온라인게임 ‘메이플스토리’ 회원 1320만명의 개인정보가 유출됐다. 방송통신위원회와 넥슨은 온라인게임 ‘메이플스토리’의 백업 서버가 해킹돼 전체 회원 1800만명 가운데 1320만명의 개인정보가 유출된 것으로 확인됐다고 25일 밝혔다. 넥슨은 이 사실을 24일 확인했으며 25일 오후 5시쯤 방송통신위원회에 알리고 경찰청에 수사를 의뢰했다. 이번 사건은 지난 8월 드러난 싸이월드·네이트 회원 3500만명의 개인정보 유출 사건에 이어 역대 두 번째로 큰 규모다. 넥슨에 따르면 유출된 개인정보는 계정의 ▲아이디 ▲이름 ▲암호화된 주민등록번호 ▲암호화된 비밀번호 등이다. 게임 관련 거래는 결제대행사를 통하기 때문에 계좌번호·신용카드 정보·거래 정보 등은 이번에 유출된 개인정보에 포함되지 않았다는 것이 넥슨 측의 설명이다. 넥슨 관계자는 “불법 개인정보 침해 사고로 메이플스토리 고객의 개인정보가 유출돼 심려를 끼친 점 진심으로 사과드린다.”면서 “유출된 주민등록번호와 비밀번호는 암호화돼 있지만 추가 피해를 막기 위해 비밀번호 변경 캠페인을 벌일 것”이라고 말했다. 방통위는 이번 사건의 정확한 경위를 파악하기 위해 개인정보·보안 전문가로 구성된 사고조사단을 꾸려 조사를 벌이고 있으며, 넥슨의 과실과 개인정보보호 관련 위법 사항을 엄격히 살펴 조치할 방침이다. 방통위는 또 추가 사고 방지를 위해 인터넷 웹 모니터링을 강화하고, 개인정보 침해 대응을 위해 핫라인을 가동 중이라고 설명했다. 이번 해킹이 누구의 소행인지는 아직 밝혀지지 않았으며 유출된 개인정보가 실제 인터넷 등에 유포됐는지도 현재로선 알 수 없는 상황이다. 해킹된 메이플스토리 계정은 넥슨 계정과 별도로 운영되는 것으로, 넥슨에 가입했더라도 메이플스토리에 따로 가입하지 않은 이용자는 이번 사고로 인한 개인정보 유출 피해를 보지 않았다. 류지영기자 superryu@seoul.co.kr

해킹, 개인정보 유출 등 각종 사이버 테러에 선제적으로 대응하기 위해 관련 예산이 50% 이상 늘어난다. 김남석 행정안전부 제1차관은 21일 서울 플라자 호텔에서 개최된 한국 정보보호 관련 책임자(CSO) 포럼에 참석, 이 같은 내용을 담은 2012년 정보보호 사업 내용을 밝혔다. ●중앙부처 보안관제시스템 도입 올해 171억원인 정보보호 관련 예산은 2012년도에는 52% 증가한 260억원으로 증액 편성됐다. 정부 기관의 정보보호 인프라 확충 사업에 190억원, 개인정보 유출 및 오남용 방지 사업에 70억원을 쓸 방침이다. 행안부는 우선 사이버 공격 위협에 취약했던 중앙부처 소속 기관에 대한 정보보호 대응체계를 강화하기 위해 소속 기관의 분산서비스거부(DDoS) 공격 방어용 대응 시스템과 사이버 보안 관제센터가 없는 일부 중앙부처 소속 기관에도 보안 관제 시스템을 도입한다. ●‘SW개발 보안’ 단계적 의무화 또 전력, 교통 등 국민 생활과 밀접한 정보통신기반시설의 제어 시스템 보안시험 환경 구축 등 주요 정보통신 기반시설의 보호역량을 강화하고 정보 시스템의 소프트웨어(SW) 개발 시 보안취약점을 사전에 제거하는 ‘SW 개발보안’ 제도를 정부의 주요 정보화 사업에 적용, 내년부터 단계적으로 의무화할 계획이다. 또 개인정보 유출을 원천 차단하기 위해 개인정보 노출 조기경보 시스템 및 공공온라인 개인 식별번호(I-PIN) 시스템을 확충하고, 개인정보 보호인력 증원 등을 추진한다. 김 차관은 “최근 사이버 공격은 단순 사이버 범죄를 넘어 사이버 테러의 양상으로 변화하고 있다.”면서 “사이버 공격은 민관 경계 구분 없이 이루어지고 있기 때문에 각계의 정보보호 책임자 간 적극적인 상호협력이 중요하다.”고 강조했다. 박성국기자 psk@seoul.co.kr

현대캐피탈 서버를 뚫어 175만명의 고객정보를 유출하는 등 최근 수년간 국내 금융기관 전산망을 휘저었던 해커 신운선(36)씨가 최근 필리핀 경찰에 체포된 것으로 뒤늦게 확인됐다. 서울경찰청 사이버범죄수사대는 지난 4월 현대캐피탈 서버를 해킹해 인터폴에 수배됐던 신씨가 이달 초 필리핀 경찰청 형사국에 검거됐다고 17일 밝혔다. 신씨는 현지에서 불법체류자 신분으로 붙잡혀 필리핀 이민국의 심사를 받고 있는 것으로 전해졌다. 경찰 관계자는 “신씨가 불법체류자 신분이기 때문에 필리핀 이민당국에 의해 강제 추방될 가능성이 있다.”면서도 “범죄인 인도 절차에 따라 국내로 송환해 달라고 요청해 놓은 상태이지만 1~2개월 걸릴 수도 있다.”고 말했다. 신씨는 지난 2월부터 4월까지 필리핀에 거주하며 허모(40·구속)씨 등과 함께 4만여 차례에 걸쳐 현대캐피탈 서버를 해킹, 175만여명의 고객 정보를 빼낸 뒤 대부업체 등에 넘겨 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의를 받고 있다. 신씨는 또 현대캐피탈에 전화해 “5억원을 보내지 않으면 빼돌린 고객정보를 유출하겠다.”고 협박해 폭력행위 등 처벌에 관한 법률 위반 혐의도 받고 있다. <서울신문 4월 12일자 1, 8면> 신씨는 인터폴 최고 단계의 수배유형인 ‘적색 수배’ 용의자다. 2007년에는 4만건의 개인정보를 다음커뮤니케이션에서 유출했고, 2008년에는 국내 통신업체 3곳 등으로부터 100만건 이상의 고객 개인정보를 빼내기도 했다. 경찰은 신씨가 국내로 송환되면 빼돌린 고객정보를 대부업체 이외에 다른 목적으로 사용했는지 여부를 조사할 방침이다. 한편 필리핀에 머물며 신씨에게 해킹을 의뢰한 ‘필리핀 인출책’ 정모(36·수배중)씨는 아직 검거되지 않았다. 일부에서는 신씨의 검거 과정과 관련 경찰의 국제 정보력 및 관련국과의 공조체제에 심각한 문제가 드러났다는 지적도 내놓고 있다. 경찰 관계자는 “서울청에서 6개월간 주도적으로 수사했으나 신씨의 소재 조차 파악하지 못했다.”면서 “신씨가 운좋게 현지 경찰의 검문에 걸렸고, 서울청은 주필리핀 대사관 등을 통해 뒤늦게 사실을 확인한 것이 전부”라고 말했다. 백민경기자 white@seoul.co.kr

“100% 안전한 규제 장치는 기대하기 어렵습니다. 안전장치 위에 자신의 정보를 스스로 지키려는 노력이 뒤따를 때 안전성은 더욱 견고해집니다.” 오는 30일 대한민국 건국 이래 처음으로 제정된 ‘개인정보보호법’이 전면 시행된다. 2004년 처음 입법 논의가 시작된 지 7년 만의 일이다. 법안 제정 단계부터 최종 공포까지 이를 진두지휘한 장광수 행정안전부 정보화전략실장은 “산고 끝에 낳은 아이를 보는 기분”이라고 말했다. 21일 서울 종로구 세종로 정부중앙청사에서 만난 그는 전날 진행된 행안부 국정감사의 여파로 다소 피곤한 기색이었지만 “최근 잇따른 개인정보 유출 사고만 생각하면 잠도 잘 오지 않는다.”며 법률에 대한 설명을 끝없이 이어갔다. 앞서 장 실장은 국정감사에서 김태원 한나라당 의원이 맹형규 행안부 장관이 지켜보는 앞에서 해킹을 통해 민원서류 부정 발급 및 공인인증서 복사 등을 시연하면서 진땀을 흘려야 했다. 다음은 장 실장과의 일문일답. →개인정보보호법 시행을 앞두고 국정감사에서 정부 민원사이트가 해킹당했다. -감사 끝나고 고생한 직원들을 위로하면서 폭탄(술) 좀 돌렸다(웃음). 언론에서는 마치 정부 사이트나 전산망이 해킹당한 것처럼 보도했는데 정확히 말하면 김 의원이 준비해 온 노트북이 이미 악성코드에 감염된 좀비 PC였기 때문에 해커가 마음껏 모든 정보를 빼 간 것이다. 의원실에서 따로 가져 온 노트북이었기 때문에 어떤 보안 프로그램이 깔려 있는지 확인조차 못했다. 정부 청사 내 컴퓨터나 전산망이 악성코드에 감염된 게 아니다. 물론 악성코드를 퇴치할 수 있는 더욱 강력한 보안 프로그램을 정부 사이트에 구축해야 하겠지만, 현재 기술력으로는 어려운 게 사실이다. 하지만, 개인정보보호법이 시행되면 민감한 개인 정보는 수집할 수 없어 해킹으로 유출되더라도 금융 사고 등 2차 피해를 상당히 줄일 수 있다. →새 법률이 시행되면 무엇이 달라지나. -우선 주민등록번호, 여권번호, 운전면허번호 등 개인의 고유식별번호는 법에서 정한 사안을 제외하면 원칙적으로 취급할 수 없게 된다. 업무상 꼭 필요하다면 정보 주체의 별도 동의를 구해야 한다. 이로 인해 문제가 발생하면 법정에서 업무상 꼭 필요한 정보인지를 입증해야 한다. 또 모든 공공기관과 하루 평균 홈페이지 이용자 수가 1만명이 넘는 사이트는 주민등록번호 없이 회원으로 가입할 수 있는 방법을 제공해야 한다. 특히 국민 개인 정보는 회원 가입, 이벤트 응모 등을 통해 많이 유출되는데 개인정보를 취급하는 사업자들은 개인정보를 수집할 때 원칙적으로 정보주체의 동의를 받아야 한다. 이때 수집한 정보의 이용 목적과 수집하려는 항목 등을 알려야 하고 동의를 거부할 권리가 있다는 내용도 함께 알려야 한다. 이를 어기면 5000만원 이하의 과태료가 부과된다. →국민이 반드시 알아야 하는 것은 무엇인가. -개인정보 열람권이 생겼다는 것이다. 공공기관·개인 사업자가 취급하고 있는 자신의 정보를 열람할 수 있다. 또한 정보의 정정·삭제·처리정지 등을 요구할 수 있다. 누가 나의 어떠한 정보를 보관하고 있는지를 스스로 찾아 관리하려는 노력이 중요하다. 박성국기자 psk@seoul.co.kr

정부의 사이버 보안 장벽이 장관이 보는 앞에서 뚫렸다. 20일 행정안전부에 대한 국회 행정안전위원회의 국정감사에서 한나라당 김태원 의원은 행안부의 공공 아이디(ID)와 비밀번호 등을 몰래 빼내는 ‘화면 해킹’을 시연했다. 화면 해킹은 해커가 사용자 컴퓨터 화면상의 모든 작업을 훤히 들여다볼 수 있는 해킹 수법이다. 김 의원은 ‘화면 해킹’ 악성코드를 사용자 컴퓨터에 감염시킨 뒤 컴퓨터 화면상의 작업을 들여다보며 아이디와 비밀번호 등 개인 정보를 유출해 가는 일련의 과정을 소개했다. 위원장석 뒤에 마련된 스크린에는 일반 시민과 해커의 컴퓨터 화면이 나란히 떠올랐다. 일반 시민이 인터넷 브라우저를 열어 행안부 홈페이지를 찾자 똑같은 화면이 해커의 화면에 나타났다. 시민이 공공ID를 키보드로 입력했고 해커 화면의 왼쪽 귀퉁이에 있는 작은 창에는 같은 ID가 한 글자씩 실시간으로 드러나기 시작했다. 비밀번호도 마찬가지였다. 김 의원은 민원24 홈페이지를 해킹하는 모습을 보여줬다. 민원24에서 주민등록 등초본을 발급받으려면 공공ID와 비밀번호는 물론 공인인증서가 필요하다. 그러나 공공기관과 은행의 인터넷 서비스 보안에서 최후의 보루로 여겨지는 공인인증서의 비밀번호조차 해커의 창에 그대로 나타나기는 마찬가지였다. 해커는 시민의 컴퓨터에 설치돼 있는 공인인증서를 클릭 한 번에 자신의 컴퓨터로 복사했고, 이를 지켜보던 맹형규 장관의 표정은 일순간 굳어졌다. 김 의원은 “화면 해킹 프로그램은 전문 해커가 아니라도 중국 측 인터넷상에서 단돈 몇 만원이면 누구라도 쉽게 구입해 해킹할 수 있다.”고 지적했다. 개인정보 보호와 관련된 다른 허점들도 고스란히 드러났다. 민주당 장세환 의원은 “행정안전부가 주민등록전산자료를 채권추심업체 등 민간기관에 건당 30원꼴로 팔았다.”고 비판했다. 장 의원이 제출받은 자료에 따르면 행안부는 2008년부터 지난달까지 총 52개 민간기관에 17억 8054만 3230원을 받고 5935만 1441건을 제공했고, 특히 이 가운데 23개의 채권추심기관에 14억 1990만 5640원을 받고 4733만 188건을 제공했다. 국토해양위 소속 한나라당 김기현 의원은 “한국토지주택공사(LH)가 보유하고 있는 개인정보 1560만 9011개 가운데 290만여개(18.6%)의 개인정보가 로그기록 시스템을 갖추지 않았다.”고 지적했다. 박성국·허백윤기자 baikyoon@seoul.co.kr

국무총리와 장관, 청와대·국방부·국가정보원의 고위당국자가 포함된 공무원 4600여명의 전자여권 정보가 무단유출된 것으로 알려졌다. 공직자들의 주민등록번호와 여권번호, 여권 발급 및 만료일 등이 여권발급기 운용업체 직원들에 의해 여권을 제작하는 조폐공사에서 흘러나갔다는 것이다. 정보가 유출된 공무원 가운데는 국정원, 국방부, 군, 경찰청 등 신상 보안이 필요한 기관의 인사들도 수십명에서 수백명씩 포함된 것으로 알려져 문제의 심각성을 더하고 있다. 또 공무원 말고도 무려 92만명에 이르는 개인의 신상정보가 함께 유출됐다고 하니 그에 따른 폐해와 후유증을 우려하지 않을 수 없다. 이와 함께 하나SK카드에서도 회원 정보가 대량으로 유출돼 경찰이 수사에 나섰다고 한다. 이 회사 직원이 빼돌린 회원 정보를 텔레마케팅 업체에 팔아넘기려 했다는 것이다. 보안이 철저해야 할 금융기관의 허술한 데이터 관리에 다시 한번 혀를 차게 된다. 최근 삼성카드에서도 내부 직원이 개입해 무려 80만건의 개인정보가 유출된 사건이 있었다. 어제 오늘 드러난 개인정보 유출 사건 외에도 그동안 발생한 디지털 정보 유출 사건은 셀 수도 없을 만큼 많다. 최근 잇따르고 있는 국가 주요 기관에 대한 외부로부터의 해킹은 디지털 안보 차원에서 대응해야 할 사안이고, 갈수록 치밀해지는 보이스 피싱은 유출된 디지털 정보를 활용한 경제 범죄다. 정부와 기업, 개인을 막론하고 우리나라에 디지털 정보에 대한 전략과 의지, 능력이 있는가를 심각하게 고민해야 할 시점이다. 행정과 안보, 경제, 금융, 교육 등 국가 전 분야가 아날로그 시대에서 디지털 시대로 접어든 지 오래다. 그러나 현 정부 들어 정보통신부와 과학기술부를 통폐합하면서 정보기술(IT) 등 디지털 시대에 대한 대응 능력이 떨어졌다는 지적이 계속돼 왔다. 당장 눈에 보이지 않는다고 해서 디지털 정보에 대한 관리를 소홀히 해서는 국가적인 낭패를 보게 될 수도 있다. 총체적인 재점검을 늦출 수 없는 상황이다. 정치권에서도 현 정부의 남은 임기 내에 이뤄지기 어렵다면, 차기 정부에서 정부 조직을 개편할 때 디지털 정보에 대한 종합적이고 체계적인 관리를 할 수 있는 정부 부처를 설립하거나 기능을 조정하는 문제를 심도 있게 검토해야 할 것이다.

개인정보의 해외 유출이 심각한 상황이다. 민주당 전혜숙 의원이 어제 방송통신위원회로부터 제출받은 자료에 따르면 올해 1월부터 7월까지 우리 국민의 주민등록번호와 전화번호 등 개인정보가 세계 15개국 인터넷 사이트 7543곳에 노출된 것으로 드러났다. 2009년 1283곳, 2010년 2821곳에 비하면 가히 기하급수적으로 늘어난 셈이다. 개인정보 유출현상은 어제오늘의 일이 아니다. 최근들어선 국내외를 막론하고 그 도를 더해가고 있다. 지난 7월 SK커뮤니케이션즈가 운영하는 네이트와 싸이월드 회원 3500만명의 개인정보가 유출된 사건은 우리에게 씻을 수 없는 오명을 안겨줬다. 지난해에는 미국의 검색 서비스업체 구글의 한국 법인이 개인정보를 무단 수집한 혐의로 압수수색당하는 일도 벌어졌다. 개인정보 유출은 그야말로 시간과 공간을 초월해 전방위로 이뤄지고 있는 것이다. 개인정보 유출은 언제든 전화금융사기·개인정보 도용 등 제2의 범죄로 이어질 수 있다는 점에서 중대한 사회문제가 아닐 수 없다. 방통위가 개인정보의 종류를 최소화하고, 보관 시에는 반드시 암호화하도록 규정하는 등 개인정보 보호를 위한 제반 장치를 마련한 것도 그런 배경에서다. 하지만 국민의 개인정보 보안의식은 여전히 미흡한 실정이다. SK커뮤니케이션즈 해킹사건 이후 금융회사들이 비밀번호 변경을 강력히 권고했음에도 실제 변경 사례가 극소수에 불과했다는 사실만 봐도 알 수 있다. 정부는 개인정보 관리실태에 대한 점검을 보다 강화해야 한다. 기업 또한 개인정보를 철저히 암호화해 통합 관리하는 등 배전의 노력을 기울여야 할 것이다. 그러나 정부나 기업의 힘만으로 개인정보를 보호하는 데는 한계가 있다. 국민 각자의 보안의식 내면화가 전제돼야 한다. 보안 불감증은 개인정보 유출만큼이나 심각한 문제다.

최근 인터넷 포털사이트 네이트의 대규모 개인정보 유출로 2차 피해가 우려되면서 시중 은행과 카드사, 보험사, 할부금융사들이 일제히 고객에게 비밀번호 변경을 요청하고 나섰다. 일부 금융기관에서는 해킹한 개인정보로 신용카드 재발급을 신청하는 경우도 있었다. 25일 금융권에 따르면 신한은행, 현대캐피탈, 현대카드, 삼성생명, 삼성화재, 동부화재, 현대해상, AXA다이렉트 등 국내 주요 금융사들은 최근 자사 홈페이지를 통해 고객들에게 인터넷 포털사이트 해킹에 따른 피해 예방을 위해 홈페이지 비밀번호를 바꿀 것을 공지했다. 싸이월드 등에서 쓰는 아이디와 비밀번호를 금융기관 홈페이지 이용시에도 그대로 사용하는 고객이 많기 때문이다. 신한은행, 우리은행, 농협, 기업은행, 외환은행, 삼성카드, 비씨카드, 신한카드, 하나SK카드 등은 고객의 비밀번호 변경을 요청하는 공지를 올렸다. 현대캐피탈과 현대카드는 주민등록번호와 생일 등 개인정보와 관련성이 높은 문자나 숫자 사용을 자제하고 안전한 개인정보 유지를 위해 3개월에 한 번씩 비밀번호를 변경하는 게 좋다며 자세한 요령까지 공지했다. 특히 외환카드의 경우 포털사이트 네이트에서 고객 정보를 해킹한 사람이 신용카드 재발급을 신청했다가 비밀번호 등이 틀려 거부당한 사례가 발견되기도 했다. 이 사실은 해당 신용카드를 가진 고객 앞으로 카드 재발급이 거부됐다는 문자가 오면서 확인됐다. 임주형기자 hermes@seoul.co.kr

네이트와 싸이월드 해킹 피해자들이 본격 소송전에 들어갔다. 회원 3500만명의 개인정보가 유출된 만큼 역대 최대 규모의 집단 소송으로 번질 가능성도 없지 않다. 23일 네이버의 ‘네이트 해킹 피해자 카페’(네해카)에 따르면 피해자들은 김경환(42) 변호사를 선임, 소송인단 모집에 나섰다. 이 카페는 회원수만 8만 4000여명으로 아이폰 위치추적 집단소송인단 2만 8000명을 뛰어넘을 것으로 전망된다. 지난 22일 오후 9시부터 접수를 받은 지 하루 만에 700여명이 소송 참가 서류를 제출했다. 네해카는 다음 달 4일까지 1차로 소송 참가 접수를 하고 9일 서울중앙지법에 SK커뮤니케이션즈를 상대로 손해배상을 청구하는 소장을 낼 계획이다. 손해배상 금액은 1인당 100만원으로 산정했다. 김 변호사는 “승소할 경우 성공보수는 기부하겠다.”고 말했다. 법조계 안팎에서는 1000여명의 개인정보가 유출됐던 옥션 사태처럼 피해 입증이 쉽지 않을 것이라는 의견과 SK컴즈의 부실한 보안관리가 원인이었던 만큼 배상 책임을 물을 수 있다는 의견이 팽팽히 맞서고 있다. 한편 SK컴즈는 서울중앙지법이 정모(25)씨에게 위자료 100만원을 지급하라고 결정한 것과 관련, 이의신청서를 제출함에 따라 정식 민사소송이 진행될 예정이다. 이민영기자 min@seoul.co.kr

한국엡손 가입자 35만명의 개인정보가 유출되고 인터넷 쇼핑몰 카페24가 도메인 업체 해킹으로 한때 접속이 마비됐다. 카페24 측은 20일 오후 “이번 장애는 카페24의 도메인을 관리하고 있는 도메인 등록 업체의 서버 문제로 인해 발생했으며, 복구를 완료했다”고 공지했다. 도메인 서버 변경시 모든 이용자들에게 완전히 반영되려면 통상 1~2일 정도 걸리기 때문에 일부 이용자들은 여전히 불편을 겪을 것으로 보인다. 이날 오전에 발생한 접속 마비는 카페24의 호스팅 업체인 가비아의 도메인 네임 시스템(DNS)의 서버가 해킹 당하면서 발생한 것으로 알려졌다. 회원이 300여 만명에 이르는 카페24 측은 이번 접속 마비가 개인정보 유출과는 관련이 없는 사안이라고 밝혔으나 이용자들의 우려는 가라앉지 않고 있다. 한편 컴퓨터용 프린터 제조사인 한국엡손은 지난 13일 가입자 35만여 명의 주민등록번호와 비밀번호가 홈페이지 해킹으로 유출됐다고 밝혔다. 사진 = MBC 뉴스 서울신문 나우뉴스 nownews@seoul.co.kr

SK커뮤니케이션의 네이트와 싸이월드가 해킹을 당해 개인정보가 유출된 피해자 정모(25)씨에게 100만원을 지급하라는 법원의 결정이 나오자<서울신문 8월 14일자 8면> 피해자들이 법무법인 선임절차를 완료하는 등 SK컴즈에 대한 본격적인 집단소송 절차에 들어갔다. 15일 네이트 해킹 피해자 카페(네해카)에 따르면 피해자들은 이번 주부터 소송 진행 준비절차를 밟을 예정이다. 먼저 회원들에게 법무법인을 소개하는 등 온라인 설명회를 진행하기로 했다. 네해카 회원은 이미 6만명을 넘었으며, 피해자들이 모인 또 다른 카페도 회원이 5만명에 육박함에 따라 집단소송을 제기할 경우 원고가 10만명에 이를 것으로 추산되고 있다. 네해카는 소송 제기 시점을 경찰의 해킹에 대한 조사 결과가 나오는 직후로 잡고 있다. SK컴즈의 과실이나 기술적인 책임이 밝혀지는 대로 진행하겠다는 것이다. 경찰 조사에서 별다른 문제나 혐의점이 드러나지 않는다면 방송통신위원회에 진정을 하거나 형사 고발도 불사할 방침이다. 네해카 측은 SK컴즈 측이 정씨에게 위자료 100만원을 지급하라는 법원의 결정을 환영했다. 이들은 14일 밤 11시쯤 성명을 통해 “네이트 측은 법원의 네해카 회원 지급 명령 결정을 받아들이고, 법적 대응 준비보다 피해 보상 대책부터 조속히 마련하라.”고 주장했다. 지급명령을 신청한 정씨도 글을 올려 “누군가 총대를 메야 한다는 심정으로 신청하게 됐다.”면서 “소송에 참여하겠다고만 하고 실행을 안 하면 뭐가 되겠느냐.”면서 회원들의 동참을 호소했다. 이민영기자 min@seoul.co.kr

네이트와 싸이월드 회원의 개인정보가 유출된 사태에 대해 위자료를 지급하라는 법원 결정이 처음으로 나왔다. 이 같은 결정에 따라 개인정보 유출 사태는 집단 소송으로 비화될 가능성이 높아졌다. 서울중앙지법은 회원 정모(25)씨가 지난 1일 SK커뮤니케이션즈를 상대로 위자료 100만원을 지급하라며 낸 소송에 대해 SK컴즈 측에 지급명령을 내렸다고 14일 밝혔다. 지급명령은 법원이 신청인의 일방적 주장에 따라 돈을 지급하도록 명령하고 상대방이 이의를 제기하지 않으면 확정되는 간이 소송절차로, 명령 이후 2주일 이내에 이의 제기가 없으면 확정판결이 내려진 것과 같은 효력을 갖는다. SK컴즈는 이의를 신청할 방침이라고 밝혔다. SK컴즈 관계자는 “아직 경찰 수사도 끝나지 않았고 과실 여부가 정확히 드러나지 않은 상황인 만큼 이의를 제기하겠다.”고 말했다. 이에 따라 향후 정식 재판 절차가 진행될 전망이다. 정씨는 신청서에서 “SK컴즈는 회원의 정보를 보호할 책임이 있는데도 언론에 보도된 뒤에야 사실을 인지했다.”면서 “개인정보 관리 소홀로 헌법에서 보장하는 개인정보 자기결정권, 사생활의 자유, 인격권 등이 침해됐다.”고 주장했다. 개인정보가 유출된 네이트와 싸이월드 회원은 3500만명으로 추산된다. 해커들은 SK컴즈의 컴퓨터에 악성코드를 감염시켜 만든 좀비PC를 이용해 지난달 26일과 27일 네이트와 싸이월드 회원의 개인정보를 빼낸 것으로 알려졌다. 개인정보 유출 사태에 대한 위자료 지급명령이 확정될 경우 SK컴즈를 상대로 한 집단소송이 제기될 것으로 예상된다. 앞서 변호사 이모(40)씨가 SK컴즈를 상대로 “300만원을 지급하라.”면서 손해배상 청구소송을 제기하기도 했다. 이민영기자 min@seoul.co.kr

싸이월드와 네이트 해킹 사건으로 유출된 SK커뮤니케이션즈의 3500만명 회원 정보가 이미 중국으로 빠져나간 것으로 확인됐다. 해킹 공격의 근원지 역시 중국이었다. 게다가 악성코드 및 해킹 수준으로 미뤄 역대 최고 수준의 해커 짓인 것으로 드러났다. 자칫 1400만명에 달하는 알집 사용자가 좀비 PC로 해킹에 이용당할 뻔했다. 경찰청 사이버테러대응센터는 11일 SK컴즈와 이스트소프트(알집 제작·배포사), 관련업체의 PC와 서버 등 40여대를 분석한 결과, 이스트소프트의 알집 업데이트 서버를 통해 SK컴즈 사내망을 악성코드로 감염시킨 뒤 빼낸 3500만명의 개인 정보가 중국에 할당된 인터넷 주소(IP)로 유출됐다고 밝혔다. 일반 공개 프로그램인 알집의 업데이트를 이용한 해킹은 처음이다. 때문에 사이버 보안의식 강화와 함께 통합적인 법률 관리와 기구를 통해 범죄에 대응해야 한다는 지적이 나오고 있다. 유출된 주요 항목은 사용자식별기호(ID), 비밀번호와 주민등록번호, 이름, 생년월일, 성별, 이메일주소, 전화번호, 주소, 닉네임 등이다. 정석화 경찰청 사이버테러대응센터 수사실장은 “해커가 처음부터 SK컴즈 직원들이 알집을 사용할 것으로 예상하고 이스트소프트를 거쳐 SK컴즈를 표적 해킹한 것으로 판단된다.”고 설명했다. 경찰은 해킹 수준으로 미루어 이미 비밀번호나 주민등록번호에 설정된 암호가 해독됐을 가능성이 있다고 보고 있다. 경찰 관계자는 “악성코드의 수준이나 보안업체인 이스트소프트를 대담하게 해킹한 점 등으로 비춰 이 사건에 역대 최고 수준의 해커가 개입된 것 같다.”고 말했다. 조사 결과, 해커는 지난달 18~19일 이스트소프트의 알집 업데이트 서버를 해킹해 정상 업데이트 파일을 악성코드 파일로 바꿔 치기했다. 또 SK컴즈 직원들이 접속할 때를 기다려 SK컴즈 사내망을 파고 들어가 PC 62대를 좀비PC로 만들었다. 같은 달 18∼25일에는 악성코드에 감염된 사내망 좀비PC로부터 데이터베이스(DB)서버망에 접근할 수 있는 관리자의 ID와 비밀번호 등 접속정보를 추가로 수집했다. 이어 좀비PC를 원격조종해 관리자 권한으로 DB서버에 접속한 뒤 회원정보를 빼냈다. 해커는 일단 SK컴즈를 노려 악성코드를 내려받은 것으로 밝혀졌다. 경찰은 “일반인을 해킹 표적으로 겨냥했더라면 알집 프로그램을 사용한 회원 대부분이 악성코드에 감염됐을 수 있었을 것”이라고 말했다. 이에 다른 IT기업에 대해서도 악성코드 감염 및 개인정보 유출 피해가 있는지를 조사하고 있다. 네이버와 다음 등도 대규모 해킹이 발생할 가능성을 배제할 수 없다. 경찰은 “네이버와 다음 등의 일부 직원이 개인용 무료 알집 프로그램을 사용한 의혹이 있다는 점에서 해킹 사건이 재발할 가능성이 있다.”고 강조했다. SK컴즈는 “직원이 개인적으로 내려받는 것을 모두 관리·감독하기란 한계가 있다.”고 해명했다. 경찰 측은 “기업들이 백신에만 의존하지 말고 악성코드 감염사실을 신속히 탐지해 좀비PC로 동작하지 못하도록 하는 데 초점을 맞춰 대응해야 한다.”고 당부했다. 백민경기자 white@seoul.co.kr

북한의 20대 초·중반 해커들이 국내 범죄조직과 공조해 중국에서 국내의 유명 온라인 게임을 해킹하는 프로그램을 불법 제작, 유포해 수십억원의 외화벌이를 한 것으로 드러났다. 그야말로 충격적이다. 북한이 정찰총국 예하 사이버부대 병력을 500명에서 3000명까지 늘렸고, 미국 중앙정보국(CIA)을 능가하는 역량을 확보했다는 관측이 제기되긴 했지만 이번 사건으로 그들의 사이버테러 능력이 허상이 아님이 밝혀졌다. 이들 해커는 김일성종합대학과 김책공업대학 등 명문대 출신 정보통신(IT) 영재들이다. 이는 북한이 사이버테러를 벌이려고 그동안 해커전문가를 조직적으로 양성해 왔음을 말해준다. 이미 북한은 청와대·국정원 등을 상대로 두 차례 디도스(DDoS·분산서비스 거부) 공격을, 지난 4월에는 농협 전산망을 해킹하는 등 사이버테러 행위를 자행해 왔지 않은가. 문제의 심각성은 북한이 양성한 해커와 국내 범죄조직이 결탁해 저질렀다는 점이다. 앞으로 북한 해커와 국내 범죄조직이 공조를 통해 국가 정보망과 금융망을 손쉽게 망가뜨릴 수 있다는 얘기다. 특히 내년에는 총선과 대선이 있는 해로, 이들이 악의적으로 공조해 각종 국가 및 민간업체의 전산망 해킹에 나설 경우 나라 전체가 혼란에 빠져들 가능성도 배제하지 못한다. 북한 해커들이 해외가 아닌 국내 서버를 통해 사이버 테러를 자행할 경우 일괄적인 IP(internet protocol) 주소 차단이 쉽지 않아 일방적으로 당할 수도 있다. 실제로 북한 해커들은 국내 P2P 사이트에서 주민등록번호, 아이디, 비밀번호 등 개인정보 66만여건을 확보하고 있다고 한다. 정부는 우선 북한의 사이버테러 도발은 물론 이들과 연계한 국내 불순세력들이 더 있는지 철저히 추적해 붙잡아야 한다. 이번에 경찰에 붙잡힌 국내 범죄조직원 15명은 빙산의 일각으로 보인다. 조직적으로 북한 세력과 결탁한 이들을 발본색원하지 못하면 언제 어디서 무슨 참변을 당할지 모르는 위험한 상황에 내몰릴 수 있다. 사이버테러는 군사적 도발과 마찬가지다. 이를 위해 미국처럼 사이버테러 대응을 총괄지휘하는 곳을 정해 역할과 기능을 통합하고 효율성을 높일 필요가 있다. IT 및 보안업체의 보안의식을 강화하고 체계적인 보안 전문가도 대거 양성해 북한의 사이버테러에 적극적으로 대처해야 한다.

네이트와 싸이월드 회원 3500만명의 개인정보가 유출된 사태와 관련, SK커뮤니케이션즈를 상대로 손해배상 책임을 묻는 소송이 처음으로 제기됐다. 4일 서울중앙지법에 따르면 이모(40) 변호사는 지난달 29일 SK컴즈를 상대로 300만원의 손해배상 청구 소송을 냈다. 네이트 개인회원이라는 이 변호사는 소장에서 “SK케뮤니케이션즈의 과실로 개인정보유출 피해를 당했고, 보이스피싱 등 2차 피해가 우려된다.”면서 “대기업이 운영하는 정보통신망 제공자가 개인정보를 유출시키고도 배상하지 않는다면 기업의 책임을 다하지 않아도 된다는 모순된 결론이 되고, 회원을 보호할 대상이 아니라 단순히 돈벌이 수단으로만 보게 될 것”이라고 주장했다. 또 다른 회원인 정모(25)씨도 위자료 100만원의 지급명령을 신청했다. 이민영기자 min@seoul.co.kr

북한이 대남 사이버테러를 전방위로 준비해 온 사실이 드러났다. 온라인 게임 아이템을 자동으로 수집해 주는 ‘오토프로그램’이 설치된 개별 PC가 북한 해커가 운용하는 중앙 서버와 전부 연결돼 있기 때문에 해커들이 마음만 먹으면 언제든지 디도스 등 악성코드용 파일을 국내로 전송할 수 있다. 오토프로그램 업데이트 때 이를 설치한 모든 컴퓨터의 포트가 개방되는 탓에 사이버테러를 할 수 있는 이른바 ‘땅굴’이 만들어진다. 때문에 경찰과 정보당국도 “그들의 오토프로그램 판매는 단순한 외화벌이가 목적이 아니라 당국의 지령에 따라 대남 사이버 공격의 기반을 다지기 위한 것”이라고 분석했다. ●브로커들 北해커에 숙소·생활비 지원 북한의 ‘IT 영재’로 불리는 20대 초·중반의 해커 30여명은 지난 2009년 6월쯤 중국 헤이룽장(黑龍江)과 랴오닝(遼寧)성 지역에서 한국인 브로커와 만났다. 브로커들은 북한 해커들에게 숙소와 생활비까지 지원하며 ‘상전’처럼 깍듯이 대우했다. 북한 해커들은 5개월 단위로 중국에 머무르면서 ‘리니지팀’과 ‘던파(던전앤파이터)팀’, ‘메이플(메이플스토리)팀’ 등 인기게임별로 5명 안팎으로 팀을 꾸려 ‘작업’을 시작했다. 이들은 국내 유명 게임사의 패킷정보를 해킹해 만든 오토프로그램을 브로커들에게 공급하며 1회 복사·유포하는 데 매달 사용료의 55%를 받았다. 브로커들은 매월 1만 7000~1만 8000원을 받는 조건으로 중국과 국내의 판매총책에게 오토프로그램을 건넸다. 총책들은 다시 국내 딜러들에게 2만~2만 1000원에 팔았고, 딜러들은 PC방 등 ‘작업장’에 이윤을 더 붙여 2만 3000~2만 4000원에 오토프로그램을 넘겼다. 소위 ‘작업장’은 컴퓨터가 수십~수백대 설치된 곳으로 오토프로그램을 실행한 뒤 게임에 접속하면 아이템이 자동적으로 수집된다. 이 오토프로그램은 평균 1만 2000~1만 5000대의 컴퓨터에서 동시에 구동됐다. 이들은 모은 아이템을 아이템 중개사이트를 통해 일반 아이템은 몇만원에, 희귀 아이템은 수천만원에 팔아 치웠다. 1년 6개월 만에 무려 64억원을 벌어들인 것이다. 북한 해커들에게 준 사용료는 한 달에 많게는 1억 8000만원에 달했다. 그러나 경찰은 “오토프로그램 판매와 아이템 거래를 통해 발생한 범죄수익은 그동안 적발된 내용 등을 종합해 보면 약 1조원대에 이를 것”이라고 추산했다. 그러나 북한 해커들은 이런 수익에도 기뻐하지 않았다. 그들은 매달 500달러씩 북한 당국으로 보내야 했기 때문이다. 북한 컴퓨터 전문가들이 1만명으로 추산되고 있다는 점을 감안하면, 매월 500만 달러가 북한에 들어가는 셈이다. 그런가 하면 북한 해커들은 국내 P2P 사이트에서 주민등록번호, 아이디, 비밀번호 등 개인정보 66만여건을 빼내 브로커들에게 제공하기도 했다. 북한의 컴퓨터 영재는 중학교를 졸업할 무렵 따로 선발해 컴퓨터 분야만 2년 동안 집중적으로 교육받은 다음 김일성대나 김책공대의 컴퓨터 관련 전공으로 배치되고 있다. 대학에서 우수한 실력을 인정받으면 2년 만에 졸업한다. ●리니지업체 “서버 해킹 당한적 없다” 한편 리니지를 개발, 운영중인 엔씨소프트 이재성 상무는 “리니지 서버는 해킹당한 적이 없다.”면서 “게임서버를 해킹해 오토프로그램을 만든다는 것도 사실이 아니다.”라고 반박했다. 또 게임업계는 오토프로그램을 개발하는 데 북한 컴퓨터 전문가를 끌어들일 정도로 고난도 기술이 필요하지 않다고 밝히고 있다. 오토프로그램은 인터넷 검색만으로 2만~3만원에 구입할 정도로 게임 이용자와 아이템 판매업자 사이에 상용화돼 있다는 게 게임업체의 설명이다. 글 사진 이영준·김소라기자 apple@seoul.co.kr

우리나라 국민의 72%에 해당하는 3500만명의 개인정보가 유출되는 초대형 침해사고가 있었다. 인터넷 포털 사이트 네이트와 소셜네트워크서비스인 싸이월드가 해커의 공격을 받아 가입자의 개인 아이디, 이름, 주민등록번호, 휴대전화번호, 이메일 주소 등의 개인정보가 통째로 유출된 것이다. 경찰은 해커의 침입 경로와 개인정보 유출 경위에 대해 수사에 들어간 상태이며, 방송통신위원회도 사고경위 파악을 위해 보안전문가가 포함된 조사단을 꾸려 조사를 벌이고 있다. SK커뮤니케이션즈 역시 대국민 사과와 함께 고객정보 보호대책을 내놓았다. 보관하는 개인정보를 최소화하고 수집하는 모든 개인정보는 암호화하겠다는 것이다. 개인정보보호법이 제정되어 발효를 앞두고 있는 시점에서 이러한 대형 개인정보 유출사고가 발생한 것이 매우 유감스럽다. 어떤 사람들은 개인정보보호법이 조금만 더 일찍 제정되었더라면 최악의 침해사고는 막을 수 있었을 것이라고 아쉬움을 토로한다. 하지만 좀 더 세밀히 속을 들여다보면 설사 개인정보보호법이 발효 중이었다 할지라도 지금과 크게 달라질 게 없다는 것을 알 수 있다. 개인정보보호법 제6조는 ‘개인정보 보호에 관하여는 정보통신망법, 신용정보보호법 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.’라고 규정하고 있기 때문에 SK커뮤니케이션즈와 같은 ‘정보통신서비스 제공자’는 개인정보보호법이 아닌 정보통신망법을 우선 적용받는다. 실제로 정보통신망법은 분쟁조정, 침해신고센터 관련 규정 이외에는 개인정보보호법 제정에도 불구하고 개인정보보호 관련 조문을 유지하고 있다. 상황이 이렇다 보니 정보통신망을 통하여 전자적으로 처리되는 정보는 정보통신망법이 적용되고, 수기정보 등 전자적으로 처리되지 않는 정보와 비록 전자적으로 처리되더라도 이용자가 없는 정보(정보통신망법은 이용자가 있는 경우에만 적용되므로)는 개인정보보호법이 적용되는, 도무지 이해되지 않는 법체계가 만들어진 것이다. 이번 일은 개인정보 유출사고이면서 해킹이라는 정보보안사건이다. 사이버 공격으로 인한 정보보안사건이 터질 때마다 등장하는 단골 메뉴가 정부의 정보보안 추진체계, 즉 ‘컨트롤 타워’ 부재에 대한 지적이다. 방송통신위원회, 행정안전부, 국가정보원, 경찰청 등에 산재해 있는 정보보안 추진체계를 종합·조정하는 컨트롤 타워 역할을 어느 기관이 수행할 것인지에 대한 문제가 정리되지 않아 정보보안 침해사고에 효과적으로 대응하지 못하는 구조적 문제가 있다는 것이다. 이를 반면교사로 삼아 개인정보보호만큼은 조직화된 추진체계를 통하여 효과적인 대응전략을 수립·집행할 수 있도록 하여야 할 것이다. 그러기 위해서는 새롭게 출범할 예정인 개인정보보호위원회가 위상을 분명히 정립하여야 하며, 행정안전부와 방송통신위원회의 대승적 협력과 양보가 절실히 필요하다. 여러 부처에 산재해 있는 국가정보화정책을 종합·조정하기 위해 출범한 국가정보화전략위원회가 당초 설립 취지를 전혀 살리지 못한 채 유명무실한 위원회로 전락해 버린 까닭도 국가정보화전략위원회 자체가 그 위상을 분명히 정립하지 못한 데다가 각 부처가 대승적 결단을 내리기보다는 부처이기주의에 함몰되어 자기 것 지키기에 급급했기 때문이다. 지금의 상황은 개인정보보호 추진체계도 정보보안이나 국가정보화정책처럼 추진체계의 혼선을 초래할 가능성이 매우 크다. 개인정보보호법의 제정 취지는 개인정보처리자(사업자)들을 규제하고 괴롭히려는 것이 아니다. 개인정보를 안전하게 활용할 수 있도록 지원하고 도와줌으로써 사업자와 정보주체 모두를 개인정보의 침해로부터 안전하게 보호하려는 것이다. 따라서 개인정보보호 추진체계도 규제보다는 진흥과 지원을 정책의 우선순위로 할 수 있도록 설계되어야 할 것이다. 많은 사람들의 기대와 우려 속에서 탄생한 개인정보보호법이 원래의 입법취지에 맞게 잘 정착될 수 있도록 관계 부처는 물론이고 우리 모두 지혜를 모아야 할 때이다.

국내 사상 최대 규모인 3500만명의 개인정보가 해킹으로 유출됐다. 국내 3대 포털사이트 중 하나인 네이트와 토종 소셜네트워크서비스(SNS)인 싸이월드의 가입자 개인정보가 탈취된 것으로 드러났다. 방송통신위원회와 SK커뮤니케이션즈는 28일 중국발 IP로 접근한 해커에 의해 네이트와 싸이월드의 가입자 아이디(ID)와 이름, 휴대전화 번호, 이메일 주소, 암호화된 주민등록번호와 비밀번호가 유출됐다고 밝혔다. 개인 식별이 가능한 이름과 전화번호, 이메일 주소도 대거 유출됨에 따라 이를 이용한 보이스피싱과 스팸 메일 등의 2차 피해가 우려되고 있다. 확인된 유출 정보는 3500만건으로 네이트(3300만명)와 싸이월드(2600만명)에 중복 가입한 회원 수를 고려하면 사실상 전체 가입자 정보 대부분이 외부로 빠져나간 것으로 볼 수 있다. SK컴즈는 해킹 발생 후 이틀이 지나서야 개인정보 유출을 확인한 것으로 드러나 대형 포털사이트의 보안 취약점을 드러냈다. 중국발 IP의 악성코드에 의한 고객 정보 유출은 지난 26일 발생했다. SK컴즈는 28일 오전에야 해킹을 인지해 경찰청에 수사를 의뢰했다. 경찰은 곧바로 수사에 착수했다. 정석화 경찰청 사이버테러대응센터 수사실장은 “SK컴즈 실무진 조사를 통해 유출 경로 등을 파악하고 있다.”며 “서울 성동구 성수동에 있는 SK컴즈의 인터넷데이터센터를 찾아 서버 시스템을 조사하고 내부자 소행인지 해커가 개입된 범죄인지도 규명할 것”이라고 말했다. 그동안 국내 개인정보 유출 규모는 2008년 2월 옥션 회원 1863만명의 개인정보가 노출된 것이 최대였다. 안동환·백민경·맹수열기자 ipsofacto@seoul.co.kr

해킹에 따른 개인정보 유출이 발생했을 때 가장 우려되는 것이 그 정보를 활용한 2차 피해다. 명의도용, 계정탈취, 보이스피싱, 스팸메일에 악용될 수 있기 때문이다. 이번 SK커뮤니케이션즈 해킹으로 유출된 정보는 가입자의 이름과 아이디, 이메일, 전화번호, 주민등록번호, 비밀번호 등이다. 이 가운데 주민등록번호와 비밀번호는 자체 암호화된 상태다. SK컴즈는 “최고 수준으로 암호화된 상태이기 때문에 안전하다.”는 입장이다. 방송통신위원회도 “암호화된 주민등록번호를 해독하는 것은 어지간한 기술로는 불가능하다.”고 밝혔다. 하지만 그동안 SK컴즈가 운영하는 메신저 ‘네이트온’에서 해킹을 이용한 ‘메신저 피싱’이 계속 문제가 됐던 점을 감안하면 100% 장담할 수 없다는 지적도 있다. 당국이 가장 우려하는 것은 유출된 전화번호와 이메일을 이용한 보이스피싱, 스팸메일이다. 이번 해킹에서 비밀번호나 주민번호와 달리 전화번호와 이메일은 완전히 노출됐을 뿐 아니라 변경도 부담스럽기 때문에 추가 피해를 입을 가능성이 높다는 것이다. 개인 피해를 줄이려면 네이트와 싸이월드 등 두 서비스 가입자는 즉각 비밀번호를 변경해야 한다. SK컴즈는 비밀번호가 암호화된 상태로 유출됐다고 주장하지만 이것이 반드시 안전하다는 말은 아니다. 특히 똑같은 아이디와 패스워드를 사용하는 모든 인터넷 사이트의 비밀번호를 전부 바꿔야 한다. 네이트나 싸이월드에서 쓰는 아이디와 패스워드로 인터넷 쇼핑몰이나 금융 관련 사이트에 접속해 온 가입자의 경우 반드시 변경해야 한다. 또 8자리 이상의 영문과 숫자를 혼용해 주기적으로 비밀번호를 교체하는 게 안전하다. 개인 식별이 가능한 이름과 전화번호가 외부로 노출됐을 가능성이 큰 만큼 ‘보이스피싱’에도 주의해야 한다. 전화로 수사기관이나 금융기관을 사칭하는 보이스피싱으로 의심될 경우 해당 금융기관의 ARS 전화를 통해 신고해야 한다. 방통위는 보이스피싱 대책으로 2009년 5월부터 발신번호 변조 피해를 최소화하기 위해 국제전화에 대해 ‘국제전화식별번호’(001, 002 등)를 표시하고, 휴대전화에는 ‘국제전화입니다.’를 문자로 안내하고 있다. 스팸메일에 대해서는 웹 메일 서비스 업체가 제공하는 스팸 차단 프로그램을 이용하는 게 좋다. 안동환·맹수열기자 ipsofacto@seoul.co.kr

SK커뮤니케이션즈(컴즈)가 운영하는 인터넷 포털사이트 ‘네이트’와 ‘싸이월드’에서 초대형 개인정보 유출이 발생함에 따라 대형 사이트들이라고 해서 결코 해킹에서 안전하지 않다는 사실이 입증됐다. SK컴즈가 28일 스스로 밝힌 피해 규모는 역대 최대다. 가입자의 이름, 아이디, 이메일, 전화번호 등 3500만명의 가입자 정보가 해커들에게 털렸다. 지금까지의 최대는 지난해 3월 신세계몰, 아이러브스쿨, 대명리조트 등 25개 업체 사이트가 무더기로 해킹당했을 때의 2000만건이었다. 이번에는 피해자의 수도 많지만 단일 업체에서 이뤄졌다는 점에서 기록적이다. SK컴즈와 방송통신위원회는 아직 정확한 침입 경로를 파악하지 못하고 있다. 두 곳 모두 “언제 어떤 경로로 침입했는지 등은 경찰 수사가 이뤄져야 알 수 있다.”고 밝히고 있을 뿐이다. 하지만 과거 대형 해킹 사건 수사가 뚜렷한 결론을 내지 못했던 점을 감안하면 이번 사고도 흐지부지 마무리될 가능성이 있다. 그러나 SK컴즈와 당국의 대응은 초보적인 수준에 그치고 있다. 방통위는 네이트, 싸이월드와 똑같은 아이디, 비밀번호를 다른 사이트에서도 사용하는 사람들의 주의를 촉구했을 뿐 추가 조치는 경찰 수사 이후에나 내놓겠다는 입장이다. 이번 사건으로 SK컴즈의 위상은 크게 흔들리게 됐다. 포털업체 특성상 개인정보 유출로 신뢰도가 떨어지면 이를 만회하기가 쉽지 않다. SK컴즈는 최근 무선 메신저 ‘네이트온 톡’을 출시하고 모바일 시장 점유율 확대를 위해 전방위 노력을 벌이던 참이었다. SK컴즈가 법적으로 처벌받을 가능성도 있다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)에 따르면 기술적·관리적 보호 조치를 하지 않아 개인정보가 유출된 사업자의 경우 1억원 이하의 과징금과 함께 2년 이하의 징역 또는 1000만원 이하의 벌금형을 받는다. 방통위도 “SK컴즈의 과실과 관련법 위반이 드러나면 엄격하게 제재할 것”이라고 밝혔다. 피해자들이 집단소송을 낼 가능성도 있다. 2008년 2월 옥션 해킹 사건 이후 14만명의 피해자가 집단소송을 제기했다. 이 사건에서는 원고 패소 판결이 났지만 2006년 발생한 LG전자 입사 지원자 자기소개서 유출 사건에서는 피해자가 배상 판결을 받았다. 이번 해킹도 사고 소식이 전해지자마자 인터넷 커뮤니티 사이트와 SNS 등을 통해 집단소송 움직임이 감지되고 있다. 맹수열기자 guns@seoul.co.kr