중국에 사무실을 두고 수요자가 원하는 개인 정보를 해킹해 제공한 ‘주문 생산형’ 해커 일당이 검찰에 적발됐다. 서울중앙지검 첨단범죄수사2부(부장 이정수)는 수요자가 의뢰하는 개인 정보를 빼내 판매한 연모(33)씨와 연씨 동생(28)을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의 등으로 구속 기소했다고 2일 밝혔다. 검찰은 또 개인 정보 공급책 용모(43)씨를 같은 혐의로 구속 기소하는 한편 연씨 형제로부터 정보를 사들인 박모(44)씨를 구속 기소하고 박씨의 외조카 전모(28)씨를 불구속 기소했다. 검찰에 따르면 연씨 형제는 2013년 2월부터 4월까지 박씨 등의 의뢰를 받고 조선족 A(28·기소중지)씨를 통해 꽃배달업체 홈페이지 3곳과 골프 관련 인터넷 사이트 1곳을 해킹해 빼낸 회원 정보 29만 8321건을 500만원에 판매한 혐의를 받고 있다. 이들은 중국 칭다오(靑島)에 사무실을 두고 유명 포털사이트에 ‘내구제 디비 판매’ 등의 광고 글을 올려 수요자가 요구하는 개인 정보를 맞춤형으로 제공한 것으로 조사됐다. 연씨 형제는 개인 정보 공급책 용씨로부터 2012년 5월부터 2014년 2월까지 제2금융권 대출, 도박, 쇼핑몰, 초고속 인터넷 통신망 등 각종 사이트의 회원 정보 3176만 7605건을 불법으로 수집한 사실도 적발됐다. 이들이 빼낸 개인 정보는 중복된 것을 제외해도 1805만 6896건에 이른다. 연씨 형제의 부모는 아들들이 개인 정보를 팔아 통장에 들어온 돈을 인출했다. 검찰은 부모의 경우 ‘심부름’ 차원이었다고 보고 기소를 유예했다. 박씨는 외조카 전씨와 함께 인터넷 꽃배달 영업에 이용하고자 경쟁 업체 회원 정보를 연씨 형제에게 부탁한 것으로 조사됐다. 이성원 기자 lsw1469@seoul.co.kr

어제 열린 최성준 방송통신위원장 후보자에 대한 국회 인사청문회는 다시 한번 공직의 엄중함을 일깨워준 자리였다. 최 후보자는 청문회에서 소득세 탈루 의혹에 대해 2005년부터 2010년까지 토지를 임대하고 1년에 150만 원씩을 받았다며 이를 종합소득에 가산하지 않고 신고한 것을 뒤늦게 발견하고 납부했다고 해명했다. 취업도 하지 않은 딸이 1억 4000만원의 예금을 보유해 증여세 탈루 의혹이 제기된 데 대해서는 딸의 예금이 일순간 늘어난 것이 아니라면서 세금을 정확히 납부하기 위해 세무사에게 금액 산정을 의뢰했다고 했다. 30년 가까이 법관생활을 한 이로서 누구보다 법적인 문제를 훤히 꿰뚫고 있을 터인데 이런 군색한 ‘해명’을 늘어 놓으니 민망한 노릇이 아닐 수 없다. 세 차례나 대법관 후보에 오른 정통 법관에게서 석연치 않은 흠이 드러났으니 국민의 시선이 고울 리 없다. 고위 공직후보자의 도덕성에 대한 국민의 한결같은 눈높이를 감안하면 최 후보자는 흔쾌히 ‘적격’ 판정을 받기 어렵다. 더구나 방통위는 국회 의결을 거친 야당 추천 상임위원 후보자에 대해 ‘경력 부족’을 이유로 퇴짜를 놓은 마당 아닌가. 국회가 부적격 의견서를 채택해도 대통령이 이를 따라야 할 법적 의무는 물론 없다. 국회법은 인사청문 요청안을 접수한 지 20일이 지나도록 국회 인사청문 절차가 완료되지 않으면 대통령이 내정자를 자동 임명할 수 있도록 규정하고 있다. 하지만 방통위 고유의 업무 특성을 생각하면 방통위 수장은 여야 모두로부터 후한 점수를 받은 인사가 맡아도 원만하게 끌어가기 힘든 자리다. 지금 방통위에는 공영방송 지배구조 개선, 단말기유통법 국회 통과, KBS 광고 폐지·수신료 인상 등 정치적으로 민감한 현안들이 산적해 있다. 잇단 해킹으로 인한 개인정보보호 대책 또한 시급을 다투는 문제다. 하나같이 고도의 전문성과 정무적 감각, 통합·조정능력이 요구되는 사안이다. 최 후보자는 기왕에 평생 법관의 소신도 꺾고 더 의미 있는 일을 하겠다고 마음먹었으면 보다 결연한 자세를 보여줘야 마땅하다. 적어도 재산형성 의혹과 관련해서는 의례적인 해명에 그칠 게 아니라 경우에 따라 사회 기부라도 하겠다는 적극적인 의지를 보여줄 필요가 있다. 확고한 도덕적 리더십을 확보하지 않고서는 이해관계가 첨예하게 맞부딪히는 복마전 같은 정보통신기술(ICT) 분야를 제대로 이끌어가기 어렵다. 단순히 인사청문회에 통과하는 것 자체가 문제가 아니다.

올 초 카드 3사에서 1억건 이상의 개인정보가 유출된 것으로 확인됐고, 그 여파가 가시기도 전에 KT에서 1200만건의 개인정보가 다시 유출된 것으로 확인됐다. 카드 3사에서 유출된 개인정보가 모두 회수돼 2차 유출은 없다던 정부의 장담을 반박이나 하듯 8000만건의 개인정보가 대출중개업자에게 팔려나간 사실이 알려지면서 국민의 불안은 극에 달하고 있다. 이번 개인정보 유출은 기업이 보안의 기본 원칙을 철저히 지키지 못함에 근본 원인이 있다. 더욱 우려되는 점은 해당 회사가 유출 사실을 확인한 것이 아니라, 해당 정보가 불법 유통되는 과정에서 수사 당국에 의해 인지돼 알려졌다는 점이다. 2년 전 유사한 해킹으로 870만건의 개인정보가 유출된 뒤 세계 최고 보안 인프라를 갖춰 국민이 안심할 수 있는 서비스를 제공하겠다는 KT의 약속도 말뿐이 되고 말았다. 정보통신강국인 대한민국이 ‘개인정보 공개 공화국’이라는 불명예로 휘청거리고 있다. 공개된 국민의 개인정보를 어떻게 보호해야 할지 막막할 지경이나, 문제 해결의 실마리는 모든 당사자들이 보안의 기본으로 돌아가는 평범한 사실에서 찾아야 한다. 외주 인력에 대한 보안 관리가 철저히 강화돼야 한다. 외주 인력의 내부 개인정보에 대한 접근은 적절히 제한돼야 한다. 해킹 사고로 정보 유출은 100% 막을 수는 없지만, 상시 모니터링으로 유출 사실을 조기 탐지해 피해 확산을 최소화해야 한다. 시스템 설계에서 운영까지 모든 과정에서 보안이 최우선적으로 반영돼야 한다. 시스템 설치와 운영 과정에서도 유출로 이어질 가능성이 있는 취약점을 부단히 찾고, 상시 모니터링으로 대규모 정보 유출을 미리 차단해야 한다. 정보 유출로 인한 피해는 최소화돼야 한다. 유출된 개인정보를 이용해 비정상적 카드 결제가 이뤄질 수 있으므로 정부의 대책 마련과 국민의 주의가 요구된다. 의심스러운 인터넷 주소는 절대 클릭하지 말고 전화로 요구하는 어떤 개인정보 제공 요구도 응하지 않아야 한다. 유출된 개인정보의 불법 유통과 활용에 대한 모니터링도 여러 기관이 협력해 강화돼야 한다. 금융소비자가 자기정보결정권을 확보하고, 불법 활용에는 징벌적 과징금을 매출액의 3%로 확대하며, 정보유출 기업에 최대 50억원의 과징금을 부과하며, 주민번호 노출을 최소화하고, 최고경영자(CEO)의 보안책임을 강화하는 내용으로 지난 10일 발표된 정책은 국회와 협조해 시급히 시행돼야 한다. 이번 대책은 문제 해결의 시작점이며 이번 대책이 담지 못한 추가 대책도 고려해야 한다. 글로벌 프라이버시 3대 원칙은 기업이 어떻게 개인정보를 처리하고 있는지 상세히 알려 주고, 소비자의 동의 및 통제하에 개인정보가 처리되며, 다른 사이트 간 개인정보가 연계되지 않도록 하는 것이다. 금융정보 보안대책은 주로 자기정보결정권과 처리 투명성 요구에 집중돼 마련됐으나 개인정보 연계 방지 요구는 고려되지 못한 측면이 있다. 사이트 간 개인정보 연계를 가능케 하는 만능열쇠인 주민번호가 여전히 수집처리되기 때문이다. 사이트 간 개인정보 연계를 막을 수 있는 영역별 대체 식별정보 체계를 도입해야 한다. 민간 분야 영역별 식별정보 체계는 조세 기반, 실명제 그리고 신용도 조회를 확보하도록 해야 하며 기존 식별 인프라를 활용하도록 구성돼야 한다. 국가 보안의 기본 방향성 변경도 고려돼야 한다. 모든 기업에 일관적으로 최소 수준의 보호조치만 요구할 것이 아니라, 정부가 상위 수준 가이드 라인만 제시하고 일정 규모 이상 기업이 스스로 하위 세부 보안 수준을 마련해 그에 따른 피해는 기업 스스로 책임지도록 하는 방침도 고려해야 한다. 시민단체가 주장하는 징벌적 손해배상제도와 집단소송제의 도입도 장기적으로 고려할 시점이다. 무엇보다도 중요한 점은 기업들의 보안 의식을 높이고 실질적인 보안 투자를 유도하며 소비자의 신뢰를 높일 수 있는 지배구조를 포함한 법 제도 정비와 환경 조성이다.

포털사이트 네이버에 타인의 개인정보로 로그인할 수 있는 프로그램을 개발해 판매한 대학생이 경찰에 붙잡혔다. 경찰청 사이버테러대응센터는 26일 유출된 개인정보로 네이버 회원 아이디와 비밀번호를 추출하고 이 아이디로 네이버 카페에 가입해 스팸 광고를 발송하는 기능을 갖춘 프로그램을 개발해 판매한 홍모(20)씨를 정보통신망법 위반 혐의로 체포해 조사하고 있다. 이 프로그램은 인터넷에 유통된 다른 웹사이트의 아이디와 비밀번호 등으로 네이버에 로그인되는지 확인하는 ‘로그인 체크기’와 ‘카페 자동가입기’, ‘광고 발송기’ 등 다양한 기능을 갖추고 있다. 홍씨는 중3 때부터 해킹을 독학해 고3 때인 2011년 네이버 관련 해킹 프로그램 22가지를 개발했고 최근까지 3년간 87명에게 건당 5만∼10만원씩 모두 2100만원을 받고 판 혐의를 받고 있다. 그는 경찰에서 “네이버 규모가 가장 커 맞춤형 프로그램을 개발했다”면서 “번 돈은 용돈으로 쓰거나 부모님께 드렸다”고 진술했다. 홍씨는 현재 지방대학 외식 관련 학과에 재학 중인 것으로 알려졌다. 경찰 관계자는 “홍씨는 네이버가 개인정보 침해를 막는 방어막을 설치하면 이를 다시 깨는 업그레이드 버전을 개발하기도 했다”고 말했다. 경찰은 또 홍씨에게 구입한 프로그램으로 네이버 카페에서 남의 아이디로 광고글을 올리며 개인정보를 판매한 혐의로 서모(31)씨를 구속했다. 서씨는 조선족에게 2500만명의 개인정보를 구입해 홍씨가 개발한 프로그램으로 지난해 8월부터 네이버에 접속해 개인정보를 판매한다는 광고를 올렸다. 서씨는 “실제로는 2000여명의 개인정보로 로그인해 광고글을 올렸다”고 진술했다. 유대근 기자 dynamic@seoul.co.kr

해커가 KT 홈페이지에 지난 3개월간 1200만번이 넘게 접속했으나 KT는 이를 전혀 감지하지 못한 것으로 드러났다. 심지어 특정 IP에서 하루 최대 34만번 접속이 이뤄졌을 정도로 홈페이지 보안이 허술했다. 미래창조과학부는 25일 KT 고객 정보 유출 사건과 관련, 민관합동조사단의 중간 조사결과를 발표했다. 미래부에 따르면 KT에 남아 있는 최근 3개월간 홈페이지 접속기록을 조사한 결과 해커가 약 1266만번 접속했던 것으로 확인됐다. 해커가 활개를 칠 수 있었던 이유는 KT 홈페이지에서 개인정보 데이터베이스(DB)를 조회할 때 고객서비스계약번호가 본인인지 아닌지 검증하는 단계 없이 제작됐기 때문이다. 이 같은 허점을 악용해 해커는 하루 최대 34만 1000번이나 접속했고 보안장비는 이를 한번도 잡아내지 못했다. 미래부는 이번 사건과 별도로 KT의 다른 홈페이지 9곳에서도 가입자 여부를 확인하지 않고도 조회가 가능한 취약점을 발견했으며, 이들 홈페이지로 접속한 기록도 8만 5999건이나 된다고 밝혔다. 미래부는 검찰, 경찰, 방송통신위원회 등에 관련 정보를 공유하고 KT에 추가 보안조치를 요청했다. 방송통신위원회 관계자는 “해킹과 관련해 KT의 허술한 홈페이지 관리가 확인된 만큼 이달 말까지 KT의 개인정보 수집부터 관리 이용까지 꼼꼼히 들여다볼 예정”이라면서 “4월 중순쯤 KT에 대한 제재 수위가 결정될 것”이라고 말했다. 정보통신망법에서는 개인정보 보호를 위한 기술적·관리적 조치 미이행으로 인한 개인 정보 누출 시 1억원 이하의 과징금을 부과하게 돼 있다. 명희진 기자 mhj46@seoul.co.kr

’아프리카TV’ 인터넷 개인방송을 진행하는 여성(BJ)의 컴퓨터에 해킹프로그램을 심어 화상 카메라로 속옷 사진 등 사생활을 찍어 협박한 대학생이 붙잡혔다. 부산 강서경찰서는 25일 컴퓨터를 해킹해 타인의 사생활을 엿보고 은밀한 사진을 찍어 협박한 혐의(정보통신망이용법 위반 등)로 대학생 이모(18)군을 불구속 입건했다. 이군은 올해 1월부터 2월 23일까지 한 인터넷 방송 사이트인 ‘아프리카TV’에서 활동하는 A(23)씨 등 여성 진행자 11명의 컴퓨터에 해킹 프로그램을 심어 화상 카메라로 이들 여성의 사생활 장면이 담긴 사진이나 동영상을 찍은 뒤 이를 저장해놓고 협박한 혐의를 받고 있다. 이군은 A씨 등 2명이 옷을 갈아입는 사진 등이 담긴 메시지를 보내 협박했고 여성 9명의 컴퓨터 속 SNS 대화내용이나 사적인 사진 등 개인정보까지 빼내 돈을 주지 않으면 유포하겠다고 협박했다. 이중 피해여성 1명에게는 6차례에 걸쳐 1000만원을 요구하기도 했다. 경찰 조사결과 이군은 ‘졸업사진’이라는 제목의 쪽지를 아프리카TV에서 활동하는 상위 100위까지 인터넷 방송 진행자에게 보내 쪽지에 첨부된 파일을 클릭하면 악성프로그램이 자동으로 설치되는 수법으로 범행을 저질렀다. 이군은 여성들이 컴퓨터를 켜놓은 시간 내내 화상캠을 원격조종해 이들의 사생활을 훔쳐보며 사진이나 동영상을 찍어 저장했다. 이군은 자신의 컴퓨터에 창을 여러 개 띄워놓고 여성들의 사생활을 엿봤으며 이들이 주로 인터넷 방송으로 하루 대부분을 집에서 생활한다는 점을 노렸다. 피해여성들은 이 사실을 감쪽같이 모른 채 이군으로부터 자신들의 사생활이 담긴 사진 등이 담긴 메시지를 받고 소스라치게 놀랐다. 경찰이 한달여 동안 추적 끝에 쪽지의 발신지가 서울 마포구의 한 아파트로 밝혀내고 최근 충청지역의 한 대학 근처 카페에서 이군을 붙잡았다. 이군은 올해 이 대학 정보보안학과에 입학한 신입생이었다. 인터넷 등을 통해 독학으로 해킹을 공부해온 이군은 직접 악성프로그램을 제작할 정도로 해킹 분야의 지식이 상당했다고 경찰은 전했다. 경찰 관계자는 “이군이 제작한 악성프로그램은 기존 백신프로그램으로 탐지가 되지 않았다”며 “출처가 불분명한 이메일이나 쪽지는 열어보지 말고 즉시 삭제해야 해킹의 우려가 없다”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

인터넷 방송 사이트 ‘아프리카TV’에서 활동하는 여성 BJ의 컴퓨터에 해킹 프로그램을 심어 화상 카메라로 속옷 사진 등 사생활을 찍어 협박한 대학생이 붙잡혔다. 부산 강서경찰서는 25일 컴퓨터를 해킹해 여성 BJ들의 사생활을 엿보고 은밀한 사진을 찍어 협박한 혐의로 대학생 이모(18)군을 불구속 입건했다. 이군은 올해 1월부터 2월 23일까지 인터넷 방송 사이트 ‘아프리카TV’의 BJ A(23·여)씨 등 여성 진행자 11명의 컴퓨터에 해킹 프로그램을 심어 화상 카메라로 이들의 사생활 장면이 담긴 사진이나 동영상을 찍은뒤 이를 저장해 협박한 혐의를 받고 있다. 이군은 A씨 등 2명이 옷을 갈아입는 사진 등이 담긴 메시지를 보내 협박했고 여성 9명의 컴퓨터 속 대화내용이나 사적인 사진 등 개인정보까지 빼내 돈을 주지 않으면 유포하겠다고 협박했다. 이중 피해여성 1명에게는 6차례에 걸쳐 1000만원을 요구하기도 했다. 조사결과 이 군은 ‘졸업사진’이라는 제목의 쪽지를 아프리카TV에서 활동하는 상위 100위까지 BJ에게 보내 쪽지에 첨부된 파일을 클릭하면 악성프로그램이 자동으로 설치되는 수법으로 범행을 저질렀다. 이군은 여성들이 컴퓨터를 켜놓은 시간 내내 화상 카메라를 원격조종해 이들의 사생활을 훔쳐보며 사진이나 동영상을 찍어 저장했다. 여성 BJ들이 주로 인터넷 방송으로 하루 대부분을 집에서 생활한다는 점을 노린 이군은 자신의 컴퓨터에 창을 여러 개 띄워놓고 여성들의 사생활을 엿봤다. . 피해 여성들은 이 사실을 감쪽같이 모른 채 이군으로부터 자신들의 사생활이 담긴 사진 등이 담긴 메시지를 받고 소스라치게 놀랐다. 경찰이 한달여동안 추적 끝에 쪽지의 발신지가 서울 마포구의 한 아파트로 밝혀내고 최근 충청지역의 한 대학 근처 카페에서 이군을 붙잡았다. 이군은 올해 이 대학 정보보안학과에 입학한 신입생이었다. 인터넷 등을 통해 독학으로 해킹을 공부해온 이군은 직접 악성프로그램을 제작할 정도로 해킹 분야의 지식이 상당했다고 경찰은 전했다. 경찰 관계자는 “이군이 제작한 악성프로그램은 기존 백신프로그램으로 탐지가 되지 않았다”면서 “출처가 불분명한 이메일이나 쪽지는 열어보지 말고 즉시 삭제해야 해킹의 우려가 없다”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

신용카드사와 이동통신회사 KT의 가입자 정보 유출에 이어 생명보험회사, 손해보험회사 등 국내 보험회사 30곳 정도의 고객 정보가 모두 유출된 것으로 23일 확인됐다. 국민·롯데·농협 등 카드 3사의 고객 정보 1억여건이 유출된 데 이어 시중 대부분의 보험회사 고객 정보가 대규모 유출된 것은 처음이다. 보험회사의 정보는 고객의 단순 개인정보를 넘어 질병정보까지 포함될 수 있다는 점에서 파장이 걷잡을 수 없이 확산될 것으로 보인다. 보험사가 보유한 고객 정보에는 보험계약자, 피보험자, 주민등록번호, 주소, 보험료 등과 같은 개인정보는 물론이고 질병명, 장해부위, 장해비율, 수술명, 입원 여부와 같은 민감한 사생활 정보도 대거 포함돼 있다. 이러한 민감 정보까지 유출됐다면 정보꾼들이 보험 가입자들의 질병과 수술 내용까지 파악할 수 있게 된 셈이다. 인천 남동경찰서 수사과 지능팀은 국내 보험회사 30곳 이상의 고객 정보를 빼내 불법 유통한 일당 10여명을 검거해 조사하고 있다. 이들은 보험사 홈페이지를 해킹해 고객 정보를 빼낸 것으로 알려졌다. 경찰은 최근 해당 보험회사 직원들을 비롯해 금융감독원 담당 직원을 참고인 신분으로 소환해 사실관계를 조사했다. 경찰 관계자는 “보험회사들로부터 유출된 정보가 자사 고객 정보가 맞는지 확인하고 있다”면서 “보험회사 30곳 이상의 고객 정보가 유출됐고 관련 사건에 대해 현재 마무리 확인 작업 중에 있다”고 밝혔다. 앞서 푸르덴셜생명은 외부인에게 사내 전산망 조회가 가능한 권한을 줘 개인신용정보를 열람하게 했다가 적발되는 등 부분적인 정보 노출은 있었지만 보험사 30개사 가량의 고객 정보가 무더기로 유출된 것은 처음이다. 국내에서 영업을 하고 있는 생명보험사는 삼성생명, 교보생명, 한화생명, 미래에셋생명, 동양생명, 현대라이프 등 24개사다. 손해보험사는 삼성화재, 현대해상, 메리츠화재, LIG손보, 흥국화재, 동부화재, 한화손보, 롯데손보 등 17개사다. 한편 보험사 고객 정보를 빼낸 이들 일당은 인터넷 및 유선 고객 가입자의 고객 정보도 확보하고 있는 것으로 전해졌다. 경찰은 이들이 이통사 고객 정보를 소유하게 된 경위 등도 수사하고 있다. 김승훈 기자 hunnam@seoul.co.kr 이성원 기자 lsw1469@seoul.co.kr

CJ대한통운 개인정보 유출 일파만파…검거 택배기사 수법은? 카드회사와 이동통신사에 이어 국내 최대 규모의 물류·택배회사인 CJ대한통운에서도 개인정보가 유출된 것으로 드러났다. 인천 삼산경찰서는 개인정보보호법 위반 혐의로 경기도 용인 모 심부름센터 업주 A(32)씨 등 센터 관계자 2명을 구속했다고 17일 밝혔다. 경찰은 또 CJ대한통운 택배기사 B씨(49) 등 8명도 같은 혐의로 불구속 입건했다. A씨는 지난해 9월부터 지난 2월까지 CJ대한통운 택배 배송정보조회 프로그램을 이용해 382차례에 걸쳐 고객 개인정보를 수집한 뒤 팔아 7138만원을 챙긴 혐의를 받고 있다. A씨는 손님들로부터 개인정보 조회 의뢰를 받으면 260만원을 주고 B씨에게서 받은 배송 정보조회 프로그램용 아이디와 비밀번호를 이용, CJ대한통운의 고객 정보를 유출한 것으로 드러났다. 경찰의 한 관계자는 “택배 배송정보조회 프로그램에는 이 회사의 택배 서비스를 이용한 고객들의 이름, 전화번호, 주소 등이 담겼다”며 “조회 시점으로부터 3개월 전까지만 정보를 볼 수 있는 시스템이었다”고 말했다. 경찰은 유출된 개인정보 규모를 파악하는 한편 CJ대한통운의 개인정보 담당자를 불러 조사한 뒤 업무상 관리 소홀 혐의가 인정되면 입건할 방침이다. CJ대한통운은 개인정보 유출 사태와 관련해 보도자료를 내고 “이 같은 일이 발생한 것에 대해 고객 여러분께 사과드린다”고 입장을 밝혔다. 회사 측은 “택배프로그램으로 택배를 접수한 고객이나 받는 사람의 주소와 전화번호를 개별 한 건씩만 검색할 수 있고 다운로드 기능이 없어 개인정보 대량유출 가능성은 없다”라며 “이번 건도 외부 해킹과는 무관하다”라고 해명했다. 이어 “택배프로그램이 설치된 현장 전반의 보안상황을 특별 점검했으며 개인정보보호 관련 택배직원 교육에 더욱 힘써 재발방지에 최선을 다하겠다”고 덧붙였다. 온라인뉴스부 iseoul@seoul.co.kr

최근 카드사와 이동통신사에서 고객 개인정보가 대량으로 유출돼 사회적 물의를 일으킨 가운데 일부 취업 포털 사이트도 개인정보 관리가 허술한 것으로 나타났다. 취업 포털 사이트에 구직자가 등록한 이력서가 제3자에게 쉽게 노출되는 등 허점이 많았다. 한국소비자원은 14일 사람인, 스카우트, 인쿠르트, 잡코리아, 커리어, 파인드잡 등 지난해 이용자 수가 많았던 6개 취업포털 사이트를 대상으로 실태를 조사한 결과 일부 사이트에서 이용자들의 이력서를 관리하는 데 문제가 있었다고 밝혔다. 이력서에는 이용자의 일반 정보뿐만 아니라 휴대전화 번호, 이메일 주소, 학력, 학점, 경력 등 민감한 정보가 포함돼 있다. 하지만 일부 사이트는 구직자가 올려 놓은 이력서를 다른 제휴 사이트와 공유하거나 이력서 일부를 일반 이용자들도 볼 수 있도록 했다. 실제로 소비자원이 6개 취업 포털 사이트를 대상으로 이용자들에게 만족도 조사를 실시한 결과 개인정보 보호제도에 대한 점수가 상대적으로 낮았다. 취업 포털 사이트에 대한 이용자들의 종합 만족도는 평균 3.38점(5점 만점)으로 나타났지만, 개인정보 보호에 대한 만족도는 3.30점에 그쳤다. 바이러스, 해킹 등 방어 기능에 대한 만족도는 3.23점으로 더 낮았다. 사이트별 개인정보 보호제도에 대한 만족도는 파인드잡이 3.18점으로 최하위였고 잡코리아 3.23점, 커리어 3.26점, 스카우트 3.34점, 사람인 3.37점, 인쿠르트 3.39점 등으로 나타났다. 소비자원은 취업 포털 사이트가 개인정보 보호를 위해 기술적, 정책적 조치를 취하도록 업계에 개선을 권고하기로 했다. 장은경 소비자원 서비스조사팀장은 “취업 포털 이용자들은 비밀번호를 주기적으로 바꾸고 사이트를 이용하지 않을 때는 등록한 이력서 등 문서를 바로 삭제하거나 비공개로 설정해야 개인정보를 안전하게 관리할 수 있다”고 말했다. 이번 소비자원의 조사 결과는 공정거래위원회가 운영하는 ‘스마트컨슈머’(www.smartconsumer.go.kr) 사이트에서 확인할 수 있다. 장은석 기자 esjang@seoul.co.kr

최소한 올 1월까지 SK브로드밴드의 고객 개인정보가 유출된 정황이 포착됐다. 개인정보 1230만건 유출 사건을 수사 중인 부산 남부경찰서는 유통업자 문모(44·구속)씨가 지난 1월 SK브로드밴드의 한 영업점 사이트의 아이디와 비밀번호를 중국인으로 추정되는 A씨와 주고받은 문자를 확보했다고 14일 밝혔다. 따라서 경찰은 최소한 지난 1월까지 이 영업점의 고객 정보가 유출됐을 가능성이 큰 것으로 파악하고 있다. 또 문씨가 SK브로드밴드의 고객 정보 15만건을 확보하고 이를 엑셀 파일을 통해 연령, 지역, 성별 등으로 가공한 뒤 권모(31)씨 등에게 팔아넘긴 것으로 경찰은 보고 있다. 이는 문씨 등이 ‘SK’라는 파일명으로 보관하고 있던 개인정보 150만여건 가운데 일부다. 경찰은 미래창조과학부와 한국인터넷진흥원 관계자 등 7명으로 합동 점검반을 편성해 SK브로드밴드의 해당 영업점 사이트 서버를 압수, 정확한 해킹 경로와 시기 등을 조사하고 있다. 해당 영업점이 2개월 단위로 고객 개인정보를 보관하고 수시로 비밀번호를 변경한다고 밝혔지만 유출된 개인정보가 무려 15만건에 달해 장기간 해킹됐을 가능성이 크다. 그러나 경찰은 LG유플러스와 KT 등 이동통신사들과 11개 금융기관, 여행사, 인터넷 쇼핑몰, 불법 도박 사이트 등에서는 어떤 경로를 통해 개인정보가 유출됐는지 아직 파악하지 못했다고 밝혔다. 이에 대해 SK브로드밴드 측은 “문제의 영업점으로 거론된 곳은 우리 회사와 계약을 맺은 영업점이 아니다”면서 “특정 업체만을 대상으로 영업하는 것은 아닌 것으로 알고 있다”고 말했다. 한편 지난 11일 부산 남부경찰서는 통신 3사 등에서 유출된 개인정보 1230만여건을 유통한 혐의로 문씨를 구속하고 이를 영업 등에 사용한 권씨 등 17명을 불구속 입건했다. 부산 김정한 기자 jhkim@seoul.co.kr

카드 3사의 개인정보 유출 사건을 계기로 개인정보보호 전반에 대한 사회적 인식이 바뀌는 단초가 마련된 것은 다행이다. 재탕, 삼탕이라는 비판도 없지 않지만 정부는 지난 10일 금융기관의 불필요한 정보 수집을 제한하는 내용 등을 담은 ‘금융분야 개인정보보호 종합대책’을 내놓고 재발 방지에 애쓰고 있다. 서울신문은 지난 2월 19일과 20일 ‘개인정보유출사고의 불편한 진실’이라는 기획 기사를 비롯해 수차례에 걸쳐 그동안 금융사의 정보책임자들이 보안 전문성이 턱없이 부족하고 금융당국의 금융사들에 대한 관련 처벌수위가 솜방망이에 그치고 있었다고 지적했다. 한마디로 아직까지 우리 사회에서는 개인정보보호라는 문화가 형성돼 있지 않다는 얘기다. 개인정보를 활용해 수익을 내고 있는 기업에서는 일부 전산부서나 담당직원의 일인 양 소홀히 다뤄 왔고, 국민들의 경우에도 쿠폰·경품지급, 제휴사 할인, 이벤트 행사에 무심코 개인정보를 적어 내는 등 개인정보에 대한 권리의식이 부족했던 것 또한 사실이다. 한편, 카드 3사의 개인정보 유출 사건의 여파가 채 가라앉기도 전에 최근 또다시 KT에서 1200만건, 소셜커머스 업체에서 110만건, 인터넷 사이트 225개를 해킹해 1700만건의 개인정보가 유출된 사건이 추가로 밝혀졌다. 이러한 일련의 개인정보 유출 사건은 국민들의 불안감을 증폭시켰고 기업의 책임성을 대폭 강화해야 한다는 목소리가 높아지고 있다. 다행히 이러한 문제의식 속에서 이제 개인정보보호 문제는 우리 사회 전반적으로 매우 중대한 전환점을 맞고 있다. 이번 카드사 정보유출 사건을 계기로 우리 사회가 많이 달라지고 있다. 정부는 지난 2월부터 총리실에 ‘범정부 개인정보보호 태스크포스’(TF)를 구성해 모든 공공기관과 민간사업자의 개인정보 처리 실태와 취약점의 일제점검에 나섰고, 국회에서도 50여개나 되는 개인정보보호 관련 법안이 상정돼 입법논의가 활발히 진행 중이다. 며칠 전 개인정보 유출 사실이 밝혀진 한 통신업체에서도 예전과는 많이 달라진 모습을 보였다. 기업의 최고경영자가 유례없이 신속하게 대국민 사과와 개인정보보호 대책을 내놓았다. 국민 또한 많이 달라졌다. 개인정보를 유출한 기업의 상품이나 서비스 해지, 피해보상을 요구하는 등 자신의 권리를 적극적으로 주장하고 있다. 개인정보보호에 대한 기업과 국민의 인식이 현저하게 변화되고 있는 것이다. 최근의 개인정보 유출 사건은 국민들의 권리 의식과 기업들의 윤리 의식을 확대시켜 개인정보보호가 우리 사회의 문화로 정착될 수 있는 중요한 계기가 되고 있다. 이러한 보호문화의 토대 위에서만 빅데이터 시대에 걸맞게 안전한 개인정보 이용이 뿌리내릴 수 있다. 다만, 이번 계기가 헛되지 않도록 한발 더 나아가야 한다. 정부는 사회 전반의 개인정보보호 실태와 문제점을 점검하고 법·제도적 정비를 신속하게 추진해야 한다. 기업들은 개인정보보호를 위한 비용이 기업의 생존과 관련된 중요한 투자임을 인식하고 최고경영자로부터 말단직원에 이르기까지 전사적인 노력을 경주해야 한다. 아울러 국민들도 자기정보에 대한 권리 의식을 갖고 개인정보 제공 동의서들을 꼼꼼히 읽어보고 불합리한 개인정보 제공 요구에 대해서는 거부할 수 있어야 한다. 서울신문은 정부가 내놓은 정책들이 제대로 이행되고 있는지, 허점은 없는지 추적 보도해 이번 대책이 일회성에 그치지 않도록 깐깐한 감시자 역할을 해야 한다.

정부가 10일 발표한 ‘금융 분야 개인정보 유출 재발방지 종합대책’이 재탕, 삼탕 수준이라는 지적이 나온다. 여기다 상당수 대책들이 신용정보법 등 관련법 개정을 통해 이뤄지는 만큼 실제로 시행되려면 상당한 시일이 걸릴 뿐 아니라 국회 여야 의견이 엇갈려 실효성에도 의문이 제기된다. 다만 본인 정보의 금융사 이용 현황을 확인할 수 있고, 이를 철회할 수 있는 ‘자기 정보 결정권’을 보장해 주는 내용은 눈에 띈다. 금융당국은 지난주 예정된 대책 발표가 또 일주일 미뤄졌던 이유에 대해 해킹방지 대책과 주민등록번호 대체 방안을 담기 위한 것이라고 밝혔다. 하지만 크게 진전된 내용은 없었다. 해킹방지 대책으로는 고유식별정보의 암호화 추진과 내·외부 망분리 방안을 제시했지만, 이 내용들은 해킹 사고 때마다 나왔던 ‘단골 대책’이다. 이해선 금융위원회 중소서민금융정책관은 “부처 간 협의를 완료해 하자고 해서 미뤄진 것”이라고 해명했다. 일각에서는 지난주 KT 해킹 사고를 고려해 일정을 연기한 것이라는 해석도 있다. 금융소비자보호원 설치를 놓고 금융위 조직 개편으로까지 전선을 확대한 여야 관계를 감안하면 이번 대책이 제때 실행될 수 있을지도 미지수다. 신용정보법 개정안은 지난달 여야 합의 실패로 통과가 불발됐다. 여야 간 요구 조건을 받아들이거나, 철회하지 않는다면 다음 달 국회 통과도 쉽지 않은 형국이다. 금융위 관계자는 “다음 달 국회 통과가 안 되면 ‘모범 규준’(업계 자율 규약)을 만들어서라도 추진하겠다”고 말했다. 주민등록번호 암호화, 정보보호와 보안 책임 강화, 보관 정보의 5년 내 파기 등은 사고 때마다 등장하는 ‘약방에 감초’ 같은 대책들이다. 이를 어긴 금융사를 제재하지 않는 금융당국이 더 큰 문제라는 지적이 나온다. 그러나 지난 1월과 달리 이번 대책에 자기 정보 결정권이 추가된 대목은 주목된다. 금융사가 자신의 정보를 어떻게 이용하고, 보호하고 있는지를 확인할 수 있는 권리다. 내키지 않는다면 기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융사가 보유한 자신의 정보에 대해 파기 등을 요구할 수 있다. 특히 명의도용 피해 방지를 위해 신용 조회를 일정 기간(1일) 중지할 수도 있다. 김승주 고려대 정보보호대학원 교수는 “정보 보관 기간을 5년으로 제한하거나 주민등록번호를 내·외부망에서 암호화하는 예방책은 이미 거론됐거나 시행하고 있는 내용”이라고 말했다. 은행계 카드사 관계자는 “고객 동의하에 정보를 활용하되 보안을 강화하는 식으로 가야 하는데 이번 대책은 일단 손발을 묶고 보는 식이어서 안타깝다”고 말했다. 시중은행의 한 관계자는 “정부대책을 따라야 하겠지만, 고객 정보 보유 기간을 5년으로 제한하는 것은 은행법에 명시된 ‘10년 정보 보유 규정’과 달라 혼란스럽다”고 말했다. 김경두 기자 golders@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

카드사 개인정보 유출 사고의 충격이 채 가시기도 전에 KT 홈페이지가 초보 해커에게 어이없이 뚫렸다. 보안 사고가 잇따르자 업계는 물론 개인 사용자들도 언제 누구에게 어떻게 당할지 모르는 해킹 위협에 잔뜩 긴장하는 모양새다. PC와 모바일은 물론 삶 전반에 디지털 기기가 녹아들면서 생활 속 보안 위협도 점점 커지고 있다. 디지털 시대 정보의 창과 방패가 된 해킹의 역사를 들여다보고 올해 기승할 것으로 예상되는 해킹 방식과 예방 방법도 함께 짚어봤다. 해킹이 1960년대 미국 대학생들의 호기심에서 시작됐다는 사실을 아는 이들은 많지 않다. 정보가 돈인 시대에서 해킹은 이미 하나의 범죄 유형, 수단으로 자리 잡았기 때문이다. 해킹의 시초는 미 메사추세츠 공과대학(MIT) 동아리 모임이 야밤에 학교 건물에 몰래 들어가, 컴퓨터 시스템을 사용했던 1960년대로 올라간다. 이때는 남의 자료를 재미 삼아 훔쳐보거나 비밀번호를 바꿔 골탕먹이는 게 대부분이었다. 국내에서는 1996년 4월 카이스트 해킹 동아리가 포항공대 전자공학과 전산시스템을 공격하면서 해킹 이슈가 떴다. 이들은 전산시스템에 올라온 자료를 모두 삭제하고 아예 비밀번호를 바꿔버렸다. 조사 결과 포항공대 해킹 동아리와 라이벌이었던 카이스트 동아리가 앞서 뚫린 카이스트 시스템에 대한 범인을 포항공대 동아리로 지목, 보복 공격을 한 것으로 드러났다. 일종의 자존심 싸움이었던 셈이다. 그러나 초창기 해킹과 달리 해킹은 허가받지 않은 시스템에 침투해 정보를 훔치는 부정적인 의미가 더 커졌다. 때문에 악의 여부에 따라 단어를 구분해 사용해야 한다는 목소리도 있다. 보안의 취약점을 찾아 내기 위한 시스템 침투 행위에는 ‘해킹’이란 단어를 그대로 쓰되, 범죄 등 악의적 침투 행위에는 ‘크래킹’이라는 단어를 쓰자는 주장이다. 그렇다면 악의적인 크래킹 공격을 효과적으로 막기 위해서는 어떻게 해야 할까. 체코의 보안업체인 ‘AVG테크놀로지’는 올해 주의해야 할 보안위협으로 ‘랜섬웨어’(Ransomware)와 ‘스캠’(scams) 등을 꼽았다. 랜섬웨어는 PC 파일을 열지 못하도록 하는 악성코드로 모든 정보에 암호를 건 뒤 크래커가 해독키를 조건으로 돈을 요구하는 방식이다. 스캠은 신용사기로 이메일을 해킹해 거래처 등에 ‘계좌가 변경됐다’는 식으로 메일을 보내 돈을 보내게 하는 일종의 해킹과 피싱의 결합 버전이다. 보안 전문가들은 “이제 기업뿐만 아니라 개인 사용자 모두가 해커의 대상”이라면서 “의심 가는 이메일을 열어보지 말고 평소 백신을 최신으로 깔아놓고 데이터를 백업해 두는 습관을 가져야 한다”고 조언했다. PC뿐만 아니라 스마트폰에서도 마찬가지다. 보안업계에서는 특히 올해 안드로이드 운영체제(OS)의 보안 위협이 크게 증가할 것으로 전망했다. 안랩에 따르면 지난해 안드로이드 OS에서 발생한 악성코드는 2012년에 비해 60% 이상 증가했고 현재까지 꾸준히 증가 추세다. 지난해 접수된 보안 문제를 유형별로 들여다보면 전화나 문자 가로채기, 기타 악성코드 다운로드, 원격 조종 등을 목적으로 하는 트로이목마가 전체의 54%를 차지한다. 안랩 관계자는 10일 “모바일에서는 문자나 메일 등으로 전송된 인터넷 주소를 클릭하거나 특정 페이지에서 요구하는 애플리케이션(앱)을 설치할 때 주의해야 한다”면서 “특히 새로운 앱은 일주일 이상 사용자의 평을 지켜본 후 설치하는 것이 좋다”고 조언했다. 명희진 기자 mhj46@seoul.co.kr

‘티몬 고객정보유출’ 7일 티켓몬스터는 최근 경찰로부터 2011년 4월에 발생한 것으로 추정되는 해킹에 의해 113만 명의 고객들의 개인정보 일부가 유출된 사실을 전달받았다고 밝혔다. 경찰에 따르면 유출된 정보는 일부 고객의 성명, 아이디, 성별, 생년월일, 휴대전화번호, 전자우편주소, 배송지 전화번호 및 주소, 사진을 업로드한 경우 해당 이미지 파일에 대한 링크 등이다. 그러나 주민등록 번호와 패스워드 같은 중요 정보는 해쉬 값(hash value)으로 일방향 암호화(one-way encryption) 처리돼 있어 그 누구도 풀어내거나 식별할 수 없으므로 추가적인 피해는 발생하지 않았다. 하지만 티몬은 2011년 4월 발생한 고객정보 유출사건을 3년간 알지 못했다는 점에서 이용자들의 비난을 면하기 힘들게 됐다. 또한 티몬은 경찰로부터 지난 5일 유출 사실을 전달받고도 금요일 오후 늦게야 언론에 사실을 공표해 사건의 파장을 축소하기 위한 의도가 아니냐는 의혹도 제기되고 있다. 이에 티몬 사과문을 발표하고 공식 사과했다. 티몬측은 “고객정보를 유출한 해커는 현재 구속돼 구체적은 유출 경위 등에 대한 경찰의 수사가 진행되고 있으며 당사는 경찰의 수사에 적극 협력하면서 고객님께 발생할 수 있는 피해를 예방하고 유사 사례 방지를 위해 최선의 노력을 기울이고 있다”고 전했다. 또한 “고객정보 보호를 위해 최선을 다하고 있다. 개인정보보호법과 정보통신망 법에서 제시한 모든 보안관련 사항을 준수하고 있으며, 보안업계 최고 수준의 관제회사로부터 365일 24시간 전문적인 보안관제 서비스를 받고 있다”라며 “향후에는 이런 일이 발생하지 않도록 임직원 모두가 고객님의 개인정보 보호에 더욱 만전을 기할 것임을 약속드린다”고 덧붙였다. 사진 = 서울신문DB (티몬 고객정보유출) 온라인뉴스부 seoulen@seoul.co.kr

국가 기간통신사업자인 KT에서 1200만명의 개인정보를 도둑맞는 사고가 터졌다. KT의 서비스 이용 고객이 1600만명이라니 400만명만 남기고 다 털린 것이다. 그럼에도 KT는 이 사실을 1년 동안 까마득히 모르고 있었다고 한다. 최고 통신업체의 구멍 난 정보관리 체계도 그렇거니와 초보 수준의 해킹에 당했다는 사실에 허탈함으로 말문이 막힐 지경이다. 한 달여 전인 1월에 카드3사에서 1억 400만건의 개인정보가 유출된 터라 언제쯤 유사 사고가 멈출까 하는 불안감도 지울 수 없다. 사고에 이용된 수법은 아주 단순했다. 구속된 해커 김모(29)씨는 인터넷에서 쉽게 구할 수 있는 ‘파로스’라는 프로그램을 이용, 한 개의 인터넷주소(IP)로 접속한 뒤 9자리의 ‘고객 고유번호’를 무작위로 입력시켜 주민등록번호, 은행 계좌번호 등을 야금야금 빼돌렸다. 이 방법은 일반인도 가능한 초보 수준이다. 성공률이 높은 날은 20만~30만건도 가능했다고 한다. 그는 공모한 텔레마케팅 업체 대표와 함께 이들 정보를 휴대전화 판매 영업에 활용했고, 400만건은 대리점 3곳에다 팔아 115억원 이득을 챙겼다. “여러 곳을 시도했는데 KT에만 통했다”는 그의 말은 KT의 개인정보 관리의 현주소를 여실히 보여주고 있다. KT는 2012년 7월 전산망의 해킹으로 873만건의 개인정보가 유출됐을 때 세계 최고수준의 보안 인프라를 갖추겠다고 약속했다. 물론 이번 사고는 고객이 이용하는 관리센터의 홈페이지를 해킹한 것으로, 2년 전 내부적으로 관리하는 대리점 영업부문 시스템을 접속해 개인정보를 빼내간 것과 중요도는 다르다. 고객들이 이용한 요금 조회를 손쉽게 하려고 접근 편의성을 고려했을 수도 있다. 하지만 동종 업체인 SK텔레콤과 LG유플러스에서는 입력한 고객번호가 반복해 틀리면 접속을 차단하는 시스템을 갖추고 있다고 한다. 대부분의 기업도 이런 잠금기능이 작동되는 체계를 갖고 있다. 이는 KT가 잇따른 유출 사고에도 불구하고 개인정보 관리를 전사적으로 하지 않았다는 것을 뜻한다. 개인정보 유출 사고는 해당 기업의 잘못이 크지만 법적·제도적 허점에서 비롯된 측면도 있다. 현재 개인정보 유출을 막기 위한 ‘정보통신망법’ 개정안과 보이스피싱·스미싱과 관련한 ‘전기통신사업법’ 개정안이 국회에 계류돼 있다. 지난 2월 국회에서 방송법 이견으로 통과되지 못했다. 정보통신망법에는 손해배상제도의 도입과 과징금 강화 등의 내용이 담겨 있다. 또한 정부는 곧 카드사의 정보 유출과 관련해 개인정보보호 종합대책을 발표한다. 지난달 금융위원회가 발표한 금융사에 매출액의 1%를 징벌적 과징금으로 부과하는 등의 내용이 담길 것으로 보인다. 이들 내용은 ‘신용정보법’ 개정안 등에 포함된다. 개인정보 유출로 인한 피해는 고객이 고스란히 입는다. 배상금을 정부가 가져가는 구조는 잘못됐다. 징벌적 과징금 부과와는 별개로 민사소송 절차 없이 피해 고객이 직접 배상을 받을 수 있게 해야 한다. 끊임없는 정보 유출 사고로 피해고객이 참을 수 있는 한도를 넘어선 상태다. 당연히 정보 유출 당사자인 KT에는 엄정한 책임이 뒤따라야 한다. 하지만 피해 당사자가 뛰어다니며 소송에 임하는 구조는 더 이상 안 된다. 고객이 KT에 배상 책임을 물을 수 있는 법적· 제도적 장치가 속히 도입돼야 한다.

“수사 발표 당일 4시간 전까지도 KT에서는 (정보 유출 사실을) 전혀 몰랐어요.” KT 고객정보 유출 사건을 수사 중인 한 경찰은 7일 KT의 허술한 대처를 두고 혀를 내둘렀다. 그는 “우리가 6일 오전 직접 방문해 유출 사실을 전해줄 때까지 KT는 뜬 눈으로 1200만명의 고객 정보를 흘렸다”면서 “국내 최대 통신사의 보안이 이렇게 쉽게 뚫릴 수 있는지 범인의 해킹 방법을 눈으로 보고도 황당했다”고 말했다. 인천지방경찰청 광역수사대가 해당 사건을 인지한 건 지난 2월 1일. 수사는 ‘해커가 개인정보를 빼내 텔레마케팅 장사를 한다’는 첩보에서 시작됐다. 탐문 수사 끝에 경찰이 영장을 받아 해커 김모(29)씨의 사무실을 압수수색하기까지 걸린 시간은 2주. 경찰은 김씨가 빼낸 정보가 KT 고객정보라는 사실을 그 이후 알았다. 김씨는 경찰 조사에서 약 한 달간 독학해서 해킹 프로그램을 만들었다고 말했다. 해커의 능력을 떠나 KT의 보안 시스템이 얼마나 취약했는지를 단적으로 보여주는 대목이다. 김씨는 “개인정보를 해킹해 돈을 벌려 했다”면서 “(만든 프로그램으로) 여기저기 시도했는데 KT만 뚫렸다”고 진술했다. 김씨가 시연한 해킹 방법은 단순했다. 김씨는 먼저 KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌렸다. 9자리 고유번호가 맞아떨어지면 개인정보가 뜨는 KT의 고객정보 관리 시스템의 허점을 파고들었다. 보안이 철저한 곳은 본인 인증 서비스를 한번 더 이용하게끔 돼 있다. 김씨는 이때 2000년대 유행했던 해킹 툴인 ‘파로스 프로그램’을 이용했다. 파로스는 인터넷에서 누구나 공짜로 다운받을 수 있는데 PC와 서버 간에 오고 가는 정보를 중간에 가로챌 수 있다. 김씨는 고유번호가 맞아떨어졌을 때 파로스로 KT 메인 서버가 보내는 개인정보를 수집했다. 이름, 주민번호, 휴대전화번호, 이용대금, 계좌번호, 카드사, 잔여 가입비 등 암호화되지 않은 13개 항목의 정보가 그대로 잡혔다. 정보통신보안법에 따르면 서버상의 모든 개인정보는 암호화 준칙을 준수하도록 돼 있다. 서버 간 정보를 보낼 때도, 심지어 본인이 개인정보를 조회하려 해도 일부 개인정보는 ‘*’ 표시로 가리도록 권장한다. 전화번호가 ‘2000-0000’이라면 ‘20**-00**’식으로 표시돼야 한다는 소리다. 경찰이 KT 보안 담당자를 사법처리하려는 이유가 여기에 있다. 김씨가 가로챈 정보가 전혀 암호화되지 않았다는 건 KT 홈페이지의 보안이 뚫린 게 아니라 뚫려 있었다는 얘기가 된다. 해킹에 대한 기초적인 지식만 있으면 누구나 개인정보를 빼갈 수 있는 빌미를 제공한 셈이다. 이에 경찰도 다음 주초 KT 보안 관계자들을 불러 허술한 홈페이지 보안 시스템과 관리 소홀 여부를 집중 추궁할 계획이다. 한 수사관은 “만약 암호화 준칙을 제대로 지키지 않은 것이 확인된다면 보안 관리자뿐만 아니라 필요에 따라 홈페이지를 만든 업체까지 불러 조사할 수 있다”고 말했다. 이 관계자는 “해커가 하루 종일 9자리 숫자를 집어넣는데도 KT가 이를 눈치채지 못한 것이 이해가 되지 않는다”면서 “번호 입력자가 고유번호의 원래 주인이 맞는지 휴대전화 인증이나 아이핀 인증 절차를 두는 게 보안의 기본”이라고 덧붙였다. 명희진 기자 mhj46@seoul.co.kr

소셜커머스 티켓몬스터에서도 대규모 개인정보 유출이 있었던 것으로 확인됐다. 티켓몬스터는 2011년 해킹에 의해 회원 113만명의 개인정보가 유출된 사실을 확인했다고 7일 밝혔다. 티켓몬스터에서 유출된 개인정보는 회원의 이름과 아이디, 성별, 생년월일, 전화번호 등이다. 주민등록번호와 패스워드 등은 암호화돼 있어 추가적인 피해로부터 안전하다고 티켓몬스터 측은 설명했다. 티몬은 다른 사건을 수사 중이던 경찰로부터 2011년 4월 발생한 것으로 추정되는 해킹에 의해 티몬 고객의 개인정보가 유출된 사실을 전달받았다고 밝혔다. 회사 측은 개인정보가 유출되고도 3년간 이 사실을 알지 못하고 있었다. 해당 사건을 저지른 해커는 현재 구속돼 경찰 수사를 받고 있으며, 티몬은 사건을 경찰로부터 통보받은 후 방송통신위원회 신고 및 고객 공지 등 법적 절차를 완료했다고 말했다. 이에 대해 티몬은 “공식 사과와 함께 경찰 수사에 적극적으로 협조해 유출경위를 파악하고 고객 피해 최소화 및 향후 개인정보 보호에 최선을 다하겠다”고 밝혔다. 신현성 티켓몬스터 대표는 “믿어 주셨던 고객 분들께 실망과 불편을 드리게 되어 진심으로 죄송하고 머리 숙여 사과 드린다”고 말했다. 신현성 대표는 “고객 정보를 안전하게 보호하기 위해 최선의 노력을 기울여 왔지만, 보안에 있어서는 누구도 안심할 수 없다는 큰 깨달음을 얻었고 앞으로 수사에 적극적으로 협조해 추가로 발생할 수 있는 사고에 대비할 것”이라고 덧붙였다. 한편 티켓몬스터 측이 경찰로부터 지난 5일 유출 사실을 전달받고도 금요일 오후 늦게서야 언론에 관련 사실을 공표해 사건의 파장을 축소하기 위한 의도가 아니냐는 의혹도 제기되고 있다. 이와 관련해 티켓몬스터 측은 “5일 오후 늦게 유출 사실을 알았고 방통위에 신고하기 위한 준비 및 법적 자문, 고객 피해확인을 위한 프로그램 개발 등에 시간이 필요했다”면서 “최대한 빠르게 피해사실을 알린 것”이라고 말했다. 티몬 고객정보 유출에 네티즌들은 “티몬 고객정보 유출, 대체 유출 안된 곳은 어디지?”, “티몬 고객정보 유출, 주민등록번호와 비밀번호 유출 안된 건 다행이지만 이게 무슨 난리”, “티몬 고객정보 유출, 3년간 몰랐다는 게 말이 되나” 등의 반응을 보였다. 온라인뉴스부 iseoul@seoul.co.kr

소셜커머스 업체 티켓몬스터의 일부 회원 개인 정보가 유출된 사실이 뒤늦게 확인됐다. 티켓몬스터는 최근 인천지방경찰청 사이버수사대로부터 2011년 4월 발생한 해킹으로 회원 113만명의 개인 정보가 유출된 사실을 전달받았다고 7일 밝혔다. 티몬은 경찰이 알려주기 전까지 3년간 유출 사실을 몰랐다. 당시 이 업체의 회원 수는 300만명으로 3분의1 이상의 정보가 빠져나간 셈이다. 현재 회원 수는 1000만명에 이른다. 유출된 개인 정보는 이름과 아이디, 성별, 생년월일, 전화번호 등이다. 티켓몬스터 관계자는 “주민등록번호와 비밀번호는 해시값으로 일방향 암호화돼 있어 아무도 풀어내거나 식별할 수 없기에 유출되지 않았다”고 말했다. 고객 정보를 빼돌린 해커는 현재 구속돼 구체적인 개인 정보 유출 경로 등에 대한 경찰 조사를 받고 있다. 티켓몬스터는 수사에 적극 협력하고 재발 방지를 위해 노력하겠다고 밝혔다. 오달란 기자 dallan@seoul.co.kr

소셜커머스 티켓몬스터에서도 대규모 개인정보 유출이 있었던 것으로 확인됐다. 티켓몬스터는 2011년 해킹에 의해 회원 113만명의 개인정보가 유출된 사실을 확인했다고 7일 밝혔다. 티켓몬스터에서 유출된 개인정보는 회원의 이름과 아이디, 성별, 생년월일, 전화번호 등이다. 주민등록번호와 패스워드 등은 암호화돼 있어 추가적인 피해로부터 안전하다고 티켓몬스터 측은 설명했다. 티몬은 다른 사건을 수사 중이던 경찰로부터 2011년 4월 발생한 것으로 추정되는 해킹에 의해 티몬 고객의 개인정보가 유출된 사실을 전달받았다고 밝혔다. 회사 측은 개인정보가 유출되고도 3년간 이 사실을 알지 못하고 있었다. 해당 사건을 저지른 해커는 현재 구속돼 경찰 수사를 받고 있으며, 티몬은 사건을 경찰로부터 통보받은 후 방송통신위원회 신고 및 고객 공지 등 법적 절차를 완료했다고 말했다. 이에 대해 티몬은 “공식 사과와 함께 경찰 수사에 적극적으로 협조해 유출경위를 파악하고 고객 피해 최소화 및 향후 개인정보 보호에 최선을 다하겠다”고 밝혔다. 신현성 티켓몬스터 대표는 “믿어 주셨던 고객 분들께 실망과 불편을 드리게 되어 진심으로 죄송하고 머리 숙여 사과 드린다”고 말했다. 신현성 대표는 “고객 정보를 안전하게 보호하기 위해 최선의 노력을 기울여 왔지만, 보안에 있어서는 누구도 안심할 수 없다는 큰 깨달음을 얻었고 앞으로 수사에 적극적으로 협조해 추가로 발생할 수 있는 사고에 대비할 것”이라고 덧붙였다. 한편 티켓몬스터 측이 경찰로부터 지난 5일 유출 사실을 전달받고도 금요일 오후 늦게서야 언론에 관련 사실을 공표해 사건의 파장을 축소하기 위한 의도가 아니냐는 의혹도 제기되고 있다. 이와 관련해 티켓몬스터 측은 “5일 오후 늦게 유출 사실을 알았고 방통위에 신고하기 위한 준비 및 법적 자문, 고객 피해확인을 위한 프로그램 개발 등에 시간이 필요했다”면서 “최대한 빠르게 피해사실을 알린 것”이라고 말했다. 온라인뉴스부 iseoul@seoul.co.kr