식으로 평가한다. 경찰 관계자는 “웹셸 사용 흔적이 발견된 것은 맞지만, 웹셸이 어떤 방식으로 작동됐고 해킹에 실제로 이용됐는지는 현재 확인 중”이라고 밝혔다.월패드는 현관 출입문, 난방 등을 제어하는 주택 관리용 단말기로, 최신 모델에는 집안 내부를 촬영하는 카메라도 설치돼 있다. 월패드 해킹 의혹은 지난달 15일 한 매체가 자신을 해커라고 주장하는 인물과 접촉해 그의 주장을 보도하면서 주목을 받았다. 보도에 따르면 이 해커는 국내 한 아파트 단지 월패드 카메라를 해킹해 유출한 영상을 홍콩의 한 사이트에 올렸으며, 이후 이 영상들이 여러 다크웹에서 유통되고 있다고 주장했다. 이 해커는 하루치 영상이 다크웹 상에서 0.1비트코인(약 800만원)에 거래되고 있다고 설명했다. 해커는 자신이 영상을 보유하고 있다는 아파트·오피스텔의 목록을 매체에 전했는데, 이를 토대로 온라인 커뮤니티에서는 ‘월패드 해킹 아파트 명단’이라며 확산됐다. 이러한 의혹이 확산하자 과학기술정보통신부와 KISA는 해킹으로 유출된 영상이 실제로 존재하거나 불법유통되고 있는지 지난달 22일 경찰에 수사 의뢰를 했고, 경찰이 입건 전 조사(내사) 차원에서 해킹 피해 의혹이 제기된 아파트 중 3곳을 현장 조사한 결과가 일부 공개된 것이다. 경찰은 해당 아파트 보안을 담당하는 보안관리업체 3곳을 상대로 사실관계를 확인 중이다. 이들 아파트와 도시형 생활주택은 1채당 매매 실거래가격이 40억원이 넘는 고급 주거시설인 것으로 전해졌다. 다만 경찰 관계자는 “실제로 해당 불법촬영물이 누군가에게 거래되거나 정보가 유출되는 등의 피해 신고는 없다”며 “구체적으로 어떤 피해가 있는지도 확인하고 있다”이라고 설명했다.

독거노인 등 소외된 이웃에게 사람의 손길만큼 좋은 게 없다. 사회복지사들이 이런 일을 맡지만 요구르트 배달원들도 있다. 이들은 요구르트를 건네면서 위기에 처한 노인을 발견해 119에 신고하고, 말벗도 돼 주는 사회복지사 역할도 한다. 요즘은 여기에 인공지능(AI)이 가세했다. 부산 해운대구에 사는 독거노인들은 지난달 29일부터 AI가 거는 안부전화를 일주일에 두 번씩 받는다. 50년간의 뉴스분량 데이터를 학습한 AI 상담원이 자식처럼 말을 건다. 불면증을 호소하면 커피를 줄이라고 말하는 식이다. 정부도 공공데이터를 활용해 복지 사각지대 해소에 나섰다. 2014년 이른바 ‘송파 세 모녀 사건’ 이후 건강보험공단, 한국전력 등 18개 기관은 체납, 단전, 단수 등 34개 정보를 모아 위기에 처한 가구를 파악해 맞춤형 대처를 하고 있다. 소싸움으로 유명한 청도도 빅데이터를 활용했다. 손님들의 소싸움장 이용 시간을 분석한 청도공영사업공사가 지난 8~10월 3개월 동안 첫 경기 시작 시간을 기존의 오전 11시에서 정오로 바꾼 것이다. 그랬더니 2019년 첫 경기 평균 매출액 1100만원보다 600여만원 많은 1700만원이 나와 내년에도 소싸움 시작 시간을 늦춘다고 한다. 빅데이터 기술이 가져온 긍정적 효과들이다. 잘만 활용하면 국민의 삶을 이롭게 하고, 부가가치도 창출한다. 그러나 잘못 사용하면 국민들이 피눈물만 흘릴 수 있다. 보이스피싱에다 성을 사는 남성들의 성적 취향과 전화번호 등을 데이터화한 앱이 나오는 등 부작용도 적지 않다. 오늘부터 금융권에서 고객 동의 아래 회원의 거래 정보를 통합관리해 신용, 자산관리 등 개별 회원에게 맞춤형 정보를 제공하는 이른바 ‘마이데이터‘ 사업이 시작된다. 내년 전면 시행에 앞선 시범실시로 은행, 카드사, 증권사 등 17개 마이데이터 사업자가 참여한다. 개인은 휴대폰 앱이나 홈페이지에서 자신의 정보를 통합관리할 수 있다. 이용 빈도가 높은 계좌 잔액과 거래내역 상환 정보는 물론 통신요금과 소액결제 이용 내역 등을 한눈에 관리할 수 있다. 내년부터는 국세, 지방세 납부 내역과 건강보험료 납부 정보도 제공된다. 데이터가 자산인 시대다. 마이데이터 사업이 일자리 창출과 금융혁신으로 이어지길 기대한다. 의료, 쇼핑 정보와 결합되면 새로운 부가가치 창출이 가능하다. 혈압, 당뇨 등 건강관리는 물론 좋아하는 의류 신상품을 저렴하게 구입할 수 있는 정보 안내 등 다양한 서비스가 나올 수 있다. 하지만 개인정보 통합 과정에서 해킹에 따른 사생활 노출 등 정보인권 침해는 막아야 한다. 정부가 사업자의 IT 보안 능력과 정보보호 능력을 엄격히 평가해야 한다.

해커, 개인정보 3100만건 유출 파문메일·암호화폐로만 거래… 추적 어려워몰카 우려에 카메라 렌즈 가리기 급급업체는 몇 년간 보안 관리 나몰라라“타인 일상 관음·매매에 엄벌” 지적도지난 26일 새 아파트로 이사한 고민수(35)씨는 짐을 풀기도 전에 거실에 설치된 ‘월패드’(주택 관리용 단말기) 카메라 렌즈에 스티커를 붙였다. 온라인 커뮤니티에서 공유되는 ‘월패드 해킹 아파트 명단’ 게시글을 본 후 ‘월패드 카메라로 집 내부가 찍히는 건 아닌가’ 하는 두려움 때문에 렌즈 구멍부터 막은 것이다. 고씨는 30일 “스티커로 일단 막긴 했는데 가족 일상이 고스란히 노출될 수 있다고 생각하니 너무 불안하다”고 말했다. 최근 일부 아파트 월패드가 해킹돼 집안 내부를 촬영한 영상이 외부로 유출된다는 소문이 돌면서 국민들 불안감도 한층 커지고 있다. 현관 출입문, 난방 등을 제어하는 기기인 월패드가 ‘몰래 카메라’가 될 수 있다는 충격과 더불어 공중화장실 등 공공장소의 불법촬영이 마지막 안전지대인 집 안까지 침범하면서 ‘렌즈 공포증’이 한층 심화되는 분위기다. 경찰청이 지난 23일 한국인터넷진흥원(KISA)으로부터 수사 의뢰를 받고 월패드 외부 침입 기록 등을 살펴보고 있지만 이미 온라인상에 영상이 유출되는 등 피해가 발생한 것으로 알려졌다. 월패드 해킹 리스트를 수시로 찾아보게 된다는 송연진(31·가명)씨는 “월패드에 굳이 내부 카메라가 있는 이유를 모르겠다”며 “다른 사람의 사생활을 본인 동의도 없이 사고파는 상품으로 취급하는 현실이 참담하다”고 말했다. 대학생 이승우(27)씨는 “월패드가 거실 한가운데에 있어 내부 렌즈로 해킹했다면 거실 전체가 다 보일 것 같다”면서 “집은 누구나 가장 편한 상태로 생활하는 공간인데 불특정 다수에게 노출되거나 유포된다고 생각하니 끔찍하다”고 했다. 이미 대다수 공중화장실 입구와 벽면에는 불법촬영을 예방하는 이른바 ‘안심스티커’가 붙여져 있을 정도로 우리 사회에는 불법촬영 범죄가 만연해 있다. 정의당 장혜영 의원실이 경찰청으로부터 받은 자료를 보면 최근 5년간 발생한 불법촬영 범죄는 2만 8369건에 달한다. 이날 전국 아파트 월패드 해킹 영상이 최초로 유출된 해커 커뮤니티 ‘R’에는 불법 해킹으로 취득한 3100만건의 한국인 개인정보를 거래한다는 글이 버젓이 올라와 있었다. 이 게시글에서 해커는 국내 35개 병원, B2C(기업·소비자 간 거래) 회사, 그 밖의 기업 웹사이트에서 취득한 정보이며 사용자가 웹사이트에 등록한 이름과 휴대전화 번호, 이메일, 주소 등의 정보가 리스트에 있다고 밝혔다. 이 해커는 경찰 추적이 어렵도록 강력한 보안이 설정된 프로톤메일 계정을 통해서만 문의를 받았고 거래는 계좌추적이 불가능한 비트코인이나 이더리움으로만 가능했다. 타인의 일상을 관음하거나 사고파는 이들에 대한 엄벌이 필요하다는 지적이 나온다. 윤김지영 창원대 철학과 교수는 “월패드 해킹 사건은 디지털 성폭력이 일어나는 구조와도 같다”면서 “사생활을 무분별하게 유포하는 관음증적 문화가 계속되는 건 불법촬영물이 돈이 된다는 믿음 때문”이라고 분석했다. 정두원 동국대 경찰행정학과 교수는 “2~3년 전 국내 IP(인터넷 프로토콜) 카메라 영상이 해외 사이트에 유출됐을 때부터 보안성 문제는 꾸준히 지적돼 왔다”면서 “월패드 업체가 물건 납품에서 끝내는 게 아니라 최소 몇 년 이상 보안 관리를 해야 하고, 아파트 관리자가 보안 교육을 받아야 한다”고 말했다.

‘상위 1%’의 재력가 전용 커뮤니티를 표방하는 데이팅 애플리케이션(앱)을 해킹해 회원들의 개인정보를 유포하겠다며 운영사 측에 금품을 요구한 20대 남성이 경찰에 잡혔다. 서울경찰청 사이버수사과는 데이팅앱 ‘골드스푼’을 해킹한 정보기술(IT) 개발자 A(26)씨를 지난 18일 체포해 정보통신망법 위반·공갈 혐의로 구속했다고 25일 밝혔다. A씨는 지난 9월 말 골드스푼 서버에 무단으로 침입해 회원 13만명의 재산·학력·직업 인증자료와 사진 등 개인정보를 빼낸 뒤 이를 유포하겠다고 협박해 골드스푼 운영사에 25억원 상당의 가상자산을 요구한 혐의를 받는다. 국내외 온라인 커뮤니티 등에 수차례에 걸쳐 총 21명의 회원정보를 유출한 혐의도 있다. 골드스푼은 가입 희망자에게 전문직 자격증이나 일정 수준 이상의 연봉 원천징수영수증, 부동산등기서류 등의 증빙 자료를 제출받는 등 까다로운 가입 인증 절차를 둔 것으로 알려졌다. A씨는 독학으로 IT 기술을 익힌 뒤 개발자로 일하며 해킹대회에서 상을 받을 정도의 상당한 실력자로 알려졌다. 그는 자신이 가입한 데이팅앱을 공격 대상으로 삼은 것으로 확인됐다.

‘1시간이면 50만원 버는 부업’이라는 광고로 20~30대 여성에 접근해 25억원을 가로챈 일당 7명이 검거됐다. 15일 부산경찰청은 “인터넷 맘카페 등에서 불법 수집한 연락처로 여성 589명과 남성 89명에게 암호화폐 투자를 유인해 25억원을 가로챈 혐의로 일당 7명을 입건했다”고 밝혔다. 특히 피해 여성 중 20~30대가 84%로 대부분이었다. 경찰에 따르면 이들은 지난해 2월부터 올해 5월까지 중국과 국내에 사무실을 차려두고 문자나 페이스북 등에 ‘1시간이면 50만원 버는 부업’ 등의 문구를 노출하며 유료 광고를 했다. 경찰은 주범인 총책 A씨(24) 등 3명을 구속하고, 공범인 자금세탁책 B씨(26), 대포폰 유심공급책 C씨(27) 등 2명, 사기 광고콘텐트 제작자 D씨(29) 등 총 4명은 입건했다. 피해자가 광고를 누르면 일당이 개설한 SNS 오픈 채팅방으로 자동 초대됐다. 일당은 고수익을 낸 것처럼 사이트 화면을 보여주면서 수익금 인출을 위해서는 일정한 증거금이 필요하다는 등을 이유로 수회에 걸쳐 추가 입금을 받은 후 연락을 끊는 수법을 사용했다.부산경찰청 관계자는 “일당은 인터넷 맘카페 70곳에서 여성들의 연락처를 불법 수집한 뒤 이들에게 투자사기 광고문자를 전송하는 등 범행 대상자를 물색했다”며 “SNS 매체를 신뢰하는 20~30대 여성들이 가짜 투자 전문가 프로필 광고에 속아 피해를 본 것으로 확인됐다”고 밝혔다. A씨 등은 지난해 12월부터 지난 5월까지 “코로나 정부지원금 대출을 해준다”는 광고 문자를 발송하고 이에 연락해 온 피해자 2명에게 “대출을 받으려면 신용 등급을 올려야 하고 그러려면 본인 인증 비용·증거금 등이 필요하다”고 속여 1400만원을 받아 가로챈 혐의도 받고 있다. 이들은 또 2019년 3월~6월 사이 인터넷 채팅앱에서 조건만남 광고를 한 뒤 연락온 피해자 7명에게 ‘성능 좋은 화상채팅 앱’이라며 자신들이 보낸 앱 프로그램을 내려받게 한 뒤 피해자 핸드폰을 해킹하고 “방금 영상통화한 전신영상 장면을 친지들에게 퍼뜨리겠다”고 협박, 3800만원을 뜯어낸 혐의도 받고 있다. 경찰 관계자는 “코로나 지원금 대출, 가상자산 및 증권 등에 투자를 유도하는 SNS 메신저나 휴대폰 광고 문자를 수신하면 반드시 사기 여부를 의심해야 하고 함부로 해당 주소 등을 클릭하면 안 된다”며 “또 온라인 커뮤니티 활동 시 각종 게시판에 연락처 등 개인정보를 남기지 않도록 유의해야 한다”고 당부했다.

개인정보보호법을 위반한 7개 사업자에 과태료가 부과됐다. 개인정보보호위원회는 10일 제18회 전체회의를 열고 지에스리테일(1120만원), 무신사(840만원), 위버스컴퍼니(700만원), 동아오츠카(700만원), 디엘이앤씨(420만원), 케이티알파(420만원), 한국신용데이터(360만원) 7개 사업자에 모두 4560만원의 과태료 부과와 시정명령 처분을 의결했다. 무신사는 개발자 실수로 ‘카카오 간편 로그인’ 기능 이용자 1명의 개인정보가 타인에게 조회됐다. 또 서비스 간 계정정보를 연동하는 과정에서 중복계정이 발생해 23명의 개인정보가 타인에게 조회됐다. 위버스컴퍼니는 서비스 트래픽 이상 현상을 긴급조치하는 과정에서 개발 오류로 타인의 계정으로 로그인돼 137건의 개인정보가 타인에게 공개된 것으로 확인됐다. 동아오츠카는 회원 상품 주문페이지 내 ‘기존 배송지 선택’ 기능을 새롭게 개발·적용하는 과정에서 비회원으로 구매한 10명의 개인정보가 공개됐다. 이밖에 제재 처분을 받은 사업자들 또한 처리 중인 개인정보가 열람 권한이 없는 이에게 공개되는 등 안전조치 의무를 위반한 것으로 확인됐다. 7개 사업자 모두 안전조치 의무 위반으로 과징금 부과 대상에는 해당하나 사소한 실수로 개인정보가 유출됐으며 피해 또한 미미해 과징금을 부과하지 않기로 했다고 개인정보위는 설명했다. 송상훈 개인정보위 조사조정국장은 “개인정보처리자는 해킹과 같은 외부 공격뿐 아니라 담당자 부주의, 작업 실수 등 내부요인으로도 개인정보 유출이 발생할 수 있다는 데 경각심을 가져야 한다”고 강조했다.

개인정보위 “사소한 실수 등 경미한 사안으로 과징금은 면제”개인정보 안전성 확보를 위한 조처를 소홀히 해 개인정보가 유출된 무신사 등 7개 사에 총 4560만원의 과태료가 부과됐다. 개인정보보호위원회는 10일 제18회 전체회의를 열고 개인정보보호 법규를 위반한 이들 7개 사업자에 대한 제재 처분을 심의·의결했다고 밝혔다. 기업별 과태료 부과액은 무신사(840만원), 위버스컴퍼니(700만원), 동아오츠카(700만원), 한국신용데이터(360만원), 디엘이앤씨(420만원), GS리테일(1120만원), 케이티알파(420만원) 등이다. 조사 결과 무신사는 개발자 실수로 ‘카카오 간편 로그인’ 기능 이용자 1명의 개인정보가 타인에게 조회됐다. 또 서비스 간 계정정보를 연동하는 과정에서 중복계정이 발생해 23명의 개인정보가 타인에게 조회됐다. 위버스컴퍼니는 서비스 트래픽 이상 현상을 긴급조치하는 과정에서 개발 오류로 타인의 계정으로 로그인이 되는 바람에 137건의 개인정보가 타인에게 공개된 것으로 확인됐다. 동아오츠카는 회원 상품 주문페이지 내 ‘기존 배송지 선택’ 기능을 새롭게 개발·적용하는 과정에서, 비회원으로 구매한 10명의 개인정보가 공개됐다. 이 밖에 제재 처분을 받은 사업자들 또한 처리 중인 개인정보가 열람 권한이 없는 이에게 공개되는 등 안전조치 의무를 위반한 것으로 확인됐다. 7개 사업자 모두 안전조치 의무 위반으로 과징금 부과 대상에는 해당하나 사소한 실수로 개인정보가 유출됐으며 피해 또한 미미해 과징금을 부과하지 않기로 했다고 개인정보위는 설명했다. 송상훈 개인정보위 조사조정국장은 “개인정보처리자는 해킹과 같은 외부 공격뿐 아니라 담당자 부주의, 작업 실수 등 내부요인으로도 개인정보 유출이 발생할 수 있다는 데 경각심을 가져야 한다”고 강조했다.

SK그룹 채용시험 지원자 가운데 1600여명의 개인정보가 외부로 노출되는 사고가 발생했다. SK는 해당 정보가 담긴 온라인 페이지의 외부 접근을 즉시 차단하는 한편 유출의 원인과 해당 정보의 외부 유통 등을 파악하기 위해 한국인터넷진흥원에 이를 신고했다. SK는 9일 오전 “그룹 채용 시험인 SKCT(SK종합역량검사)를 운영하는 외부 평가기관의 관리자 사이트 내 일부 페이지가 외부에 공개된 사실을 지난 4일 외부 신고를 통해 인지했다”면서 “조사 결과 1600여건의 개인정보가 노출된 것을 확인했다”고 밝혔다. 이 가운데 1300여명의 정보가 담긴 페이지는 최초 신고자가 이를 SK 측에 신고하기 위해 확인하면서 해당 정보 일부를 열람한 것으로 파악됐다. 그러나 또다른 300여명의 개인정보가 기록된 페이지에는 신고자가 아닌 제3자가 접근했던 것으로 드러났다. 노출된 개인정보는 지원자의 이름, 생년월일, 성별, 수험번호, 영역별 결과, 응시일시, 지원회사 등 총 7개 항목으로 지원자의 휴대전화번호와 이메일 주소는 포함되지 않았다. SK 측은 개인정보 노출 원인과 관련해 외부 해킹보다는 해당 사이트 관리자의 부주의에 무게를 두고 있다. SK는 이날 그룹 채용 포털에 사과문을 게재하고 개인정보가 유출된 지원자들에게는 문자 메시지와 이메일 등을 통해 별도 안내했다. 피해 의심 사항 등 문의에 대한 별도 상담창구도 운영하기로 했다. SK는 “지원자들의 소중한 개인정보가 노출된 데 대해 머리 숙여 사과드린다”며 “향후 개인정보 보호 전 과정에 대한 관리 체계를 대폭 강화하겠다”고 덧붙였다.

SK그룹 채용시험 지원자 가운데 1600여명의 개인정보가 외부로 노출되는 사고가 발생했다. SK는 해당 정보가 담긴 온라인 페이지의 외부 접근을 즉시 차단하는 한편 이번 사태의 원인과 해당 정보의 유통 여부 등을 파악하기 위해 한국인터넷진흥원에 이를 신고했다.SK는 9일 오전 “그룹 채용 시험인 SKCT(SK종합역량검사)를 운영하는 외부 평가기관의 관리자 사이트 내 일부 페이지가 외부에 노출된 사실을 지난 4일 외부 신고를 통해 인지했다”면서 “조사 결과 1600여건의 개인정보가 노출된 것을 확인했다”고 밝혔다. 이 가운데 1300여명의 정보가 담긴 페이지는 최초 신고자가 이를 SK 측에 신고하기 위해 확인하면서 해당 정보 일부를 열람한 것으로 파악됐다. 그러나 또다른 300여명의 개인정보가 기록된 페이지에는 신고자가 아닌 제3자가 접근했던 것으로 드러났다. 노출된 개인정보는 지원자의 이름, 생년월일, 성별, 수험번호, 영역별 결과, 응시일시, 지원회사 등 총 7개 항목으로 지원자의 휴대전화번호와 이메일 주소는 포함되지 않았다. SK 측은 개인정보 노출 원인과 관련해 외부 해킹보다는 해당 사이트 관리자의 부주의에 무게를 두고 있다. SK는 이날 오전 SK 채용 포털에 사과문을 게재하고 개인정보가 유출된 지원자들에게는 문자 메시지와 이메일 등을 통해 별도 안내했다. 피해 의심 사항 등 문의에 대한 별도 상담창구도 운영하기로 했다. SK는 “지원자들의 소중한 개인정보가 노출된 데 대해 머리 숙여 사과드린다”며 “향후 개인정보 보호 전 과정에 대한 관리 체계를 대폭 강화하겠다”고 덧붙였다.