KT 홈페이지가 전문 해커에게 뚫려 가입 고객 1600만명 가운데 1200만명의 개인정보가 유출됐다. 인천경찰청 광역수사대는 6일 KT 홈페이지를 해킹, 개인정보를 빼낸 뒤 텔레마케팅 업체에 판매한 해커 김모(29)씨와 정모(38)씨를 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨는 같은 혐의로 불구속 입건했다. 김씨 등은 인터넷에 배포된 ‘파로스 프로그램’(웹사이트 취약성 등을 분석하는 강력 해킹 프로그램)을 이용해 신종 프로그램을 개발, 지난해 2월부터 최근까지 KT 홈페이지에 로그인한 뒤 개인정보를 빼내 왔다. 이들은 이용대금 조회란에 고유숫자 9개를 무작위로 자동입력시키는 이 프로그램으로 KT 가입 고객의 9자리 고유번호를 찾아냈다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 1년간 1200만명의 고객정보를 털었다. 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이 줄줄이 샜다. 박씨는 KT 직원을 사칭해 김씨 등으로부터 사들인 개인정보를 휴대전화 개통·판매 영업에 사용해 1년간 115억원의 부당수익을 올렸다. 주로 약정 기간이 끝나는 고객에게 전화를 걸어 “시세보다 싸게 휴대전화를 살 수 있다”고 꾀었다. 또 휴대전화 대리점 3곳에도 500만명의 고객정보를 판매했다. 김씨 등은 다른 방식의 해킹 프로그램을 추가로 만들어 증권사 등의 홈페이지를 해킹하려다 경찰에 검거됐다. 경찰 관계자는 “KT가 이용대금 명세서에 기재된 고유번호만으로 고객의 정보를 확인할 수 있는 허술한 보안 시스템으로 고객정보를 관리했다”면서 “증권사, 인터넷 게임사 등에 가입된 고객의 정보도 유출됐을 가능성이 있어 수사를 확대하고 있다”고 말했다. 경찰은 KT 보안담당자의 고객정보 관리소홀 여부를 수사한 뒤 입건 여부를 결정할 방침이다. KT 측은 “범죄조직이 불법수집한 개인정보는 경찰이 전량 회수했다”며 “지속적인 감시로 더 이상의 피해가 발생하지 않도록 조치했다”고 밝혔다. KT는 태스크포스(TF)를 조직해 2차 피해를 막겠다는 방침이다. 앞서 2012년 2~7월에도 정보기술(IT) 업체에서 10년간 프로그램 개발을 담당한 베테랑 프로그래머에 의해 KT 휴대전화 개인정보 873만건이 유출되기도 했다. 미래부 고위 관계자는 “또다시 같은 일을 당해 우려스럽다. 잘잘못을 가려 문제가 있다면 일벌백계하겠다”며 “이를 위해 공무원 외에 사태를 좀 더 객관적으로 볼 수 있는 민간인 전문가를 현장에 파견했다”고 강조했다. 김학준 기자 kimhj@seoul.co.kr 김양진 기자 ky0295@seoul.co.kr

‘kt 고객정보 유출’ 6일 KT의 홈페이지가 해킹 돼 1200만 명의 개인정보가 유출된 사실이 경찰조사 결과 드러났다. KT 홈페이지 해킹 사건이 알려지자 KT를 향한 비난의 목소리가 높아지고 있다. 홈페이지 해킹 사실이 경찰수사가 모두 끝나고 난 뒤에 알려져 KT가 사실을 은폐하려 한 것 아니냐는 의견이 나오고 있는 것. 이에 KT는 사과문을 통해 “6일 경찰에서 발표한 고객정보 유출 사고와 관련 고객 피해 최소화를 위해 노력하겠다”며 “KT는 정보 유출경위에 대해 경찰조사에 적극 협조하여 사실관계를 확인할 계획”이라고 밝혔다. 하지만 경찰수사 결과 이용대금 명세서의 고유번호 9자리로도 고객 정보를 확인 할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러나 KT를 향한 국민들의 공분이 쉽게 가라앉을 것으로 보이지는 않는다. 경찰은 KT 보안담당자의 고객정보 관리 소홀 여부에 관해 추가 수사를 진행할 계획이다. 전문해커들은 KT뿐만 아니라 타이통사와 금융권 등의 홈페이지도 해킹을 시도한 것으로 보이며 현재까지 KT외의 다른 곳에서의 개인정보 유출은 없는 것으로 확인됐다. 경찰의 발표에 따르면 인천경잘청 광역수사대가 김모(29)씨와 정모(38)씨를 정보통신망이용촉진 및 정보 보호 등에 관한 법률위반 혐의로 구속했다. 이들은 전문해커로 텔러마케팅 업체 대표 박 모(37)시와 공모해 ‘파로스 프로그램’이라는 신종 해킹 프로그램을 개발해 지난 1년 동안 KT의 홈페이지서 가입자의 개인정보를 수시로 빼내 단말기 판매 등의 영업에 활용했다. kt 고객정보 유출 소식을 들은 네티즌은 “kt 고객정보 유출..이제 옮겨야할 때가 온 듯”, “kt 고객정보 유출..도대체 내 정보는 누가 보호해 주는 거냐” “kt 고객정보 유출, 이젠 지친다” “1200만 명 정보 유출, 다른 보안장치가 필요하다” “1200만 명 정보 유출, KT 제대로 해결하라” “kt 고객정보 유출..왜 또 이런 일이”등의 반응을 보였다. 사진 = 홈페이지, 방송 캡처 (kt 고객정보 유출) 온라인뉴스부 seoulen@seoul.co.kr

황창규 KT 회장 “정보유출 공식사과” 유출확인 어디서? 불만 폭발 황창규 KT 회장이 홈페이지 가입 고객 1200만명의 개인정보가 유출된 데 대해 공식 사과했다. 황 회장은 7일 서울 광화문 KT 사옥에서 연 ‘KT 고객정보 유출 관련 브리핑’에 참석해 “이번 해킹으로 인해 개인정보가 대규모로 유출된 사건에 대해 KT 전 임직원을 대표해 머리숙여 사죄드린다”고 말하고 고개를 숙여 인사했다. 황 회장은 “특히 지난 2012년 대규모 고객정보 유출 사건이 일어난 이후 보안 시스템 강화를 약속했음에도 또다시 유사한 사건이 발생한 점에 대해서는 변명의 여지가 없다”며 “고객정보가 두 차례에 걸쳐 유출됐다는 것은 IT전문기업인 KT로서는 너무나도 수치스러운 일”이라고 자평했다. 이어 고객 정보의 추가적인 유통이나 악용을 막기 위해 관련 부처와 협력하고 있으며 유출된 개인정보 내용도 파악되는 대로 고객들에게 공지하겠다고 밝혔다. 그는 “제가 새롭게 경영을 맡은 이상 과거의 잘못은 모두 새롭게 매듭지어 회사가 ‘1등 KT’가 될 수 있도록 바로잡고 관련 내용도 조속히 규명해 엄중히 조치하겠다”며 “이러한 일이 재발되지 않도록 하겠다”고 다짐했다. 당초 이날 브리핑에는 KT 최고기술책임자(IT부문장)인 김기철 부사장이 참석하기로 돼 있었으나 황 회장이 직접 참석해 사과했다. 이는 황 회장이 이번 사건의 중대성을 충분히 인식하고 있으며, 2012년에 이어 2년여만에 대규모 고객 정보 유출사건이 발생한데 따른 보안관리 문제 등 KT의 근본적인 문제들을 앞으로 대대적으로 개혁해 나가겠다는 의지 표시로 풀이된다. 김 부사장은 “회장님의 새로운 경영방침은 ‘1등 KT’로 고객에게 새로운 품질과 서비스를 제공해야 한다는 것인데 생명과 같은 중요 자산인 고객정보가 유출된 것은 잘못됐다고 판단했기 때문에 직접 사과하기로 결정했다”고 설명했다. 이어 “KT가 새로운 경영 체제가 출발하면서 악재가 터지고 있다”면서 “새 회장님은 이런 부분에 대해 앞서서 사죄할 것은 사죄하는 자세로 경영하는 것으로 이해하고 있다”고 말했다. 그러나 KT 측은 이날 브리핑에서 아직 수사기관으로부터 관련 정보를 넘겨받지 못했다며 유출 경로나 구체적으로 어떤 고객정보가 얼마나 유출됐는지 등에 대한 질문에는 답을 하지 못했다. 한편 KT 측은 고객들이 정보 유출을 확인할 수 있도록 사이트를 개설했지만, 7일 오후에도 해당 사이트는 접속이 되지 않자 고객들의 불만이 거세지고 있다. 현재 KT 고객정보유출 확인사이트는 ‘요청하신 페이지를 찾을 수 없습니다’ 라는 문구만 나오고 있는 상태다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지의 고객 정보를 해킹한 해커는 인터넷에서 쉽게 구할 수 있는 해킹 도구로 1년 넘게 매일같이 제집 드나들듯 홈페이지에 접속해 1200만명의 고객 정보를 모조리 빼 갔다. 그러나 KT는 해커가 종횡무진 활보하고 있었는데도 경찰이 수사 결과를 발표할 때까지 유출 사실조차 모르고 있었다. 2012년 7월 전산망 해킹으로 873만명의 개인 정보 유출 사고가 일어난 지 7개월 만에 다시 뚫렸고, 이 같은 사실을 1년 동안 까맣게 몰랐다는 점에서 KT의 엉성한 보안의식에 대한 비난이 쏟아지고 있다. 2년 전 표현명 KT 개인고객부문 사장은 “세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다”고 약속했지만 결국 공염불이었다. 미래창조과학부가 ‘엄벌 의지’를 밝힌 것도 이런 도덕적 해이를 문제 삼은 것이다. 전문가들조차 이번 KT의 정보 유출 사고는 아무리 잘 봐주려고 해도 도저히 이해할 수 없는 사고라는 데 방점을 찍었다. 보안의식이 ‘빵점’이 아니고서는 도저히 있을 수 없는 사고라는 것이다. 먼저 KT 홈페이지 해킹에 사용된것으로 알려진 ‘파로스’는 PC와 서버 사이에 오가는 정보를 가로챌 수 있는 툴로 인터넷에서 누구나 공짜로 내려받을 수 있다. 해커는 이를 이용해 9자리 이용 대금 고객 정보 조회란에 000000000부터 999999999까지 9개의 숫자를 자동 입력하고 이와 일치하는 정보를 빼돌렸다. 업계의 한 전문가는 “잘못된 숫자가 수차례 입력되면 잠금 기능이 작동되는 기본적인 기능만 두었더라도 이번 사태를 막을 수 있었을 것”이라면서 “하루 20만~30만건의 정보가 유출됐다면 1년 동안 엄청난 트래픽 흐름이 있었을 텐데 이를 인지하지 못했다는 건 KT가 눈 감고 있었다는 것”이라고 지적했다. 또 다른 전문가는 “KT는 이용 대금 명세서에 적힌 9자리 고유번호만 입력해도 주민등록번호, 전화번호 등 민감한 개인 정보를 모두 확인할 수 있게 한 것으로 보인다”면서 “고객 정보를 너무 허술하게 관리한 것 같다”고 진단했다. 현재 KT 홈페이지의 보안은 자회사인 KT DS가 담당하고 있다. 미래부와 방송통신위원회도 발칵 뒤집혔다. 국민은행과 농협 등 금융기관 개인 정보 유출 사고가 발생한 게 엊그제인데 다른 곳도 아니고 이통사에서 이런 일이 발생했다는 데 경악을 금치 못하고 있다. 사고가 알려진 직후 보안업체 전문가 등 민관 합동 조사관 8명을 급파한 것도 이런 맥락이다. 전문성이 뛰어난 민간 조사관을 통해 철저히 이번 사고를 들여다보겠다는 취지다. 미래부 고위 관계자는 “유출 사실과 KT가 이를 알고도 묵과한 부분이 있는지 확인하고 사실로 드러날 경우 형사처벌도 마다하지 않겠다”고 강조했다. 방통위는 지난 유출 사고에도 KT가 정보통신망 이용 촉진 및 정보보호 등에 관한 법률상 개인정보보호의무 중 일부를 위반한 것으로 판단해 과징금 7억 5300만원을 부과한 바 있다. 김양진 기자 ky0295@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr

KT 고객정보유출 확인사이트가 접속 장애로 이용자들의 불만을 사고 있다. 인천경찰청 광역수사대는 지난 6일 KT 홈페이지를 해킹해 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 전문해커 김모(29)씨와 정모(28)씨 등 2명을 구속했다고 밝혔다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발해 KT 홈페이지에 로그인한 뒤 1200만명의 개인정보를 빼내 휴대전화 개통 및 판매 영업에 활용한 혐의를 받고 있다. 이에 따라 7일 KT 홈페이지 가입자들은 개인정보 유출 여부를 확인하고자 KT 고객유출확인 사이트에 접속을 시도했지만 해당 사이트는 접속이 되지 않고 있어 답답함을 가중시켰다. 현재 KT 고객정보유출 확인사이트는 ‘요청하신 페이지를 찾을 수 없습니다’라는 문구만 나올 뿐이다. 1200만명 정보 유출 소식에 네티즌들은 “1200만명 정보 유출, 이젠 포기했다”, “1200만명 정보 유출, 어차피 개인정보 다 털린 지 오래야”, “1200만명 정보 유출, 대체 언제까지 같은 일들이 반복돼야 하지?” 등의 반응을 보였다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지 해킹 “1200만명 탈탈 털렸다” 해킹범 수법은? KT 홈페이지가 해킹당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 KT 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이들은 이렇게 빼낸 고객정보를 휴대전화 개통·판매 영업에 활용했다. 이들은 KT 직원을 사칭한 뒤 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다고 현혹시켜 휴대전화를 판매했다. 또 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점 3곳에 팔아넘겼다. 경찰은 이들이 판매한 휴대전화 규모를 아직 파악하지 못했지만 휴대전화 1대 개통 때 기종에 따라 20만∼40만의 수익을 챙긴 것으로 보고 있다. 경찰은 이들이 차린 텔레마케팅 업체의 세무서 소득신고 내역으로 미뤄볼 때 1년간 115억원의 부당이득을 챙긴 것으로 추정하고 있다. 경찰은 이들이 KT 외 다른 주요 통신사와 증권사 등의 홈페이지에서도 해킹을 시도한 것으로 보이지만 현재로서는 다른 통신사 개인정보가 유출된 흔적은 발견되지 않았다고 덧붙였다. 경찰은 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러났다며 KT 보안담당자의 고객정보 관리 소홀 여부를 수사한 뒤 입건 여부를 결정할 방침이라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지가 해킹당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이들은 이렇게 빼낸 고객정보를 휴대폰 개통·판매 영업에 활용, 1년간 115억원의 부당이득을 챙긴 것으로 조사됐다. 온라인뉴스부 iseoul@seoul.co.kr

인천경찰청 사이버수사대가 26일 인터넷 사이트 225개를 해킹해 개인 정보 1700만건을 불법 취득한 김모(21)씨 등 2명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속하고 7명을 불구속 입건했다. 이들은 부정한 방법으로 취득한 주민등록번호, 계좌번호, 집 주소 등의 개인 정보 1700만건을 인터넷 광고를 통해 인터넷 가입 유치 업자나 대출 업자 등에게 판매해 3억 6000만원의 부당 이득을 취한 혐의를 받고 있다. 개인 정보가 유출된 사이트는 대부분 도박사이트지만 의료계 홈페이지, 부동산 사이트, 증권 정보 홈페이지도 포함됐다. 특히 의료계에서는 대한의사협회, 대한치과의사협회, 한의사협회 등 대표적인 3개 단체가 모두 포함됐다. 김씨 등은 지난 15∼16일 3개 협회 홈페이지를 ‘웹셸’ 방식으로 해킹했다. 이들의 해킹으로 의사 8만명, 치과의사 5만 6000명, 한의사 2만명의 개인 정보가 유출됐다. 유출된 개인 정보는 주로 이름, 주민등록번호, 휴대전화번호, 주소 등이다. 의사협회에서는 회원의 의사면허번호, 한의사협회에서는 근무지와 졸업학교 등의 정보도 유출됐다. 경찰은 최근 카드사 개인 정보 대량 유출 사건과 관련해 개인 정보 침해 사범에 대한 특별단속을 펴는 과정에서 이들을 검거했다. 김씨 등은 65개 스포츠토토 사이트에서는 해킹으로 관리자 권한을 확보해 게임에서 져도 이긴 것으로 승부를 조작했는가 하면 사이트 운영자에게 “각종 데이터를 삭제해 폐쇄시키겠다”고 협박해 금품을 갈취한 것으로 드러났다. 김학준 기자 kimhj@seoul.co.kr

농협은행은 계열사인 농협카드의 개인정보 유출 사고로 덩달아 홍역을 치렀다. 사고 초기, 은행의 고객정보도 빠져나갔다는 오해를 샀기 때문이다. 하지만 농협은 카드 전산망과 은행 전산망이 분리돼 있어 ‘동반 유출’을 피할 수 있었다. 그럼에도 농협에는 2011년 전산망 마비라는 대형 사고의 악몽이 남아 있다. 이로 인한 고객의 불안감과 불신감 해소가 급선무라고 보고 농협은 올해 전산시스템을 대대적으로 개혁할 방침이다. 핵심은 경기 의왕시에 짓는 통합 정보기술(IT)센터다. 지상 10층, 지하 2층 규모로 기존 서울 서초구 양재동 IT센터의 4배가 넘는다. 공사비만 3200억원이다. 자체 전력 보급이 가능한 무중단 유지보수 시스템, 첨단 다중보안시스템 등을 갖췄다. 국내 은행권 최대 규모이자 최첨단 시스템이다. 2016년 상반기 완공이 목표다. 은행과 상호금융(지역 농·축협) 전산시스템도 완전 분리할 작정이다. 김주하 행장은 “내년까지 모든 영업점의 내·외부망을 분리하고 영업점별 전산기기 복구체계와 해킹 공격 차단 목적의 접속 통제시스템을 구축할 방침”이라고 밝혔다. 김 행장은 농협의 강점인 시니어 고객층을 확고히 다지고 협동조합의 네트워크를 최대한 활용해 수익 기반도 강화하겠다고 덧붙였다. 안미현 기자 hyun@seoul.co.kr

KB국민, 롯데, NH농협 등 3개 카드사의 고객정보 유출사건의 충격이 가시지 않고 있는 가운데, 한국공인중개사협회의 홈페이지도 악성 프로그램에 의해 해킹당한 것으로 알려져 논란이 예상된다. 해당 홈페이지는 개인 신상 정보가 담긴 부동산 거래계약서 데이터베이스와 연결돼 있어 계약서까지 해킹됐을 경우 2차 피해가 발생할 수 있다는 지적이 일고 있다. 계속해서 개인정보유출, IT 정보보안 문제가 도마 위에 오르며 국민들의 불안감은 커지고 있다. 이러한 보안위기 상황 속에서 보안전문미디어 보안뉴스(www.boannews.com)는 최근 불거진 개인정보유출사태와 관련해 ‘긴급 7대 보안수칙’을 선정, 발표했다. 보안뉴스가 발표한 ‘긴급 7대 보안수칙’은 다음과 같다. ▲ 각 사이트별 아이디와 패스워드는 각각 다르게 설정한다 ▲ 아이디와 패스워드는 특수문자를 포함하여 복잡하게 만든다 ▲ PC와 휴대폰에 백신프로그램을 설치하고 ‘실시간 감시’로 설정해둔다 ▲ 금융계좌 거래 시 거래내역 ‘실시간 알림 서비스’를 활용한다 ▲공인인증서와 보안카드는 PC와 이메일에 보관하지 않고, 반드시 별도 보관한다 ▲이메일이나 문자메시지 수신 시 모르는 URL은 클릭하지 않는다 ▲ 파일은 백신검사로 악성코드 여부를 확인한 후에 실행한다. 보안뉴스 최정식 발행인은 “이번에 선정한 ‘긴급 7대 보안수칙’은 그동안 발표된 보안수칙과 가이드라인 중 가장 기본이 되면서 꼭 필요한 내용만 모아놓은 것”이라며 “PC와 스마트폰 등을 통해 업무 및 일상생활을 영위하는 대다수 국민들의 개인정보 유출과 바이러스, 악성코드 감염, 각종 피싱, 스미싱 피해를 최소화할 수 있는 가장 기본적인 원칙이기 때문에 이 7가지 수칙만큼은 반드시 준수해야 한다”고 강조했다. 온라인뉴스부 iseoul@seoul.co.kr

금융당국과 금융권은 이번 카드 3사의 고객 정보 유출 사고를 계기로 환골탈태를 약속했다. 금융당국은 개인 정보 보호 대책을 강화하고 징계 수위도 상향 조정하기로 했지만 그간 제재심의위원회의 폐쇄적인 구조와 그들만의 학연, 지연 등을 배경으로 솜방망이 처벌을 양산해 온 것이 사실이다. 금융권도 그동안 얼마나 날림으로 고객 정보를 관리했는지에 대한 반성엔 눈을 감는다. 서울신문은 이들의 감추고 싶은 ‘불편한 진실’을 상, 하 두 차례로 나눠 짚어 본다. 이번 ‘카드 사태’ 전까지 개인 정보 유출 사고에 대한 금융당국의 솜방망이 처벌이 줄기차게 나왔던 까닭은 징계를 하는 사람이든 징계를 받는 사람이든 결국 같은 집단에 있다는 의식이 작용한 탓이 크다고 분석된다. 이를 구조적으로 뒷받침하는 것이 제재 수위를 결정하는 금융감독원의 제재심의위원회다. 서울신문이 18일 국회 정무위 소속 정호준 민주당 의원에게서 제재심의위원 명단을 입수해 분석한 결과 제재 심의는 ▲학연, 지연으로 엮여 로비가 가능한 구조에 ▲감독자와 행위자를 분리해 징계하는 데다 ▲징계 과정을 외부에 알리지 않는 폐쇄적인 구조를 갖고 있는 것으로 드러났다. 금감원과 금융기관 검사 및 제재에 관한 규정에 따르면 제재심의위원 9명 중 6명은 민간 위원으로 구성돼 있다. 금감원은 로비를 방지한다면서 한 번도 명단을 외부에 공개하지 않고 있다. 외부 인원 6명은 금감원장 추천 3명, 금융위원장 추천 3명으로 구성된다. 현재 외부 인원 6명은 교수 3명, 변호사 2명, 금융계 인사 1명으로 이뤄져 있다. 이들은 징계 대상자와 학연, 지연으로 촘촘히 엮여 있다. 지난해 어윤대 전 KB금융 회장은 ISS(미국 주주총회 안건 분석 회사)에 경영 정보를 제공한 혐의로 금감원 은행검사국에서 중징계(문책경고)를 통보받았지만 이후 제재심의위원회에서 경징계(주의적 경고 상당)로 깎였다. 제재심의위원 중 A 교수는 어 전 회장과 비슷한 기간에 캐나다의 한 대학 방문교수를 지냈고 한국경영학회 임원을 맡았었다. 금융계 인사인 제재심의위원 B씨는 어 전 회장과 대학 선후배 사이이고 어 전 회장과 제재심의위원인 변호사 C씨도 고교 선후배 관계로 엮여 있다. 이에 대해 제재심의위원 D씨는 “대부분 제재 대상자와 심의위원이 학연, 지연으로 묶여 있지만 제재 수위 결정은 각자의 양심에 따라 하는 것”이라고 밝혔다. 그러나 정 의원실에 따르면 어 전 회장의 징계 수위를 토론하는 제재심의위원회에서 A 교수는 ‘징계 수위를 낮춰야 한다’고 변호한 것으로 알려졌다. 감독자와 행위자를 분리해 징계하는 것도 금융사 최고경영자(CEO)에 대한 솜방망이 처벌을 부르는 요인이다. 제재심의위원 E씨는 “CEO들은 감독자로, 행위자보다 수위를 최소 한 단계 이상 낮게 징계를 내리는 게 관례”라고 말했다. 이렇다 보니 금융 CEO가 금감원에서 징계를 받을 때 검사국에서 중징계를 통보해도 제재심의위원회에서 경징계로 수위가 낮춰진다. 이강태 비씨카드 사장도 하나SK카드 사장으로 재직하던 당시 카드 불법 모집과 관련해 중징계를 통보받았지만 실제로는 경징계(주의적 경고)를 받았다. 정태영 현대캐피탈 사장도 2011년 해킹 사고로 중징계(문책경고)를 통보받았지만 경징계(주의적 경고)로 낮아졌다. 또 징계 수위를 결정할 때도 과반수 이상의 찬성으로 의결하지만 거의 토의로만 결정한다. 제재심의위원 F씨는 “회의할 때마다 20~30건을 처리하기 때문에 한 건에 10초 정도만 논의하고 넘어갈 때도 많다”고 말했다. 징계 과정을 비공개로 처리해 의혹을 살 때도 있다. 징계 수위에 대한 이유나 과정을 알리지 않고 결과만 외부에 통보하는 식이다. 금융계 인사는 “금감원 제재심의위원회 권한이 세서 견제할 방법이 없다”면서 “투명한 구조를 갖추기 위해서는 심의위원 명단과 징계 결정 과정을 공개해야 한다”고 주장했다. 이민영 기자 min@seoul.co.kr 김진아 기자 jin@seoul.co.kr

1990년 초 미국의 월트디즈니가 제작한 애니메이션 영화 ‘미녀와 야수’에는 집안의 물건들이 서로 교감하면서 인간을 돕는 장면이 나온다. 주전자와 찻잔이 대화를 하고 촛대와 꽃병, 시계가 상황을 인지하면서 협력한다. 당시로서는 황당했던 이 내용이 최근 화두로 등장한 ‘사물간 통신’(M2M)으로 현실화하고 있다. 인터넷 1세대인 ‘PC인터넷 시대’와 2세대 ‘사람인터넷 시대’를 거쳐, 인터넷 3세대로 불리는 ‘사물인터넷 시대’의 산물인 셈이다. 개념이 다소 어렵지만 사물 간 통신의 기반인 ‘사물인터넷(IoT)’은 10여년 전 우리의 이동통신업체들이 내놓은 ‘스마트 홈’ 등의 연장선에 있다. 이들 서비스는 휴대전화로 집안의 전등과 가전제품을 제어하고, 멀리서 차량 시동을 거는 식이다. 이것 말고도 병원과 연계한 헬스케어, 편의점·택배와 연계한 유통·물류 등 관련 시장은 다양하게 포진돼 있다. 지난해 홍콩의 한 기업이 지능형 식기로 선보인 ‘포크 센서’도 이런 유에 속한다. 이 포크는 음식물 섭취 시간과 빈도 등을 알려 건강을 돕는다. 사물인터넷 시장을 노리는 글로벌 기업의 경쟁이 시작됐다. 미국과 EU, 중국, 일본 등은 사물인터넷을 미래 수종산업으로 보고 적극적인 투자에 나서고 있다. 미국의 통신장비업체인 시스코와 IBM 등에 따르면 2008년에 이미 인터넷에 연결된 사물의 수가 사람의 수를 넘어섰다. 지난해 기준으로 100억~150억개의 사물이 인터넷으로 연결돼 있고, 2020년이면 200억~700억개로 늘 것으로 예상하고 있다. 세계시장도 지난해 2000억 달러 규모에서 2022년엔 1조 2000억 달러로 성장할 것으로 예측된다. 우리나라의 시장도 2022년이면 22조 8200억원 규모로, 지금의 10배 정도 성장할 것으로 전망된다고 한다. 서울 잠실에서 신축 중인 롯데타워(높이 555m)에는 건물 안에 5000개의 사물 센서를 설치해 사물인터넷 시대가 시작된다. 한 개의 빌딩이 ‘초연결 컴팩트시티’ 역할을 하는 셈이다. 미국 교통부(DOT)가 지난 3일(현지시간) M2M을 넘어 ‘차량 간 무선통신’(V2V) 실험을 마치고 상용화를 앞두고 있다. 사물이 인간의 일을 대신한다니 통신 신천지 도래에 대한 기대 또한 크다. 하지만 사물인터넷 세상이 도출할 문제들도 만만찮게 거론된다. 유럽위원회는 사물인터넷 산업이 특정사업자의 시장 지배력을 키워 시장경쟁 체제가 와해될 것으로 우려했다. 해킹으로 인한 의료장비 시스템과 TV 작동 조작, 개인정보 노출 등의 사태도 예고했다. 사물의 지능화가 가져다 주는 편리함 이면의 파장도 적지 않은 것 같다. 문명의 이기이지만…. 정기홍 논설위원 hong@seoul.co.kr

검찰이 불법 계좌이체를 통해 금융기관의 고객 돈을 빼돌린 H소프트 대표 김모(34)씨를 구속했다. 검찰은 김씨가 제3자로부터 주민등록번호, 계좌번호 등 개인정보를 대량 매입한 것으로 보고 개인정보 최초 유출자와 유출 규모를 파악하는 데 수사력을 모으고 있다. 불법 유출된 개인정보를 이용한 금융기관을 상대로 계좌이체 범죄를 저질러 구속된 사례는 처음이다. 서울중앙지검 첨단범죄수사2부(부장 이정수)는 금융기관 고객 수천 명의 예금을 자동이체를 통해 몰래 빼돌리려 한 혐의(컴퓨터 등 사용 사기미수)로 김씨를 구속했다고 3일 밝혔다. 공범인 사채업자 임모(40)·김모(35)씨도 지난 2일 긴급 체포해 이날 같은 혐의로 구속영장을 청구했다. 김씨 등은 대리운전 기사용 애플리케이션(앱) 서비스 업체인 H소프트라는 유령회사를 차려놓고 대량 매입한 개인정보를 이용해 6539명의 계좌에서 1만 9800원씩을 자신의 계좌로 빼돌리려 한 혐의를 받고 있다. 이 가운데 1359건이 결제됐지만 금융당국이 결제 요청을 취소하고 이미 이체된 돈을 환급해 줘 큰 피해는 발생하지 않았다. 검찰은 김씨가 앱 사업자 등록 과정의 허점과 금융결제원의 자금관리서비스(CMS)를 통한 계좌이체의 취약점을 악용해 범죄를 저지른 것으로 보고 있다. 사정당국 관계자는 “개인정보를 활용해 금융기관의 고객 돈을 계좌이체를 통해 불법으로 빼돌리려 한 사건은 사상 처음”이라고 설명했다. 수사의 관건은 김씨가 주민번호, 계좌번호 등 개인정보를 획득한 경위다. 검찰은 일단 김씨가 사채업자들과 짜고 제3자에게서 개인정보를 불법 구매한 것으로 보고 제3자를 쫓는 데 주력하고 있다. 검찰은 ‘제3자’와 관련해 해킹을 통해 개인정보를 빼돌렸는지, 또 다른 개인정보 판매 브로커에게서 정보를 구입했는지 등 여러 가능성을 염두에 두고 수사하고 있다. 제3자를 검거하면 이번 범행에 사용된 개인정보가 국민, 롯데, 농협 등 카드 3사에서 유출된 정보인지 등 정보 출처를 1차적으로 파악할 수 있을 것이라는 분석이 나오는 이유다. 검찰은 “김씨는 유령업체를 설립한 뒤 다른 사람에게서 구입한 개인정보로 금융사기를 친 것”이라며 “개인정보 최초 유출자를 추적하고 있다”고 밝혔다. 검찰은 김씨 등이 개인정보를 다른 범죄에도 활용했는지, 유출된 개인정보 규모가 어느 정도인지 등도 파악하고 있어 향후 피해 규모가 커질 가능성도 배제할 수 없다. 금융결제원은 지난달 29일 시중은행 등 15개 금융사 계좌에서 자신도 모르게 1만 9800원씩 인출됐다는 민원 100여건을 접수하고 H소프트를 검찰에 수사의뢰했다. 김승훈 기자 hunnam@seoul.co.kr 박성국 기자 psk@seoul.co.kr

3개 신용카드사의 고객정보 유출에 따른 국민 불안이 가중되는 가운데 정부와 정치권의 움직임이 부산하다. 정부는 유출 정보를 악용한 2차 피해를 막겠다며 연일 강도 높은 대책을 쏟아내고 있다. 개인정보 유출 금융사에 대한 징벌적 과징금 부과에서부터 금융사 전화·이메일 판촉행위 금지, 스팸문자 번호 차단 등을 통해 유출 정보를 활용한 2차 금융범죄를 최대한 억제하겠다고 밝혔다. 금융감독 당국의 책임자는 물론 심지어 대통령의 금융정보까지 털린 마당이니 정부 당국자들이 지금 얼마나 발을 구르고 있을지 짐작이 간다. 그러나 정부의 이런 긴급처방이 성난 민심을 달래고 실제로 2차 피해를 억지하는 성과를 거둘지는 극히 미지수다. 오히려 허둥대는 정부 모습에 더 불안을 느끼는 국민이 적지 않을 성싶다. 사실 개인정보 유출은 어제오늘의 일이 아니다. 해킹이나 불법거래 등을 통해 수없이 개인정보가 유출돼 왔다. 2010년 삼성카드 80만건을 필두로 2011년부터 2012년까지 유출된 정보만 6342만건에 이른다는 통계도 있다. 정부 대책도 2011년 6월 금융회사 IT보안 강화 종합대책, 2013년 7월 금융전산 보안강화 종합대책 등 그때그때 나왔으나 이번 사태를 막지는 못했다. 정부 대책이 즉응적 처방에 그치다 보니 여기저기 뚫리는 구멍을 온전히 틀어막지 못한 것이다. 개인정보가 새는 구멍도 결제망 대행업체(VAN), 인터넷 쇼핑, 홈쇼핑, 게임사이트 등 이루 헤아리기조차 힘들다. 어디 금융업종뿐인가. 지난 5년간 공공기관에서 새 나간 개인정보만도 439만건이다. 개인정보가 더 이상 개인정보가 아닌 세상에서 진작부터 살아온 셈이다. 이번 카드3사 개인정보 유출사태는 지금 전 세계적 주목을 받고 있다. ICT(정보통신기술) 강국인 한국이 정보 유출에 어떻게 대응하고 어떤 보안책을 강구하는지 지구촌이 지켜보고 있다. 단기 대응을 넘어 중장기적 관점의 범국가적 논의가 이뤄져야 한다. 그리고 여기에는 개인정보 보호뿐 아니라 향후 고도정보화시대의 산업 역량 확충을 위한 개인정보 활용 문제도 함께 다뤄져야 한다. 국민 개개인의 권익 보호를 위한 개인정보 보호와 의료와 치안, 미래산업 등에서 막대한 파급효과를 가져올 개인정보 활용이 상충되지 않고 조화를 이룰 법적 제도적 방안을 강구해야 하는 것이다. 긴 여정의 방대한 논의다. 정부와 국회가 머리를 맞대야 한다. 이번 사태에 대한 국회 차원의 국정조사가 그 출발점이 돼야 한다고 본다. 개인정보와 관련해 사회 모든 영역을 아우르는 제도적 정비가 추진돼야 하며, 이를 위해 각계의 목소리를 담을 국회 차원의 특위 구성이 필요하다. 국정조사도 이 특위가 맡는 것이 온당하다. 정부와 여당은 보다 열린 자세로 민주당의 요구를 수용하기 바란다.

해외에서도 해킹으로 고객들의 정보가 대량 유출되는 사례가 심심찮게 발생하고 있다. 미국에서는 지난해 11월 최대 쇼핑 시즌인 추수감사절 연휴 기간에 대형 유통업체 ‘타깃’에서 고객 4000만명의 신용카드와 직불카드 등 금융 정보와 주소, 전화번호를 비롯한 개인 정보 7000만건이 빠져나가는 등 모두 1억 1000만건의 정보를 도난당한 것으로 드러나 충격을 던진 바 있다. 미국 당국은 개인 금융 정보 유출 방지를 위해 2006년부터 17개 부처가 참여하는 태스크포스(TF)를 운영하고 있다. 또 정보를 빼낸 해커에게는 징역 20년의 중형을 선고하고 고객 정보를 유출한 회사에도 무거운 벌금을 매긴다. 타깃의 경우 벌금만 30억 달러(약 3조 2300억원)를 물게 될 것이라는 전망이 나온다. 하지만 사고가 끊이지 않아 당국은 부심하고 있다. 일본도 2004년 초고속 인터넷 서비스 업체 ‘야후 BB’의 고객 개인 정보 450만건이 유출된 적이 있다. 하지만 일본은 전반적으로 결제 때 현금 사용 비율이 높고 인터넷 상거래나 카드 거래가 한국만큼 일상화돼 있지 않아 정보 유출의 위험도는 비교적 낮은 편이다. 그럼에도 일본은 한국보다 8년 앞선 2003년 ‘개인정보보호에 관한 법률’을 제정하는 등 개인 정보 유출 문제에 발 빠르게 대처했다. 개인정보보호법에 따르면 개인 정보 유출 시 당국의 과태료 수준이 수천만엔에 달할 정도로 무거워 작은 기업의 경우 ‘개인 정보가 유출되면 망한다’는 인식이 퍼져 있다. 영국에서는 지난해 은행개혁법이 시행돼 은행의 소비자 금융 업무에 대한 감독 체계가 이전보다 대폭 강화됐다. 만에 하나 고객 정보가 유출되는 사고가 일어나면 막대한 벌금과 손해배상 등 폐업 위기에 몰릴 수 있는 후폭풍을 감수해야 하므로 은행들은 잠시라도 고객 정보 관리를 소홀히 할 수 없다. 프랑스도 개인 정보 보호 업무를 정부로부터 독립된 감독기구인 프랑스 국가정보위원회(CNIL)가 총괄하고 있다. 프랑스 은행 등 금융회사들은 업무로 얻은 고객의 개인 정보를 보호한다는 서약서를 CNIL에 의무적으로 제출해야 한다. 워싱턴 김상연 특파원 carlos@seoul.co.kr

2011년 농협 전산망 마비와 현대캐피탈 해킹 사건, 지난해 농협·신한은행 등을 상대로 한 3·20 사이버테러 등 굵직한 사건이 터질 때마다 국내 금융사들은 보안 태세 점검과 강화를 외쳐 왔다. 그러나 금융사들은 지난 몇 년 동안 곳간 문 앞 울타리를 한 겹 더 쳤을 뿐 울타리에 작은 틈만 하나 생겨도 안에 든 재물을 속수무책으로 털리는 허점을 고스란히 드러냈다. 상당수 금융사가 개인 식별 정보 암호화 등의 근본적인 보안 강화 작업을 미뤄 왔기 때문이다. 실제로 이번 사태를 빚은 KB국민카드, 롯데카드, NH농협카드를 비롯한 카드사와 은행권의 개인 정보 암호화는 밑바닥 수준인 것으로 드러났다. 금융사들은 개인정보보호법에 따라 2012년 12월까지 주민등록번호, 비밀번호 등의 고객 식별 정보가 유출, 분실되지 않도록 암호화하는 작업을 완료했어야 했지만 이를 이행한 곳은 거의 없다. 개인 정보 데이터베이스(DB)를 암호화하면 정보가 유출되더라도 식별이 불가능하다. 지난해 국정감사에서 김영주 민주당 의원이 금융감독원으로부터 받은 자료에 따르면 금융사 103곳 중 절반 이상인 60개 기관이 개인 정보를 암호화하지 않았다. 17개 시중은행 가운데 암호화를 완료한 은행은 전북은행 한 곳이었다. 정보 유출 사태를 빚은 카드 3사도 고객 식별 정보를 암호화하지 않은 상태로 보관하고 있었다. 다른 카드사들도 사정은 마찬가지다. 삼성카드와 하나SK카드, 비씨카드 등은 고객 개인 정보에 대한 암호화 작업을 해 둔 상태지만 일부 시스템에만 적용돼 있다. 카드사의 한 관계자는 “그동안은 내부적으로 예산 제약이나 타당성 검토 등의 여러 가지 이유로 고객 DB 전면 암호화를 시작하지 못했는데 최근 여러 기술보안 업체에 상담을 의뢰해 둔 상황”이라고 말했다. 금융사의 정보 보호 예산은 연초에 계획한 예산을 모두 집행하지 않아 ‘대외 과시용’이라는 지적도 나온다. 롯데카드는 2012년 정보 보호 예산액이 85억원이었으나 집행액은 47억원으로, 계획 대비 45%나 덜 투자했다. 국민카드는 예산액을 2012년 113억원에서 지난해 76억원으로 33%가량 줄였다. 2012년 실제로 집행된 정보 보호 예산은 48억원에 그쳤다. 계획한 예산의 42%만 투자한 셈이다. NH농협은행을 포함한 NH농협카드의 2012년 정보 보호 예산액은 무려 1104억원(집행액 971억원)을 기록했지만 지난해는 406억원으로 뚝 떨어졌다. 2011년 농협 전산 사고 여파로 이듬해 예산을 크게 늘렸다가 세간의 관심이 멀어지자 다시 투자금을 줄였다.4대 은행의 정보 보호 예산과 집행액도 상당한 격차를 보였다. KB국민은행은 2012년 정보 보호에 341억원을 투자할 계획이었지만 실제로 투자한 금액은 221억원이었다. 신한은행은 175억원에서 155억원, 우리은행은 186억원에서 175억원, 하나은행은 238억원에서 100억원으로 계획 대비 투자액을 줄였다. 금융당국 관계자는 “정보 보호 예산을 투자로 생각지 않고 지출로만 생각해서 이런 격차가 생긴 것으로 보인다”고 지적했다. 물리적 보안장치는 갖춰져 있지만 이를 운용하는 인력 관리가 허술한 점도 한 원인이다. 2011년 농협 전산망 마비 사태 이후 한국인터넷진흥원(KISA)은 ‘정보기술(IT) 외주 인력 보안 통제 안내서’를 만들었지만 현장에서 규제 효과를 보지 못하고 있다는 지적이 나온다. 오희국 정보보호학회장(한양대 컴퓨터공학과 교수)은 “이동식 저장장치(USB)로 정보를 빼내 가는 등 초보적인 수준의 보안 구멍이 난 것은 제도가 허술하다기보다 이를 지키지 않는 인력의 문제”라고 말했다. 이미 앞서 대규모 개인 정보 유출 사건을 겪은 일부 금융사는 직원이 고객 정보를 조회하거나 출력할 때 관리자에게 실시간으로 통보되고 일주일에 한번 불필요한 고객 개인 정보를 동시에 파기하는 등의 시스템을 마련했지만 물 샐 틈 없는 보안을 보장하기는 어려운 상황이다. 한 카드사 관계자는 “고객 관련 정보를 조회하거나 출력할 때 일일이 관리자의 결재를 받아야 하는 등의 시스템을 두고 있지만 예상치 못한 직원의 ‘일탈’까지 사전에 통제하기는 어렵다”고 말했다. 신종 금융 사기 수법에 취약한 금융권의 보안도 불안 요소다. 최근 신한은행과 농협은행에서 발생한 신종 ‘메모리 피싱’ 수법은 기존의 피싱 범죄가 고객의 계좌 비밀번호와 공인인증서, 보안카드 등의 정보를 빼돌려 돈을 빼 간 것과 달리 금융 정보 유출 없이 이체 정보를 바꿔 돈을 빼돌린 것이다. 윤샘이나 기자 sam@seoul.co.kr 김경두 기자 golders@seoul.co.kr

‘최악의 비밀번호 1위’ 게시물이 화제다. 국내에 카드사 개인정보 유출이 파장을 일고 있는 가운데 ‘최악의 비밀번호 1위’가 관심을 끌고 있다. 20일 비밀번호 관리 솔루션 전문회사 플래시데이터는 ‘2013년 최악의 비밀번호 25개’를 공개해 눈길을 끌었다. 스플래시데이터에 따르면 2년 연속 1위를 지켜왔던 ‘password’를 밀어내고 ‘123456’이 1위를 차지했다. 2년 연속 1위였던 ‘password’는 2위로 물러났다. ’12345678’이 3위를 기록했고 ‘qwerty’, ‘abc123’이 뒤를 이었다. 또 ‘123456789(6위)’, ‘111111(7위)’ 등 연속 번호나 반복된 숫자를 사용한 경우 최악의 비밀번호 리스트에 올랐다. 스플래시 데이터 관계자는 “비밀번호는 다양한 숫자나 문자 조합이나 본인이 기억하기 쉬운 문장으로 설정하는 것이 좋다”고 전했다. ‘최악의 비밀번호 1위’ 결과를 접한 네티즌은 “최악의 비밀번호 1위, 진짜 최악이네” “최악의 비밀번호 1위, 해킹 금방 당할 듯” “최악의 비밀번호 1위, 내 비밀번호인데?” “최악의 비밀번호 1위, 참고해야겠다” 등 다양한 반응을 보였다. 사진 = 서울신문DB (최악의 비밀번호 1위) 연예팀 seoulen@seoul.co.kr

국내 35개 증권사의 정보기술(IT) 시스템을 위탁관리하는 코스콤(옛 증권전산)의 보안망도 뚫린 것으로 뒤늦게 확인됐다. 개인 정보가 대거 유출된 카드업계뿐만 아니라 증권업계도 보안 및 개인정보 관리 실태에 대한 점검이 시급하다. 22일 금융투자업계에 따르면 2012년 12월 코스콤의 한 직원이 사내에서 쓰는 컴퓨터가 해킹당해 업무 자료 일부가 빠져나갔다. 유출된 자료는 다행히 코스콤의 전산실 설비와 관련된 내용이라 피해가 크지 않았다. 만약 이 자료가 고객 정보였다면 엄청난 파문이 일었을 것으로 업계 관계자들은 보고 있다. 코스콤은 2012년 9월 중순부터 사내 업무망과 인터넷망을 분리해 직원들이 두 대의 컴퓨터를 사용하도록 했다. 업무 전산망에 인터넷 접속을 못 하도록 해 해킹 공격 등에 대비하자는 취지였다. 그러나 해킹을 당한 직원이 업무 자료를 이동식저장장치(USB)에 담아 사내 업무용 컴퓨터에서 인터넷용 컴퓨터로 옮기는 과정에서 코스콤이 강조한 ‘철통 보안’은 쉽사리 무너졌다. 이 직원의 컴퓨터가 원격조종과 데이터 절취가 가능한 악성코드에 감염되면서 코스콤 업무 자료가 해킹 경유지 서버가 있는 일본으로까지 유출됐다. 코스콤 측은 “직원 1명의 인터넷용 컴퓨터 이외에 다른 컴퓨터에서는 악성코드 감염이나 피해가 일어나지 않았다”면서 “내부 업무망에는 해커가 침입하지 못해 고객 정보가 전혀 유출되지 않았다”고 설명했다. 당시 해킹 피해가 미미했지만 코스콤에서 발생한 사고라는 점에서 금융감독당국, 국정원 등도 초미의 관심을 두고 조사를 벌인 것으로 알려졌다. 코스콤은 국내 62개 증권사 중 35개사의 고객 정보를 관리하고 있다. 여기에는 계좌 정보, 거래 실적, 출납 관계, 투자 내역 등이 모두 포함된다. 한 증권사 관계자는 “시스템 안정성이 비교적 높은 코스콤의 인터넷망이 뚫렸다면 다른 곳은 말할 것도 없지 않으냐”면서 “증권업계 전반적으로 보안과 개인정보 관리 실태를 점검할 필요가 있다”고 말했다. 김진아 기자 jin@seoul.co.kr

신용카드사 개인정보 유출 파문이 확산되는 가운데 미국에서도 대형유통업체 ‘타깃’의 고객 정보가 해킹돼 곳곳에서 2차 피해가 발생하고 있다. 타깃은 미국에 1800개 매장을 가진 대형마트로, 월마트에 이은 2위 업체다. 22일 뉴욕타임스, 월스트리트저널 등 미국 언론에 따르면 이번 해킹으로 약 7000만명에 달하는 고객 정보가 유출된 것으로 확인됐다. 그중 4000만명은 신용카드와 직불카드 번호, 카드 만료일, 카드 뒷면 보안번호 세 자리까지 유출됐다. 타깃 외에도 명품백화점 니먼마커스 등 소매업체 6곳의 고객 정보가 유출됐다. 동유럽권 해커 그룹으로 추정되는 해커들은 결제용 카드리더기(POS)에 악성 코드를 심은 뒤 카드 마그네틱 선에 담긴 정보를 복사해 가는 방법을 이용했다. 컨설팅업체 재블린연구소는 업체들이 감당해야 할 피해액이 최소 180억 달러(약 19조 2200억원)에 달할 것으로 전망했다. 사건이 발생하자 씨티, JP모건체이스, 뱅크오브아메리카, 웰스파고 등 대형은행들은 직불카드와 신용카드를 재발급해 줬다. 타깃은 카드도용방지서비스를 1년간 무상으로 제공하겠다고 밝혔다. 하지만 2차 피해가 속속 발생하는 등 사태가 악화되고 있다. 소송도 수십건 제기된 상태다. 미국 보안 전문 블로그 크렙온시큐리티는 유출된 신용카드 정보가 암시장에서 장당 20~100달러에 판매되고 있다고 밝혔다. 타깃 이름으로 된 스미싱 이메일까지 등장했다. 텍사스주 경찰은 최근 위조 신용카드로 수만 달러를 결제한 20대 멕시코인 2명을 검거했다. 이민영 기자 min@seoul.co.kr

21일에도 신용카드를 재발급 받으려는 수요는 여전했다. 국민·롯데·농협 등 카드 3사와 국민은행 등은 본사 직원을 영업점에 긴급 투입하는 등 일손을 대거 늘렸으나 밀려드는 고객을 따라잡지 못해 극심한 혼란이 이어졌다. 지금까지 카드 재발급, 해지, 정지를 신청한 고객이 180만명에 육박하는 것으로 집계됐다. 정보 유출 피해 여부를 조회한 고객 수도 1000만여명에 달했다. 불안감이 과도하게 확산되고 있다는 우려도 있다. 이제는 2차 피해 최소화와 더불어 국민 신상이 다시 털리지 않도록 하는 데 역량을 집중해야 한다는 목소리가 높다. 이상진 고려대 정보보호대학원 교수는 “국민 불안감을 진정시키기 위해서라도 이런 일이 다신 생기지 않도록 방지책을 짜야 한다”면서 “2011년 농협 전산망 해킹 사태 이후 국내 금융사들의 사이버 방화벽은 상당한 수준에 오른 만큼 이제는 사람에 의한 유출, 즉 물리적 방화벽 구축에도 신경 써야 한다”고 주장했다. 외국처럼 금융사도 보안검색대나 폐쇄회로(CC)TV 등을 설치해야 한다는 것이다. 매뉴얼이 제아무리 잘 마련돼 있어도 이동저장장치(USB) 반입을 허용한 SC은행이나 카드 3사 사례에서 보듯 ‘기본’을 지키지 않는 곳도 많은 만큼 사이버 방화벽을 재점검해야 한다. 이윤석 금융연구원 연구위원은 “정보를 훔쳐 내다 팔고 제대로 관리를 못해 도둑질당해도 최대 600만원의 과태료(신용정보보호법 기준)가 고작인 솜방망이 제재 수위를 끌어올려야 한다”고 강조했다. 영업력과 시너지 효과 등을 위해 금융지주 계열사 간, 그룹 계열사 간, 제휴사 간 너무 광범위하게 허용하고 있는 정보 공유를 엄격히 제한하고, 신용정보보호법·개인정보보호법·금융지주회사법·보험업법 등 법안별로 제각각인 정보 수집 및 관리 기준도 통일시켜야 한다. 오희국 한양대 컴퓨터공학과 교수는 “전산을 자체 관리하느냐, 외부에 맡기느냐는 본질이 아니다”며 정보기술(IT) 강국의 명성에 비해 턱없이 부족한 보안 전문가를 꾸준히 양성해야 한다고 역설했다. 조남희 금융소비자원 대표는 “우리 사회 전반의 보안 불감증을 개선해야 한다”면서 “별생각 없이 정보 활용에 동의하는 국민 개개인의 의식도 바꿔야 한다”고 말했다. 금융사 거래 때 대출이자만 보지 말고 정보 유출 전력도 꼼꼼히 따져야 한다는 것이다. 안미현 기자 hyun@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr