‘상위 1%’만 가입하는 데이팅앱을 표방하며 고소득자와 고액자산가들을 상대로 까다로운 가입 인증 절차를 받는 데이팅 애플리케이션(앱)이 해킹돼 경찰이 수사에 착수했다. 15일 경찰 등에 따르면 데이팅앱 ‘골드스푼’은 지난 12일 회원들에게 보낸 공지에서 “수일 전 회사 내부 정보망에 사이버테러(랜섬웨어, 디도스, 해킹 등) 피해가 발생한 것으로 추정하고 있다”고 밝혔다. 앱 운영진은 “피해를 입은 정보 항목은 ID, 성함, 생년월일, 전화번호, 앱 내 제출자료 등”이라며 “사이버 공격에 대한 보안 시스템 대응과 보완은 완료된 상태”라고 덧붙였다. 2018년 4월 서비스를 시작한 골드스푼은 ‘의사·변호사 등 전문직 종사자, 연매출 50억원 이상의 사업가, 명문대를 졸업한 현직 장차관 자제 등이 모인 엘리트 사교 공간’을 표방해왔다. 수퍼카 등록증, 시세 20억원 이상 아파트 등기, 의사·변호사 등 전문직 면허증, 연봉 1억원 이상의 원천징수 영수증, 가족 자산 100억원 이상 증빙 등 구체적인 가입 조건을 내걸었고 이 가운데 최소 1가지 이상을 제출해야 가입이 가능하다. 이용자들이 증빙 서류를 낼 때마다 회사는 ‘전문직’ ‘고액자산’ ‘금수저집안’ 등 인증 배지(badge)를 추가로 부여했다. 이용자들은 자신의 프로필에 이런 배지를 더 많이 붙이기 위해 각종 개인 정보를 전송했다. 이 서비스는 상위층의 폐쇄형 커뮤니티로 운영되면서 회원들 간 즉석 만남, 파티 등도 빈번하게 이뤄진 것으로 알려졌다. 서울의 한 행사 대행업체 관계자는 “골드스푼은 구매력 있는 젊은 회원들의 정보를 갖고 있어 협력을 원하는 업체들이 많았다”며 “해커들이 빼낸 고급 정보가 다양한 경로로 거래될 가능성이 있다”고 우려했다. ‘골드스푼’ 회원 수는 13만 명에 이르는 것으로 알려졌다. 피해자들은 카카오톡 단체 채팅방, 네이버 카페 등을 개설해 집단소송 등 단체 행동을 준비하고 있다. 서울경찰청 관계자는 “9월 말에 신고가 들어왔다”며 “현재 사실관계를 파악하고 있는 단계”라고 전했다.

정부는 인공지능(AI) 챗봇을 통한 개인정보 유출이나 다크웹(특정 프로그램을 통해서만 접속할 수 있는 웹사이트)에서 개인정보 불법 거래 등을 방지할 기술을 2026년까지 개발하기로 했다. 개인정보보호위원회는 6일 개인정보 보호·활용에 필요한 11개 핵심기술 연구·개발을 골자로 하는 ‘개인정보 보호·활용 기술개발 로드맵’(2022∼2026년) 초안을 공개했다. 개인정보위는 개인정보 유·노출 최소화, 안전한 활용, 정보주체 권리보장의 3개 분야에 대해 모두 11개 핵심기술과 37개 세부 기술을 개발하기로 했다. 유·노출 최소화 부문에서는 ‘비정형 데이터 개인정보 탐지’ 기술을 개발한다. 이 기술은 텍스트, 영상, 음성처럼 형태가 일정하지 않은 데이터 안에 개인정보가 포함됐는지를 탐지할 수 있도록 할 계획이다. 앞서 국내 한 스타트업에서 개발한 인공지능 챗봇 ‘이루다’는 이용자의 동의 없이 수집한 개인정보가 유출돼 개인정보보호법 위반으로 업체에 1억원의 과징금·과태료 철퇴를 받은 바 있다. 다크웹에서 획득한 개인 계정을 통해 해킹 등 범죄를 저지르는 일을 방지할 ‘다크웹 개인정보 거래 추적 및 차단 기술’도 개발한다. 이 기술은 ID 등 개인정보 불법 거래 정황을 포착하거나 해당 게시물 삭제, 웹서버 차단 등을 할 수 있도록 할 예정이다. 정부는 로드맵 초안과 관련해 이날 오후 전문가들과 온라인 토론회를 열고 의견을 수렴했다. 최영진 개인정보위 부위원장은 “개인정보의 활용을 확대하면서도 안전하게 보호되도록 기술개발과 표준화가 무엇보다 중요하다”면서 “로드맵에 따라 개인정보 보호·활용을 위한 기술 연구개발(R＆D)이 성공적으로 추진될 수 있도록 하겠다”고 말했다.

“한국인 최신 개인정보, 단돈 200달러 판매!” 서울신문이 국내 개인정보 경매 실태를 확인하기 위해 다크웹에 접속한 결과 기초적인 컴퓨터 지식만으로도 쉽게 개인정보를 구매하는 절차에 참여할 수 있었다. 가상자산(암호화폐) 경매에 오른 정보에는 개인의 사생활에 접근할 수 있는 이름, 휴대전화 번호, 집주소 세트뿐 아니라 여권사본까지 포함돼 있었다. 다크웹의 개인정보 경매 거래는 다수의 해킹포럼에서 중개된다. 한 포럼에는 거래 전용 게시판까지 존재했다. 이 게시판에서는 지난 2일 국내 대학교부터 온라인 쇼핑몰까지 500여개 사이트에서 유출된 한국인 이메일과 비밀번호 정보가 200달러(한화 약 23만원)에 판매됐다. 아이디 마스터 데이터는 ‘650K’(65만건) 분량의 한국인 개인정보 중 5만개를 무료로 공개했다. 그 후 이 판매자는 텔레그램 계정을 통해 구매자와 전체 정보 판매를 위해 접촉한 것으로 나타났다. 한국인-한국인, 한국인-외국인, 외국인-한국인 등 판매·구매자 간의 모든 거래 수단은 비트코인, 이더리움, 라이트코인 등 대중적으로 거래가 많은 암호화폐들이다. 판매자가 원하는 금액을 미국 달러화로 올려놓으면 구매자가 비트코인이나 이더리움 등을 시세에 맞춰 전송하는 방식이다. 기자가 직접 텔레그램을 통해 해당 판매상과 접촉했더니 최근에는 당사자 간 직접 거래보다는 이른바 ‘MM’(Middle Man)으로 불리는 에스크로 거래 방식이 활용됐다. 해당 포럼 운영자가 거래를 중개하는 방식이다. 암호화폐를 중개자에게 보내 놓은 뒤, 구매자가 개인정보를 받은 게 확인되면 일정 수수료를 제하고 판매자에게 거래 대금이 최종적으로 송금된다. 김형중 고려대 정보보호대학원 특임교수는 “에스크로를 통해 익명 거래자 간의 신뢰를 확보하고 믹싱(암호화폐 지갑 이동경로를 인위적으로 섞는 프로그램)으로 수사기관의 추적을 피하는 수법”이라고 설명했다. 또 다른 포럼에서는 랜섬웨어(해당 컴퓨터를 오염시킨 후 돈을 요구하는 악성코드)를 사용해 돈을 갈취하는 글로벌 해커 조직들의 ‘범죄 성과’를 정리해 놓은 뒤 개인정보 탈취 청부도 받았다. 서현민 S2W 수석연구원은 “지난해까지는 해외 사이트의 개인정보 거래가 대부분이었지만 올해 들어서 국내 사이트를 해킹한 개인정보를 판매하는 게시글이 급격하게 늘어나고 있어 대책이 시급하다”고 우려했다.

올 다크웹 6560건 중 133건 국내 정보한국인 개인정보 거래 건 1년 새 28%↑“홈피 로그인 데이터 통째로 해킹 급증”지난 2월 다크웹(특정 프로그램으로만 접속 가능한 네트워크)에는 서울 대형교회 신도들의 개인정보를 경매한다는 게시글이 게재됐다. 등록 신도만 2만여명에 달하는 이 교회 관련 다크웹 경매에는 이름과 주소, 휴대전화 번호 정보가 상품으로 올랐다. 서울신문이 확인한 결과 해당 교회 측은 신도들의 개인정보가 해킹돼 경매된 사실조차 모르고 있었다. 22일 서울신문이 블록체인 보안업체 S2W와 함께 올 1~9월 다크웹 내 다수의 해킹포럼에 게재된 전 세계 개인정보 거래 게시글 6560건을 분석한 결과 이 중 133건이 국내 기업(61곳)과 쇼핑몰(13곳), 병원(7곳), 종교단체(6곳), 언론사(2곳) 등 대중적으로 접근이 잦은 곳이었다. 올해 다크웹의 한국인 개인정보 판매 게시 건은 지난해 같은 기간 대비 28.0% 급증한 것으로 나타났다. 곽경주 S2W 이사는 “개별 컴퓨터 해킹으로 무작위 수집된 개인정보가 아니라 다수가 이용하는 홈페이지 로그인 등의 데이터가 통째로 해킹된 게 특징으로 지난해까지 미미했던 한국인 정보 거래가 올 들어 크게 늘어났다”며 “판매자와 구매자가 한국인인지 외국인인지 식별되지 않아 자칫 전 세계 피싱 범죄의 표적이 될 수 있다”고 말했다. 특정 프로그램을 사용해야 접속이 가능한 다크웹은 일반 인터넷과 달리 이용자 추적이 쉽지 않다. 해킹된 개인정보가 경매로 거래되는 상황을 알지 못하는 경우도 많고 비트코인, 이더리움 등으로 거래된 후 2차 피해가 생길 우려도 있다.지난 6월에는 국내 대형 피부과의 환자 정보가 대량으로 유출돼 다크웹에 무료로 공개됐다. 전국에 체인점을 둔 이 피부과 환자들의 이름과 전화번호뿐 아니라 민감정보로 분류된 개별 상담내용도 포함됐다. 해당 피부과 홈페이지를 운영하는 업체는 “한국인터넷진흥원 통보로 개인정보 유출을 인지해 보안을 더 강화했다”고 말했지만 서울신문 확인 결과 해당 개인정보는 지금도 다크웹에 노출된 상태다. 같은 달에는 “월 주문량 2000건 정도의 중소형 쇼핑몰 내부 네트워크에 접근해 내부 데이터 전체를 볼 수 있는 권한을 290달러(약 30만원)부터 경매한다”는 국내 중소 쇼핑몰 관련 영어 판매글이 게시됐다. 게시글 작성자(아이디 Spa***)는 “850달러(약 90만원)만 주면 경매 없이 곧바로 해당 권한을 구입할 수 있다”며 구매를 부추겼다. 로그인 아이디와 패스워드, 개인이 거래한 목록까지 볼 수 있는 권한이 단돈 30만원에 팔린 셈이다. 최종상 경찰청 사이버수사과장은 “다크웹에서 암호화폐로 거래된 불법적인 개인정보 경매라도 추적이 가능하다”며 “다만 해외 각국을 타고 이뤄지는 범죄라 국제공조 등으로 인해 수사가 장기화될 수 있다”고 말했다.

방송통신위원회가 개인정보 유출 사고와 관련해 기술적 보호 조치가 부실하다며 KT에 부과한 과징금 7000만원이 취소됐다. 대법원 3부(주심 안철상 대법관)는 KT가 방송통신위를 상대로 낸 과징금 부과처분 취소 소송 상고심에서 원고 승소로 판결한 원심을 확정했다고 13일 밝혔다. 방통위는 2014년 6월 KT가 개인정보 유출 사고와 관련해 기술적·관리적 보호 조치를 제대로 하지 않았다며 7000만원의 과징금을 부과했다. 2013년 8월부터 6개월간 KT 홈페이지 해킹으로 가입자 개인정보 1170만여건이 유출되는 사고가 발생했는데, KT가 이에 관한 적절한 조치를 하지 않았다는 이유에서다. KT는 이에 불복해 소송을 냈다. 1·2심은 KT가 외부 보안전문가를 통해 모의해킹을 수시로 수행하는 등 현실적인 조처를 했다며 KT의 손을 들어줬다. 방통위 측은 상고했지만, 대법원은 이를 기각했다.

“[○○은행] 귀하는 재난지원금 대출신청 대상이니 확인 부탁합니다.” 사업체를 운영했던 김장훈(가명·52)씨는 지난 3월 한 은행으로부터 재난지원금 신청이 가능하다는 문자를 받았다. 코로나19 확산 탓에 자금난에 허덕였던 김씨는 전화를 걸어 대출 상담을 요청했다. 전화 상담원은 김씨에게 “제가 보내는 앱을 설치해야 대출신청이 가능하다”며 앱 설치용 인터넷주소(URL)를 보냈고, 김씨는 이 앱을 설치했다. 그러나 이는 대출신청용 앱이 아니라 휴대전화 원격조종 및 가로채기 앱이었다. 결국 김씨는 별다른 의심 없이 사기범의 지시사항을 이행한 끝에 1000만원의 사기 피해를 입었다. 추석 연휴를 앞두고 택배 확인이나 국민지원금 등을 사칭한 스미싱(문자 메시지 해킹 사기)이 늘어날 것으로 예상돼 이용자들의 주의가 요구된다. 과학기술정보통신부와 금융위원회, 경찰청, 한국인터넷진흥원(KISA), 금융감독원은 스미싱 신고 현황 중 10건 중 9건이 택배 사칭인 만큼 추석 명절기간 배송확인 문자에 유의해야 한다고 12일 당부했다. 실제로 올해 8월까지 스미싱 신고는 총 18만 4002건으로 이 가운데 택배 사칭이 17만 1391건(93.1%)에 이른다. 스미싱 사기 피해를 예방하려면 택배 조회나 명절 인사, 모바일 상품권 등의 문자 속에 출처가 확인되지 않은 인터넷주소(URL)나 전화번호를 클릭하지 말아야 한다. 또 재난지원금이나 백신 예약 조회 등의 명목으로 신분증 및 개인정보를 요구할 때 절대 알려줘서는 안 된다. 경찰청 관계자는 “피해가 우려되면 118 상담센터에서 24시간 무료로 상담받을 수 있다”고 말했다.

지난 7월 교육부의 ‘건강상태 자가진단 앱’을 해킹해 알림 문자를 대량 발송시킨 범인은 고등학생인 것으로 드러났다. 교육부 의뢰로 이 사건을 수사 중인 대구경찰청은 정보통신망법 위반 혐의로 고교생 A(16)군을 입건했다고 9일 밝혔다. A군은 지난 7월 14일 새벽 코로나19 의심 증상을 체크하는 교육부 자가진단 앱을 해킹 공격해 ‘자가진단 보안이 너무 허술합니다’, ‘자가진단’ 드가자‘, ’여러분 자가진단 하세요!! 확진자 늘고있는거 보이잖아요?‘ 등의 알림 문자가 다수 발송되도록 한 혐의를 받고 있다. 경찰은 해당 앱 관리기관 등을 수사해 A군의 범행을 확인했다. 경찰은 “범행 경위 등 자세한 내용은 밝힐 수 없다”며 “이 사건으로 개인정보 유출 피해는 없었다”고 말했다. 해킹 당시 교육부는 당시 여러 개 IP(인터넷 주소)에서 자가진단 앱에 대한 외부 공격을 확인하고 해당 IP를 모두 차단했다.

코로나19 감염에 따른 발열 증상을 체크하기 위해 공공기관과 식당 등 곳곳에 설치된 얼굴 촬영 열화상 카메라를 인터넷과 연결하면 개인정보가 유출될 우려가 있는 것으로 나타났다. 더욱이 일부 기관은 열화상 카메라를 발열 체크 기능 외에 출퇴근 관리용으로도 활용하고 있어 해킹 등에 대한 보안대책이 필요하다는 지적도 나온다. 23일 과학기술정보통신부와 개인정보보호위원회에 따르면 최근 네트워크 연결 기능이 있는 주요 열화상 카메라 3종을 대상으로 얼굴, 음성 정보 등의 개인정보가 외부로 유출될 수 있는지 여부 등 보안 취약점을 긴급 약식 점검한 결과 이 같은 문제가 확인됐다.

의료계 “진료 위축 등 득보다 실 더 커”‘절대 약자’ 환자들 CCTV로 권리 보호與 “폐쇄회로 방식 녹화… 해킹 예방”“이 제도는 (의사가) 의료 환경에서 환자의 생사를 다투는 위태로운 상황을 기피하는 경향을 보다 확산시킬 것이 자명하다.”(대한의사협회) “무자격자 대리수술, 유령수술, 성범죄 등 비윤리적 범죄와 의료사고 은폐를 막을 수 있는 제도다.”(한국환자단체연합회) 의사단체와 환자단체는 7년여간 수술실 폐쇄회로(CC)TV 설치 의무화 법안을 놓고 극명한 입장 차를 보여 왔다. 수술실 CCTV 설치 의무화 관련 의료법 개정안(수술실 CCTV법안)이 23일 국회 보건복지부위원회를 통과했지만 앞으로 법제사법위원회, 본회의 등 남은 입법 절차를 거치는 동안 극심한 진통이 예상된다. 수술실 CCTV법안은 2015년 1월 당시 민주당 최동익 의원이 대표발의했으나 의사협회의 반대로 19대 국회에서 소관 상임위원회에 상정조차 되지 못한 채 임기 만료로 폐기됐다. 2019년 5월 더불어민주당 안규백 의원이 대표발의한 법안 또한 임기 만료로 폐기됐고, 같은 해 의료계·병원계·환자단체·소비자단체·노동단체·전문가·보건복지부가 참여한 ‘환자안전의료정책협의체’ 또한 의사협회가 중도 하차하면서 더는 논의가 진전되지 않았다. 수차례 발의와 폐기를 반복할 만큼 양측의 입장이 첨예하게 엇갈렸다. 수술실 CCTV 설치 논란의 시작은 2014년 여고생 대리 성형수술 사망사건이었다. 이 일로 대리수술의 실체가 드러났다. 2016년에는 서울 강남의 한 성형외과에서 대리수술로 권대희씨가 목숨을 잃었고, 권씨의 어머니가 어렵게 확보한 수술실 CCTV를 통해 묻힐 뻔한 의료사고가 밝혀졌다. 2018년 척추·관절 전문병원에서도 대리수술로 환자가 사망했고, 올해도 인천의 병원에서 행정직원이 척추 수술을 한 사건이 발생했다. 환자단체들은 더는 의료계의 자정 능력에 기댈 수 없다며 수술실 CCTV 설치를 요구해 왔다. 의사에 비해 절대적 약자일 수밖에 없는 환자의 권리를 보호하려면 CCTV 설치가 절실하다는 것이다. 반면 의료계는 CCTV로 인한 의료진의 집중력 저하, 진료 위축, 소극적 진료 초래 등을 들어 득보다는 실이 더 큰 제도라고 비판하고 있다. 일부의 비도덕적·비윤리적 일탈행위로 촉발된 문제는 대리수술 처벌 강화, 대리수술 방지 동의서 의무화, 수술실 출입 시 생체인식 등을 통해 해결할 문제이지 CCTV가 만병통치약이 될 순 없다는 것이다. 게다가 수술실에선 환자의 실체가 노출되는데, 민감한 부위가 노출되지 않더라도 수술실에서 다뤄지는 모든 상황이 환자의 민감한 개인정보이기 때문에 보안 우려도 지적해 왔다. 법안을 제출한 민주당 신현영 의원은 “해킹의 위험으로부터 환자를 보호하기 위해 네트워크 방식이 아닌 폐쇄회로 방식으로 녹화본이 저장된다”며 “환자의 민감한 개인정보가 CCTV를 통해 담기게 되는 만큼, 보안 문제 및 정보 기록 범위와 기간에 대해서도 세부 조항을 두게 된다”고 설명했다.

더불어민주당 유력 대권주자인 이재명 경기지사를 비방하는 악성 댓글을 국내 포털사이트에 단 아이디 6개를 확인하고 사용자 추적에 나섰다. 경기남부경찰청은 이재명 지사를 향해 조직적으로 악성 댓글을 다는 세력이 있다는 고발장을 접수하고 수사하고 있다고 18일 밝혔다. 이 지사 지지자인 A씨는 지난해 9월 “이 지사를 깎아내리고 이낙연 의원은 칭송하는 악성 댓글 50여 개가 국내 한 포털사이트에 있는데 조직적으로 매크로(자동반복) 프로그램을 쓴 것으로 의심된다”며 “매크로를 썼다면 해당 포털사이트의 업무를 방해한 것이므로 업무방해 혐의로 처벌해달라”는 내용의 고발장을 경찰에 제출했다. 경찰은 곧바로 수사에 착수했지만, 문제의 악성 댓글을 작성한 아이디를 추적하는 데 어려움을 겪었다. 댓글 중 작성 시점이 가장 최근인 것이 고발장 접수 당시 기준으로 두 달 전인 지난해 7월에 달린 댓글로 수사 착수 시점에는 많은 댓글이 지워진 상태였기 때문이다. 하지만 경찰은 추적 끝에 최근 이들 댓글을 작성한 아이디를 특정했다. 6개의 아이디로 포털사이트 가입 당시 기재하게 된 개인정보 항목에는 이름은 한국인 이름이지만 휴대전화 번호는 중국에서 사용하는 번호가 기재된 사실을 확인했다. 한국인 이름과 중국 휴대전화 번호는 6개로 모두 달랐다. 이들 아이디에 대해 경찰이 IP주소를 추적한 결과,확인된 8곳은 대부분 국내이지만 일부는 확인 불가로 나타난 것으로 알려졌다. 확인된 국내 장소의 거주자들을 조사한 결과,악성 댓글과는 무관한 것으로 파악돼 경찰은 해킹 가능성도 열어두고 수사하고 있다. 또 아이디 개인정보 항목에 있는 중국 휴대전화번호를 추적하기 위해 공안에 해당 휴대전화번호 사용자에 대한 확인을 요청하는 등 중국 측과 공조 수사하고 있다. 경찰 관계자는 “매크로 사용 여부를 포함해 악성 댓글이 조직적으로 작성됐는지는 아이디 사용자를 특정한 뒤 확인할 수 있어서 일단 아이디 사용자 추적에 수사를 집중하고 있다”고 말했다.

아이디 해킹해 원서 접수 취소피해자 작년 임용시험 치르지 못해음란 사진에 피해자 얼굴 합성도1심 이어 항소심도 집행유예 선고 중학교 동창의 아이디를 해킹해 임용시험 원서 접수를 취소하고 음란 사진에 동창의 얼굴을 합성한 20대가 항소심에서도 집행유예를 선고받았다. 전주지법 제1형사부(부장 강동원)는 11일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의 등으로 재판에 넘겨진 A(25)씨에 대한 항소심에서 검사와 피고인의 항소를 기각하고 징역 1년 6개월에 집행유예 3년을 선고한 원심을 유지했다. A씨는 지난해 10월 26일 중등교사 임용시험 채용시스템에 접속해 피해자 B씨의 아이디를 해킹, 원서 접수를 취소한 혐의 등으로 재판에 넘겨졌다. 이로 인해 B씨는 지난해 중등교사 임용시험을 치르지 못했다. 당시 임용시험을 앞둔 B씨는 수험표를 출력하려고 해당 사이트에 접속했다가 시험이 취소된 사실을 뒤늦게 알아차린 것으로 전해졌다. A씨는 앞서 2018년 11월부터 22차례 B씨의 개인정보를 도용해 이 사이트에 접속했던 것으로 나타났다. 또 B씨 얼굴에 음란 사진을 합성한 음란물을 제작하고 이를 지난해 1월부터 10월까지 7차례 메시지로 전송한 사실도 드러났다. A씨는 수사기관과 법정에서 “B씨를 어린 시절부터 좋아해서 그랬다”고 진술했다. 앞서 1심 재판부는 “피해자는 이 사건으로 상실감과 공포 등 극심한 정신적 고통을 경험했을 것으로 보인다”며 “피고인의 범죄는 결코 좋아하는 이를 향한 애정의 결과라고 할 수 없다”고 지적했다. 항소심 재판부는 “1심에서 피고인이 사과와 재발 방지 약속을 해 피해자가 처벌을 원하지 않는 점 등을 고려하면 원심을 파기해 실형을 선고할 정도는 아니라고 본다”며 “1심 판단을 존중해 형량을 유지하기로 했다”고 밝혔다.

테러범·중범죄자 추적한다며 10년 전 개발 전 세계 언론인·인권운동가 휴대전화 해킹각국 정보기관·군 등 자국민 감시에 악용멕시코선 1만 5000개… 주변인도 도·감청NSO “중요한 자료 잘못 해석” 즉각 반박당신이 오늘 누구와 통화했는지, 사람들과 어떤 메시지를 주고받았는지, 당신의 캘린더엔 어떤 일정이 있는지. 현대인의 거의 모든 일상을 함께하는 휴대전화, 제2의 인격과도 같은 이 휴대전화를 누군가 속속 들여다보고 있다면 어떨까. 상상만으로도 두려운 이 일이 실제로 각국 정부나 정보기관 등에 의해 전 세계에서 광범위하게 이뤄지고 있는 것으로 나타났다. 이스라엘의 민간 보안기업 NSO그룹이 개발한 해킹 소프트웨어 ‘페가수스’를 통해서다. 18일(현지시간) 미국 워싱턴포스트(WP), 영국 가디언, 프랑스 르몽드 등 전 세계 언론기관 16곳은 공동 탐사취재를 통해 이런 내용을 보도했다. 국제사면위원회와 프랑스 비영리 언론단체 포비든 스토리스가 페가수스와 관련된 5만개 이상의 전화번호 목록을 입수했는데, 이를 살펴본 결과 페가수스가 전 세계 언론인과 인권 운동가, 기업인, 변호사 등의 휴대전화 해킹에 사용됐다는 것이다. 페가수스는 스파이웨어(스파이+소프트웨어)의 일종으로, 휴대전화 이용자가 함정 링크를 클릭하면 개인정보가 유출되는 방식이다. 휴대전화를 감염시킨 뒤 도구 운영자가 메시지와 사진, 이메일을 추출하고, 통화 내용을 녹음하며, 몰래 마이크를 작동시키는 것으로 알려졌다. 전직 사이버스파이가 약 10년 전 개발해 40개국 60개 기관에서 사용하는 이 프로그램은 줄곧 인권침해 소지가 있다는 이유로 비판받았다. 테러범과 중범죄자 추적이라는 원래 목적과 달리 각국 정보·법 집행기관, 군 등이 페가수스의 ‘주 고객’으로 자국민을 감시하는 데 쓰인다는 것이다. 이 자료를 누가, 왜 입력했는지는 나오지 않는다. 얼마나 많은 번호가 감시 대상이었는지도 확인되지 않았다. 하지만 이번에 공동취재팀은 50개국 이상에서 1000명 이상의 신원을 확인했는데, 2016년까지 거슬러 올라가는 이 자료엔 최소 65명의 기업 임원, 85명의 인권운동가, 189명의 언론인, 600명이 넘는 정치인과 정부 공직자가 포함됐다. 취재팀이 휴대전화 67대를 정밀 조사한 결과 23대가 해킹에 감염됐고, 14대는 침투 시도 흔적이 있었다. NSO는 “고객에게 제공한 스파이웨어 운영에 관여하지 않는다”면서 “중요한 자료를 잘못 해석했고, 가정에 결함이 있다”며 즉각 반박했다. 하지만 감청 대상 중에 언론인이 180명 넘게 있던 정황이 드러나며 ‘범죄, 테러 행위에 한해 페가수스를 이용할 수 있게 돼 있다’는 NSO의 해명은 설득력을 잃고 있다. 페가수스는 언론의 비판을 참지 못하는 권위주의 정권이 무차별 ‘애용’하고 있었던 것으로 드러났다. 목록에 오른 5만개 전화번호 중 1만 5000개가 멕시코의 반체제 인사의 것이었다. 특히 엔리케 페냐 니에토 전 멕시코 대통령의 부패 혐의를 폭로한 이 나라 유명 앵커 카르멘 아리스테기의 번호와 함께 동료 4명, 비서, 여동생, 당시 16세였던 아들의 전화번호까지 목록에 포함돼 있었다. 또한 취재팀은 사우디아라비아 반체제 언론인으로 활동하다 터키에서 무참히 살해된 자말 카슈끄지와 관련된 여성 2명이 해킹 공격을 받았다는 사실을 파악했다. 그의 약혼녀인 하티제 젠기스의 휴대전화는 카슈끄지가 암살된 2018년 10월 2일 이후 감염됐고, 당시 조사에 관여한 터키 관리 2명의 전화번호도 목록에 포함됐다. 카슈끄지의 아내인 하난 엘라트르의 휴대전화도 암살 몇 달 전 해킹의 표적이 됐지만, 실제 감염됐는지는 결론 내지 못했다. 가디언은 2018년에 영국 파이낸셜타임스(FT)의 첫 여성 편집장인 룰라 칼라프, 인도에서 나렌드라 모디 총리를 비판하는 온라인 매체 와이어의 창립자 등의 스마트폰이 도·감청 대상이 되었다며 “정부가 비평가, 경쟁자, 반대자를 무차별 감시할 수 있었다”고 했다. FT 이외에도 월스트리트저널(WSJ), CNN, 뉴욕타임스(NYT), 알자지라, 프랑스24, AP통신, 르몽드, 블룸버그, 이코노미스트, 로이터 등 유력매체도 감시 대상이었다. 2003년부터 장기 집권 중인 일함 알리예프 아제르바이잔 대통령의 부패 혐의를 탐사보도한 뒤 2014년에 탈세 및 자살선동 등의 혐의로 기소돼 수감된 언론인 카디자 이스마일로바도 2019년 도·감청을 당한 것으로 확인됐다. 이스마일로바는 이미 2012년에 자신의 집 침실에서 이뤄진 남자친구와의 성관계 장면을 도촬당해 영상 유포 협박을 받은 바 있다.

휴대전화 해킹을 빌미로 배우 하정우와 주진모 등을 협박해 돈을 뜯어낸 협박범 일가족이 중국 보이스피싱 조직의 범죄자금 세탁에 가담한 추가 혐의가 드러나 1심에서 실형을 선고받았다.16일 법조계에 따르면 서울중앙지법 형사15단독 주진암 부장판사는 공갈·사기 혐의로 기소된 김모(32·여)씨에게 징역 3년을 선고했다. 함께 재판에 넘겨진 김씨의 언니(35)는 징역 1년 6개월을, 언니의 남편인 문모(41)씨는 징역 2년 6개월을 각각 선고받았다. 김씨 등은 2018년 7∼9월 중국 보이스피싱 조직으로부터 이체 받은 돈을 국내 거래소에서 가상화폐로 바꾼 뒤 중국 거래소를 거쳐 조직이 관리하는 중국 계좌에 입금한 혐의를 받고 있다. 이들이 세탁한 돈은 주로 보이스피싱 조직이 국내 피해자들에게 ‘몸캠피싱’으로 뜯어낸 돈으로 조사됐다. 몸캠피싱은 스마트폰이나 인터넷 화상대화 등을 통해 상대방의 신체 노출을 유도한 뒤 이를 몰래 촬영한 영상으로 협박해 돈을 요구하는 범행을 의미한다. 김씨 등이 자금 세탁에 관여한 사건 피해자는 28명으로, 피해 금액은 4억 4000여만원에 달하는 것으로 드러났다. 이들은 재판에서 “계좌 이체를 제외한 나머지 범죄에 가담하진 않았다”며 혐의를 부인했으나 재판부는 동생 김씨가 자금의 출처를 알고 있었던 점 등을 이유로 유죄로 판단했다. 재판부는 “단순 인출책이나 수거책 정도가 아니라 자금세탁을 통해 범죄수익을 외국으로 유출하는 데 적극적으로 가담했다”고 질타하면서 “피고인들이 일부 범행을 부인하고 있고, 피해 회복을 위한 실질적 조치가 거의 되지 않았다”고 양형 이유를 설명했다. 앞서 동생 김씨는 남편 박모(41)씨와 공모해 배우 하정우와 주진모를 비롯한 연예인들의 휴대전화를 해킹한 뒤 개인정보를 유출하겠다고 협박해 돈을 뜯어낸 혐의로 기소돼 지난 2월 징역 5년이 확정됐다. 하정우는 현금 15억원을 요구하는 이들의 협박에도 “하루종일 오돌오돌 떨면서 오돌뼈처럼 살고 있다” 등 기지를 발휘해 협상을 시도하며 시간을 끌면서 경찰의 수사를 도와 이들의 검거에 힘을 보태기도 했다.

14일 발생한 학생 코로나19 건강자가진단 어플리케이션(앱) 오류(서울신문 7월 15일자 3면)는 일부 학교의 앱 푸시알림 권한을 특정인이 무단으로 이용한 것이 원인으로 파악됐다. 피해 학교는 전국적으로 10여개이며, 학생의 개인정보 유출은 없었다고 교육부는 밝혔다. 교육부 관계자는 15일 서울신문과의 통화에서 “각 학교가 가지고 있는 푸쉬알림 권한에 누군가 비정상적으로 접근해 무작위로 알람을 보낸 것으로 파악됐다”면서 “접근한 이용자의 인터넷 주소(IP) 등을 파악해 차단 조치했다”고 밝혔다. 다만 해킹으로 보기는 어렵다는 게 교육부의 설명이다. 이 관계자는 “서버에 기술적으로 침투해 개인정보를 빼내는 식의 해킹은 아닌 것으로 보고 있다”면서 “학생 등의 개인정보 유출은 없었다”고 덧붙였다. 교육부는 이번 사건으로 피해를 입은 학교가 전국적으로 10여개교 가량인 것으로 파악하고 있다. 다만 한 이용자가 10여개 학교의 푸시알림 권한에 접근한 것인지 등 자세한 상황에 대해서는 추가 조사가 필요하다고 이 관계자는 설명했다. 교육부는 국가사이버안전센터 등과 조사에 착수했다. 이 관계자는 “필요한 경우 경찰에 수사의뢰를 하는 방안도 검토할 것”이라면서 “학생 자가진단 앱의 보안 등에서 개선점을 찾아 보완하겠다”고 말했다. 앞서 지난 14일 새벽에 일부 학생과 학부모, 교사의 학생 건강 자가진단 앱이 수차례 알람을 보내는 사태가 발생했다. 이날 서울과 부산, 대전, 충남 등 여러 지역의 인터넷 카페에서 “새벽에 자가진단 앱이 수차례 울렸다는 글이 쏟아졌다. 알람의 발송자로 학교 이름이 아닌 “자가진단 드가자~”, “자가진단 보안이 너무 허술합니다” 등 장난스러운 문구가 표시돼 앱이 해킹을 당했다는 추측이 나왔다. 네티즌들 사이에서는 이들 장난스러운 문구 중 일부가 특정 인터넷 방송인(BJ)의 말투를 따라한 것이라는 주장도 나왔다.

학생과 학부모, 교사들이 매일 아침 체크하는 교육부의 학생 건강 자가진단 애플리케이션(앱)에 해킹으로 추정되는 오류가 발생했다. 14일 교육부에 따르면 이날 학생 건강 자가진단 앱이 새벽에 수차례 알람이 울리는 오류가 전국적으로 발생했다. 인터넷 맘카페에서는 “아침에 일어나니 알람이 16개나 와 있다”, “새벽에 알람이 5번이나 울려 잠을 깼다”는 등의 글이 쏟아졌다. 앱이 알람을 전송할 때는 발신자로 학교와 반 이름을 명시하지만, 이날 새벽에 쏟아진 알람에는 발송자로 “자가진단 드가자~”등 문구가 적혀 있었다. “자가진단 보안이 너무 허술합니다”라는 문구도 담겨 있어 앱이 해킹을 당한 게 아니냐는 추측이 힘을 얻고 있다. 자가진단 시스템에는 학생과 교사의 건강 상태 등 민감한 개인정보가 포함돼 있어 개인정보 유출 우려도 제기된다.교육부 관계자는 “국가사이버안전센터 등 관련 기관에 협조를 구해 상황을 파악 중”이라고 밝혔다.

학생과 학부모, 교사들이 매일 아침 체크하는 학생 건강 자가진단 어플리케이션(앱)이 새벽에 일제히 알람이 울리는 오류가 발생했다. “자가진단 보안이 너무 허술하다”는 등의 장난스런 문구가 앱에 담겨 해킹을 당한 게 아니냐는 추정이 나온다. 교육부는 오류 원인을 파악하고 있다. 14일 교육부 등에 따르면 이날 학생 건강 자가진단 앱이 새벽에 수차례 알람이 울리는 오류가 발생했다. 자가진단 앱은 이용자가 설정한 시간에 알람이 울리며, 오전 8시를 전후해 학부모들에게 참여를 독려하는 알람을 보내기도 한다. 학부모인 기자의 앱 역시 새벽 1시 3분과 3시 54분 두 차례 알람이 울렸다. 인터넷 맘카페에서는 “아침 8시에 알람 설정을 해놨는데 아침에 일어나니 알람이 16개나 와 있다”, “평소에도 3번 오는데 오늘은 새벽 1시부터 5시 사이 7번이나 왔다”는 등의 글이 쏟아졌다. 이날 오류는 전국적으로 발생한 것으로 추정된다. 서울과 부산, 대구, 대전, 충남 등 여러 지역의 인터넷 카페에서 “자가진단 앱이 새벽에 울렸다”는 글이 쏟아졌다. 알람 소리 탓에 잠을 설쳤다는 글도 적지 않았다. “새벽에 알람이 5번이나 울려 알람 소리에 잠을 깼다”, “새벽에 알람 소리에 깨서 5시에 자가진단을 했다”는 글도 있었다. 자가진단 알람에 장난스러운 문구가 포함돼 있어 앱이 해킹당한게 아니냐는 추측이 힘을 얻고 있다. 알람이 울릴 때는 안내 문구로 학교와 반 이름이 나오지만, 이날 새벽에 일제히 알람이 울릴 때는 학교 이름 대신 “자가진단 드가자~~”, “얘! 자가진단 하렴”, “자가진단 보안이 너무 허술합니다” 등의 문구가 나왔다. 자가진단 시스템에는 학생과 교사의 건강 상태를 포함한 민감한 개인정보가 포함돼 있어 개인정보 유출 우려도 제기된다. 교육부는 해킹의 가능성을 배제하지 않고 조사에 착수했다. 교육부 관계자는 “국가사이버안전센터 등 관련 기관에 협조를 구해 상황을 파악 중”이라면서 “조사 결과가 나오기까지는 상당한 시간이 걸릴 것”이라고 밝혔다.

짝사랑 한다는 이유로 중학교 동창의 ID를 해킹해 임용고시 시험을 취소시키고, 얼굴 사진을 합성해 음란물까지 제작한 20대 스토커에 대해 검찰이 항소심에서 징역 5년을 구형했다. 7일 전주지법 제1형사부(부장 강동원) 심리로 열린 항소심 결심공판에서 검찰은 성폭력 범죄의 처벌에 관한 법률 위반(통신매체이용음란) 등 혐의로 기소된 A씨(25)에게 징역 5년을 구형했다. 앞서 1심 재판부는 A씨에게 징역 1년6개월에 집행유예 3년을 선고하고, 40시간의 성폭력치료강의 수강과 보호관찰을 명령했다. 검찰과 피고인은 양형부당의 이유로 항소했다. 항소심 선고재판은 8월 11일에 열린다. A씨는 선처를 호소했다. A씨의 변호인은 “피고인은 이 사건으로 자신의 삶을 뒤돌아 보게 됐다”며 “범행에 대해 깊이 반성하고 있으며, (1심 선고 후) 출소하자마자 컴퓨터를 처분하고 장기기증서약도 마쳤다. 선처를 부탁드린다”라고 말했다. A씨는 지난해 10월 중등교사 교직원 온라인 채용시스템을 해킹, 동창 B씨의 원서 접수를 취소한 혐의로 기소됐다. B씨는 시험을 앞두고 수험표를 출력하려다 시험 접수가 취소된 사실을 알아차렸다. A씨는 2018년 1월부터 B씨의 개인정보를 도용하고, B씨의 수험표를 출력하기도 한 것으로 파악됐다. 또 A씨는 SNS에서 빼낸 B씨 사진을 음란물과 합성한 뒤 7차례 전송한 것으로 조사됐다. 경찰은 IP 추적을 통해 A씨를 검거했고, A씨는 범행동기를 묻자 “B씨를 어린 시절부터 좋아해서 그랬다”고 진술했다. 　 1심 재판부는 “피해자가 이 사건으로 입은 정신적 손해가 심하고 피고인의 범행이 밝혀질 때까지 심각한 상실감과 공포를 겪었을 것으로 보인다”면서 “이는 결코 좋아하는 감정을 가진 대상을 향한 애정의 결과라고 할 수 없으며, 범죄의 죄질이 무겁고 범행의 결과가 매우 중하다”고 지적했다. 그러면서 “피고인이 깊이 반성하고 피해자의 장래에 큰 지장을 초래한 것에 대해 뉘우치고 있다”면서 “피고인이 피해자의 손해에 대한 배상금을 지급했고, 피해자도 법원에 피고인의 선처를 요청하는 점, 범죄 전력이 없는 점 등을 종합해 형을 정했다”고 판시했다.

5일로 예고됐던 싸이월드가 로그인 및 사진·동영상 개수 확인 기능 재개 시점이 한 달 뒤인 8월로 미뤄졌다. 싸이월드 운영사인 싸이월드제트는 이날 “금일 오후 6시로 예정된 ‘자동 로그인 서비스’를 4주 연기한다”며 “8월 2일 저녁 6시 오픈할 예정”이라고 밝혔다. 당초 싸이월드제트는 이날 저녁 싸이월드 홈페이지 로그인 기능을 살려서 이용자들이 과거 올린 사진과 동영상을 비롯해 배경음악·도토리 수량 등을 확인할 수 있도록 할 방침이었다. 그러나 해외 해킹 공격에 대비하기 위해 시간이 더 필요하다는 입장을 내놨다. 싸이월드 측은 ‘자동 아이디 찾기’와 ‘로그인 서비스’를 겨냥한 해외발 해킹 공격이 지난 4일 30여건, 5일 오전 80여건 등이 포착됐다고 밝혔다. 그러면서 “해킹 공격은 모두 막았으나 이대로 로그인 서비스를 오픈했다가 단 하나의 개인정보라도 유출된다면 돌이킬 수 없는 일이기에 오픈을 미루고 기존 보안시스템을 최상위단계로 올린 다음 서비스를 재개하기로 했다”고 설명했다. 앞서 싸이월드는 서비스 개시를 발표한 지난 5월에도 7월로 한 차례 미룬 바 있다.

코로나19로 비대면 업무와 재택근무가 증가함에 따라 개인정보 유출, 랜섬웨어, 해킹 등의 사이버 공격이 크게 늘어나면서 보안관련 리스크도 높아졌다. 이에 다양한 산업분야에서 보안이 강화된 클라우드 솔루션 가상데이터룸(VDR)의 도입을 서두르고 있다. 가상데이터룸은 클라우드 기반으로 강화된 보안환경을 제공하는 기술 솔루션이다. 시공간의 제약 없이 인터넷에 연결된 장치에서 안전하게 데이터를 검토할 수 있다는 것이 가장 큰 장점이다. 글로벌 리서치 컨설팅 기업 ‘그랜드 뷰 리서치’는 글로벌 가상데이터룸 시장 규모가 2020년부터 2027년까지 14.7%의 연평균복합성장률(CAGR)을 기록하며 41억 달러 규모로 성장할 것이라는 전망을 보였다. 그랜드 뷰 리서치는 이번 결과를 발표하며 “클라우드 기반 가상데이터룸 솔루션은 접근성 및 인프라 비용과 관련된 이점을 바탕으로 앞으로 괄목할 만한 성장을 보일 것으로 예상된다”며 “여러 투자 회사 및 기타 금융 기관에서 강력하고 안전한 솔루션에 대한 수요가 급증할 것”이라고 설명했다. 개발 초기에는 미국의 금융기관, 법무법인 등에서 M&A, 실사 프로세스 업무에 주로 활용되었다. 실사에 필요한 모든 과정을 온라인으로 수행하며 전체 거래과정의 관리 및 효율을 향상시키는 역할도 하여 M&A 관련 솔루션으로 빠르게 정착하였다. 이처럼 효율성 및 보안성이 뛰어난 장점을 인정받아 기술집약 산업, 바이오/제약, 소부장 기업 등에서 기술자료검토 등에 활용되기 시작했으며 최근 산업분야를 막론하고 도입이 확산되는 분위기다. 해외 시장에서는 가상데이터룸 제공 업체 iDeals, Intralinks, Merrill 등이 시장을 선도하고 있는 가운데 국내에서는 리걸테크㈜가 유일하게 ‘리걸테크VDR’을 개발 및 운영하며 주목받고 있다. 리걸테크VDR은 2019년 11월 론칭한 가상데이터룸 솔루션으로, 2차 인증, IP 접근제한, 워터마크, 화면 캡처 등 다양하고 강도 높은 보안기능을 제공한다. 다국적 기업의 업무 효율을 높이기 위해 한국어, 영어, 일본어, 중국어, 독일어, 프랑스어 등 다국어를 지원하며 한국어, 영어, 중국어, 일본어 전담 기술지원팀을 운영하고 있어 해외사용자들도 신속한 기술지원을 받을 수 있다. 또한 클라우드 사용이 어려운 기관, 기업을 위한 온프레미스 버전도 제공하고 소비자 수요에 대응하여 향후 모바일 버전도 출시할 예정으로 알려졌다. 리걸테크㈜ 관계자는 “리걸테크VDR은 외산 프로그램 대비 우수한 보안, 빠른 업로드 및 다운로드 속도와 실시간 유지보수 대응으로 국내 시장에 최적화된 서비스를 제공하며 주목받고 있다”고 설명했다. 한편, 리걸테크㈜는 독자 개발한 빅데이터 검색엔진을 기반으로 개발한 지능형 법률 검색서비스와 특허검색서비스를 국내와 일본에 무료 서비스하고 있으며 그 기술력을 인정받아 2018년 일본에서 200만 불의 시드 투자를 유치했다. 현재 일본 특허검색 서비스에 적용된 AI 상표 이미지 검색이 일본에서 좋은 반응을 모으고 있다. 온라인뉴스부 iseoul@seoul.co.kr

인공지능(AI) 챗봇 ‘이루다’와 같은 개인정보 침해 사례의 재발을 막기 위해 AI 서비스 개발자·운영자들이 지켜야 할 사항을 담은 안내서가 마련됐다. 개인정보보호위원회는 관련 업계 의견을 수렴하고 전문� ㅐ豁셜맛� 논의 등을 거쳐 AI 개인정보보호 자율점검표를 확정해 31일 공개했다. AI 개인정보보호 자율점검표는 인공지능 설계·개발·운영 과정에서 개인정보를 안전하게 처리하기 위해 지켜야 할 개인정보보호법상 주요 의무와 권장사항을 단계별로 자율점검할 수 있도록 알기 쉽게 정리한 안내서다. AI 자율점검표는 개인정보보호법과 과학기술정보통신부의 AI 윤리기준, 개인정보보호 중심설계 원칙 등을 반영해 업무처리 전 과정에서 지켜야 할 적법성 등 6대 핵심 원칙과 이를 기반으로 점검해야 할 16개 항목, 54개 확인 사항을 제시했다. 단계별 주요 점검항목을 보면 기획·설계 단계에서는 개인정보보호 중심설계 원칙을 적용하고 침해가 우려되는 경우 개인정보 영향평가를 수행하도록 했다. 개인정보를 수집할 때는 적법한 동의방법·동의 이외의 수집근거 확인·공개정보 등 정보주체 이외로부터 수집 시 유의사항을 점검하고, 구체적 예시를 제시해 잘못된 방법으로 동의를 받지 않도록 했다. 개인정보를 이용·제공할 때는 수집 목적 안에서 이뤄지는지, 목적 외 이용은 적법한 근거가 있는지를 확인한다. 동의 없이 가명처리해 활용하려는 경우 과학적 연구·통계작성 등 허용된 목적인지 점검하게 했으며 가명처리 시 유의사항과 가명정보 공개제한 등도 안내했다. 또 개인정보 처리 시 사회적 차별과 편향이 최소화되도록 점검·개선하고 윤리적 이슈에 대한 판단은 AI 윤리기준을 참고하도록 했다. 해킹 방지 등을 위한 안전조치, 불필요해진 개인정보의 안전한 파기, 개인정보 처리내역의 투명한 공개, 정보주체 권리보장 절차 마련·이행, 개인정보 유출 사고 대비 점검내용 등도 담았다. 최광숙 선임기자 bori@seoul.co.kr