안랩의 무료 보안 솔루션인 ‘V3 모바일 시큐리티’의 누적 다운로드 수가 620만건을 돌파했다. 지난해 1월 출시된 뒤 매달 평균 27만여건씩 다운로드된 셈이다.모바일 기기의 운영체제(OS)나 애플리케이션(앱)의 보안 취약점을 공격해 개인정보 등을 탈취하는 모바일 해킹 사건이 이어지면서 시민들의 경각심이 반영된 결과로 풀이된다. V3 모바일 시큐리티는 국내에서 유일하게 세계적인 보안제품 성능 평가기관(AV-TEST)의 모바일 백신 분야 테스트를 정기적으로 받고 있는 프로그램이기도 하다. 2013년부터 지금까지 총 29차례에 걸쳐 인증을 받았다. 특히 올해 테스트에서는 모두 만점을 기록했다. 강력한 악성코드 탐지 기능 외에도 인터넷 주소(URL) 및 문자메시지 검사 기능 등을 더해 보안성을 더 높였다. 백신이 구동될 때 스마트폰의 중앙처리장치(CPU) 및 배터리 소모량을 최소화했다. 이 밖에 개인 사진을 숨기는 ‘갤러리 숨김’, 특정 앱을 잠그는 ‘앱 잠금’, 현재 내 스마트폰 앱이 어떤 정보나 권한에 접근하는지를 확인하는 ‘개인정보보호도우미’, 인터넷 접속 기록을 삭제하는 ‘개인정보 클리너’ 등 다양한 사생활보호 기능을 제공한다. 이경주 기자 kdlrudwn@seoul.co.kr

우버 전 보안책임자 진술 파문 웨이모와 기술도용 재판 연기 미국 차량공유서비스 업체인 우버가 해외경쟁사의 영업기밀을 캐기 위해 전직 중앙정보국(CIA) 요원까지 동원했다는 증언이 나왔다고 ABC뉴스 등이 28일(현지시간) 전했다. 이러한 주장은 우버가 2016년 5700만명의 개인정보 해킹 사실을 은폐하기 위해 자체 보안팀을 통해 직원들의 입단와을 했다는 폭로가 나온 지 수일 만에 새롭게 제기된 것이어서 우버의 보안 영행에 대한 비난은 더욱 거세질 것으로 보인다. 샌프란시스코 연방 지방법원은 이날 구글의 자율차 부문 자회사인 웨이모가 우버를 상대로 제기한 자율주행차의 기술 도용 사건 심리에서 우버의 전 보안책임자 리처드 제이컵스의 변호인이 작성한 30쪽 분량의 서한을 증거로 채택했다. 제이컵스는 2016년 3월부터 올해 3월까지 우버의 글로벌 보안책임자로 일하다 해고됐다 서한에 따르면 우버는 내부 스파이팀을 운영해 전직 CIA 요원 출신들이 근무하는 회사들과 고용계약을 체결했다. 우버 스파이팀의 사내 정식 명칭은 ‘시장 분석팀’이었다. 우버는 직원들에게 컴퓨터나 다른 전자 기기를 이용해 해킹 등의 불법 행위를 은닉하도록 지시했으며 대화 기록이 남지 않는 ‘위커’와 같은 채팅 애플리케이션(앱)을 사용토록 했다. 피츠버그에 보안팀 요원을 파견해 현지 직원에게 회사의 불법 관행이 드러나지 않는 방법에 관한 교육도 시켰다. 미 법무부가 가지고 있던 이 서한은 샌프란시스코 법원이 판결을 위한 배심원 구성 작업을 시작하기 바로 하루 전에 제출됐다. 이 서한과 관련, ‘웨이모-우버’ 사건을 담당하는 윌리엄 알서프 샌프란시스코 연방판사는 “더는 우버 변호인들의 말을 믿을 수 없다”면서 “편지의 내용이 절반만 사실이라 해도 이번 재판을 예정대로 진행하는 것은 정의에 반하는 것”이라고 말했다. 그동안 웨이모는 “우버가 모든 관련 증거를 제출하라는 법원과 웨이모의 요구에도 불구하고 중대한 증거를 은닉하고 있다”면서 “철저한 사실관계 파악을 위해 재판을 연기해야 한다”고 주장해 왔다. 현재 이 재판은 웨이모가 추가로 증거를 확인하는 절차를 거치기 위해 다음달 4일로 공판이 연기된 상태다. 그러나 우버 변호인단은 “제이컵스 변호인의 서한은 이번 사건과 관련이 없으며, 제이컵스는 웨이모 기술 절도 사건에 대해 전혀 알지 못한다고 진술했다”고 반박했다. 심현희 기자 macduck@seoul.co.kr

세계적인 IT 기업 구글이 보안 강화를 위해 모의 해킹 실험을 한 결과 매주 로그인 정보 25만여건을 빼낼 수 있었다는 충격적인 결과를 발표했다.미국 CNN테크 보도에 따르면 구글은 자사 연구원들이 지난해 3월부터 올해 5월까지 해커들이 구글 계정을 해킹해 개인정보를 훔치는지를 분석한 연구결과를 9일(현지시간) 발표했다. 구글 연구팀은 캘리포니아 버클리대(UC버클리) 연구팀과 함께 해킹수단 2만 5000가지를 이용해 구글 계정에 침투하는 가상실험을 했다. 그 결과 데이터 유출로 해커들이 가장 쉽게 데이터에 접근하는 것으로 나타났으며 이 방법으로 1년 동안 아이디와 비밀번호 19만개를 탈취했다. 해커들은 데이터 유출이라는 방식보다 지인을 가장해 정보를 탈취하는 피싱이나 악성코드를 이용해 키보드로 입력된 정보를 빼내는 키로깅 방식으로 해킹을 시도한 결과 피싱으로 정보를 탈취당할 가능성이 큰 고객은 1240만명, 키로깅으로 정보를 탈취당할 가능성이 있는 고객은 78만 8000명에 달하는 것으로 밝혀졌다. 특히 피싱과 키로깅을 이용해 매주 로그인 기록 24만 9766건을 훔쳐낼 수 있었다고 밝혔다. 구글은 해커들이 비밀번호만으로 계정에 접근하는 것이 어려워지면 로그인 정보를 훔치는 동시에 위치, 전화번호 등 민감한 정보도 함께 수집하고 있다고 밝혔다. 구글 보안연구팀 관계자는 “이번 연구는 해커들이 어떻게 정보를 훔치는지를 장기간, 포괄적으로 연구한 첫 연구로 고객들에게 더 나은 계정 보안을 제공하기 위한 것”이라며 “해커들이 접근할 수 있는 개인정보의 범위가 얼마나 되는지 확인한 것도 흥미로운 점 중 하나”였다고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

“우리나라 경찰의 사이버 범죄 수사력은 세계 최고 수준입니다. 인터넷 사기범은 100% 검거됩니다.”양근원(54) 총경(경기남부경찰청 사이버안전과장)은 26일 서울 중구 밀레니엄 서울힐튼호텔에서 개최된 ‘제10회 대한민국 사이버 치안대상’에서 대통령 표창을 수상했다. 양 총경은 1997년 사이버 경찰의 모태가 된 ‘컴퓨터범죄수사대’ 창설 핵심 멤버로 사이버 수사 ‘1세대’로 꼽힌다. 그때부터 19년 이상을 사이버 분야에서 근무해 온 사이버 수사 전문가로 정평이 나 있다. 2000년에는 경찰이 해킹 등 사이버 테러에 종합적으로 대응할 필요가 있다고 보고 과 단위 전담부서인 ‘사이버테러대응센터’로의 조직 개편을 주도했다. 이후에는 수사팀장으로 재직하며 사이버 수사 역량 강화에 힘을 쏟았다. 양 총경은 이날 서울신문과의 인터뷰에서 “우리나라에는 사이버 수사 전문 인력을 따로 뽑는 ‘사이버 수사 전공자 특채’ 제도가 있어 수사 기술력은 세계 선진국에 비해 월등한 수준”이라고 자부했다. 최근 잇따르는 각종 티켓 사기 범죄에 대해서는 “사이버 공간에서 익명이 보장되기 때문에 자신을 감출 수 있다고 생각하기 쉽지만 접속 기록 등 흔적이 반드시 남기 때문에 사이버 범죄자들은 절대 수사망을 피해 나갈 수 없다”고 경고했다. 다만 양 총경은 “전 세계를 무대로 하는 글로벌 범죄가 늘어나는 추세에 있는 만큼 효율적인 수사를 위해 국가 간 공조 시스템을 하루속히 구축해야 한다”고 지적했다. 대규모 개인정보 유출과 국가 중요 시설 사이버 테러 조사에 참여하고, 사이버 전문 인력 발굴과 육성에 기여한 이동근(41) 한국인터넷진흥원 침해사고분석단장이 국무총리 표창을 수상했다. 사이버 치안대상은 사이버 치안 확립에 기여한 유공자를 포상해 사기를 진작하고 민간 협력을 강화한다는 취지에서 2008년 제정됐다. 박재홍 기자 maeno@seoul.co.kr

국내 여행업체 하나투어가 지난 9월 28일 해커 집단으로부터 공격을 받아 100만여 명의 개인정보가 유출된 사실이 18일 알려졌다.하나투어측은 악성코드에 감염된 유지보수 업체 직원의 PC를 조사하던 중 지난달 28일 개인정보 파일 일부가 유출된 정황을 확인했다고 밝혔다. 하나투어는 해커집단으로부터 비트코인 등 금품을 요구받자 경찰에 수사를 의뢰했고 이같은 사실이 공개됐다. 유출된 개인정보 100만여 건에는 이름, 전화번호, 주민등록번호가 포함됐다. 하나투어는 유출된 개인정보는 2004년 10월부터 2007년 8월 사이에 만들어진 계정에 한한다고 설명했다. 해커 집단은 개인정보를 빌미로 하나투어 측에 비트코인을 요구했고, 하나투어는 경찰 수사를 요청한 상태다. 경찰청은 유출 규모가 큰 데다 해킹 관련 전문 수사가 필요하다는 판단 하에 직접 수사에 나섰다. 하나투어는 피해 고객이 구제위원회를 통해 피해를 신고하면 필요한 조사를 거쳐 구제 절차를 진행할 계획이라고 밝혔다. 하나투어에서 본인 개인정보가 유출됐는지는 홈페이지를 통해 확인할 수 있다. ‘개인정보 유츨여부 확인’ 팝업창을 통해 이름과 생년월일, 성별을 입력하고 조회를 누르면 유출 사실을 알 수 있다. 온라인뉴스부 iseoul@seoul.co.kr

국내 최대 여행사 하나투어의 고객 개인정보 100만여건이 유출돼 경찰이 수사에 나섰다. 17일 서울 종로경찰서에 따르면 하나투어는 지난달 28일 서버 관리자 계정이 해킹당해 개인정보가 유출된 정황을 확인했고, 해커로부터 정보를 돌려주는 대가로 비트코인을 요구받았다는 내용의 고소장을 지난 13일 경찰에 제출했다. 하나투어는 이날 홈페이지에 사과문을 게재해 “2004년 10월부터 2007년 8월 사이에 생성된 개인정보 파일이 유출됐고, 유출 내용은 이름·휴대전화번호·주민등록번호·집전화번호·집주소·이메일주소 중 일부 정보”라고 밝혔다. 경찰은 북한 소행일 가능성이 높다고 보고 있다. 박정호 한국인터넷진흥원(KISA) 부원장은 이날 국회 과학기술방송통신위원회 국정감사에서 “지난 11일 신고를 받고 주말부터 조사하고 있다”면서 해킹 주체가 북한인가라는 질의에 “말할 수 없다”며 긍정도 부정도 하지 않았다. 이혜리 기자 hyerily@seoul.co.kr

국내 최대 여행사인 하나투어의 고객 정보가 해킹당했다.채널A는 보안업계 관계자의 입을 빌어 하나투어의 서버가 해킹 당해 고객들의 개인정보 100만 여건이 유출됐다고 보도했다. 국회 과학기술방송통신위원회 소속 자유한국당 김성태 의원은 17일 한국인터넷진흥원(KISA)을 상대로 한 국정감사에서 “하나투어의 고객정보가 북한 해킹으로 인해 100만건 정도 유출됐다는 보도가 나왔다”며 “사건의 경위를 설명해달라”고 질의했다. 이에 박정호 KISA 부원장은 “지난 11일에 신고가 들어와 주말에 조사를 착수했다”며 “경찰에 신고된 상태”라고 설명했다. 지난달 말 하나투어는 서버 관리자 계정 해킹 당한 것을 알고 정황을 파악한 결과 100만 건 이상의 개인정보가 유출됐다고 밝혔다. 유출된 개인정보들은 고객의 이름, 휴대전화번호, 주민등록번호 등이다. 해커는 회사로 연락해 유출정보를 돌려주는 댓가로 비트코인을 요구했다고 하나투어측은 경찰에 밝히고 수사를 의뢰했다. 정보당국은 해킹사실을 파악하고 관련 내용을 경찰과 함께 조사 중인데 배후에 북한이 있을 가능성이 높다고 보고 있는 것으로 알려졌다. 한편 하나투어는 17일 오후 홈페이지에 해킹 관련 사과문을 올리고 조만간 정확한 고객정보 유출에 대해 밝히겠다고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

한해 78조원에 달하는 공공부문 계약이 이뤄지는 조달청의 국가종합전자조달시스템인 ‘나라장터’에 대한 해킹시도가 계속되고 있지만 전문 관리 인력은 부족한 것으로 지적됐다. 16일 국회 기획재정위원회의 조달청 국정감사에서 더불어민주당 김정우 의원은 “2012년 이후 현재까지 총 5148건의 해킹시도가 발생했다”면서 “해킹시도 국가는 국내가 3849건으로 가장 많았고, 중국(688건), 미국(205건) 등이며 특히 2014년 이후 인터넷망 PC 악성코드 감염사고가 48건이나 된다”고 공개했다. 나라장터는 261억원의 예산이 투입돼 2002년 공공조달을 위한 기간망 서비스를 개시한 이후 2016년 말 기준 5만 2000여개 수요기관과 35만여개 조달업체가 이용하고 있다. 거래 규모는 전체 공공조달 계약(116조 9000억원)의 66.8%인 78조원이다. 그러나 나라장터 시스템 보호·관리 인력은 정보자산 관리지침에도 못미치고 있다. 나라장터의 운영 및 유지보수는 외부 위탁, 정보유출 등 보안 우려가 있는 입찰과 적격심사는 조달청에서 직접 관리한다. 정보보호 전담인력은 정보보안 2명, 개인정보호 1명에 불과하다. 조달청 사이버안전센터도 1명이 81대의 장비와 41종의 소프트웨어를 운영하는 형편이다. 김 의원은 “국가종합전자조달 시스템의 계약 관련 각종 정보가 해킹으로 노출된다면 시스템 자체의 붕괴를 의미한다”면서 “과거 수요기관 PC에 악성프로그램이 설치돼 입찰 예가(미리 정해놓은 가격)가 노출된 것처럼 시스템 보안에 각별히 주의와 관심이 요구된다”고 말했다. 대전 박승기 기자 skpark@seoul.co.kr

지난 5년간 5000만건 이상의 개인정보가 유출됐고 이 가운데 절반 정도는 아직도 회수여부가 확인되지 않고 있는 것으로 파악됐다. 2일 국회 과학기술정보방송통신위원회 소속 자유한국당 김성태 의원이 방송통신위원회에서 입수한 자료에 따르면 2013년부터 지난 7월까지 해킹 등으로 116건이 유출되면서 5342만 개 이상의 개인정보가 빠져나간 것으로 확인됐다. 116건의 유출사례 가운데 23건은 유출 규모조차 제대로 파악되지 않았다. 특히 유출된 개인정보 가운데 절반에 가까운 2400만 개에 달하는 개인정보는 아직도 회수 여부가 확인되지 않았다. 게다가 입시전문 교육기업 메가스터디는 지난 4월 개인정보 관리 부실로 행정자치부로부터 행정처분을 받았으면서도 지난 7월 18일 또다시 14만 건에 달하는 개인정보가 유출된 것으로 파악됐다. 김 의원실에 따르면 방송통신위원회와 한국인터넷진흥원 등은 개인정보보호 유출태스크포스(TF) 팀을 꾸려 조사에 나섰지만, 개인정보 회수는 물론 피해사례 파악도 제대로 하지 못하고 있는 것으로 나타났다. 116건의 개인정보 유출 사고 가운데 방통위는 단 1건의 피해사례만 확인하고, 나머지는 모두 확인 불명이라고 답했다. 김 의원은 “개인정보 관리 소홀로 행정조치를 받은 기업이 3개월도 안 돼 보안망이 또 뚫린 것은 심각한 문제”라며 “관계 당국의 솜방망이식 처벌로 개인정보 유출 문제가 개선되지 않고 있는 만큼 보다 더 강력한 처벌로 경각심을 일깨울 수 있도록 사후관리 체계를 강화해야 한다”고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

우리가 매일 타고 다니는 자동차가 해커들의 먹잇감이 될 수 있다는 지적이 나왔다.월스트리트저널(WSJ)은 최근 “자동차가 더 많은 전자 제어장치와 인터넷 연결 장치로 가득 채워지고 있다”면서 “사이버 범죄자들이 컴퓨터를 공격 할 수있는 것처럼, 자동차도 해킹이라는 사이버 범죄에 더 취약해지고 있다”고 경고했다. 전문가들은 자동차 해킹이 시간문제라고 보고 있다. 자동차의 움직임을 원격으로 제어하거나, 해커가 요구한 금액을 입금할 때까지 문을 잠그고 열어주지 않는 식의 범죄가 가장 먼저 일어날 확률이 크다. 인터넷에 연결된 수백만대의 자동차를 대량으로 해킹해 멋대로 조종하는 것도 불가능하지 않다. 해커들은 2014년 미국 지프사의 스포츠유틸리티차량(SUV) 체로키를 해킹해 문 잠금장치, 와이퍼 등을 제어했다. 이 사건으로 크라이슬러는 체로키 140만대를 리콜했다. 올해 초에는 사이버보안 업체인 아거스사이버시큐리티가 블루투스 장치를 사용해 독일 보쉬사가 제작한 엔진을 원격으로 종료하기도 했다. 개인정보 노출 우려도 크다. 미국의 변호사 조 제롬은 “자동차는 많은 미국인들을 위한 두 번째 집”이라면서 “자동차 해킹은 우리의 사생활을 위협할 것”이라고 밝혔다. 미 정부도 최근 사태의 심각성을 인식했다. 지난해 미 연방수사국(FBI)은 대중에게 차량 해킹의 위험에 대해 경고하는 성명서를 발표했다. 미 의회는 자동차 제조사에 사이버공격 대응관을 임명하는 법안을 추진하고 있다. 미 최대 자동차 회사 제너럴모터스(GM)는 현재 80명이 넘는 전용 사이버 보안 전문가를 채용했다. GM의 수석 사이버 보안 책임자 제프 마시밀리아는 “우리는 차량 설계 초기 단계의 사이버 보안을 고려하도록 개발 프로세스를 다시 설계했다”고 밝혔다. 지난해 피아트는 자사의 자동차에 해킹 가능한 헛점을 알려준느 해커에게 현상금을 제공하기로 했다. 실제로 현상금을 지급한 사례가 있는지에 대해서는 확인해주지 않았다. 보안 전문가들은 해커들이 자동차 해킹을 빌미로 자동차 제조사에 거액의 보상금을 요규구할 가능성이 높다고 보고 있다. 미 보스턴에 본사를 둔 보안 데이터 및 분석 업체 ‘래피드7’의 교통 보안 연구 책임자 크레이크 스미스는 “자동차와 외부 세계와의 연결이 확산되면서 범죄에 노출될 가능성도 커지는 것”이라면서 “버그는 항상 있기 때문에 모든 지점에서의 칩입을 원천봉쇄할 수는 없을 것”이라고 말했다. 강신 기자 xin@seoul.co.kr

알집과 알송, 알씨 등 알툴즈로 유명한 국내 보안업체 이스트소프트가 10만명이 넘는 회원 정보를 해킹당했다. 방송통신위원회는 이스트소프트의 개인정보 유출신고를 받고 지난 2일부터 조사를 진행하고 있다고 5일 밝혔다. 유출된 개인정보는 알툴즈 사이트 이용자의 아이디와 비밀번호, 알패스에 등록된 웹사이트 명단과 아이디, 비밀번호 등 13만 3800건이다. 알패스는 웹사이트에서 사용하는 아이디와 비밀번호를 기억했다가 다시 방문할 때 자동 로그인할 수 있도록 하는 프로그램이다. 이스트소프트는 홈페이지를 통해 “지난 1일 오후 5시쯤 해커에게서 일부 회원의 개인정보를 볼모로 한 협박성 이메일을 받았다”며 “해커가 증거로 제시한 개인정보와 회사의 데이터베이스를 대조한 결과 약 13만명의 개인정보가 일치하는 것으로 확인됐다”고 설명했다. 사용자의 개인정보 침해 여부는 알툴즈 사이트(secure.altools.co.kr/intrusion)에서 확인할 수 있다. 천지현 방통위 개인정보침해조사과장은 “비밀번호가 유출된 만큼 이용자들은 즉시 비밀번호을 바꿔 2차 피해를 막고 웹사이트와 모바일 애플리케이션(앱) 등 비밀번호 관리프로그램 사용에도 각별히 주의를 기울여 달라”고 말했다. 유용하 기자 edmondy@seoul.co.kr

서울에 사는 주부 김모(30대)씨는 최근 여름 휴가를 위해 모바일 숙박 애플리케이션(앱)으로 호텔을 예약했다가 억울한 일을 당했습니다. 예약한 지 한 시간쯤 뒤에 남편이 “회사 일정 때문에 휴가 날짜를 바꿔야 한다”고 연락해 예약을 취소하려고 했는데요. 취소가 안 되는 겁니다. 김씨는 업체에 전화해 “방금 예약했는데 취소가 안 된다”고 물어봤죠. 업체 직원은 “고객님은 회원 가입을 하지 않아서 취소가 안 된다”고 말하네요.지난 3월 한 모바일 숙박 앱이 해킹을 당해서 개인정보가 유출됐었는데요. 김씨는 개인정보가 유출될까 걱정돼 비회원으로 예약했던 겁니다. 김씨는 “예약 날짜가 한 달이나 남았고, 비회원은 아예 취소가 안 된다는 게 말이 되냐”고 따졌지만 업체 직원은 “홈페이지 약관에 다 써 있고 고객님도 동의했다”고 우깁니다. 김씨는 호텔 예약을 취소하지 못하고 환불도 못 받을까요? 1일 한국소비자원에 따르면 김씨는 예약을 취소하고 결제한 돈도 환불받을 수 있습니다. 최근 모바일 숙박 앱을 이용하는 소비자가 늘면서 피해도 증가하고 있는데요. ‘1372 소비자 상담 센터’에 접수된 피해 상담은 2015년 149건, 지난해 435건, 올해 1분기(1~3월) 156건 등으로 매년 늘고 있죠. 지난해부터 올해 3월까지 접수된 591건 중 소비자 피해 구제로 넘어간 87건을 보면 ‘계약해지·계약불이행·청약철회 등’ 계약 관련 피해가 83.9%로 가장 많았습니다. 소비자가 예약한 지 1시간 안에 취소·변경을 요청했지만 업체에서 환불을 거부한 사례도 33.3%나 됐죠. 특히 김씨의 경우처럼 비회원에게는 아예 환불을 안 해주는 업체들도 있었습니다. 업체들의 얘기를 들어 보면 나름의 이유가 있긴 합니다. 숙박 앱에 등록된 업소 중에는 모텔이나 작은 호텔이 많은데요. 주변 경쟁 업소에서 비회원으로 앱에 접속해 다른 업소의 방을 예약했다가 취소하는 수법으로 영업을 방해하기도 해서죠. 소비자원은 업소 입장도 이해하지만 소비자 피해를 막기 위해 숙박 앱 업체들에게 비회원과 회원을 차별하지 말고, 비회원에게도 환불해 주라고 권고하고 있습니다. 그동안 비회원에게 환불을 안 해 줬던 숙박 앱 ‘야놀자’와 ‘여기어때’는 권고를 받아들였습니다. 야놀자는 지난 7월 말부터, 여기어때는 8월 15일부터 비회원에게도 회원과 동일한 환불 규정을 적용하기로 약속했죠. 전자상거래법에 따르면 소비자는 계약 후 7일 안에는 ‘단순 변심’으로도 취소할 수 있습니다. 숙박 앱도 전자상거래법 적용을 받죠. 원칙적으로 숙박 앱으로 예약한 지 7일 안에는 위약금 없이 취소가 가능하다는 말입니다. 하지만 숙박업은 다른 상품과 달리 이용 날짜가 딱 정해져 있어서 예외를 두고 있습니다. 소비자가 예약한 날로부터 숙박업소를 사용할 날이 7일도 안 남았는데 갑자기 예약을 취소하면 숙박업소는 그동안 다른 손님을 받지 못해 피해를 보기 때문이죠. 소비자 분쟁해결 기준에서는 소비자가 숙박업소 예약을 취소할 때 사용예정일까지 남은 기간에 따라 일정한 위약금을 떼고 계약금을 되돌려 받도록 정하고 있습니다. 성수기(여름 7월 15일~8월 24일, 겨울 12월 20일~2월 20일) 주말에는 사용 예정일 10일 전까지 취소하면 계약금 전액을 되돌려 받을 수 있죠. 사용 예정일 7~9일 전까지 취소하면 총요금의 20%, 5~6일 전까지는 40%, 3~4일 전까지는 60%, 당일~2일 전까지는 90%의 위약금을 내야 합니다. 요즘은 비수기인데요. 성수기보다 위약금이 쌉니다. 비수기 주말에는 사용 예정일로부터 2일 전까지 취소하면 계약금을 모두 환불받습니다. 사용 예정일 하루 전에 취소하면 총요금의 20%를, 당일에 취소하면 30%를 위약금으로 떼입니다. 성수기와 비수기 모두 주중에는 주말보다 10%씩 위약금이 쌉니다. 박지민 소비자원 서비스팀 차장은 “숙박 앱을 이용하기 전에 환불 조건을 반드시 살펴봐야 한다”면서 “스마트폰 화면이 작기 때문에 예약 날짜를 잘못 누르는 소비자가 의외로 많아서 결제 전에 예약 날짜를 다시 확인하는 것이 좋다”고 당부했습니다. esjang@seoul.co.kr

남양유업 홈페이지가 해킹을 당해 회원정보가 유출된 것으로 확인됐다.남양유업은 30일 “최근 수사기관이 검거한 해커의 PC에서 당사 홈페이지 회원정보 중 일부가 발견됐음을 28일 확인했다”고 밝혔다. 2011년 5월부터 2015년 말까지 가입한 회원 일부의 ID, 이름, 이메일, 생년월일, 연락처 및 주소가 유출된 것으로 파악됐다. 경찰은 정확한 피해 규모 등을 파악 중이며, 약 100만건의 정보가 유출된 것으로 추정하고 있다. 남양유업은 홈페이지에 글을 올려 “개인정보 일부가 유출된 점에 진심으로 사과의 말씀을 드린다”며 “더는 불미스런 사고가 생기지 않도록 보안대책을 수립하겠다”고 밝혔다. 남양유업은 주민등록번호는 수집하고 있지 않으며 해당 기간 외에 가입한 회원정보는 유출되지 않았다고 덧붙였다. 온라인뉴스부 iseoul@seoul.co.kr

숙박업소 예약 애플리케이션인 ‘여기어때’ 회원 91만여명의 정보를 해킹해 돈을 받고 넘긴 일당들에게 법원이 실형을 선고했다. 서울중앙지법 형사12단독 박평수 판사는 23일 정보통신망 이용촉진 및 정보보호 등에 관한 법 위반 등의 혐의로 기소된 중국 동포 남모(26)씨와 남씨에게 해킹을 제안한 조모(32)씨, 박모(34)씨에게 각각 징역 1년을 선고했다. 또 남씨에게는 700만원을, 조씨에게는 3300만원의 추징금도 내렸다. 남씨는 지난 3월 조씨와 박씨의 제안을 받아 해킹 프로그램을 이용해 ‘여기어때’ 사이트에 접속해 이 앱을 사용해 모텔 등 숙박업소를 예약한 고객 91만 708명의 이름과 전화번호, 모텔 등 숙박업소 예약시간과 장소, 결제금액 등의 예약정보 323만 9229건이 기록돼 있던 고객정보 파일을 해킹했다. 박 판사는 “타인의 정보통신망에 침입해 개인정보를 취득하고 취득한 정보를 누설하거나 교사한 이 사건 범행은 죄질이 좋지 않고, 취득하거나 누설한 개인정보의 양이 방대하다”면서 “해킹을 당한 사이트 운영자는 신뢰도 하락으로 막대한 손해를 입었을 것이고, 고객들의 불안감과 2차 피해도 우려되는 등 사회적 폐해가 상당하다”고 지적했다. 허백윤 기자 baikyoon@seoul.co.kr

숙박업소 예약 어플리케이션인 ‘여기어때’ 회원 91만여명의 정보를 해킹해 돈을 받고 넘긴 일당들에게 법원이 실형을 선고했다. 서울중앙지법 형사12단독 박평수 판사는 23일 중국 동포 남모(26)씨와 남씨에게 해킹을 제안한 조모(32)씨와 박모(34)씨의 정보통신망 이용촉진 및 정보보호등에 관한 법 위반 등의 혐의에 대해 각각 징역 1년을 선고했다. 또 남씨에게는 700만원을, 조씨에게는 3300만원의 추징금도 내려졌다. 남씨는 지난 3월 조씨와 박씨의 제안을 받아 해킹 프로그램을 이용해 ‘여기어때’ 사이트에 접속해 이 앱을 사용해 모텔 등 숙박업소를 예약한 고객 91만 708명의 이름과 전화번호, 모텔 등 숙박업소 예약시간과 장소, 결제금액 등의 예약정보 323만 9229건이 기록돼 있던 고객정보 파일을 해킹했다. 남씨에게 해킹을 제안한 조씨는 앞서 지난 2월 평소 알고 지내던 박씨에게 “이 사이트를 해킹한 뒤 고객정보를 빼내주면 1억원을 주겠다”는 제안을 받았다. 지난 6월 검거 당시 경찰 조사에 따르면 온라인 게임업체를 인수해 운영하던 A씨와 B씨가 숙박업소 앱 회사를 해킹한 뒤 협박해 돈을 벌기로 하고 업체를 물색하던 중 ‘여기어때’를 타깃으로 삼았고, B씨가 박씨에게 해커를 구해달라고 부탁한 것으로 드러났다. 결국 A와 B씨가 박씨에게, 이어 박씨가 조씨에게 의뢰한 뒤 중국에서 활동하는 해킹그룹의 일원인 남씨가 실제 해킹을 한 것이다. 해킹한 고객파일을 제공한 해커 남씨는 박씨에게 1000만원을 받았고, 이후 박씨는 조씨에게 3000만원을 송금받았다. 박 판사는 “타인의 정보통신망에 침입해 개인정보를 취득하고 취득한 정보를 누설하거나 교사한 이 사건 범행은 죄질이 좋지 않고, 취득하거나 누설한 개인정보의 양이 방대하다”면서 “해킹은 당한 사이트 운영자는 신뢰도 하락으로 막대한 손해를 입었을 것이고, 고객들의 불안감과 2차 피해도 우려되는 등 사회적 폐해가 상당하다”고 지적했다. 다만 박 판사는 “피고인들이 범행을 인정하며 반성하고 있다”며 양형 이유를 설명했다. ‘여기어때’ 사이트를 이용했다가 개인정보가 유출된 소비자들은 ‘여기어때’를 운영하는 위드이노베이션 주식회사를 상대로 손해배상청구 소송을 냈다. 지난 6월 2일 313명이 소장을 접수했고, 지난 16일 930명이 추가로 소송을 제기하면서 소송참가자가 1000명을 넘어섰다. 허백윤 기자 baikyoon@seoul.co.kr

# 미래의 어느 날 서울의 한 병원에서 태어난 신생아 A는 태어나자마자 두피 아래에 작은 칩을 이식받았다. 이 칩에는 태어난 날짜와 시간, 장소, 이름뿐만 아니라 보호자의 정보 등이 내장돼 있다. A의 부모는 아이가 태어난 뒤 출생신고를 할 때 아이의 홍채와 정맥 정보를 함께 등록했다. 이러한 장치는 아이가 실종됐을 때 GPS 신호를 통해 보다 빠르게 아이를 찾을 수 있을 뿐만 아니라 훗날 아이가 자랐을 때 신분증 및 각종 소비의 수단으로 활용된다.먼 미래의 이야기가 아니다. 최근 미국 위스콘신에 있는 전자장비 제조업체 스리 스퀘어 마켓은 직원 50명에게 직원카드 대용인 반도체 칩을 엄지와 검지 사이에 이식하는 기술을 도입했다. 직원들은 출퇴근 관리부터 출입문 개폐, 사내 기기 사용 등 신분을 증명해야 하는 많은 분야에서 이식받은 이 칩을 신분증 대용으로 사용한다. RFID(Radio-Frequency Identification)라고도 부르는 이것은 작은 칩에 정보를 저장하고 이를 무선 데이터로 송신하는 장치다. 이식 수술은 2초 정도면 끝나고 통증도 거의 없으며, 무엇보다 신분증을 잃어버리거나 도용당하는 위험이 낮아진다는 것이 업체의 설명이다. 이쯤 되면 내 머릿속의 지우개가 아니라 내 머릿속의 신분증 혹은 신용카드가 등장할 날도 머지않았다는 사실을 짐작할 수 있다. 이식을 통해 반도체 칩을 사용자와 ‘한 몸’으로 만들거나, 아예 신체 일부분을 신분증 혹은 신용카드로 대체하는 기술, 어디까지 왔을까. 미래에 신분을 인증하는 것은 크게 두 가지 방법으로 나뉠 것으로 예상된다. 첫 번째는 위 사례와 같은 소형 칩 이식이고, 두 번째는 홍채나 정맥, 얼굴 등 생체인식이다. 소형 칩 이식은 개인 데이터를 칩에 저장하는 방식이고, 생체 인식은 신체의 고유한 데이터를 개인정보 시스템에 등록하는 방식이다. 두 방식은 다른 듯 보이나 결과적으로 같은 용도에 활용될 수 있다. 예컨대 신분이 인증되면 이 신분을 이용한 경제활동이 가능하다. 소형 칩 이식이나 생체인식 기술은 모두 우리 몸 자체를 신분증과 신용카드로 활용한다. 즉 신분증과 신용카드가 우리 몸 안에서 하나로 합쳐진 것이라 볼 수 있다. 이 두 가지 방식 중 소형 칩 이식이 가장 활발하게 활용되는 국가는 스웨덴이다. 스웨덴 국영철도회사는 몸 안의 칩을 티켓으로 사용하는 생체인식 티켓을 시범 운영했다. 개인정보를 담은 칩을 몸에 이식한 승객이 스캐너에 손을 갖다 대면 간편하게 티켓이 인식되는 방식이다. 이미 스웨덴정보기술(IT) 업계에 종사하는 2만여명이 개인 정보를 내장한 칩을 이식받은 것으로 알려져 있다. 생체인식 중 가장 ‘핫’한 기술은 얼굴(안면) 인식이다. 삼성의 갤럭시8이 올 초 얼굴인식 잠금해제 기능을 탑재한 바 있지만, 2D카메라로 얼굴을 인식하는 방식은 낮은 정확도와 허술한 보안으로 입방아에 올랐다. 그러나 최근 애플이 아이폰8에 2D가 아닌 3D 카메라로 얼굴을 인식하는 새로운 기술을 탑재한다는 소식이 들려오면서 기대를 모으고 있다. 업계에서는 애플이 현재 이 기술을 스마트폰의 잠금 및 해제용으로만 탑재했지만, 머지않아 애플페이 인증 수단으로도 사용할 것이라는 예측이 파다하다. 칩 이식과 생체인식 모두 발달된 기술이 인간의 삶에 가져다주는 편리함의 대명사로 꼽힌다. 신분증이나 신용카드, 티켓을 잃어버릴 일도 없고, 가볍게 터치하거나 바라보는 것만으로도 대부분의 경제활동이 가능해진다. 그러나 여전히 보안 문제가 도사리고 있다. 칩 이식의 경우 해킹의 위험이 크다. 데이터화된 개인정보, 즉 사용자가 언제, 어디서, 무엇을 사고, 무엇을 먹는지, 어디로 가는지 등의 정보가 해킹으로 악용될 수 있다는 것이다. 애플이 자신 있게 내놓은 얼굴인식 기술도 마찬가지다. 길거리나 식당에 설치된 페쇄회로(CC)TV에 얼굴이 잡히기만 해도 개인정보가 그대로 인식되고 이것이 불법 감시 또는 범죄에 이용될 가능성이 농후하다. 사생활 침해 우려가 쏟아지는 이유다. 도덕적인 논란도 피하기 어렵다. 특히 칩 이식의 경우 인간의 사이보그화를 앞당긴다는 비난이 쏟아진다. 마치 물건에 찍히는 바코드처럼 인간도 하나의 상품으로 인식될 수 있다는 뜻이다. 이를 두고 영국 BBC는 “절반은 인간, 절반은 걸어다니는 신용카드가 된 우리 현실은 디스토피아의 악몽으로 느껴진다”고 표현했을 정도다. 과학기술의 발달은 기회비용이 분명하다. 편리함을 얻는 대신 사생활을 포함한 개인정보를 노출해야 한다. 내비게이션의 대중화로 길 찾기는 편해졌지만, GPS가 내 위치를 고스란히 ‘바라보고’ 있는 것과 같다. 부정적인 기회비용을 줄이고 보다 긍정적인 편리함을 기대하기 위해서는 더욱 정교한 기술 개발과 탄탄한 관련 법규의 제정이 필수일 것이다. huimin0217@seoul.co.kr

#미래의 어느 날, 서울의 한 병원에서 태어난 신생아 A는 태어나자마자 두피 아래에 작은 칩을 이식받았다. 이 칩에는 태어난 날짜와 시간, 장소, 이름뿐만 아니라 보호자의 정보 등이 내장돼 있다. A의 부모는 아이가 태어난 뒤 출생신고를 할 때 아이의 홍채와 정맥 정보를 함께 등록했다. 이러한 장치는 아이가 실종됐을 때 GPS신호를 통해 보다 빠르게 아이를 찾을 수 있을 뿐만 아니라, 훗날 아이가 자랐을 때 아이의 신분증이자 각종 소비의 수단으로 활용된다. 먼 미래의 이야기가 아니다. 최근 미국 위스콘신에 있는 전자장비 제조업체 스리 스퀘어 마켓은 직원 50명에게 직원카드 대용인 반도체 칩을 엄지와 검지 사이에 이식하는 기술을 도입했다. 직원들은 출퇴근관리부터 출입문 개폐, 사내 기기 사용 등 신분을 증명해야 하는 많은 분야에서 이식받은 이 칩을 신분증 대용으로 사용한다. RFID(Radio-Frequency Identification)라고도 부르는 이것은 작은 칩에 정보를 저장하고 이를 무선 데이터로 송신하는 장치다. 이식 수술은 2초 정도면 끝나고 통증도 거의 없으며, 무엇보다 신분증을 잃어버리거나 도용당하는 위험이 낮아진다는 것이 업체의 설명이다.　이쯤 되면 내 머릿속의 지우개가 아니라 내 머릿속의 신분증 혹은 신용카드가 등장할 날도 머지않았다는 사실을 짐작할 수 있다. 이식을 통해 반도체 칩을 사용자와 ‘한 몸’으로 만들거나, 아예 신체 일부분을 신분증 혹은 신용카드를 대체하는 기술, 어디까지 왔을까? ◆이식이냐 인식이냐, 그것이 문제로다 미래에 신분을 인증하는 것은 크게 두 가지 방법으로 나뉠 것으로 예상된다. 첫 번째는 위 사례와 같은 소형 칩 이식이고, 두 번째는 홍채나 정맥, 얼굴 등 생체인식이다. 소형 칩 이식은 개인 데이터를 칩에 저장하는 방식이고, 생체 인식은 신체의 고유한 데이터를 개인정보 시스템에 등록하는 방식이다. 두 방식은 다른 듯 보이나 결과적으로 같은 용도에 활용될 수 있다. 예컨대 신분이 인증되면 이 신분을 이용한 경제활동이 가능하다. 소형 칩 이식이나 생체인식 기술은 모두 우리 몸 자체를 신분증과 신용카드로 활용한다. 즉 신분증과 신용카드가 우리 몸 안에서 하나로 합쳐진 것이라 볼 수 있다. 이 두 가지 방식 중 소형 칩 이식이 가장 활발하게 활용되는 국가는 스웨덴이다. 스웨덴 국영철도회사는 몸 안의 칩을 티켓으로 사용하는 생체인식 티켓을 시범 운영했다. 개인정보를 담은 칩을 몸에 이식한 승객이 승무원에 스캐너에 손을 갖다 대면 간편하게 티켓이 인식되는 방식이다. 이미 스웨덴에서는 IT기술에 종사하는 2만 여 명이 몸 안에 개인 정보를 내장한 칩을 이식한 것으로 알려져 있다. 생체인식 중 가장 ‘핫’한 기술은 얼굴(안면) 인식이다. 삼성의 갤럭시8이 올 초 얼굴인식 잠금해제 기능을 탑재한 바 있지만, 2D카메라로 얼굴을 인식하는 방식은 낮은 정확도와 허술한 보안으로 입방아에 올랐다. 그러나 최근 애플이 아이폰8에 2D가 아닌 3D카메라로 얼굴을 인식하는 새로운 기술을 탑재한다는 소식이 들려오면서 기대를 모으고 있다. 업계에서는 애플이 현재 이 기술을 스마트폰의 잠금 및 해제용으로만 탑재했지만, 머지않아 애플페이 인증 수단으로도 사용할 것이라는 예측이 파다하다. ◆‘철벽보안’ 가능할까?…인간의 ‘사이보그화’ 논란도 칩 이식과 생체인식 모두 발달된 기술이 인간에 삶에 가져다주는 편리함의 대명사로 꼽힌다. 신분증이나 신용카드, 티켓을 잃어버릴 일도 없고, 가볍게 터치하거나 바라보는 것만으로도 대부분의 경제활동이 가능해진다. 그러나 여전히 보안의 문제가 도사리고 있다. 칩 이식의 경우 해킹의 위험이 크다. 데이터화 된 개인정보, 즉 사용자가 언제, 어디서, 무엇을 사고, 무엇을 먹는지, 어디로 가는지 등의 정보가 해킹으로 악용될 수 있다는 것이다. 애플이 자신있게 내놓은 얼굴인식 기술도 마찬가지다. 길거리나 식당에 설치된 페쇄회로(CC)TV에 얼굴이 잡히기만 해도 개인정보가 그대로 인식되고 이것이 불법 감시 또는 범죄에 이용될 가능성이 농후하다. 사생활 침해 우려가 쏟아지는 이유다. 도덕적인 논란도 피하기 어렵다. 특히 칩 이식의 경우 인간의 사이보그화를 앞당긴다는 비난이 쏟아진다. 마치 물건에 찍히는 바코드처럼 인간도 하나의 상품으로 인식될 수 있다는 뜻이다. 이를 두고 영국 BBC는 “절반은 인간, 절반은 걸어 다니는 신용카드가 된 우리 현실은 디스토피아의 악몽으로 느껴진다”고 표현했을 정도다. 과학기술의 발달은 기회비용이 분명하다. 편리함을 얻는 대신 사생활을 포함한 개인정보를 노출해야 한다. 내비게이션의 대중화로 길 찾기는 편해졌지만, GPS가 내 위치를 고스란히 ‘바라보고’ 있는 것과 같다. 부정적인 기회비용을 줄이고 보다 긍정적인 편리함을 기대하기 위해서는 더욱 정교한 기술 개발과 탄탄한 관련 법규의 제정이 필수일 것이다. 송혜민 기자 huimin0217@seoul.co.kr

유진투자선물 등 20개 업체에서 3300만명의 개인정보가 유출돼 경찰이 수사에 나섰다. 인천지방경찰청 사이버수사대는 유진투자선물 등에서 수천만건의 개인정보를 해킹해 판매하려 한 혐의로 20대 해커 송모씨를 검거해 최근 구속했다고 30일 밝혔다. 유출된 개인정보는 성명·주민등록번호·전화번호·이메일 주소 등으로 보이스피싱이나 대출사기 등의 2차 피해가 예상된다. 경찰은 송씨가 온라인에서 개인정보를 판매한다는 사실을 입수, 구매자로 가장한 뒤 중국에 있던 송씨를 국내로 불러들여 검거했다. 경찰 수사 결과 송씨의 노트북에는 유진투자증권의 자회사인 유진투자선물에서 빼낸 30만건의 개인정보를 비롯해 국내 대표적 학술논문 사이트인 디비피아에 가입한 회원의 성명·아이디·생년월일·전화번호 등이 담겨 있었다. 경찰은 나머지 18개 업체의 명단은 사실 확인이 덜 끝나 공개할 수 없다고 밝혔다. 송씨는 경찰조사에서 “보안망이 허술한 업체의 데이터베이스(DB)에 직접 침입해 개인정보를 빼냈다”고 자백했다. 경찰은 송씨가 해킹 대상으로 삼은 나머지 업체들의 피해 상황에 대해 추가 수사를 계속하고, 송씨와 함께 범행을 공모한 것으로 알려진 중국인과 중국동포 등 2명을 추적하고 있다. 경찰 관계자는 “유출된 개인정보를 활용한 2차 피해 사례는 아직 파악된 게 없다”면서 “20개 업체 가운데 개인정보보호법 위반 혐의가 있으면 형사 입건해 책임을 물을 것”이라고 말했다. 한상봉 기자 hsb@seoul.co.kr

보이스피싱과 인터넷 거래 개인정보 유출, 그리고 신용카드 복사에 이르기까지 각종 금융사기 피해가 증가하면서 안전한 거래를 위한 금융 거래 시스템의 변화가 거듭돼 왔다. 그 결과 나타난 것이 바로 핀테크다.핀테크(FinTech)란 금융(finance)과 기술(technology)이 결합한 것으로, 편리한 모바일 ‘5초 결제’가 가능하다. ▲NHN한국사이버결제(페이코) ▲다음카카오(카카오페이) ▲페이팔 코리아(엘페이) 등이 대표적인 ‘모바일 간편 결제 서비스’ 핀테크를 선보이고 있다. 이 서비스는 최초 1회 사용 시에만 카드정보와 개인정보 확인 절차를 거치며 추후 사용부터는 최초 사용 시에 등록해 놓은 비밀번호 혹은 지문을 입력하면 신속하게 금융 거래를 진행한다. 혹시라도 모를 비밀번호 유출로 인한 금융 피해 방지 시스템도 구축돼 있다. ‘이상 금융거래 탐지 시스템’(FDS)은 정해진 한도를 초과한 금융 거래나 비정상적인 계좌 이체가 시도되면 거래를 차단한다. BNK 부산은행은 이상 금융거래 탐지 시스템을 통해 1억 4000여만원을 포함, 3백여건의 금융 사고를 예방했다. ●떠오르는 가상화폐 ‘비트코인’ 발행 주체가 없는 가상화폐 ‘비트코인’이 주요국들의 관심을 끌고 있다. 비트코인은 P2P(Peer to Peer) 방식으로 운영된다. 특정한 발행 주체 없이 인터넷에서 개인과 개인이 직접 파일을 공유하는 식이다. 비트코인 거래를 가능하게 하는 것은 ‘블록체인’ 덕분이다. 블록체인은 비트코인 등 가상화폐의 복사 과정을 차단하고 모든 거래 참여자와 거래 기록을 실시간으로 공유해 해킹을 차단하는 기술이다. 비트코인의 경우 사용자의 컴퓨터들이 10분마다 거래 내역을 대조해 해킹을 방지한다. 한편 ‘37코인스’는 은행 등의 금융기업이 없는 저개발 국가에서도 휴대전화 문자 메시지를 통해 비트코인을 주고받을 수 있는 블록체인 기술을 선보였다. 삼성 SDS는 자사의 블록체인 플랫폼인 ‘넥스레저’를 공개하고 글로벌 블록체인 시장을 이끌어 갈 전망이다. ●핀테크·블록체인 ‘스타트업’도 성장 모바일 기기를 중심으로 결제 서비스 분야에서 주목받는 핀테크 기술과 금융 거래를 넘어선 각종 계약에 블록체인이 각광받을 것으로 예상되는 등의 활약이 기대되자 이들과 관련된 스타트업이 증가하고 있다. 각종 스타트업 기업이 핀테크와 블록체인 분야에서 크게 성장하고 있다. 우리나라의 핀테크 스타트업은 ‘금융사 주도의 핀테크 스타트업 육성’이다. 지난 4일 NH농협은행과 KB국민은행은 11개의 핀테크 스타트업들을 위한 피칭데이를 개최해 핀테크 스타트업에 대한 투자 확대를 예고했다. 금융사와 함께하는 핀테크 스타트업은 단순히 제휴를 맺었던 기존 형태와는 다르게 핀테크를 통한 수익 개선에 초점을 두고 사업을 진행 중이다. 핀테크 스타트업 육성 및 기술 협력에 대한 금융권의 관심이 높아지고 있다. 스타트업 미디어 플래텀에 따르면 전 분야 스타트업에 대한 국내 기업의 올 상반기 투자 규모는 지난해 대비 31% 감소했지만 핀테크 스타트업에 대한 투자는 활발히 진행 중이다. 금융사들이 4차 산업혁명 시대 핀테크 사업을 주요 분야로 인식하고 높은 관심을 두고 있다는 것이다. 하지만 우리나라는 세계 핀테크 100대 기업에 국내 기업이 1개도 선정되지 못한 실정이다. 다가올 4차 산업혁명이 금융권에도 큰 변화를 예고한 만큼 국내 산업 시장을 이끌어 갈 금융 기업들의 역할에 귀추가 주목되고 있다. 공공거래 장부라고도 불리며 비트코인과 같은 가상화폐 거래에서 반드시 필요하고 앞으로는 각종 계약에까지 사용될 것으로 전망되는 블록체인 사업 역시 활발히 이루어지고 있다. 한국조폐공사는 블록체인 스타트업 ‘코인플러그’와 손을 잡고 블록체인 플랫폼 개발을 착수 중이다. 이정희 인턴기자

“전 세계를 대상으로 한 해커들의 인질극은 아직 끝나지 않았습니다.” 최근 전 세계를 혼란에 빠뜨렸던 ‘워너크라이’(WannaCry) 랜섬웨어 사태를 지켜본 한 보안 전문가의 말이다. 워너크라이는 영국의 국가의료보건서비스(NHS) 소속 병원, 러시아 내무부, 프랑스 르노자동차 공장, 중국 석유천연가스집단(CNPC), 미국 배송업체 페덱스, 독일 국영철도회사 도이치반, 스페인 통신사 텔레포니카, 우리나라 대형멀티플렉스 영화관 CGV 등 최소 150개국을 상대로 전례 없는 강도의 ‘사이버 인질극’을 벌였다.랜섬웨어란 ‘몸값’을 뜻하는 ‘랜섬’(ransom)과 ‘악성 소프트웨어’를 뜻하는 ‘멀웨어’(malware)를 합친 말로, 컴퓨터나 휴대전화 같은 내부의 파일 등을 암호화해 놓은 뒤 해결 비용(몸값)을 요구하는 악성코드를 말한다. 공격자들은 대부분 추적을 피하기 위해 익명의 네트워크를 사용하고 가상화폐인 ‘비트코인’으로 돈을 지불하도록 해 붙잡기가 극히 어렵다. 암호로 잠긴 파일을 열기 위해서는 해커가 요구하는 비트코인을 지급하고 다시 파일을 풀어낼 키를 획득해야 한다. 하지만 돈을 내도 키를 받을 수 있을지는 장담하지 못한다. 과거 해커들은 자신들의 실력을 과시하기 위해 사이버 공격을 하는 경우가 많았지만, 최근에는 정치적 목적이나 돈벌이를 위해 해킹을 하는 비율이 높아지고 있다. 우리나라와 중국 간 사드(고고도미사일방어체계) 문제가 불거지자 판단정보국(PIB), 중국독수리연합, 1937CN, 77169 등 유명 해커 그룹으로 이뤄진 중국 해커조직 연합은 소셜네트워크서비스(SNS)인 ‘웨이보’ 등에 올린 동영상을 통해 한국과 롯데그룹을 상대로 전쟁을 선포했다. 돈벌이를 위한 해킹 역시 기승을 부리고 있다. 전 세계적으로 랜섬웨어가 급증한 것은 돈을 뜯어낼 목적의 해킹이 증가하고 있음을 보여 준다. 19일 한국인터넷진흥원(KISA)에 따르면 지난 1분기 우리나라에서 분석된 악성코드 633개 중 가장 많이 나타난 유형은 랜섬웨어(275개)로 전체의 44%를 차지했다.랜섬웨어 감염을 예방하기 위해 과거에는 불특정 다수에게 보내는 스팸메일, 지적재산권을 침해하는 불법 다운로드, 불법대출이나 음란사이트 광고 등을 주의하면 됐다. 하지만 지금은 그런 주의 정도로 랜섬웨어를 완벽하게 피할 수는 없다. 웹서핑 도중 감염될 수도 있고 인터넷 네트워크에 접속하는 것만으로도 감염된다. 랜섬웨어 자체가 진화했다기보다 랜섬웨어를 심는 방식이 진화하고 있다고 보는 게 맞다. 랜섬웨어의 시작은 언제였을까. 1989년 악성코드를 침투시켜 하드디스크의 루트 디렉터리 정보를 암호화한 뒤 이를 풀어 주는 것을 빌미로 돈을 요구한 것이 효시로 알려져 있다. 그러나 랜섬웨어의 존재가 본격적으로 알려진 것은 2005년부터다. 이후 2013년 들어 비트코인 사용이 활성화되면서 전 세계적으로 급증하고 있다. 랜섬웨어의 종류는 수만 개에 이르지만 전문가들은 크게 ▲파일을 암호화하는 랜섬웨어 ▲컴퓨터가 부팅하지 못하게 잠그는 랜섬웨어 ▲바탕화면을 잠그는 랜섬웨어 등 3가지로 분류하고 있다. 가장 흔한 형태가 파일을 암호화하는 것이다. 지난해 말부터 올해 초까지 유행한 ‘비너스로커’(VenusLocker)나 워너크라이가 여기에 속한다. ‘골든아이’(GoldenEye), ‘펫야’(Petya)는 컴퓨터를 부팅할 때 화면을 잠그는 랜섬웨어다. 화면을 잠그는 랜섬웨어로는 ‘레벤톤’(Reventon)이 유명하다.파일을 암호화하는 랜섬웨어 중에서는 지금까지 ‘크립토로커’(CryptoLocker)와 ‘로키’(Locky) 등이 우리나라에 큰 영향을 미쳤다. 2015년 4월 인터넷 커뮤니티 ‘클리앙’ 사이트를 통해 한글로 된 크립토로커가 유포됐다. 공격자는 광고 배너에 악성 코드를 넣었고 이 사이트에 접속했던 이용자들이 다수 감염됐다. 인터넷 브라우저인 마이크로소프트(MS) ‘익스플로러’의 취약점을 이용해 보안 업데이트를 미룬 개인과 기업 컴퓨터 다수를 감염시켰다. 크립토로커에 감염되면 ‘주의, 귀하의 모든 파일을 크립토로커 바이러스로 코딩했습니다’라는 몸값 청구서(랜섬노트)가 뜬다. 몸값으로 1비트코인 이상을 요구한다. 피해자가 감염 후 1주일 이내 키를 구입하지 않으면 공격자는 2배 올린 가격으로 구매를 재요청하기도 한다. 랜섬웨어 로키의 이름은 파일을 암호화한 뒤 확장자를 일괄적으로 ‘locky’로 바꾸는 데 따라 붙여졌다. 지난해 3월 초부터 지금까지 이메일을 통해 확산되고 있다. 초기에는 MS 워드 파일(.doc)을 첨부해 보냈으나 최근에는 자바스크립트 확장자(.js) 파일 또는 악성코드 감염 파일을 묶어 하나의 압축 파일로 첨부해 발송한다. 프로그래밍 언어인 자바스크립트가 단독으로 첨부파일 등에 사용되는 것은 일반적이지 않다. 따라서 파일의 확장자가 자바스크립트(.js)만 존재하거나 여러 파일 중에 포함돼 있다면 로키 랜섬웨어 변종일 가능성을 의심해 볼 필요가 있다. 메일 제목에 ‘지급’(payment), ‘송장’(invoice), ‘계약서’(contract) 등 미끼 단어를 써서 유인하는 경우가 많다는 점도 참고할 만하다. 악성코드의 일부는 화면보호기 파일로 위장하기도 한다. 파일 암호화가 끝나면 바탕화면을 변조해 감염 사실을 사용자에게 통보한다. 이 밖에도 2015년 국내에 많이 유포된 ‘테슬라크립트’(TeslaCrypt) 랜섬웨어는 이동식 드라이브 등은 제외하고 고정식 드라이브만을 감염 대상으로 지정하는 특징이 있었다. ‘크립트XXX’는 2016년 5월 처음 국내에 모습을 드러냈다. 크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고 바탕화면에 랜섬노트가 뜬다. ‘케르베르’(Cerber)는 말하는 랜섬웨어로 유명하다. 감염이 되면 이 사실을 음성메시지로 알린다. 최근에는 한국인을 주요 타깃으로 한 ‘한국형’ 랜섬웨어도 등장했다. 이런 랜섬웨어들은 MS 워드 문서뿐 아니라 국내에서만 사용되는 한글(.hwp) 파일 등을 이메일에 첨부하는 방식으로 유포되며 사용자가 국내 웹사이트나 웹 광고에 접속하는 것만으로 감염되기도 한다. 전문가들은 한국형 랜섬웨어의 경우 국내 해커나 북한 해커의 소행으로 추정하고 있다. 휴대전화, 사물인터넷(IoT) 기기도 랜섬웨어의 공격 대상이 될 수 있다. 스마트폰에는 은행 계좌정보, 비밀번호, 위치정보, 사진, 지인 전화번호 등이 유출됐을 때 타격이 큰 개인정보들이 포함돼 있어 PC보다 더 큰 피해를 가져올 수 있다. 백신업체 G데이터에 따르면 올 1분기 동안 75만 4000여개의 모바일 악성코드가 발견됐다. 이 중 상당수가 랜섬웨어일 것으로 추정된다. IoT도 위험에 노출돼 있기는 마찬가지다. 가령 해커가 IoT 보일러 시스템을 잠가버릴 수도 있다. 비트코인을 내놓지 않으면 집안 온도를 마음대로 높이겠다고 협박을 해도 속절없이 당할 수밖에 없게 되는 것이다. 랜섬웨어에 감염되면 당장은 뾰족한 해법이 없으므로 예방이 최선이다. 운영체제(OS)는 물론 응용프로그램까지 모든 소프트웨어를 최신 버전으로 업데이트해야 한다. 백신 엔진도 늘 최신 버전으로 업데이트한다. 또 출처가 불명확한 이메일과 인터넷 주소 링크는 실행하지 말아야 한다. 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의해야 한다. 문서, 사진 등 중요 자료는 별도 매체에 정기적으로 백업하는 것도 필요하다. 보안업체 하우리의 최상명 실장은 “보안 취약점이 존재하는 한 랜섬웨어는 끊임없이 확대 재생산될 것”이라며 “스마트폰의 감염 사례가 발생하고 최근 보안업체에서 IoT의 감염사례 연구가 나오는 등 조만간 IoT 기기에 대한 감염도 우리를 위협하게 될 것”이라고 말했다. 윤수경 기자 yoon@seoul.co.kr