“고객님! 거짓말이 아니고요. 저도 농협직원이지만 카드번호, 유효기간 등 제 개인 정보도 다 유출됐거든요. 그래도 카드가 복제되거나 그러는 건 아니니까 믿어주세요.“ NH농협카드를 갖고 있는 기자가 ‘14관왕(카드번호, 유효기간 등 14건의 정보유출)’에 당당히(?) 오른 사실을 확인한 뒤 농협에 전화를 걸어 “내 정보가 범죄에 악용되는 것 아니냐“고 묻자 다급한 목소리의 여직원은 이렇게 말했다. 지난 토요일(18일) 아침의 일이다. 직원은 “사과드린다”는 말을 연신 하면서도 “당사의 잘못은 아니며 신용정보 회사의 직원이 정보를 몰래 빼돌려 일어난 일”이라는 사실을 유독 강조했다. 회사에서 그렇게 교육시켜서인지는 모르겠지만, 대한민국 성인 중 카드를 가진 사람들은 거의 전부가 신상이 다 털려 ‘멘붕’에 빠진 상황에서도 책임회피에만 너무 급급한 게 아니냐는 생각이 먼저 들었다. 정작 “유출된 내 카드번호와 유효기간만으로도 물건을 구입할 수 있지 않느냐” “2차 유출을 막으려면 어떻게 해야 되고, 농협은 어떤 조치를 준비하고 있느냐”는 질문에는 “잘 모르겠다”는 답변만 돌아왔다. 지난 주말 포털사이트에는 하루 종일 농협카드 등 3개 카드사의 정보유출이 실시간 1~3위 검색어를 차지했다. 그만큼 전무후무한 뉴스로, 실제로 주변에 아는 사람들은 너 나 할 것 없이 피해자가 됐다. 얼굴만 안 알려졌을 뿐 모든 신상정보가 다 까발려졌다. “울 엄마도 모르는 내 정보가 다 털렸다”, “유출은 됐는데 (시중에) 유통은 안 됐다는 걸 어떻게 믿겠나”, “신용카드사가 다 있는데 신용만 없더라”는 다소 감정적인 트위터의 글들에 격하게 공감할 수밖에 없는 이유다. 걱정이 되는 건 이번에 1억건이 넘는 정보가 유출된 농협 등 카드 3개사는 단지 운이 없었다는 점이다. 정보유출에 취약한 것은 다른 카드사나 시중은행, 외국계은행도 다 마찬가지다. 현재로서는 언제든, 어느 금융기관에서든 똑같은 정보 유출 사건이 재발할 수 있는 구조다. 금융소비자들의 불안감은 더 커질 수밖에 없다. 정보 유출과 관련해 최고 600만원의 과태료 부과가 전부였던 금융당국의 ‘하나마나한’ 징계도 이번 사태를 부추겼다. 그래서인지 이번에는 최고경영자(CEO)에 대한 징계, 영업정지 등을 검토하고 있다고 한다. 개인정보 보호를 허투루 해온 금융기관들에 이런 사건이 또 일어나면 보안시스템 구축에 들어가는 몇 배의 비용을 물게 될 것이라는 위기감을 심어줄 필요는 있다. 하지만 단순히 사후에 징계를 강화하는 것보다는 이런 사건이 재발하지 않도록 미리 금융기관 스스로 시스템을 바꿔야 한다. 그래야 옛날처럼 해킹 때문도 아니고, 외부 용역직원이 고객정보를 휴대용저장장치(USB)에 담아 빼내온 뒤 버젓이 외부에 팔아 먹는, 이런 코미디 같은 일이 다시 일어나지 않는다. ‘개인정보유출→사장단 합동사과→금융당국, 일벌백계 및 재발방지 약속→유출사건 재발’이라는 익숙한 패턴을 매번 반복할 수는 없는 일이다. 모든 금융기관들은 이번이 마지막 기회라는 자세로, 개인정보 보호와 관련한 잘못된 관행을 뿌리째 뜯어고쳐야 한다. 만약 ‘이 또한 지나가리니’라는 얄팍한 생각으로, 일단 ‘소나기만 피하고 보자’는 식의 대응을 한다면 같은 사건이 또 발생하고 국민들의 신뢰도 영원히 잃게 될 것이다. 고객들이 등을 돌린 기업은 결국 문을 닫는다는 것이 만고불변의 진리다. sskim@seoul.co.kr

개인정보 유출 사태로 카드 재발급 요청이 줄을 잇는 가운데 최악의 비밀번호 1위가 화제다. 지난 20일 비밀번호 관리 솔루션 전문회사 ‘스플래시데이터(splashdata)’가 ‘2013년 최악의 비밀번호 25개 목록’을 공개했다. 공개된 목록엔 2년 연속 ‘최악의 비밀번호 1위’ 자리를 지켰던 ‘password’를 2위로 밀어낸 ‘123456’이 1위에 올랐다. 3위는 ‘12345678’이었으며 ‘123456789’, ‘111111’, ‘000000’등이 뒤를 이었다. 순위권에 포함된 비밀번호는 대부분 연속되거나 반복되는 숫자나 문자의 조합이라는 점이 공통점으로 나타났다. 한편 21일 카드 3사에 따르면 20일까지 카드 재발급을 신청한 고객들은 NH농협카드가 25만 8000명, KB국민카드가 12만 6000명, 롯데카드가 4만 4000명에 이른 것으로 집계됐다. 이를 합치면 20일까지 카드 재발급 및 해지, 정지를 신청한 회원이 최소 63만명을 넘는 것이다. 그러나 이날 낮 12시까지 집계된 개인정보 유출 조회 건수 695만명에 비하면 턱없이 부족한 숫자다. 이 때문에 카드 재발급 신청에 따른 혼란은 당분간 지속될 전망이다. ‘최악의 비밀번호 1위’를 접한 네티즌들은 “최악의 비밀번호 1위, 정말 최악이네”, “최악의 비밀번호 1위, 카드 재발급 받을 때 피해야겠다”, “최악의 비밀번호 1위, 어차피 카드사가 해킹되는 판에…” 등의 반응을 보였다. 온라인뉴스부 iseoul@seoul.co.kr

“개인정보가 유출됐다고 바로 소송을 준비하기보다는 분쟁조정을 통해 피해 보상을 받는 것이 바람직합니다.” 김종구(58) 한국개인정보보호협의회 상근 부회장 겸 개인정보보호 범국민운동본부 운영위원장은 17일 최근 발생한 신용카드사의 대규모 개인정보 유출과 관련해 “검찰 등의 수사 결과를 지켜본 다음 해당 카드사 등에 자신의 개인정보 유출여부를 확인하는 게 우선순위”라고 말했다. 김 부회장에 따르면 그 다음으로 할 일은 한국인터넷진흥원(KISA)의 개인정보침해신고센터에 손해배상 등 분쟁조정 신청서를 제출하는 것이다. 다만 KISA는 개인정보보호법 등에 해당되는 피해 상황만 처리하기 때문에 금융거래 관련 피해 및 분쟁조정 건은 금융감독원에 이첩한다. 따라서 전화 국번 없이 1332나 금감원 홈페이지(www.fss.or.kr)를 통해 분쟁조정을 신청하면 된다. 개인이 직접 변호사를 선임해 소송을 하는 것도 하나의 방법일 수는 있지만 피해 증거 확보와 변호사 선임비용 등의 부담이 생길 수 있다. 김 부회장은 “분쟁조정의 경우 접수 기관이 피해 증거 등을 입증하고 해당 금융사에 적정 수준의 보상을 권고하게 되는데 금융사가 이를 받아들이지 않을 경우도 있어 그때 소송을 준비해도 늦지 않다”고 설명했다. 김 부회장은 빈번하게 발생하는 개인정보 유출 사태를 막기 위해서는 회사 내부적으로 개인정보보호책임자(CPO)와 관련 실무진의 전문성과 책임의식을 키워야 한다고 강조했다. 김 부회장은 “개인정보 유출에는 외부의 해킹과 내부직원의 고의적 유출이라는 두 가지 상황이 있다”면서 “CPO 등의 전문성을 키우고 방화벽 강화, 백신 설치, 정보파일 암호화 등의 기술적 대비도 필요하다”고 덧붙였다. 그는 개인정보보호법도 개정해야 한다고 주장했다. 현재 개인정보보호법이 어떤 것을 해야 한다는 등의 열거식으로만 돼 있어 방대할뿐더러 두루뭉술해 정보보안 관련자들도 이해하기 어렵다는 것이다. 김 부회장은 “어떤 것을 해서는 안 된다는 식의 네거티브 방식으로 법을 개정해야 명확하게 이해할 수 있고 처벌하기도 쉽다”고 말했다. 김진아 기자 jin@seoul.co.kr

“내 개인 정보는 단돈 500원짜리….” 허술한 보안을 틈타 개인정보를 사고파는 정보 유통시장이 날로 커지고 있다. 대출중개업체나 무등록 대부업자 등은 물론 전화금융사기(보이스피싱) 조직이나 불법 도박사이트 업체 등 개인정보를 토대로 장사를 하는 곳에서 개인정보를 무차별적으로 수집하기 때문이다. 금융사와 직접 계약을 맺고 고객정보에 접근할 수 있는 대출모집인이나 금융사의 정보보안을 담당하는 외주업체 직원들이 이들의 주요 표적이다. 대출모집인 이모(41·여)씨는 “대출모집법인(에이전시)을 상대로 고객 데이터베이스(DB)를 사거나, 다른 데서 사온 DB를 파는 브로커들이 개인정보 유통시장의 중심에 있다”고 말했다. 개인정보가 거래되는 시장에서는 고객의 이름과 전화번호만 나와 있는 정보는 단순 DB, 대출이력이나 신용등급이 나와 있는 정보는 고급 DB로 분류돼 가격이 매겨진다. 업계 관계자는 “전화번호만 있으면 텔레마케팅(TM)을 할 수 있는 대리운전업체나 도박 사이트가 건당 10~50원에 단순 DB를 사가고, 보통 얼마나 최신 정보인가에 따라 100~500원의 가격이 매겨진다”면서 “그중에서도 고급 DB는 주로 대부업체의 표적이 된다”고 말했다. 업계에 따르면 대출 기록이 있거나 앞으로 대출 가능성이 높다고 여겨지는 집단의 DB는 건당 5000~2만원의 높은 가격에 거래되기도 한다. 주민등록번호와 자택, 직장 주소, 과거 대출을 받은 이력이나 신용등급 등이 포함된 정보는 ‘부르는 게 값’이다. 금융사들의 보안 장벽이 높아지면서 개인정보를 유출하는 방법도 진화하고 있다. 3~4년 전까지는 중국에 본거지를 둔 해킹 전문가들이 국내 금융사 DB를 해킹하는 수법이 주를 이뤘지만 최근에는 금융사 내외부의 직원들에게 접근해 직접 정보를 빼오는 방식이 주로 사용된다. 최근 카드사 정보 유출 역시 외주업체 직원이 이동식 저장장치(USB)에 개인정보를 담아 대출광고업자와 대출모집인에게 돈을 받고 넘긴 것으로 드러났다. 지난해 12월 한국SC은행과 한국씨티은행의 고객정보 유출 역시 대출모집인이 저지른 일이었다. 한 은행의 정보보안 관계자는 “‘열 포졸이 도둑 한명을 못 잡는다’는 말도 있듯이 아무리 보안 장치를 강화해도 작정하고 정보를 빼가는 직원들을 사전에 미리 파악해 차단하기란 쉽지 않다”고 말했다. 잊을 만하면 반복되는 금융사 고객정보 유출 사건의 근본적인 원인은 개인정보 보호에 둔감한 기업들의 무관심이라는 지적도 나온다. 금융사들의 정보 보호 불감증을 틈타 금융사 내부직원이나 외주업체 용역직원이 유출한 개인정보가 대출중개업계나 전화금융 시장에 팔리는 등 활발히 거래되고 있기 때문이다. 금융권 관계자는 “CEO부터가 정보 보안을 비용만 발생하는 것으로 봐 개인정보보호책임자(CPO)의 전문성 등을 키울 생각이 없는 데다가 직원들도 정보 보안 부서를 한직으로 여겨 가고 싶어 하지 않고 외주업체에 맡기면 된다고 여기는 게 현실”이라고 지적했다. 다른 금융당국 관계자는 “정보 보안과 관련해 각 사마다 그럴듯한 규정은 정해져 있지만 그것을 지키지 않는 게 문제”라면서 “CEO들이 이번 사태처럼 고객의 개인정보가 유출되면 회사의 신뢰도가 떨어지고 손해배상 비용이 생기는 등 사태 해결에 더 큰 비용이 든다는 점을 인식해야 한다”고 말했다. 특히 이번에 사상 최대인 1억건 이상의 정보유출이 발생했던 NH농협카드 등 3개사는 정보가 이미 새어 나갔는데도 7~14개월이 되도록 유출사실조차 모르고 있던 것으로 드러나 평소 고객 개인정보 관리에 소홀했다는 지적을 받았다. 금융감독원이 지난해 8월 만든 금융 분야 개인정보보호 가이드라인에 따르면 금융사는 개인정보 유출이 발생한 지 5일 이내에 피해 고객에게 개별적으로 사실을 알리고 홈페이지에 밝혀야 한다. 정보 유출 카드사의 한 관계자는 “이번 사건은 내부직원이 아니라 전산 위탁을 맡은 외주업체 직원이 계획적으로 벌인 일이라 사전에 유출 사실을 간파하기가 쉽지 않았다”고 말했다. 해당 카드사들은 다음 주부터 정보 유출 고객에게 피해 사실을 통보하겠다고 밝혔지만 이미 정보가 새어 나간 지 오래라 전화금융사기 등 2차 피해에 대한 우려가 커지고 있다. 다른 카드사의 한 관계자는 “대규모 정보유출 사건이 있을 때마다 기승을 부리는 게 카드사를 사칭해 ‘개인정보가 유출됐으니 주민번호를 대고 확인하라’는 전화사기”라면서 “이 같은 2차 사기에 각별히 조심할 필요가 있다”고 말했다. 이번 유출사건을 피해 간 다른 금융사들도 정보 보안에 대한 민감도가 낮은 것은 마찬가지다. 몇몇 카드사들은 소비자들의 불안심리를 틈타 슬그머니 유료 신용정보 보호서비스 판매를 재개해 비난을 받기도 했다. 신한, 삼성, 우리카드는 사고 직후 금융당국의 요청에 따라 해당 서비스 판매를 중단했다가 이틀 만에 재개했고 현대카드는 사고 이후 줄곧 유료 서비스를 판매하고 있다. 이미 한 차례 뭇매를 맞았던 보험사는 그나마 사정이 조금 나은 편이다. 카드사와 외국계 은행에 앞서 지난해 대규모 고객정보 유출 사건을 일으켰던 메리츠화재와 한화손해보험은 이후 고객 개인정보 보호 수위를 한 단계 강화했다. 메리츠화재는 각 영업지점에서 고객의 개인정보를 일주일마다 암호화하도록 했다. 암호화 작업을 거치지 않은 고객의 개인정보는 자동으로 파기된다. 메리츠화재 관계자는 “보안 강화로 예전보다 업무에 많은 제약이 있어 불편하긴 하지만 지난해 정보유출 사건 이후 고객 개인정보 관리가 워낙 중요하다는 데 직원들이 공감해 보안 강화를 받아들이고 있다”고 말했다. 한화손해보험은 사내 정보보호위원회를 개인정보 보호, IT정보 보호, 일반 보안의 3개 영역별로 나눠 각 영역에 책임자를 두고 있다. 이 외에도 현재 카드사 정보유출의 원인이었던 위탁업체를 반기마다 점검하기로 했다. 윤샘이나 기자 sam@seoul.co.kr 김진아 기자 jin@seoul.co.kr

금융당국의 솜방망이 처벌과 법원의 관대한 판결이 결과적으로 금융사의 고객 정보 관리 소홀을 가져왔다는 비판이 나온다. 고객 정보가 유출될 때마다 고작 수백만원대의 과태료와 주의 등으로 끝낸 것이 금융사의 ‘보안 해제’로 이어졌다는 지적이다. 17일 금융업계에 따르면 지난 3년간 금융사의 고객 정보가 유출된 건수는 총 1억 700만여건으로 집계됐다. 은행부터 카드와 보험, 제2금융권까지 금융권의 전 업종이 한 차례 이상 털렸다. 유출 경로도 내부 직원이 다섯 차례, 외주 직원 두 차례, 외부 해킹이 두 차례로 조사됐다. 이에 대해 강형구 금융소비자연맹 금융국장은 “최고경영자(CEO) 처벌 수위를 강화하고 영업 정지라는 강력한 칼을 빼 들어야 한다”면서 “금융기관 경영평가에서 보안과 고객 정보 보호 관리를 주요 항목으로 다뤄야 할 때”라고 지적했다. 실제로 고객 정보 유출에 대한 금융당국의 제재를 보면 한심한 수준이다. ‘다음부터 잘하라’는 주의와 함께 실무자 처벌로 끝내는 사례가 대부분이었다. 2011년 7월 하나SK카드사에서 내부 직원이 고객 정보 9만여건을 빼돌린 뒤 이를 넘겨받은 외부 직원이 “고객 100만명의 개인 정보를 입수했으니 사장을 연결해 달라”며 회사를 협박하는 일도 있었다. 그러나 금융당국의 제재는 기관 주의와 과태료 600만원, 임원 주의 등의 경징계에 그쳤다. 2011년 4월 외부 해킹으로 고객 정보 175만건이 유출된 현대캐피탈 사건도 결국 기관 경고에 ‘임원 주의적 경고’로 마무리됐다. 일각에서는 법률을 개정해 고객 정보 유출에 대한 징벌적 과징금 도입과 형사 처벌도 가능하도록 해야 한다고 주장한다. 사법부도 사정은 마찬가지다. 2010년 1월 외부 해킹으로 개인 정보가 유출된 옥션 가입자 14만여명이 낸 집단소송에서 법원은 옥션의 손을 들어 줬다. 2008년 GS칼텍스 정보 유출 사건에서도 대법원은 GS칼텍스 보너스카드 가입자 7675명이 낸 손해배상 청구 소송에서 원고 패소 판결을 한 원심을 확정했다. 김경두 기자 golders@seoul.co.kr

1억건 이상의 카드사 고객정보 유출사건이 터지자 금융 당국은 금융회사 용역업체 직원이 함부로 고객정보를 열람하는 행위를 제한하는 등 보안을 강화하기로 했다. 카드사들은 허둥지둥 대국민 사과에 나섰다. 하지만 SC은행과 씨티은행의 고객정보 유출 사건이 터진 지 한 달도 채 안 돼 다시 사상 최대의 개인정보가 유출되면서 ‘뒷북대응’이라는 비판이 커지고 있다. 창원지검 특수부(부장 홍기채)는 카드사 고객정보를 대량 유출한 혐의로 개인신용평가회사인 코리아크레딧뷰로(KCB) 직원 박모(39)씨와 박씨에게 정보를 구입한 대출광고업자 조모(36)씨를 구속했다고 8일 밝혔다. KCB에서 카드 도난·분실, 위·변조 탐지시스템(FDS) 개발 업무를 맡아온 박씨는 2012년 5월부터 지난해 12월까지 KB·롯데·NH농협카드 등 세 카드사 전산망에 접근해 이동저장장치(USB)에 고객정보를 담아 빼돌린 뒤 1650만원을 받고 조씨에게 팔아넘긴 혐의를 받고 있다. 박씨가 빼돌린 고객정보는 KB카드 약 5300만명, 롯데카드 약 2600만명, NH카드 약 2500만명 등 모두 1억 400만명에 이른다. 고객정보에는 이름과 휴대전화번호, 직장, 주소, 신용카드 사용과 관련한 신용정보가 포함됐다. 구속된 두 사람은 검찰조사에서 고객정보를 외부로 더 유통하지 않았다고 주장하고 있으나 스미싱 등에 악용되는 등 추가 피해 가능성도 배제할 수 없다. 검찰 발표 직후 금융위원회와 금융감독원은 대출모집인이나 신용평가사 직원 등 금융회사 용역직원이 해당 업무와 관련된 정보에만 제한적으로 접근할 수 있도록 개인정보보호 후속조치를 진행하겠다고 밝혔다. 용역직원이 고객 정보를 유출하더라도 해당 금융사의 경영진에게 관리 책임을 물어 중징계하고 기관경고와 영업정지 등 행정제재를 내릴 방침이다. 금감원은 이달 안에 정보가 유출된 카드업체 3곳에 대해 현장검사를 실시할 계획이다. 또 다음 달까지 모든 금융회사의 용역업체 위탁관리 현황을 전면 점검할 예정이다. 금감원 측은 “기존 사고가 제3자 해킹, 내부직원에 의한 정보유출이었던 데 반해 이번 사건은 협력업체 직원이 의도성을 갖고 정보를 빼돌렸다”면서 “외주직원의 고객정보 접근권을 차단하고 금융사의 관리 책임도 강화하겠다”고 밝혔다. 하지만 이는 SC·씨티은행 등의 정보 유출 때도 앵무새처럼 반복했던 얘기다. 금융사들도 유출 사고가 터질 때마다 외부 PC 반입을 금지하거나 USB 접속을 차단하는 등 재발 방지책을 강화했다고 주장했지만 이번 카드사 정보 유출도 USB에 개인정보를 복사해 가는 손쉬운 방법으로 이뤄졌다. 대국민 사과도 익숙한 풍경이다. 심재오 KB국민카드 사장 등 카드 3개사 대표는 이날 서울 중구 남대문로 대한상공회의소에서 “정보 유출로 인한 추가 고객 피해가 없도록 최선을 다하겠다”고 고개를 숙였다. 창원 강원식 기자 kws@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

반(反)북한 정권 운동에 참여한 탈북자 단체 대표가 북한 소행으로 추정되는 개인정보 빼가기 방식의 해킹 공격을 받아 탈북자 사회에 비상이 걸렸다. 경찰청 보안국은 11일 탈북자 단체인 ‘겨레얼통일연대’ 대표 장세율(44)씨가 이메일을 통해 컴퓨터에 저장된 정보를 빼내는 해킹의 하나인 ‘스피어 피싱’ 공격을 받았다고 밝혔다. 북한군 장교 출신으로 2008년 탈북한 장씨는 그동안 북한 민주화 운동 등에 참여해 왔다. 장씨는 지난 4월 26일과 5월 1일, 지난달 27일 세 차례에 걸쳐 한글(hwp) 파일이 첨부된 이메일을 받았다. 이메일의 발신자는 장씨와 친분이 없는 한용섭 국방대 교수 등의 명의로 돼 있었고 장씨가 이메일에 첨부된 ‘북한 핵 미사일 위험 대비 방향.hwp’ 등의 파일을 열어보는 순간 첨부파일에 숨겨진 악성코드가 장씨의 개인 컴퓨터로 옮겨졌다. 악성코드는 장씨가 작성한 북한 관련 연구 문서나 개인 파일 등 1200여건을 빼내고 장씨의 컴퓨터에 저장된 이 파일들을 삭제한 것으로 확인됐다. 분석 결과 해커가 접속한 인터넷 프로토콜(IP) 주소는 중국 베이징에 있고 미국의 서버를 경유지로 이용한 사실이 밝혀졌다. 장씨는 “탈북자 회원명부 등 민감한 문서는 해킹을 당하지 않았지만 북한 정권이 저와 탈북자들에게 협박 메시지를 주려 한 것으로 보인다”고 말했다. 경찰 관계자는 “아직 다른 탈북자에게서 유사한 피해 사례는 없었지만 수사를 확대하려고 한다”면서 “수상한 이메일이 오면 열어보지 말고 따로 저장한 뒤 백신프로그램으로 악성코드가 아닌지 확인해야 한다”고 당부했다. 하종훈 기자 artg@seoul.co.kr

최근 미국 국가안보국(NSA)이 미국 내 외국공관을 도청한 데 이어 독일 등 35개국 정상들의 휴대전화 내용을 엿들었다는 도청 의혹이 제기되면서 국제사회가 시끄럽다. 동맹국인 독일의 메르켈 총리가 10년 넘게 도청당했다는 보도가 이어지면서 유럽은 미국 성토장이 됐다. 유럽연합 회원국 시민의 개인정보를 미국 인터넷 회사가 무단으로 빼내면 최대 1억 달러까지 벌금을 부과하는 법안 등 대책 마련에 분주하다. 반면 미국은 곤혹스러워하면서도 첩보활동은 정보기관 고유업무로 국제 평화와 안보에 필수적이라며 반박하고 있다. 국제사회에서 도·감청은 공공연한 비밀이나 다름없다. 이번에 우리나라도 도청대상이었다는 외신보도도 나왔다. 미국뿐 아니라 중국 등 세계 각국이 저마다 자국의 이익을 위해 상대국이나 주요인사 동향을 챙기고 있다. 특히 미국은 테러 방지 등 자국 안보와 세계평화를 이유로 전 세계를 대상으로 이런 정보활동을 해오고 있다. NSA는 그런 기구 중 하나인 셈이다. 미국은 2002년 9·11 테러 이후 ‘애국법’(Patriot Act)을 만들어 법원이 발부한 영장 없이도 통신회사나 인터넷 서비스 제공 기업, 은행 등으로부터 이용자 정보 제공을 요구하는 등 개인정보를 수집할 수 있는 권한을 행사하고 있다. 수집 수단으로는 적외선·비디오 카메라가 장착된 위성이나 정찰기, 무인기 등이 사용된다. 외국 대사관의 벽에 고성능 마이크로폰을 설치하기도 하고 컴퓨터나 해저 광케이블을 해킹하는 기법도 사용한다고 한다. 이번에 논란이 된 미국의 도청 사실은 NSA의 계약직원이던 스노든이 제공한 기밀문서를 언론이 보도하면서 세상에 공개됐다. 아이러니지만 언론도 도청 시비에서 자유롭지 못하다. 2년 전 세계적인 미디어 그룹 황제 머독은 취재과정에서 불법 도청이 문제돼 168년의 역사를 지닌 일요신문인 ‘뉴스 오브 더 월드’를 폐간했다. 이 신문사의 영국 왕실 담당기자와 사설탐정이 2006년 왕실 가족 보좌관의 휴대전화 음성메시지 600여건을 도청한 혐의로 체포되면서 연예인, 테러 사망자 가족 등 4000명의 휴대전화를 해킹했다는 증언이 추가로 나왔기 때문이었다. 정보기술 발달과 함께 정보전의 양상은 더 광범위하고 치밀해질 가능성이 있다. 미국의 9·11테러 사태는 적대국의 개념을 바꾼 획기적 사건이었다. 글로벌 기업들도 보안문제 전문가 채용을 늘리는 등 안전문제에 대한 인식을 달리하고 있다. 국가든 개인이든 세상 이치를 꿰뚫고 예기치 못할 변화에 대비하는 자세를 잊지 말아야 할 시대다. 박현갑 논설위원 eagleduo@seoul.co.kr

사이버 금융사기의 피해 사례가 급속히 증가하면서 사회문제로 부상하고 있다. 사기 수법도 나날이 교묘해져 피해는 큰 폭으로 늘어날 것으로 우려되는 지경이다. 최근 검찰에 적발된 대규모 ‘스미싱’ 국제사기집단이 그 심각성을 보여주고 있다. 이들은 한·미·일·중 4개국을 연계해 무려 14만건의 악성 앱 문자를 스마트폰에 유포했다. 수사당국에 적발되지 않은 스미싱이 많아 피해 규모를 어림하기 쉽지 않다고 한다. 사이버상 금융사기의 유형은 보이스피싱과 파밍, 스미싱이다. 한때 많은 피해를 입혔던 보이스피싱은 줄어들고 스마트폰 사용의 증가로 파밍과 스미싱이 확산되는 추세다. 보안업체에 따르면 스미싱 코드는 지난해 29건에서 올해 들어서는 8월까지 2433개로 84배가량 증가했다. 같은 기간에 한국인터넷진흥원이 차단한 스미싱 관련 인터넷사이트도 17개에서 1289개로 76배나 늘었다. 최근에는 생활에 밀접한 ‘맞춤식 스미싱’이 기승을 부리고 있다. 돌잔치 초대, 청첩장, 법원 출두명령, 스미싱 알약 무료체험, 할인행사 등 이루 헤아릴 수 없을 정도다. ‘차 안 빼면 부수겠다’, ‘불륜아내 단속 잘해’ 등의 문자메시지를 보내는 등 인륜을 저버리는 행위도 서슴지 않고 있다고 한다. 우리는 대규모 사이버 해킹사고를 여러 차례 겪으면서 사회적 혼란을 경험했다. 정부는 사이버 해킹을 테러수준으로 보고 사이버 테러 종합대책을 내놓았다. 사이버 테러가 총과 미사일보다 더 큰 피해와 혼란을 야기한다는 사회적 함의 때문이었다. 사이버 금융사기도 범죄집단이 해킹 등으로 빼낸 개인정보를 이용해 범죄를 저지르고 사회적 혼란을 일으킨다는 점에서 사이버 테러 수준과 다름없다. 지난달 금융당국이 전자금융사기 예방책을 시행했지만 가입자가 사기를 당하는 사례까지 나올 정도로 범죄집단의 치밀성은 혀를 내두를 정도다. 하지만 우리의 사이버 금융사기 예방대책은 걸음마 수준이다. 대응 체제는 금융위원회·금융감독원 등 금융기관과 미래창조과학부, 검경 등으로 업무가 분산돼 있어 교묘해지는 공격 루트를 차단하는 데 실효성이 떨어진다는 지적이 있다. 사이버 사기꾼을 일망타진하기 위해선 개별 기관과 업계의 소극적 대응에서 벗어나 범국가적 대응 체제를 갖춰야 한다. 대비책 또한 사이버 해킹과 테러 대응 수준으로 격상시켜야 한다. 20만~30만원짜리 소액결제 사기라고 그냥 두기에는 누적된 피해가 심각하다.

돌잔치 문자 사기에 이어 ‘법원 스미싱’ 메시지까지 등장해 스마트폰 이용자들의 주의가 요구되고 있다. 지난 10일 오후 상당수의 스마트폰 이용자들에게 “[서울지방법원]민사소송으로 인한 소환서 발부되었습니다. 내용확인”이라는 메시지가 전송됐다. 메시지에 포함된 인터넷 주소를 누르면 ‘court.apk’라는 파일이 다운로드된다. 아직 구체적으로 확인되지 않았지만 개인정보를 빼내거나 이용자가 모르는 사이 소액결제가 이뤄지는 등의 피해가 있을 것으로 추정된다. 또 연락처에 등록된 사람들에게 같은 내용의 문자메시지를 보내는 악성코드가 숨겨져 있을 가능성도 있다. 이와 비슷한 형태로 “[알리미] 형사소송건으로 인한 법원출석서가 발부되었습니다. 내용확인”이라는 내용의 문자메시지도 최근 며칠새 널리 전송된 것으로 알려졌다. 이러한 메시지는 최근 사회적 문제가 되고 있는 스미싱의 또 다른 변종으로 보인다. 스미싱이란 문자메시지(SMS)와 피싱(phishing·금융사기)의 합성어로 문자메시지를 이용한 휴대전화 해킹 기법 및 이를 이용한 사기 범죄를 뜻한다. 이밖에도 최근 결혼 청첩장, 돌잔치 초대장 등을 가장한 스미싱 메시지들이 대량으로 전송돼 문제가 됐다. 스미싱 피해를 예방하려면 각 통신사 고객센터 및 홈페이지를 통해 소액 결제를 원천적으로 차단하거나 결제금액을 제한하는 것이 좋다. 그리고 가능하면 출처가 확인되지 않는 인터넷 링크는 클릭하지 않도록 해야 한다. 또 스마트폰용 백신을 설치해 검사 및 치료를 주기적으로 해줘야 한다. 온라인뉴스부 iseoul@seoul.co.kr

’미스 틴 USA’에서 우승을 차지한 여성이 누드사진 유포를 빌미로 성상납 협박까지 당한 사실이 드러났다. 지난 28일(현지시간) 미국 캘리포니아 출신의 케시디 울프(19)가 미국 NBC 뉴스에 출연해 이번 사건과 관련된 모든 뒷이야기를 소상히 털어놨다.　 선정적인 내용으로 현지를 떠들썩하게 만든 이 사건은 이달 초 발생했다. 한 남자가 해킹한 울프의 컴퓨터를 해킹한 후 웹캠으로 침실 모습을 모두 촬영한 것. 방송에 출연한 울프는 “한 남자가 이메일로 내 누드 사진을 모두 가지고 있다고 말했다” 면서 “만약 특별한 퍼포먼스(성관계)를 해주지 않으면 사진을 일반에 공개하겠다고 협박했다”고 밝혔다. 이어 “누군가 나를 몰래 지켜보고 영상까지 촬영했다는 사실에 치가 떨렸다” 면서 “어찌할바를 몰라 고민하다 결국 경찰에 신고했다”고 털어놨다. 특히 이 사건은 울프가 지난 10일(현지시간) 미국 전역 14~18세 여성을 대상으로 한 ‘미스 틴 USA’에서 우승하면서 세간에 집중 조명을 받았으며 현재 미 연방수사국 FBI가 수사중인 상태다. 울프는 “그때 경험을 이후로 누구나 사이버 범죄의 피해자가 될 수 있음을 느꼈다” 면서 “반드시 비밀번호를 자주 바꾸는 등 개인정보 보호에 스스로 노력해야 한다”고 밝혔다.　 나우뉴스부 nownews@seoul.co.kr

“내 이름은 NEIS. 나이스라고 읽지만, 네이스라고도 하지요.” 안녕, 신문에서 인사하는 게 참 오랜만이네. 10년 전인 2003년에는 365일 중 200일은 신문에 나왔던 것 같은데 말이지. 나는 1만여개 초·중·고·특수학교와 178개 교육지원청, 17개 시도교육청과 교육부가 모든 교육행정 정보를 전자적으로 연계 처리하고 있어. 내게는 2125만명의 학생들의 정보가 축적돼 있지. 그동안 안전행정부나 대법원 등 유관기관의 행정정보를 이용하는 ‘교육행정통합정보서비스’(NEIS)인 내가 구축된다고 하니 ‘정보혁명’이라며 반기는 이들도 많았지만, ‘빅브러더’라는 시선으로 나의 등장에 우려를 표하는 측도 많았어. 그래서 나를 반기던 보수적인 사람들은 내 영어 약자를 “좋아”(Nice·나이스)라는 말과 같은 발음으로 불러 줬지만, 나를 싫어한 진보적인 사람들은 발음기호대로 건조하게 ‘네이스’라고 불렀어. 당시 누군가를 만나서 보수인지, 진보인지 성향을 파악하기 위해 내 이름을 한 번 읽어 보라고 하면 3초 만에 성향을 짐작할 수 있을 정도였다니까. 각설하고, 서울 중구 쌍림동에서 대구 신서혁신도시로 이사 가. 내가 입주한 한국교육학술정보원(KERIS) 전산센터가 지난 10일부터 오는 29일까지 이전하는데, 선발대로 먼저 대구에 가게 됐어. 서버 181식, 통신·보안 105식, 데이터베이스(DB)·백업 54식, 기타 59식 등 전국 학생들의 학교생활기록부 10년치 자료를 옮겨야 하는 대작업이라 시간이 많이 걸려. 게다가 내 자료가 유실되기라도 하면 학창시절의 기록이 사라지는 것이니 문제가 커져. 외부충격으로 인해 사고가 날지 몰라 무진동차에 몸을 싣고 이사를 가게 됐어. 덕분에 평소 보기 어려운 5t 규모 무진동차를 11대나 한꺼번에 볼 수 있었어. 무진동차는 서울청사에서 중부고속도로를 주행하다 경부고속도로로 진입해 대구의 새 보금자리인 KERIS 신청사까지 335㎞의 거리를 시속 80㎞로 달릴 거야. 6시간 동안 무진동차 앞뒤로는 경찰 호송차량이 함께 가고. 그 시간 동안 이사를 하기 위해 투입된 KERIS 직원과 경찰 등 242명이 모두 초긴장상태가 되는 셈이지. 이사를 마치고 18일까지 시범운영이 끝나면 NEIS 제공 서비스는 예전처럼 활용할 수 있어. 사실 교육부 산하 기관 중에서 KERIS가 가장 먼저 공공기관 이전을 하게 됐는데, 9월 4일에 시작되는 2014학년도 대입 수시전형 원서접수를 차질 없이 하려면 내가 갖고 있는 학교생활기록부 자료를 안정적으로 대학에 제공할 수 있어야 해. 이래 보여도 내가 없으면 대입 전형이 불가능할 지경이라고. 과거에 원서철이 되면 대학 건물 앞이 북새통을 이루고, 건물을 감으며 줄 서던 풍경을 본 지 오래된 이유가 내 덕분이야. 지금은 수험생들이 인터넷으로 원서를 접수하고, 그러면 내가 학생부 기재내용을 대학에 입시 전형 목적으로 보내주고 있거든. 혹시 시범운영 중인 18일까지 급하게 졸업증명서, 성적증명서, 검정고시합격증명서 같은 게 필요하면 어떡하냐고? 걱정하지마. 전국 17개 시도교육청에 NEIS 서버가 구축되어 있기 때문에, 증명서가 필요한 경우에는 시도교육청과 지역교육청·학교·주민센터 민원실 등에서 발급받을 수 있어. 그간 학부모서비스 이용실적은 2011년 5423만건, 지난해 3740만건, 올해 상반기 707만건으로 이용이 아주 활발한 편은 아니야. 하지만 이용한 학부모들을 상대로 만족도 조사를 해보면 2011년 89.6%, 지난해 89.0%가 만족한다고 답했지. 올해 만족도가 90%가 넘도록 노력하고 있어. 2011년부터 시범서비스로 운영해 온 학생서비스도 올해 7월부터 정식서비스로 제공되고 있어. 학생서비스를 통해 학생부 열람뿐 아니라 정기시험 정오답표, 신체활동일지, 학습도움자료 등을 조회할 수 있어. 내가 가진 통계들을 분석해 제공하면 좋겠다는 의견도 있어. 10년간 축적된 방대한 자료를 토대로 다른 학생들에 비해 체력이 약한 이유를 분석해 적당한 운동을 권해준다면 좋지 않을까. 특정 학급 성적만 오르지 않는다면 원인을 분석해 공부법을 바꿔 보는 등 대책을 세워줄 수도 있겠지. 2008년 ‘나이스 운영 시범학교’였던 충남 부여정보고에서는 내가 가진 자료를 활용해 통계를 내서 취업 진로 자료를 학생들에게 제공했어. 몇 년 동안 축적된 자료를 활용해 성적별로 지원 가능한 기업을 추천할 수 있었고, 아주 좋은 반응을 얻었어. 하지만 이런 서비스를 전국적으로 실시하려면 ‘개인정보’를 활용해야 하기 때문에 조심스럽기도 해. 나를 ‘네이스’라고 부르는 사람들은 내가 해킹당할 가능성과 내가 갖고 있는 학생에 대한 방대한 개인정보가 유출될 경우 돌이킬 수 없는 피해가 생길 수 있다고 걱정했거든. 특히 지금처럼 내 서버를 시도교육청에서 관리하면서 보안 전문가들이 배치되기는 했지만, 만에 하나 정보가 유출될 경우 한꺼번에 엄청나게 많은 양의 정보가 새어나갈 수 있다는 얘기야. 노기호 군산대 법학과 교수는 지난해 ‘NEIS에 의한 교육정보 공개와 학생의 개인정보 보호’라는 논문에서 “오늘날 학교는 개인정보은행이라고 할 만큼 많은 양의 개인정보를 보유하고 있는 공공기관”이라면서 “학부모를 비롯한 학생 개인 정보가 영리업자에게 유출돼 사회문제가 되고 있다”고 걱정했어. 학생 개인의 신상카드와 학교성적이 사설학원이나 개인과외 브로커들에게 제공돼 악용되는 경우가 있고, 입시학원이 취업이나 진학 정보를 학교에 제공하는 조건으로 학생들의 희망대학이나 전공, 교과성적 등 진로 관련 정보를 대량으로 복사하거나 제공받는 경우가 종종 발생한다는 것이야. 또 학교나 학교 내 학생선도위원회가 경찰에 학생과 보호자의 명부와 사진을 포함해 성적과 성격에 대한 정보를 제공하는 경우도 있다고 해. 그래서 노 교수는 “학교와 행정당국에 의한 비공개 정보의 자의적 운용이나 기업체의 개인정보 보호에 대한 인식부족 및 비협력에 대한 개선이 시급하다”고 주장했어. 요즘 학교폭력 문제가 심각한 사회문제가 되면서 지난해 3월 학교폭력과 관련된 징계내용을 NEIS 중 학생부에 기재할지 여부를 놓고 “기재해야 한다”는 교육부와 “기재할 수 없다”고 버틴 일부 교육청 간 논란은 나를 둘러싼 논란이 ‘현재진행형’임을 보여준 사례야. 경기도교육청이 학교폭력 가해사실을 NEIS에 기록하되 심의를 거쳐 졸업 후 삭제하도록 한 교육부 방침을 받아들였지만, 논란 과정에서 “복제가 쉽고, 유출 가능성이 높으며 영구 저장되는 NEIS에 법적으로 기재를 금지한 징계사항을 기재하는 것은 입법 의도를 침해한 것”이라고 한 일부 교육청의 의견은 귀담아들어야 할 것 같아. 내가 가진 방대한 양의 정보는 교육행정을 효율화하고 학생들의 교육 편의를 도모하는 데 큰 도움이 되지만, 한편으로 집적된 정보가 잘못 쓰일 경우 부작용을 낳을 수 있기 때문이야. 내가 태어났을 때부터 나를 ‘나이스’라고 불러온 교육부는 학생과 학부모, 교사가 나를 쉽게 쓰는 방법을 가르쳐주기 위한 홍보캐릭터로 ‘나()씨 가족’을 선택했어. 모든 사람들에게 ‘나이스’한 선택이 되기 위해 나는 앞으로 보안에도 더 신경쓰고, 개인 프라이버시 보호와 학생 인권을 위해 노력해야 될 거야. 나를 ‘네이스’라고 부르는 사람들 역시 나를 완전히 폐기하는 방법을 포함해 여러 보완방안과 대안을 제시해 주기를 부탁할게. 홍희경 기자 saloo@seoul.co.kr

’미스 틴 USA’에서 우승을 차지한 여성이 해킹을 당해 자신의 침실 모습이 모두 유출된 것으로 알려져 충격을 주고 있다. 지난 10일(현지시간) 캘리포니아 출신의 케시디 울프(19)가 미국 전역 14~18세 여성을 대상으로 한 ‘미스 틴 USA’에서 우승해 왕관을 썼지만 미디어의 관심은 다른 곳에 쏠렸다. 바로 미 연방수사국 FBI가 울프가 신고한 해킹 사건을 수사 중이라는 사실이 알려졌기 때문. 울프의 악몽은 4달 전 부터 시작됐다. 누군가가 침대에서의 그녀 모습을 컴퓨터 웹캠으로 모두 촬영했다면서 이메일을 보내왔던 것. 울프는 “누군가 내 컴퓨터를 해킹해 침대에 있는 내 모습을 웹캠으로 지켜봤다는 사실에 경악했다” 면서 “몇 달 전 부터 내 페이스북도 다른 주에서 접속한 기록이 있는 등 이상한 일이 있었다”고 밝혔다. 이후 ‘은밀한 사진’을 무기로 해커는 그녀에게 돈 등을 요구하기 시작했고 참다못한 울프는 경찰에 신고해 사건은 세간에 알려졌다. 울프는 “침실에 있는 나를 누군가 지켜봤다고 생각하면 지금도 몸서리 쳐진다” 며 “누구나 피해자가 될 수 있기 때문에 반드시 비밀번호를 자주 바꾸는 등 개인정보 보호에 스스로 노력해야 한다”고 말했다. 　 　 나우뉴스부 nownews@seoul.co.kr

정부 부처 홈페이지 10곳 가운데 6곳이 실명 인증의 하나로 여전히 주민등록번호를 요구하는 것으로 확인됐다. 지난 2월부터 개정 정보통신망법이 시행됨에 따라 민간의 모든 웹사이트가 주민등록번호를 수집할 수 없게 됐지만 정작 이를 주도한 방송통신위원회를 포함한 정부 부처가 개인정보 보호를 ‘나 몰라라’하고 있다. 정보통신망법을 아예 적용받지 않아 ‘온라인 치외법권’이라는 비판도 나온다. 서울신문이 29일 정부 부처(17부 3처 17청)의 홈페이지를 전수조사한 결과 37곳 가운데 22곳(59.5%)이 회원 가입이나 게시판 글을 등록할 때 주민등록번호를 요구하는 것으로 나타났다. 민간 웹사이트들이 주민등록번호 인증을 없애고 휴대전화나 공인인증서, 아이핀(I-PIN) 등 다른 대체 수단으로 전환한 것과 대조적이다. 문화체육관광부(상담 신청)와 보건복지부(자유게시판), 소방방재청(청장과의 대화)은 아예 주민등록번호로만 실명 인증이 가능하다. 주민등록번호와 공공 아이핀 등 두 가지 수단으로 등록이 가능한 정부 부처 홈페이지는 모두 19곳으로 조사됐다. 반면 민간 웹사이트처럼 주민등록번호를 아예 받지 않는 곳은 산림청이 유일했다. 산림청은 대신 공공 아이핀과 공인인증서, 휴대전화로 실명 인증을 할 수 있도록 했다. 인터넷에서 개인정보 보호를 관할하는 방통위는 홈페이지 민원신고센터 실명 인증을 위해 주민등록번호를 요구해 논란이 될 전망이다. 방통위는 최근 1일 평균 방문자 수가 1만명이 넘는 웹사이트 1080곳을 대상으로 주민등록번호 수집에 대한 실태를 조사해 이를 위반한 기업 1곳에 과태료 1000만원을 부과했다. 제재를 받은 민간 웹사이트 측이 억울하다고 불만을 토해 낼 만한 대목이다. 회사원 김지은(25·여)씨는 “정부 부처라고 해서 회원 가입을 할 때나 게시판 글을 쓰는 데 왜 주민등록번호를 입력해야 하는지 모르겠다”면서 “얼마 전 청와대 홈페이지도 해킹을 당했는데 정부 부처라고 해서 안심할 수 있는지 의문”이라고 꼬집었다. 이에 대해 방통위 관계자는 “공공기관의 웹사이트는 방통위 소관이 아니라 안전행정부에서 관리한다”며 책임을 떠넘겼다. 안행부 관계자는 “공공기관의 경우 영리를 목적으로 하는 사업자가 아니기 때문에 정보통신망법의 적용을 받지 않는다”며 책임을 피했다. 하지만 정보통신망법을 적용받지 않는 정부 부처도 지난달 개인정보보호법이 개정됨에 따라 이르면 내년부터 주민등록번호를 수집하면 안 된다. 윤철한 경제정의실천시민연합 시민권익센터 사무국장은 “정부 부처를 포함한 공공기관의 경우 개인정보 동의 절차나 약관이 허술하고 구조적으로 잘못된 경우도 많지만 처벌받는 사례가 없었다”면서 “특히 인터넷 실명제는 헌법재판소에서 만장일치로 위헌 결정이 내려진 것이다. 정부 부처라고 해서 예외가 될 수 없다”고 지적했다. 신융아 기자 yashin@seoul.co.kr

지난달 25일 청와대를 비롯해 정부기관, 언론사 등 69곳에서 동시에 발생한 ‘6·25사이버테러’의 주체가 북한인 것으로 결론났다. 2011년 3·4디도스 공격, 농협 금융망 해킹, 올해 3·20사이버테러 등에 이어 또다시 북한 공격에 뚫린 셈이다. 6·25사이버테러 사건의 분석을 맡은 민·관·군 합동대응팀은 16일 미래창조과학부에서 설명회를 열고 “이번 공격 수법이 기존 북한의 해킹 수법과 일치한다”고 밝혔다. 대응팀은 공격 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종, PC 접속기록(로그), 인터넷주소(IP) 등을 과거 북한의 대남 해킹 자료와 비교·분석해 이 같은 결론을 내렸다고 설명했다. 공격은 최소 5개월 전부터 준비됐던 것으로 분석됐다. 북한은 국내 파일 공유 사이트, 웹하드 서비스 등을 사전에 해킹해 공격 거점으로 삼았다. 특히 다수 기관을 일시에 공격하고, 해외로부터의 서비스 응답으로 공격을 위장하거나 IP를 숨기는 등 진화된 공격 수법을 사용했다. 북한의 IP는 2개가 발견됐다. 해커는 로그를 삭제하고 하드디스크를 파괴했으나 복구 과정을 통해 이를 확인했다. 전길수 한국인터넷진흥원 침해사고대응단장은 “정보기관에서 보유하고 있던 북한 IP 대역과 일치하는 주소”라며 “어떤 목적으로 사용됐는지, 북한 IP 외에 총 몇개 IP가 발견됐는지는 보안 문제 때문에 밝히기 어렵다”고 말했다. 공격에 사용된 IP 주소는 북한 외 다른 국가의 것도 상당수 있는 것으로 알려졌다. 서버를 다운시키기 위해 시스템 부팅영역(MBR)을 파괴, 시스템 파일 삭제, 공격 상황 모니터링을 한 수법, 사용한 악성코드 문자열의 특징도 3·20사이버테러와 같았다. 분산서비스거부(DDos) 공격에 사용한 악성코드도 3·20 때 발견된 악성코드의 변종 형태인 것으로 분석됐다. 대응팀은 그러나 개인정보 유출의 경우는 언제 일어난 것인지 파악하지 못했다. 전 단장은 “개인정보는 공격 때 유출된 것인지, 사전 준비 과정에서 유출된 것인지 확실치 않다”고 말했다. 이번 공격이 또 북한 소행이라는 결론이 나옴에 따라 정부의 향후 대응에 관심이 쏠리고 있다. 오승곤 미래부 정보보호정책과장은 “대응팀의 역할은 사고를 분석하고 그 결과를 밝히는 것뿐”이라며 “이를 바탕으로 정부가 어떻게 대응할지는 정확히 단정할 수 없다”고 못 박았다. 한편 대응팀에는 미래부, 국방부, 검찰, 국가정보원 등 18개 기관의 전문가들이 참여했다. 강병철 기자 bckang@seoul.co.kr

LG유플러스가 휴대전화에 장착된 범용가입자식별모듈(USIM)칩을 이용한 공인인증 서비스를 개시했다. 휴대전화 메모리에 공인인증서를 저장하거나 은행권에서 제공하는 마이크로SD카드를 활용하는 방식보다 보안성이 높아, 모바일 금융 경쟁의 새로운 축으로 떠오를 것으로 보인다. LGU+는 2일 롱텀 에볼루션(LTE) 스마트폰과 PC에서 안전하고 편리하게 공인인증 서비스를 이용할 수 있는 ‘USIM 공인인증 시범 서비스’를 11월까지 무료 제공한다고 밝혔다. 이는 스마트폰에 장착된 USIM칩에 공인인증서를 발급받아 저장해두고 모바일 금융 거래 시 본인 확인을 할 때 사용하는 인증 서비스다. 휴대전화 내장 메모리나 마이크로SD카드 등에 저장하는 기존 소프트웨어 방식과 달리 USIM칩 내부에 인증서 보안을 위한 별도 공간이 존재해 해킹이 불가능하다는 게 LGU+의 설명이다. 해당 이동통신사의 LTE 스마트폰을 사용하고 있는 가입자라면 USIM 공인인증 애플리케이션(앱)과 PC 전용 프로그램을 다운받아 설치하면 사용할 수 있다. 공인인증서가 USIM에 저장돼 있으면 휴대전화 번호와 앱에서 설정한 비밀번호만으로도 공인인증이 필요한 금융 거래, 공공업무, 신용카드 결제 등을 손쉽게 처리할 수 있다. USIM 공인인증은 차츰 확산되고 있는 모바일 금융을 위한 주요 기술 중 하나다. 모바일 금융 거래를 위해서는 개인정보를 저장하는 보안장치(SE·secure elements)가 필요한데 이통사들은 USIM에 이를 탑재하는 방식을 활용하고 있다. USIM 관련 서비스는 SK텔레콤과 KT도 준비 중인 것으로 알려졌다. 한편 은행권은 금융결제원을 중심으로 SE가 탑재된 금융 마이크로SD카드를 활용해 공인인증서, 신용카드, 교통카드 등을 하나로 묶는 방안을 추진하고 있다. LGU+는 향후 USIM 공인인증을 활용해 금융기관 등을 대상으로 수수료 형식으로 수익을 창출하는 방안도 검토하고 있다. LGU+ 관계자는 “현재는 관련 법 문제 등이 있어 운영 방안을 확정해 말하긴 어렵다”면서 “시범 운영을 거친 뒤 서비스 요금이나 형태 등을 결정할 것”이라고 말했다. 강병철 기자 bckang@seoul.co.kr

지난 몇년 새 발생한 대규모 개인정보 유출 사고에는 피해자들의 ‘집단 소송’이 자연스럽게 이어졌다. 그렇다면 지난달 25일 발생한 사이버 공격으로 10만명가량의 개인정보를 유출한 청와대에 대해서도 집단 민사소송이 가능할까. 법적으로는 가능하다는 게 전문가 판단이다. 1일 법조계와 관련 업계에 따르면 지난해 9월 KT의 873만명 개인정보 유출을 비롯, 기업들의 개인정보 유출 사고는 줄줄이 집단 민사소송으로 이어졌다. KT 사고 피해자 2만 4000명은 지난해 1인당 50만원씩을 요구하는 손해배상 청구 소송을 서울중앙지법에 냈다. 2011년 SK커뮤니케이션즈 회원정보 유출 사고, 2008년 옥션 사고 등도 재판 중이다. 청와대 회원정보 유출도 기업들의 경우와 크게 다르지 않다. 청와대도 마찬가지로 해킹 공격을 받아 개인정보가 유출됐고, 여기에 어느 정도 개인을 특정할 수 있는 이름과 생년월일, 주소 등이 포함됐다. 따라서 기업과 마찬가지로 관련 민사소송이 가능하다는 게 전문가들 얘기다. 김경한 민후 변호사는 “이번 개인정보 유출은 개인정보보호법을 근거할 때 민사소송감으로 충분하다”며 “공공기관의 정보 관리에 대한 법 적용은 기업보다 훨씬 엄격하다”고 전했다. 관련 소송이 진행 중인 기업 관계자도 “개인정보 관리 노력이 부족했다는 점이 입증되면 책임을 물을 수 있다”고 전했다. 반면 소송으로 이어져도 승소 가능성이 적다는 분석도 있다. 기업을 상대로 한 소송도 SK커뮤니케이션즈에 대한 일부 소송을 제외하고는 모두 원고 패소 판결이 내려졌다. 소송 중인 다른 기업 관계자는 “업체나 기관들이 개인정보 보호를 위한 장치를 마련하고 있는데도 해킹 공격을 받는 건 모두 억울한 측면이 있다”며 “이 때문에 전적으로 책임을 묻기가 어렵다”고 말했다. 다만 소송과 별개로 개인정보 유출에 대한 일정 책임은 피할 수 없을 것으로 보인다. 한 보안업계 관계자는 “최근 정부가 기업의 경우 명백한 잘못이 아니더라도 개인정보 사고가 나면 처벌을 강화하는 법안을 추진 중인 것으로 안다”며 “기업에 보안 책임을 묻는 만큼 정부도 책임을 져야할 것”이라고 말했다. 한편 한국인터넷진흥원은 이날도 영남일보, 정보넷 등 10곳의 사이트가 사이버 공격을 받았다고 밝혔다. 새누리당은 미래창조과학부와 당정협의를 갖고 전체 정보기술(IT) 예산 중 5% 수준인 정보보호 예산을 10%로 확충하는 방안을 요구했다. 강병철 기자 bckang@seoul.co.kr

지난 25일 발생한 청와대 홈페이지 해킹으로 약 10만명의 회원 개인정보가 유출된 것으로 확인됐다. 청와대 홈페이지 회원의 개인정보가 해킹으로 대량 유출된 것은 처음이다. 지난 2009년 7·7 분산서비스거부(디도스) 공격 때도 개인정보 유출 피해는 없었다. 청와대 관계자는 30일 “청와대 홈페이지 회원은 20만명가량인데 이번 해킹으로 회원정보가 유출된 회원은 10만명가량으로 확인됐다”고 말했다. 이들 10만명의 개인정보 중 이름, 생년월일, 아이디(ID), 주소, IP 등 총 5개 개인정보가 유출된 것으로 알려졌다. 다만 비밀번호와 주민번호는 암호화돼 유출되지 않았다. 이와 관련, 청와대는 지난 28일 ‘청와대 개인정보 유출에 대한 사과 공지’를 통해 “지난 6월 25일 발생된 청와대 홈페이지에 대한 사이버공격으로 회원님의 소중한 개인정보가 일부 유출되었음을 알려드리게 된 점, 진심으로 사과의 말씀을 드린다”고 밝혔다. 장세훈 기자 shjang@seoul.co.kr

25일 발생한 해킹은 한국전쟁이 발발한 6·25에 맞춰 청와대 및 정부 부처, 정당, 언론사 등 16개 기관을 대상으로 광범위하게 이뤄졌다는 점이 특징이다. 안랩은 이번 디도스(DDoS) 공격을 유발한 악성코드가 25일 0시부터 배포됐으며 오전 10시에 디도스 공격을 수행하도록 서버로부터 명령을 받은 것으로 확인했다고 밝혔다. 프로그래밍대로 공격은 오전 10~11시에 집중됐다. 안전행정부, 미래창조과학부, 통일부 홈페이지가 줄줄이 문제를 일으켰고 오후 2시 40분쯤 보건복지부 홈페이지에도 접속 장애가 발생했다. 안랩은 또 지난 2011년의 3·4 디도스 공격 때와 마찬가지로 웹하드를 통해 악성코드가 배포된 것으로 분석했다. 이번 해킹 피해는 단순 홈페이지 위·변조나 접속 장애 외에 개인 정보 유출로까지 이어진 것으로 보인다. 해킹을 당한 새누리당 일부 시·도당에서는 당원 명부가 유출됐다는 의혹이 나오고 있다. 박재문 미래부 정보화전략국장도 이날 브리핑에서 “유출된 개인정보를 유포하는 사이트 3곳을 발견해 차단했다”면서 “유출된 정보의 진위 여부와 유출 기관 등을 파악 중”이라고 설명했다. 정부는 이번 해킹을 ‘한 단체의 소행’으로 의심하고 있지만 어떤 단체인지, 목적이 무엇인지를 특정하지 못하고 있다. 해킹된 홈페이지에는 국제 해커그룹으로 알려진 어나니머스(Anonymous)의 이름이 쓰여 있으나 정부는 단정하기는 이르다는 입장이다. 이번 해킹은 북한 소행이라는 주장도 나온다. 6월 25일에 맞춰 대대적인 해킹 공격이 이뤄졌다는 점, 공격수법이 2009년과 2011년 북한이 벌인 디도스 공격과 유사하다는 점 등이 근거다. 그러나 박 국장은 “아직 단정할 단계가 아니다”라면서 “해킹의 경로나 방법, 로그 기록 등을 분석해서 유사성이 발견돼야 하는데 아직 조사하고 있다”고 말했다. 이런 가운데 방송사·금융사 정보전산망이 공격받은 3·20 사이버 테러 이후 석 달 만에 청와대 등의 보안망이 뚫리면서 그간 대책 마련이 소홀했던 게 아니냐는 지적도 나온다. 한편 어나니머스 소속 일부 해커들은 이날 낮 12시를 기해 북한 관련 사이트 46곳을 디도스 공격하겠다고 밝혔다. 일부 사이트는 접속 장애 등을 일으킨 것으로 전해졌다. 어나니머스 측은 이날 북한 웹사이트의 해킹을 통해 확보한 명단을 공개했다. 어나니머스는 이를 “북한 군 고위간부”라고 주장했다. 이 명단에는 곽종구, 권덕기, 김석일, 리철석 등 13명의 이름과 생년월일, 전화번호, 주소 등이 적혀 있다. 하지만 명단 속 주소지가 대부분 북한이 아닌 중국인 데다 일부 인사들은 1982년, 1989년생 등으로 표기돼, ‘고위 간부’란 주장은 무리라는 지적이 나온다. 강병철 기자 bckang@seoul.co.kr

미국 국가안보국(NSA)의 국내외 감청망의 실체를 폭로한 전직 미 중앙정보국(CIA) 요원인 에드워드 스노든 파문의 불똥이 영국으로 튀었다. 16일(현지시간) 영국 일간 가디언은 스노든으로부터 입수한 NSA의 기밀자료에 포함된 정보통신본부(GCHQ)에 대한 자료를 토대로 영국의 감청기관인 GCHQ가 2009년 런던에서 열린 주요 20개국(G20) 정상회의(4월)와 G20 재무장관회의(9월)에 참석한 각국 대표단의 컴퓨터를 해킹하고 전화통화 내용을 감청했다고 보도했다. 가디언에 따르면 GCHQ는 2009년 회의 행사장에 인터넷 카페를 차려 대표단이 인터넷을 이용하도록 유도한 뒤 대표단의 접속 ID와 비밀번호 등 로그인 정보를 수집한 것으로 알려졌다. GCHQ는 또 외국 정부 인사들의 블랙베리 스마트폰을 해킹해 이메일과 통화내역을 가로챘으며, 전문 분석가 45명을 동원해 대표단의 전화통화 실태를 24시간 감시했다. 특히 GCHQ의 감청 행위는 테러나 군사분쟁 등 국가안보와 관련된 것이 아니라 국제협상에서 우위를 차지하는 등 국익을 증진하는 것을 목표로 이뤄졌다는 점에서 파장이 클 것으로 보인다. 문서에 따르면 GCHQ는 범죄에 연루된 정황이 없는데도 9월 G20 재무장관 회의에 참석한 메흐멧 심섹 당시 터키 재무장관과 관료 15명을 ‘잠재적 표적’으로 정해 감청을 벌인 것으로 드러났다. 가디언은 스노든이 제공한 다른 문서를 인용해 미 NSA가 영국 중부 해러게이트에 위치한 ‘RAF 멘위스힐’ 기지에 있던 NSA 요원들을 시켜 4월에 열린 G20 정상회의에 참석한 드미트리 메드베데프 당시 러시아 대통령에 대한 도청도 시도했다고 전했다. 가디언에 따르면 NSA 요원들은 메드베데프 당시 대통령과 러시아 대표단이 모스크바로 건 기밀 위성전화 신호를 가로채고 암호 해독을 시도한 것으로 전해졌다. 17일 북아일랜드에서 열리는 주요 8개국(G8) 정상회의를 앞두고 나온 가디언의 보도로 데이비드 캐머런 영국 총리와 버락 오바마 미국 대통령의 입장이 난처하게 됐다. 특히 블라디미르 푸틴 러시아 대통령을 비롯한 다른 회원국 정상들은 영국과 미국 정부의 통신 감청에 대해 항의를 표시하고 양국 정부에 해명을 요구할 것으로 보여 이 문제가 G20 정상회의에서 현안으로 떠오를 가능성이 높다. 한편 딕 체니 전 미국 부통령이 16일 폭스뉴스 방송 ‘선데이’ 프로그램에 출연해 스노든이 중국의 간첩일 가능성이 있다고 주장했다. 체니 전 부통령은 “스노든이 머물고 있는 홍콩은 자유, 권리 등에 관심이 있는 사람이 일반적으로 가고 싶어 하는 장소가 아니다”라면서 스노든이 홍콩에서 중국 언론 등과 정보를 공유하는 배경이 의심스럽다고 밝혔다. 미국 언론과 정부 기관에 대한 잇따른 해킹 공격 의혹으로 갈등을 빚어 온 중국 정부는 미국 정부에 스노든이 폭로한 해킹 의혹과 관련한 해명을 요구하면서 본격적인 압박에 나섰다. 화춘잉(華春瑩) 외교부 대변인은 17일 정례 브리핑에서 “미국이 이 문제에 대한 국제사회 및 각국 민중의 관심을 존중하고 반드시 필요한 해명을 해야 한다”고 촉구했다. 앙겔라 메르켈 독일 총리는 19일로 예정된 오바마 미 대통령과의 오찬 회담에서 NSA의 개인정보 수집 활동에 대한 해명을 요구할 것이라고 밝혔다. 메르켈 총리는 17일 독일 RTL 방송과의 인터뷰에서 NSA의 정보수집 프로그램인 ‘프리즘’과 관련해 “무엇이 사용되고, 무엇이 사용되지 않는지가 명확해져야 한다”고 지적하면서 “나는 (미국 측에) 투명성을 높이라고 요구할 것”이라고 말했다. 조희선 기자 hsncho@seoul.co.kr