SK커뮤니케이션즈(컴즈)가 운영하는 인터넷 포털 ‘네이트’와 ‘싸이월드’에서 초대형 개인정보 유출이 발생하면서 대형 사이트들이라고 결코 해킹에서 안전하지 않다는 사실이 입증됐다. 해킹 사실이 알려진 직후 몰려든 가입자들로 인해 해당 홈페이지가 오후 내내 사실상 마비되면서 비밀번호 변경은 사실상 불가능해졌고, 가입자들의 불만은 최고조에 달했다. 　SK컴즈가 28일 스스로 밝힌 피해 규모는 사상 최대다. 이름, 아이디, 이메일, 전화번호, 암호화된 주민등록번호·비밀번호 등 3500만건의 가입자 정보가 해커들에게 털렸다. 지금까지 최대는 지난해 3월 신세계몰, 아이러브스쿨, 대명리조트, 러시앤캐쉬 등 25개 업체 사이트가 무더기로 해킹당했을 때의 2000만건이었다. 이번에는 건수도 많지만 단일 업체에서 이뤄졌다는 점에서 기록적이다. 　현재 네이트 가입자는 3300만명, 싸이월드는 2600만명이다. 중복 가입자를 고려하면 거의 모든 사용자의 정보가 빠져나갔다고 볼 수 있다. 방송통신위원회가 정확한 유출 규모는 다시 파악해 봐야 한다고 밝힌 마당이라 피해자는 더 늘어날 수 있다. 　이번 해킹은 지난 26일 새벽에 이뤄졌다. 중국으로 추정되는 IP가 내부 서버에 침입해 정보를 빼내 갔고 SK컴즈가 인지하는 데는 이틀이 걸렸다. 방통위는 “SK컴즈의 정기적인 시스템 모니터링이 28일 이뤄졌기 때문에 해킹 당일 피해 사실을 인지하지 못했다.”고 말해 SK컴즈의 안전관리에 허점이 있었음을 시사했다. 　SK컴즈와 방통위는 아직 정확한 침입 경로를 파악하지 못하고 있다. 두 곳 모두 “해킹을 당했다는 사실만 확인됐을 뿐 언제 어떤 경로로 침입했는지 등 구체적인 내용은 경찰 수사가 이뤄져야 알 수 있다.”고만 밝히고 있을 뿐이다. 하지만 과거 대형 해킹사건 수사가 뚜렷한 결론을 내지 못했던 점을 감안하면 이번 사고도 흐지부지 마무리될 것이라는 우려도 나오고 있다. 　가입자들의 불안은 커지고 있다. 이날 오후 피해 사실이 알려지자 네이트와 싸이월드에는 비밀번호를 바꾸려는 가입자들이 몰리면서 서버가 불통되기도 했다. 비밀번호를 빨리 바꾸라는 메시지가 소셜네트워크서비스(SNS)를 통해 확산되는가 하면 아예 탈퇴해 버리겠다는 불만도 폭주하고 있다. 　그러나 회사 측과 당국의 대응은 초보적인 수준에 그치고 있다. 방통위는 다른 포털 사이트 등에서도 네이트, 싸이월드와 똑같은 아이디, 비밀번호를 사용하는 사람들의 주의를 촉구했을 뿐 추가적인 조치는 경찰 수사 이후에나 내놓겠다는 입장이다. 　SK컴즈는 최근 모바일 메신저 ‘네이트온 톡’을 출시하고 모바일 시장 점유율 확대를 위해 전방위 노력을 하던 참이어서 이번 해킹 사건이 치명적으로 작용할 전망이다. 포털 업체 특성상 개인정보 유출 사건으로 신뢰도가 한번 추락하면 이를 만회하기란 쉽지 않기 때문이다. 맹수열기자 guns@seoul.co.kr

정부 부처 사무관을 선발하는 2011년 5급 공채 행정직 2차 시험이 지난달 28일부터 이달 2일까지 서울 고려대학교와 성균관대학교에서 시행됐다. 255명을 최종 선발하는 올해 시험에는 1차 시험 합격자 2397명 중 2191명이 응시해 논리력을 겨뤘다. 수험생들은 전반적으로 지난해 시험보다는 쉬웠다는 반응을 보였다. 특히 행정법이 쉬웠던 반면 정치학과 경제학은 다소 까다로웠다는 평이다. 서울신문은 5급 공채시험 전문 합격의 법학원과 함께 주요 과목별 문제를 분석해 봤다. 행정법은 일반행정직과 기타 직렬 모두 사례형으로 출제됐고, 최근 판례를 사례화한 문제도 포함됐다. 정진 합격의 법학원 행정법 강사는 “사례문제만 나와 시간과 분량 조절이 어려웠을 수 있지만 논점 자체는 쉬웠다.”면서 “최근 몇 년간 출제된 문제 가운데 가장 쉬운 것으로 보인다.”고 말했다. 일반행정직 제1문의 설문 1은 행정쟁송법상 거부 처분에 대한 권리구제를 묻는 것으로, 의무이행심판과 거부처분취소 소송·의무이행 소송 등으로 풀어 나가야 하는 문제였다. 제3문은 행정재산의 목적 외 사용에 관한 문제로 정 강사는 “국내 식당 사용 허가의 법적 성질이 강학상 특허임을 밝힌 뒤 국립도서관이 대집행이나 직접 강제를 할 수 있는지 등을 논해야 하는 문제”라고 설명했다. 기타 직렬에서는 10여년 만에 국가배상에 관한 문제가 나오며 눈길을 끌었다. 제3문의 설문 1은 국가배상법 제2조 제1항 본문 전단의 요건을 검토해 위법성과 과실 등의 요건이 충족되므로 손해배상 책임을 인정하면 되고, 설문 2는 공무원 개인에 대한 선택적 청구권을 논하는 문제였다. ☞<정책·고시·취업>최신 뉴스 보러가기 5급 공채(옛 행정고시) 행정직의 최근 10여년간 기출문제를 분석해 보면 행정학 교과서(각론 교과서 포함)에서 다루는 기본 주제나 현실 행정 쟁점에서 벗어난 문제는 거의 출제되지 않았다. 이는 올해도 마찬가지였다. 출제된 주제를 살펴보면 일반행정직에서는 행정 가치의 변화와 정부 역할 ▲행정신뢰 ▲보수제도를 물었다. 기타 직렬에서는 정부의 시장 역할에 대한 공공성과 효율성 차원에서의 평가 ▲공공서비스 공급체계 및 BTO/BTL ▲행정문화와 교육훈련으로 구분된다. 이 가운데 공공서비스 공급체계 및 BTO/BTL의 비교에 관한 문제는 재무행정의 민간자본 유치 방식으로 최근 확산되고 있는 BTO와 BTL을 총론의 공공서비스 공급 체계라는 맥락에서 묻는 문제다. BTO와 BTL은 객관식 시험에서 출제 빈도가 높은 분야로, 주관식에서는 두 개념을 명확히 정리할 수 있어야 하고 공공서비스 공급 체계의 다원화와 책임 한계의 모호성 문제 등을 연결할 수 있어야 한다. 강제명 강사는 “올해 시험은 특별히 어려울 내용은 없었지만 묻는 형식이 변형되면서 전형적인 목차만 암기한 수험생은 어렵게 느꼈을 것”이라고 평가했다. 정치학은 예상 가능한 수준에서 출제됐으나 일부 문제는 논점 파악에 어려움이 있었을 것이라는 분석이다. 올해 2차 시험에서는 신자유주의 국가와 대비되는 중국 모델의 비교, 정당개혁, 홉스의 사회계약론과 죄수의 딜레마 등에서 출제됐다. 이는 정치학에서 크게 정치사상과 민주주의 ▲정치과정 및 제도 ▲국가, 시장, 시민사회 관련 이론 ▲국제정치학으로 나눠 살펴봐야 한다. 홉스의 사회계약론과 죄수의 딜레마는 기존에도 출제된 문제로 어렵지 않았고, 정치과정 및 제도에 해당하는 선거제도 문제는 생소한 유형으로 출제됐다. 강 강사는 “설문에 제시된 가상의 투표 상황은 소선거구제를 전제로 하고 있음을 주의해야 한다.”며 “일반적으로 구분하는 다수대표제와 비례대표제, 소선거구제와 중대선거구제의 비교는 이 문제의 논점이 아니지만 상당수의 수험생들이 이러한 논점으로 접근했을 것”이라고 말했다. 그는 “이 문제는 대표성과 비례성, 안정성, 대응성, 선거비용을 중심으로 논리를 전개해야 고득점을 바랄 수 있다.”고 덧붙였다. 경제학은 1문의 단기균형 계산 문제와 국제경제학에서 중국의 우주항공산업 관련 역함수 문제가 어려웠던 것으로 꼽혔다. 선택과목인 정보체계론의 경우 입법고시에서는 전자정부의 방향과 전략, 정보화정책 추진체계, 개인정보 보호가 출제됐고, 5급 행정직에서는 개인정보 보호, 정부 활동에서 정보기술의 활용, 유비쿼터스 네트워크 등이 출제됐다. 이는 수험가의 예상과도 거의 들어맞는 출제로, 특히 농협전산망 해킹 사태의 파장이 컸다는 점에서 개인정보 보호나 정보 보호에 관한 내용은 출제 가능성이 가장 큰 것으로 꼽혔었다. 강 강사는 “행정직 2차 시험은 경제학 관련 과목과 법학을 제외한 사회과학 과목들은 사실상 학문의 경계와 정답이 없다.”면서 “기본 이론과 제도들을 체계적이고 논리적으로 정리하고, 간결하게 써 내는 것이 중요하다.”고 말했다. 박성국기자 psk@seoul.co.kr ■도움말 합격의 법학원

개인정보보호법이 시행을 앞두고 있다. 개인정보에 대한 관심이 더욱 고조될 것으로 보인다. 그런데 우리가 빈번하게 사용하는 주민등록번호에는 매우 민감한 개인정보가 노출되어 있다. 생년월일, 성별, 출생지 등을 알 수 있도록 번호체계가 설계되어 있는 탓이다. 주민등록번호는 사람의 성명과 결합할 경우 얼마든지 개인의 특성을 식별할 수 있기 때문에 이들 정보가 누출될 경우 심각한 개인정보 침해사고가 발생할 수 있다. 이 때문에 법률에서는 인터넷서비스의 회원 가입 시 주민등록번호의 사용을 제한하고, 본인 확인을 위해 주민등록번호 대신 i-PIN을 사용하도록 규정하고 있다. 하지만 여전히 온라인, 오프라인을 막론하고 주민등록번호는 본인(신원)확인 수단으로 광범위하게 사용되고 있는 실정이다. 작년에 가수 애프터스쿨의 멤버인 나나, 그리고 아이비의 주민등록번호가 방송에 노출되는 사고가 있었다. 나나의 메이크업 아티스트 자격증과 아이비의 번지점프 인증서에 기재된 주민등록번호가 그대로 방송된 것이다. 주민등록번호가 얼마나 광범위하고 무분별하게 사용되고 있는 것인지? 그리고, 단지 주민등록번호의 노출만으로도 당사자에게는 얼마나 치명적인 침해가 발생하였는지를 단적으로 보여주는 예라 할 것이다. 이처럼 민감정보가 그대로 드러나는 주민등록의 번호체계를 개편할 수 있는 절호의 기회가 왔다. 정부가 추진하고 있는 전자주민증의 도입과 연계시켜 주민등록번호에 대한 관리체계를 개편하자는 것이다. 원래 주민등록번호란 주민등록대장을 관리하기 위해 편의상 부여한 행정적 관리번호이다. 그런데 이 번호를 주민등록증에 그대로 수록해 이 같은 문제가 발생한 것이다. 따라서 이 관리번호는 정말 행정적 대장관리를 위해서만 사용하고 새로 발급할 전자주민증에는 의미 없는 무작위 발행번호만을 수록하자는 것이다. 발행번호와 주민등록번호를 시스템적으로만 연동시켜 두면 발행번호만으로 얼마든지 본인확인이 가능하다. 이렇게 될 경우 주민등록번호는 행정안전부의 시스템 상에만 존재하기 때문에 일반인들이 알 수도 없고 또한 알 필요도 없게 된다. 발행번호는 주민등록증 발급일자나 유효기간 등과 결합시키는 방법으로, 현재 인터넷에서 사용되고 있는 공공 i-PIN을 대체할 수 있을 것으로 보인다. 전화나 인터넷에서 카드결제를 할 때 카드번호와 유효기간을 결합시켜 본인확인을 하는 방식을 생각하면 될 것이다. 발행번호는 주민등록증을 발급받을 때마다 변경이 가능하기 때문에 평생 바꾸지 못하는 주민등록번호에 비하여 개인정보침해사고를 상당히 예방할 수 있을 것이다. 물론 전자주민증 도입을 반대하는 목소리도 있다. 아마도 전자주민증이 도입되고 나면 정부가 수록정보를 조금씩 확대하여 궁극적으로는 통합신분증이 될 것이며, 그렇게 될 경우 인권침해의 소지가 있다는 주장인 것 같다. 또한 전자칩의 해킹이나 복제에 대한 우려도 있다. 수록정보의 대상과 범위를 국회에서 입법적으로 정하도록 하여 국회의 통제를 받도록 하거나 당사자 스스로가 수록 대상정보의 범위를 선택할 수 있도록 하는 등의 제도적 보완을 한다면 개인의 모든 정보가 하나의 칩에 저장되어 인권을 침해할 수 있다는 주장은 기우일 수 있다. IC칩의 해킹이나 복제의 문제는 비단 전자주민증의 문제만이 아니라 정보보안의 일반적인 문제로서 기술적 보안조치를 강화할 수밖에 없는 것이다. 이미 우리나라를 비롯하여 전 세계적으로 80여개의 나라가 전자여권을 운영하는 점에 비추어 볼 때 전자칩의 보안문제 때문에 전자주민증의 도입을 반대하는 것은 설득력이 부족하다. 전자주민증을 도입할 경우 주민등록번호 체계의 개편을 통해 개인정보 보호를 더욱 강화할 수 있고 주민등록증의 위·변조를 방지할 수 있다는 긍정적 효과가 분명히 있음에도 불구하고 전자주민증에 대한 막연한 의심만으로 도입 자체를 막는 것은 바람직하지 않다. 지금이라도 전자주민증의 유용성을 극대화하면서 동시에 역기능을 최소화할 수 있는 방안을 모색하여야 할 것이다.

제1·2·3금융권 등을 통해 대량 유출된 개인정보는 ‘2차 범죄’를 위한 도구로 악용된다. 불법대출·대리운전 스팸문자나 메일 발송, 인터넷 가입자 유치 텔레마케팅, 보이스피싱·메신저피싱 등 불특정 다수에게 손쉽게 접근하려는 분야에서 다양하게 쓰인다. 경찰 관계자는 “불법 유통되는 개인정보들이 2차 범죄 피해로 이어질 우려가 크다.”고 밝혔다. 실제로 회사원 K(30·여)씨는 이달 초 메일을 확인하기 위해 자주 들어가던 인터넷 포털 사이트에 접속했다가 깜짝 놀랐다. 메일함을 열자 ‘고객님의 아이디에 보안조치를 취해 사용이 일시정지됐다.’는 포털 사이트 측의 메일이 와 있던 것. 자초지종을 알고 보니 누군가 K씨의 아이디를 해킹해 인터넷 게시판에 수백건의 음란 댓글을 달아 아이디가 차단된 것이었다. K씨는 “평소 비밀번호도 자주 바꾸고, 내 개인용 컴퓨터로만 메일을 확인해 해킹당할 루트가 없을 것 같았는데 황당했다.”고 말했다. 대학원생 최지은(27·여)씨도 피해자다. 지난 20일 연구실에서 공부를 하고 있는 최씨에게 대여섯 명의 친구들로부터 “메신저 좀 확인해 보라.”는 문자와 전화가 빗발쳤다. “지금 당장 급하니 계좌로 50만원을 보내 달라.”고 부탁하는 최씨를 수상하게 여긴 친구들이 최씨에게 직접 전화를 걸어 온 것이다. 메신저 피싱의 전형적인 수법이었다. 최씨는 “별로 친하지 않은 사람들에게까지 그런 메시지가 가서 해명하느라 진땀을 뺐다.”면서 “비밀번호를 당장 바꾸긴 했지만 찝찝하다.”고 말했다. 윤샘이나기자 sam@seoul.co.kr

서울신문이 오늘 보도한 개인정보 불법 유통 실태를 보면 입이 떡 벌어지지 않을 수 없다. 은행에서 저축은행·대부업체에 이르는 금융권은 물론이고 통신사와 신용카드사, 심지어는 공직사회까지 뚫리지 않은 영역이 없다 할 지경에 이르렀다. 실제 불법으로 거래된 개인 정보량 또한 방대해 부천 오정경찰서가 적발한 사건은 1900만건, 서울 수서경찰서가 붙잡은 사건은 1000만건에 달한다. 이 정도면 대한민국 안에서 정상적인 사회활동을 하는 사람 대부분이 직장 내 직위, 주민등록번호, 휴대전화 번호, 이메일 주소 등 온갖 신상정보를 노출당했다고 해도 과언이 아닐 것이다. 우리 사회는 그동안 해킹에 따른 피해로 엄청난 몸살을 앓아왔다. 멀리 따질 것도 없이 현대캐피탈 고객정보 대량 유출 사건이나 농협 전산망 마비 사태가 다 올해 발생한 일들이다. 그런데 이번에는 철옹성을 자부하던 은행들의 개인정보를 비롯해 공무원 명단까지, 기관별로 정리된 개인정보가 고스란히 유통되었다고 하니 이 사회의 정보 보안의식이 얼마나 허술했던가를 다시금 절감하지 않을 수 없게 됐다. 이번에 경찰에 적발된 개인정보 데이터베이스(DB)가 하루 이틀에 수집, 형성된 것은 아닐 터이다. 따라서 개인정보를 다루는 모든 기관이 앞으로 완벽한 보안 체제를 갖추는 일도 중요하지만 그에 못지않게 이미 시중에 나도는 개인정보가 더 이상 유통되지 않도록 차단하는 조치를 하루빨리 취해야 하겠다. 이번 사건들에서 보듯이 개인정보는 이미 드러날 대로 드러났다고 여겨지기 때문이다. 그러므로 개인정보 불법 유통을 막으려면 무엇보다 정보 구매자를 엄벌에 처할 수 있게끔 관련법을 개정해야 한다고 본다. ‘살 사람’이 없어지면 ‘팔 사람’이 사라지는 건 당연한 이치다. 이와 함께 기관 내에서 개인정보를 내다파는 ‘내부 공모자’ 역시 존재할 수 없게끔 철저히 색출하고 장기간 이 사회와 격리시켜야 한다. 개인정보가 지금처럼 쉽게 노출되고 그것이 각종 범죄에 이용된다면 개개인이 피해를 입는 건 물론이고 신용사회의 근간이 흔들리게 된다. 그리고 그 결과는 경제활동 위축으로 이어지기 마련이다. 더 이상 늦기 전에 개인정보 유통에 예리한 메스를 단호하게 들이대기를 촉구한다.

“제1금융권의 보안은 최고 수준이다. 서버 역시 주서버와 백업서버를 멀리 떨어뜨려 놓기 때문에 사고가 발생할 일이 없다.”(농협 해킹사건 시 A은행 관계자) “고객정보 보안이 허술한 제2금융권들의 문제”(현대캐피탈 사건 시 B은행 관계자) 인터넷 뱅킹 아이디와 비밀번호, 대출금액 등 제1금융권의 고객 정보가 시중에 유출된 것으로 확인되면서 ‘철저한 보안’을 자랑하던 시중은행의 보안시스템에 빨간불이 켜졌다. 아직 해킹인지 또는 내부자 소행인지는 명확하게 가려지지 않았지만, 부천 오정서의 수사로 설(說)로만 떠돌던 금융권 전체의 허술한 보안체계가 사실로 입증됐다. 대대적인 점검 강화는 물론 이들로부터 유출정보를 사들인 대부업체에 대한 수사가 시급하다는 지적이다. ●은행 고객내역 등 1900만건 당초 경찰은 지난 4월 ‘공무원들의 개인정보가 돌아다닌다.’는 첩보를 입수하고 추적에 들어갔다. 부천 오정서 사이버수사팀원이 인터넷게시판에서 “개인정보를 판다.”는 글을 보고 메신저를 통해 김씨 일당과 접촉했다. 일당이 시험용으로 보낸 공무원의 소속 부처와 연락처, 주민등록번호 등이 사실로 확인되자 경찰은 곧 이들의 컴퓨터 아이피(IP)를 추적해 검거했다. 이들은 주로 네이버나 다음 등에서 데이터베이스(DB)를 사고팔 수 있도록 개설해 놓은 카페에 광고나 댓글을 남기는 수법으로 구매자들을 모았다. 이 중 현재 저축은행에 근무하는 A씨와 모 캐피털사에서 일했던 B씨 등 무려 120명에게서 대포통장을 통해 5400만원을 받아 챙겼다. 피의자 김모(26)씨와 양모(26)씨 등 3명은 고등학교 동창생으로 특별한 직업 없이 돈을 벌기 위해 개인정보를 다른 판매상에게서 구입한 뒤 인터넷에서 되팔았다고 진술한 것으로 전해졌다. 이들이 지니고 있던 이동식 저장장치(USB)에서 예상했던 공무원 명단뿐 아니라 시중은행과 통신사의 고객 내역까지 1900만건의 개인정보가 나오면서 수사관들조차 벌어진 입을 다물지 못했다. 경찰과 전문가들은 이들이 중국에 있는 해커나 해커와 연결된 중간상인을 통해 자료를 입수한 것으로 보고 있다. 경찰 관계자는 “피의자들이 중국에 있는 인물과 메신저를 한 기록이 나와 내부자보다는 해킹에 무게를 두고 수사하고 있다.”고 말했다. ●게임사 서버 디도스 공격도 의뢰 국내 대부업체와 개인정보 DB 판매상들이 주로 중국 해커에게 의뢰해 정보를 빼낸다는 것은 이미 지난해부터 수사당국에 감지됐다. 실제 이번 서울 수서서의 경우에도 1000만명의 개인정보를 빼낸 사람은 중국에서 ‘H사장’이라고 불리는 전문 해커였다. 중간판매책인 정모(26)씨와 김모(26)씨는 MSN 메신저로 H사장과 접촉했다. 경찰 관계자는 “MSN 메신저가 다른 메신저보다 추적이 더 어렵다.”고 말했다. 지난 1월 5일, 이들은 메신저와 이메일을 통해 H사장에게 국내 대부업체, 저축은행, 채팅사이트, SMS(문자메시지) 콜센터, 카드사 등의 해킹을 의뢰했다. H사장은 해당사의 취약점을 파고들어 손쉽게 1000만명의 개인정보를 확보해 이들에게 제공했다. 이들은 경북 김천, 구미 일대의 PC방에 자리잡고 유명 포털사이트의 웹하드에 저장해 둔 개인정보를 1건당 10~30원에 팔기 시작했다. 거래처는 주로 대부업체, 도박사이트 업체, 인터넷 가입 모집업체 등이었다. 이로써 이들은 2억원이 넘는 돈을 벌어들였고, 중국 해커 H사장에게 수익의 80%를 제공하고 나머지 6000만원 상당을 생활비·유흥비 등으로 사용했다. 이들은 또 H사장으로부터 제공받은 개인정보를 이용해 메일, 메신저, 포털사이트 등에 회원가입을 한 뒤 인터넷에서 대포폰, 대포통장 등을 구입해 수사기관의 추적을 피해 온 것으로 확인됐다. 이들은 개인정보 해킹뿐 아니라 국내 온라인 게임업체 서버에 디도스(DDOS) 공격을 해 달라고 H사장에게 의뢰하기도 했다. 경찰 조사결과 경쟁업체 등의 청탁을 받고 업무를 방해하기 위한 목적인 것으로 드러났다. 이번에 정보가 유출된 업체 수는 총 102곳에 달했다. 이 가운데 19개 업체는 유출 사실을 시인했지만, 나머지 83곳은 극구 부인하고 있는 것으로 전해졌다. 경찰 관계자는 “각 업체들은 개인정보 보호조치를 소홀히 할 경우 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정통망법)에 저촉돼 처벌을 받기 때문에 숨기고 있는 것 같다.”고 말했다. “대부업체, 저축은행, 채팅사이트, SMS 콜센터, 카드사 등 이름만 들어 보면 알 만한 업체 대부분이 뚫린 것으로 보면 된다.”고 경찰 관계자는 전했다. 백민경·이영준기자 white@seoul.co.kr

대한민국의 개인정보가 죄다 털렸다. A, B은행 등 제1금융권부터 저축은행, 대부업체와 같은 제2·3금융권, 통신사, 카드사, 정부부처까지 1900만건에 달하는 개인정보가 유출된 것으로 드러났다. 최고 수준의 보안을 자랑하던 시중은행의 고객 이름과 인터넷뱅킹 아이디·비밀번호, 대출일자·금액 등 1급 정보까지 노출됐다. 더욱이 20만여건에 달하는 전·현직 공무원들의 소속 기관, 주민등록번호, 연락처 등 개인신상까지 유통된 것으로 확인돼 파장이 예상된다. 이 엄청난 ‘대국민 개인정보 유출 사건’의 실체는 이동식 저장장치(USB) 하나에 고스란히 들어 있었다. 사건의 발단은 지난달 부천 오정경찰서가 개인정보 불법 유통 혐의로 구속한 김모(26)씨 등 일당 3명으로부터 압수한 USB를 분석하면서 시작됐다. 김씨 일당은 지난해 5월부터 1년여간 120여 차례에 걸쳐 개인정보를 판매하고, 5400여만원을 챙긴 혐의를 받고 있다. 23일 경찰에 따르면 USB 안에는 금융권, 카드사, 통신사, 공무원 등 집단별로 분류된 상태였다. 금융권 폴더는 아예 A은행, B캐피털 등 상호명으로 나뉘어져 있었다. 경찰이 이 가운데 제1금융권의 개인정보를 우선 확인한 결과 일부가 시중은행 고객의 개인정보인 것으로 확인됐다. 공무원과 통신사 명단 역시 대체로 정확했다. 이충섭(40) 부천 오정서 수사과장은 “은행 자료는 맞지 않는 것도 있기 때문에 은행 자체가 아닌 다른 루트를 통해 정보를 빼갔을 수도 있다.”면서 “그러나 스스로 검찰에 수사를 의뢰했던 농협 해킹사건과 달리 대다수 기관, 특히 1금융권이 보유한 개인정보가 시중에 유통되다 적발된 것은 처음”이라고 말했다. 더욱이 지방자치단체와 정부 부처 공무원들의 개인 신상이 타 국가나 범죄집단에 노출되면 그 피해는 상상을 초월할 것으로 보인다. ●SMS센터 등 1000만명 정보 해킹도 같은 날 서울에서는 대부업체뿐 아니라 문자메시지(SMS)콜센터, 채팅사이트 등에서도 1000만명의 개인정보가 새 나간 것으로 확인됐다. 서울 수서경찰서는 중국 해커에 의뢰해 국내 업체 102곳으로부터 1000만여건의 개인정보를 입수, 판매한 정모(26)씨 등 2명을 정보통신망법 위반 혐의로 이날 구속했다. 정보가 유출된 업체는 대부업계 1위인 R사를 비롯해 유명 채팅사이트인 J사 등이며, ‘방화벽’도 해커의 공격에는 속수무책이었던 것으로 드러났다. 오정경찰서 역시 해킹에 무게를 두고 수사 중이라 해커에 의한 침입으로 정보가 새 나간 것으로 드러나면, 그 파장은 현대캐피탈과 농협을 능가하는 초특급 정보유출 태풍으로 비화될 것으로 관측된다. 백민경·이영준기자 white@seoul.co.kr

주민등록증을 2013년부터 IC칩이 내장된 전자주민증으로 바꾸려던 정부의 계획이 사실상 어렵게 됐다. 23일 행정안전부에 따르면 전자주민증 도입에 관한 내용을 담은 주민등록법 개정안이 최근 열린 국회 행안위 법안소위에 상정조차 되지 못했다. 따라서 6월 국회 통과가 불가능할 뿐만 아니라 국회 일정 등을 감안할 때 가을 정기국회에서도 처리되지 못할 것으로 전망된다. 행안부 관계자는 “앞서 있던 다른 법률의 심사가 지연돼 국회에서 논의되지 못했다.”고 설명했다. 행안부가 추진하는 전자주민증은 표면에 이름과 생년월일 등 기본 사항만 기재하고 IC칩에 주민등록번호 등 민감한 정보를 담는 것으로, 그동안 인권침해와 예산낭비 논란이 끊이지 않았다. 지난해 9월 행안부가 주민등록법 개정안을 제출한 뒤 인권위 토론과 공청회 등을 거치며 일부 내용을 수정하기도 했으나, 지난 3월 열린 행안위 법안소위에서도 이 같은 지적에 부딪혔다. 최근에는 시민·종교단체 등이 예산낭비 및 개인정보 해킹 등을 이유로 전자주민증 도입 반대 서명운동을 벌이기도 했다. 이에 대해 행안부는 현재 주민증을 도입한 지 12년이 지나서 교체할 때가 된 데다 주민증 위·변조가 너무 손쉽게 이뤄지고 있어 대응이 필요하다는 입장이다. 행안부는 “통합 신분증은 법을 개정해야 하는 사안이고 IC칩에 들어 있는 정보를 다른 저장매체에 저장할 수 없도록 법안에 명시했으므로 개인정보 노출에 대해서는 크게 우려하지 않아도 된다.”고 밝혔다. 황수정기자 sjh@seoul.co.kr

대한민국의 개인정보가 죄다 털렸다. A, B은행 등 제1금융권부터 저축은행, 대부업체와 같은 제2·3금융권, 통신사, 카드사, 정부부처까지 1900만건에 달하는 개인정보가 유출된 것으로 드러났다. 최고 수준의 보안을 자랑하던 시중은행의 고객 이름과 인터넷 뱅킹 아이디·비밀번호, 대출일자·금액 등 1급 정보까지 노출됐다. 더욱이 전·현직 공무원들의 소속 기관, 주민등록번호, 연락처 등 개인신상까지 유통된 것으로 확인돼 파장이 예상된다. 이 엄청난 ‘대국민 개인정보 유출 사건’의 실체는 이동식 저장장치(USB) 하나에 고스란히 들어 있었다. 사건의 발단은 지난달 부천 오정경찰서가 개인정보 불법 유통 혐의로 구속한 김모(26)씨 등 일당 3명으로부터 압수한 USB를 분석하면서 시작됐다. 김씨 일당은 지난해 5월부터 지난달까지 1년여간 120여 차례에 걸쳐 개인정보를 판매하고, 5400여만원을 대포통장으로 입금받아 챙긴 혐의를 받고 있다. 23일 경찰에 따르면 USB안에는 금융권, 카드사, 통신사, 공무원 등 집단별로 데이터베이스가 분류된 상태였다. 금융권 폴더는 아예 A은행, B캐피탈 등 상호명으로 나뉘어져 있었다. 경찰이 이 가운데 제1금융권의 개인정보를 우선 확인한 결과 일부가 시중은행 고객의 개인정보인 것으로 확인됐다. 통신사는 대부분의 정보가 일치했다. 공무원 명단 역시 대체로 정확했다. 이충섭(40) 부천 오정서 수사과장은 “은행 자료는 맞지 않는 것도 있기 때문에 은행 자체가 아닌 다른 루트를 통해 정보를 빼갔을 수도 있다.”면서 “그러나 스스로 검찰에 수사를 의뢰했던 농협 해킹사건과 달리 대다수 기관, 특히 1금융권이 보유하던 개인정보가 시중에 유통되다 적발된 것은 처음”이라고 말했다. 통상 개인정보가 정확성과 구체성에 따라 수십~수만원까지 거래되는 점을 감안하면 범죄자들에게 이 USB는 엄청난 ‘보물창고’나 마찬가지다. 반대로 이 자료가 유출될 경우 대부업체 불법 영업행위를 비롯해 아이디 도용을 통한 스팸·광고메일 발송 등 각종 범죄행위에 무차별로 악용당할 가능성이 높아 개인·사회적으로는 ‘판도라의 상자’가 된다. 더욱이 지방자치단체와 정부 부처 공무원들의 개인 신상이 타 국가나 범죄집단에 노출되면 그 피해는 상상을 초월할 것으로 보인다. 같은 날 서울에서는 대부업체뿐 아니라 문자메시지(SMS)콜센터, 채팅사이트 등에서도 1000만명의 개인정보가 새 나간 것으로 확인됐다. 서울 수서경찰서는 중국 해커에 해킹을 의뢰해 국내 102곳 업체로부터 1000만여건의 개인정보를 입수, 판매한 정모(26)씨 등 2명을 정보통신망법 위반 혐의로 이날 구속했다. 정보가 유출된 업체는 대부업계 1위인 R사를 비롯해 유명 채팅사이트인 J사 등이며, 해킹 방지를 위한 ‘방화벽’도 해커의 공격에는 속수무책이었던 것으로 드러났다. 현재 오정서 역시 해킹에 무게를 두고 수사 중이라 만일 이 정보들이 모두 해커에 의한 침입으로 정보가 새 나간 것으로 확인되면, 그 파장은 현대캐피탈과 농협을 능가하는 초특급 정보유출 태풍으로 비화될 것으로 관측된다. 백민경·이영준기자 white@seoul.co.kr

금융당국이 해킹 사고로 고객 정보가 대량 유출된 현대캐피탈의 정태영 사장을 징계하기로 가닥을 잡았다. 직무정지나 경고 등이 고려되고 있는 것으로 알려졌다. 금융감독원은 최근 현대캐피탈 특별검사를 끝낸 뒤 징계 대상자를 압축하고 징계 수위를 검토하고 있는 것으로 21일 알려졌다. 175만명에 달하는 개인정보가 유출된 점을 고려해 현대캐피탈에 대해서는 기관경고 조치가 유력한 것으로 전해진다. 정 사장은 사건 원인과 직접 관련이 없지만 사회적 파장과 관리 책임을 고려할 때 경고 또는 직무정지 수준의 징계가 예상된다. 금융권에서는 경고 쪽에 무게를 두고 있다. 여신전문금융업법상 직무정지가 취해지면 임기가 끝난 뒤 향후 4년 동안 금융회사 임원으로 선임될 수 없다. 정 사장의 임기는 내년 3월까지다. 경고 가운데 문책경고를 받으면 현대캐피탈 사장은 연임할 수 있지만 은행 및 보험회사 임원은 3년 동안 맡을 수 없다. 주의적 경고를 받게 되면 별다른 신분상 제재가 없다. 금감원은 새달 제재심의위원회를 열고 늦어도 8월까지 징계 대상과 강도를 확정할 것으로 보인다. 금감원 관계자는 “내부 검토를 끝내지 않은 상황이라 징계 대상과 징계 수위가 확정되지 않았다.”고 말했다. 홍지민기자 icarus@seoul.co.kr

농협중앙회 계열사인 NH투자증권의 홈트레이딩 시스템(HTS)에 투자자 거래내역이 유출되는 사고가 일어났다. 농협이 최악의 전산장애를 겪은 지 두달 만에 계열사 전산망에도 심각한 문제가 발생한 것이다. 17일 NH투자증권에 따르면 전날 오후 2시부터 30분 동안 일부 개인 투자자의 이름과 계좌번호, 체결 종목, 가격 등 주식 거래 정보가 시세조회용 HTS에 무단 노출됐다. 이 증권사의 HTS는 주식거래를 할 수 있는 정회원용과 시세만 조회할 수 있는 준회원용으로 나뉜다. 정회원이 주식을 매매한 내역은 ‘체결알림판’ 형태로 각 개인이 접속한 HTS 화면에만 떠야 하지만 이날은 준회원용 HTS에 고스란히 노출됐다. NH투자증권 관계자는 “전산팀 직원이 프로그램을 점검하던 중 데이터 값을 잘못 입력해 오류가 발생했다. 시스템 이상이나 외부 해킹에 의한 사고는 아니었다.”고 말했다. 당시 시세조회용 HTS에 접속해 있던 준회원은 12명이었다. 이 중 한명이 HTS의 화면을 동영상으로 촬영해 인터넷 동영상 게시판에 올렸고 이를 캡처한 화면들이 인터넷상을 돌아다니면서 투자자의 개인정보가 퍼지기 시작했다. NH투자증권은 전날 오후 4시쯤 이런 사실을 파악하고 인터넷 포털사이트에 게시물 삭제를 요청했다. NH투자증권은 사건이 발생한 지 하루가 지났는데도 정보가 유출된 회원 수조차 파악하지 못하고 있다. 이 증권사 관계자는 “HTS가 보여주는 거래내역은 저장되지 않고 실시간으로 떴다가 사라지기 때문에 금전적인 손해는 발생하지 않았다.”고 해명했다. NH투자증권은 지난해 9~12월 증권업계 전체에서 발생한 전산장애 민원 및 분쟁의 70.6%를 차지해 전산망 관리의 문제점을 드러내기도 했다. 농협 측은 NH투자증권과 중앙회의 전산망은 분리돼 있어 농협의 은행 전산망은 이번 사고와 관계가 없다고 선을 그었다. 금융감독원은 이번 사건이 내부통제 소홀에 의한 단순 프로그램 오류로 전자금융감독규정에서 정의하는 ‘정보기술(IT) 사고’는 아니라고 판단하고 있다. 금감원 관계자는 “사고원인을 파악하기 위해 IT 검사역이 현장 점검을 하고 있다. 필요시 검사를 실시해 관련자를 조치할 예정”이라고 말했다. 오달란기자 dallan@seoul.co.kr

‘토니 블레어 전 총리와 캐서린 세손빈도 털렸다.’ ‘영국판 워터게이트’로 불리는 타블로이드 매체의 유명인 전화·음성 메시지 해킹사건의 파장이 갈수록 확산되고 있다. 토니 블레어 전 총리 등 노동당 출신 정치인은 물론 왕실 가족과 경찰 수장까지 개인정보를 모조리 털렸다는 주장이 나왔다. 정보수집을 맡은 사설탐정은 바이러스를 통한 컴퓨터 해킹은 물론 도청, 협박, 빈집털이 등 수단과 방법을 가리지 않았던 것으로 보인다. 톰 왓슨 영국 노동당 하원의원은 8일(현지시간) “(타블로이드지인) ‘뉴스 오브 더 월드’의 불법 해킹사건을 수사 중인 런던경찰청이 사설탐정인 조너선 리가 모은 개인정보까지 포함해 수사범위를 넓혀야 한다.”고 주장했다고 영국 일간 가디언이 보도했다. 언론재벌 루퍼트 머독이 소유한 ‘뉴스 오브 더 월드’는 그동안 특종 보도를 위해 사설탐정인 글렌 멀케어를 고용, 전화 도청 등을 저지른 것으로 드러났다. 그러나 최근 경찰이 또 다른 사설탐정인 리 역시 ‘뉴스 오브 더 월드’를 위해 불법적으로 정보를 모아 온 정황이 담긴 서류를 압수한 것으로 알려지면서 의회에서 수사대상을 확대해야 한다는 주장이 나온 것이다. 가디언은 2004년부터 ‘뉴스 오브 더 월드’ 등을 위해 일해 온 리가 경찰을 매수해 신문사의 구미를 당길 만한 인물 정보를 모았던 것으로 보인다고 전했다. 이 신문에 따르면 리는 주로 돈을 주고 정치인 등 유명인사의 정보를 샀고, 때로는 현직 공무원들에게 만취해 매춘부들에 둘러싸인 사진을 보여주며 협박해 정보를 갈취했다. 또 2006년에는 영국의 전직 정보요원인 이안 허스트에게 바이러스가 깔린 이메일을 보내 그의 이메일을 몰래 복사해 빼돌리기도 했다. 리가 정보 수집을 위해 빈집털이까지 자행했다는 증언도 있었다. 리는 특히 현직에 재임 중이던 블레어 당시 총리와 잭 스트로 내무장관, 피터 만델슨 재무장관 등을 표적으로 삼는 대담함을 보였다고 가디언은 전했다. 또 에드워드 왕자와 부인의 은행계좌 정보를 수집해 타블로이드지인 ‘선데이미러’에 판매하기도 했다. 캐서린 세손빈도 윌리엄 왕자의 여자친구일 때 그의 정보 수집 대상이었고 런던경찰청 총책임자인 존 스티븐스경의 정보도 빼돌려진 것으로 알려졌다. 뉴스 오브 더 월드는 논란이 확산되자 “(리에게 불법 정보 수집을 맡겼다는 주장은) 전혀 근거 없는 소리”라며 “왓슨 의원이 면책특권을 악용해 잘못된 주장을 하고 있다.”고 비난했다. 유대근기자 dynamic@seoul.co.kr

G메일에 이어 포털 야후의 야후메일, 마이크로소프트(MS)의 핫메일까지 잇따라 해커의 공격을 받은 데다 해킹 대상도 백악관 등 주요 행정부처 고위급 관리들의 이메일이었던 것으로 드러나면서 국제적 파장이 한층 커질 전망이다. 미국의 PC보안업체 트렌드 마이크로 측은 4일(현지시간) “G메일뿐 아니라 야후메일과 핫메일도 해커들의 공격 대상이 돼 왔다.”면서 “이들 메일에 대한 사이버 공격 형태가 매우 유사하다.”고 밝혀 사실상 중국 측 해킹 가능성을 시사했다고 AFP 등이 5일 보도했다. 앞서 구글은 지난 1일 미국과 한국 정부 관리 등의 G메일 계정을 공격한 해킹의 발원지가 중국 산둥(山東)성 지난(濟南)으로 추정된다고 밝힌 바 있다. 이와 관련, 월스트리트저널은 구글 G메일에 대한 중국발 해킹의 표적 가운데 백악관 관리들도 포함돼 있다고 지난 4일 보도했다. 신문은 “미 의회와 외부 컴퓨터 보안 전문가들은 백악관 내 관행 등을 감안할 때 관리들이 때때로 규정을 무시하고 공공업무와 관련해 개인 이메일을 활용하고 있는 것으로 판단된다고 주장했다.”고 보도했다. 한편 국회 정보위 소속 민주당 신학용 의원도 5일 “중국이 내 보좌관에게 해킹 프로그램이 첨부된 G메일을 보내 해킹을 시도하려고 했다.”면서 “스피어피싱(특정인을 표적으로 한 개인정보 해킹 시도) 방식의 해킹이라는 점에서 다른 국회의원 측에도 이런 해킹 메일이 발송됐을 것”이라고 덧붙였다. 이메일 해킹이 전방위로 일어난 것으로 파악되면서 미국 정부의 대응도 빨라지고 있다. 특히 미 행정부의 움직임이 사실상 중국을 겨냥한 것으로 받아들여지면서 양국 간 긴장도 고조되는 양상이다. 로버트 게이츠 국방장관은 앞서 4일(현지시간) 싱가포르에서 개최된 아시아 안보회의(샹그릴라 대화) 연설에서 미국에 심각한 위협이 되는 사이버 공격을 전쟁 행위로 간주하고 무력을 사용할 수 있다고 경고했다. 이에 훙레이 중국 외교부 대변인은 정례브리핑에서 “해커들의 공격은 국제적인 문제이며 중국 역시 해킹 피해국 가운데 하나”라면서 “중국이 해킹을 지지한다는 주장은 근거가 없고, 다른 꿍꿍이가 있는 것”이라고 반박했다. 베이징 박홍환·워싱턴 김상연특파원 carlos@seoul.co.kr

지난 4월 해킹 공격으로 1억명 이상의 개인정보가 유출된 일본 전자 업체 소니가 또다시 해킹을 당했다. AP통신에 따르면 자신을 ‘룰즈 시큐리티’라고 밝힌 해커 집단이 소니 미국법인 산하 회사인 소니픽처스 홈페이지에서 2일(현지시간) 100만건 이상의 고객 비밀번호와 이메일 주소, 전화번호, 집 주소 등의 정보를 빼냈다. 이들은 성명에서 “소니는 고객 비밀번호를 암호화하지 않고 평문으로 저장했다.”면서 “그냥 가져가라는 얘기”라고 소니의 허술한 보안체계를 조롱했다. 그러면서 유출된 개인 정보 가운데 1000여명의 이름과 생년월일, 주소, 이메일 주소, 전화번호, 비밀번호 등을 공개했다. AP통신은 “공개된 전화번호로 연락해 해킹 사실을 알리자 당사자들이 매우 분노했다.”고 전했다. 박찬구기자 ckpark@seoul.co.kr

전문가들은 소셜네트워크서비스(SNS) 등 인터넷 댓글의 문제점에 대해 다양한 해결책을 제시했다. 이들은 ‘처벌강화’ ‘서비스 제공자의 각성’ ‘교육 활성화’ 등이 문제 해결의 핵심이라고 밝혔다. 문재완 한국외대 법대 교수는 허위 사실을 유포하는 일부 네티즌에 대한 강력한 형사처벌이 있어야 한다고 주장했다. 문 교수는 “사회 분위기를 보면 새로운 수단을 동원해 표현의 자유를 규제하는 것은 바람직하지 않다고 보는 경향이 있어서, 사이버모욕죄 같은 새로운 법을 만드는 것으로는 한계가 있다.”면서도 “기존에 있는 법을 통한 강력한 처벌로 인터넷상에 허위 사실을 유포하고 비방해서는 안 된다는 것을 확실하게 보여줄 필요가 있다.”고 말했다. 문 교수는 “미국 위스콘신주에는 인터넷상 명예훼손에 대한 형사처벌 조항이 있다.”면서 “가난한 사람이 명예훼손을 당했을 때 민사소송 비용을 지불하지 못할 경우에도 형사처벌을 하기 위해 도입된 제도”라고 설명했다. 이종락 호서전문학교 사이버해킹보안과 교수는 “페이스북 등 SNS가 개인정보를 과다하게 요구하기 때문에 신상털기가 일어나고 있다.”고 주장했다. 이 교수는 “나의 출신학교를 알려야 다른 사람의 출신학교를 볼 수 있게 하는 등 개인 정보를 과다 노출하게 만드는 서비스 업체가 문제”라면서 “포털에서 개인 주민등록번호나 전화번호가 쉽게 검색되는데도 걸러내지 못하고 내버려두는 업체 또한 문제가 많다.”고 진단했다. 진보넷 장여경씨는 인터넷 윤리 등의 교육이 선행돼야 한다고 주장했다. 장씨는 “허위 사실 유포나 악성 댓글이 타인에게 되돌릴 수 없는 상처를 준다는 점 등을 내용으로 하는 정보인권교육을 정규 교육 과정에 포함시켜야 한다.”고 강조했다. 김진아기자 jin@seoul.co.kr

“어딘가 살짝 아파 보여야 하고 취미는 십자수나 뜨게질하는 여자라…. 이상형이 참 독특하시네요.” “좋아하는 노래가 ‘건스 앤 로지스’(Guns’N Roses)의 ‘노벰버 레인’(November Rain)이네요. 그래서 이메일 주소가 ‘guns’인가 봐요.” 이름과 이메일 주소만 갖고 이런 신상 얘기가 나오는 데 30분이 걸리지 않았다. 인터넷 검색을 통해 개인 신상정보와 사생활을 온라인에 퍼뜨리는 이른바 ‘신상털기’의 위험성을 알아보기 위해 기자가 직접 실험해 본 결과다. 실험에 나선 사람들은 호서전문학교 사이버해킹보안과 학생 3명. 실험 시작 10분 만에 전화번호, 미니홈피·페이스북 주소는 물론 출신 학교, 학과, 학번, 군입대 날짜까지 알아냈다. 심지어 나도 모르고 있던 대학시절 사진까지 구해냈다. 과거에 사귀었던 여자친구가 자기 홈페이지에 올려놓은 것이었다. 한 실험 참가자는 오래 전 친목 사이트에 적어 놓았던 프로필을 바탕으로 혈액형과 좋아하는 노래까지 맞춰냈다. 심지어 10여년 전에 써놓은 이상형에 대한 글도 등장했다. 온갖 민망한 정보가 줄줄이 나오자 결국 나는 30분도 안 돼 “이제 그만!”을 외치고 말았다. 한 참가자는 “조금만 더 시간을 투자했으면 이보다 더 깊숙한 정보도 알아낼 수 있었다.”면서 “그나마 당신이 인터넷 활동을 많이 하지 않아 이 정도 선에 그친 것”이라고 말했다. 고작 3명이서 이 정도로 ‘신상털기’가 가능한데 사건·사고, 익명보도, 루머 등에 ‘네티즌 수사대’가 총출동하면 상황이 얼마나 심각해질까. 비교적 정보가 적은 기자도 이 정도인데 노출되는 정보가 많은 연예인 등 유명인사들은 어떨까. 신상털기는 주로 검색사이트 ‘구글’을 통해 이뤄진다. 다른 검색사이트와 달리 이름과 같은 사소한 정보만 입력해도 기본 신상정보가 부분적으로 드러나기 때문이다. 신상털기를 하는 네티즌들은 검색을 통해 나오는 부분적인 정보를 짜깁기하고 다시 검색을 반복하는 방식으로 구체적인 정보를 캐낸다. 심지어 비밀번호까지 유추해 신상털기 대상의 모든 정보를 빼내는 경우도 있다. 한 네티즌은 “시간과 노력만 있으면 웬만한 정보는 다 알아낼 수 있다.”고 자신했다. 일부 네티즌들은 최근 신상털기를 위한 전용 검색엔진까지 만들어 내기도 했다. 최근 폭발적인 인기를 끌고 있는 소셜네트워크서비스(SNS)는 신상털기를 한층 쉽게 만들었다. SNS에서 활발하게 활동하기 위해서는 구체적인 개인정보를 입력해야 하기 때문이다. 또 SNS에 올리는 글들은 모든 네티즌들에게 공개되기 때문에 사적인 대화조차 여과 없이 노출되기 마련이다. 호서전문학교 이종락 교수는 “신상털기는 해킹과 달리 특별한 기술이 필요하지 않기 때문에 더욱 위험하다.”면서 “네티즌들이 가장 많이 이용하는 SNS인 트위터·페이스북은 실명 인증이 필요없는 데다 국내 기업이 아니기 때문에 이용자들 스스로 주의하는 수밖에 없다.”고 말했다. 맹수열기자 guns@seoul.co.kr

리딩투자증권과 한국전자금융의 개인정보 유출 사건을 수사 중인 경찰은 19일 두 금융기관 홈페이지를 해킹한 용의자가 동일 인물임을 확인하고 소재 파악에 수사력을 모으고 있다. 경찰은 리딩투자증권이 갖고 있던 개인정보가 관리자 인증을 비정상적으로 통과한 뒤 데이터베이스에 접근하는 수법으로 유출된 것으로 분석하고 있고 한국전자금융 입사지원자의 정보 역시 유사한 수법으로 해킹당한 것으로 추정했다. 또 두 기관의 개인정보 데이터베이스에 접근한 해킹 용의자의 이메일 계정과 IP주소가 동일한데다 해킹한 개인정보를 엑셀 파일 형태로 저장해 이메일에 첨부한 점으로 미뤄 두 사건이 동일범의 소행일 공산이 크다고 보고 있다. 특히, 경찰은 수년 전부터 태국에 거주하는 40대 한국인 남자가 국내외 IP를 번갈아 사용하며 해킹한 것으로 보고 인터폴에 공조 수사를 요청하는 한편 맥(mac)주소 추적을 통해 공범이 있는지도 확인키로 했다. 경찰은 또 전문기관과 함께 두 업체의 컴퓨터 서버 접속기록을 분석해 해킹에 사용된 것으로 의심되는 IP를 추적, 대조하고 PC에 장착된 랜카드의 고유번호인 맥주소를 추적해 동일범의 소행으로 최종 확인되면 사건을 병합해 수사할 방침이다. 한편, 리딩투자증권이 해커의 공격을 받은 사실을 알고도 제때 대응하지 않아 정보 유출을 방기했다는 비판이 일고 있다. 코스콤 등에 따르면 이 회사는 지난 8일 해킹 시도가 있다는 연락을 코스콤에서 받고도 아무런 조치를 하지 않다가 11일 해커에게 협박 메일을 받고 나서야 진위 조사에 나선 것으로 알려졌다. 이에 대해 금융감독원은 이날 리딩투자증권이 홈페이지 관리 서버의 DB 관리를 소홀히 해 해킹에 노출된 것으로 조사됐다고 밝혔다. 이 회사가 해커들이 정보 유출에 자주 사용하는 구조화질의어(SQL) 입력을 차단하지 않아 고객의 개인정보가 무더기로 빠져나갔다는 것. SQL은 DB에 접근해 원하는 정보를 얻을 때까지 질문을 반복하는 프로그램 언어다. 리딩투자증권은 전날 홈페이지에 회원으로 가입한 고객의 이름, 주소, 주민등록번호, 휴대전화번호 등 개인정보 1만 2000여건(중복자 포함 시 2만 6000여건)과 증권계좌번호 5000여건이 유출됐다며 경찰에 수사를 의뢰했다. 금감원은 대부분의 금융회사가 홈페이지를 개방형 시스템으로 운영하기 때문에 전체 금융회사에 SQL 입력을 차단하도록 지시했다. 오달란·이영준·김양진기자 apple@seoul.co.kr

서울 마포경찰서는 현금인출기 운영업체인 한국전자금융(NICE)의 홈페이지가 해킹돼 입사 지원자 수천명의 개인정보가 유출됐다는 신고를 접수해 수사 중이라고 18일 밝혔다. 경찰 등에 따르면 한국전자금융 홈페이지를 해킹한 용의자는 최근 ‘홈페이지에 접수된 입사지원 정보를 해킹했는데, 정보 유출 사실을 알리지 않을 테니 그 대가로 500만원을 달라.’는 협박성 이메일을 회사 측에 보냈다. 한국전자금융은 자체 조사를 통해 홈페이지에 접수된 입사지원자 8000여명의 이름, 주민등록번호 등 개인정보가 해킹된 정황을 발견하고 지난 6일 경찰에 신고했다. 경찰은 해킹 용의자가 해킹프로그램을 이용해 정보를 빼낸 사실을 확인했으며, 협박 이메일이 발송된 인터넷 프로토콜(IP)과 서버 접속기록(로그기록) 등을 추적, 용의자가 태국에 있는 것으로 파악하고 구체적인 경위를 캐고 있다. 경찰은 또 해킹 용의자가 비슷한 시기에 같은 수법으로 인터넷방송사와 채권추심업체 등 두 곳을 해킹한 뒤 동일한 내용의 협박 이메일을 보내 돈을 요구한 사실을 확인하고 수사 중이다. 이에 대해 한국전자금융은 지난 17일 홈페이지를 통해 이 같은 사실을 알리고 “회사 고객이 개인이 아니라 은행 등 법인이기 때문에 입사지원 정보 외에 다른 개인정보 유출은 없다.”고 밝혔다. 한편, 이날 리딩투자증권 서버에도 해커가 침입해 고객정보 2만 6600여건이 유출된 사실이 확인돼 경찰이 수사에 나섰다. 서울 강남경찰서는 리딩투자증권의 고객정보 2만 6600여건이 유출됐다는 신고를 접수하고 수사중이라고 밝혔다. 홍지민·이영준·김양진기자 ky0295@seoul.co.kr

최근 발생한 농협 전산망 마비사태가 우리에게 더욱 충격으로 다가온 것은 고도로 훈련된 해커에 의한 사이버 테러라는 점에서다. 특정 경로와 대상, 시간을 지정해 정밀타격 식으로 이뤄지는 사이버 공격은 간단한 악성코드만으로 쉽게 실행할 수 있는 디도스(DDoS·분산서비스 거부) 공격과는 차원이 다르다. ‘핵 공갈’을 능가하는 위협거리다. 엊그제 외신은 우리의 사이버 안보 우려가 언제든 현실이 될 수 있다는 섬뜩한 경고음을 전한다. 미국 폭스뉴스에 따르면 북한은 해킹 등 사이버 전쟁을 펼칠 3만명의 병력을 보유하고 있으며 그 능력은 미국 중앙정보국(CIA)에 맞먹는다고 한다. 더구나 군의 핵심 엘리트로 정예화하고 있다니, 사실이라면 우리로서는 그야말로 사이버안보 비상사태라도 선언해야 할 판이다. “현대전은 전자전이다.”라는 김정일 국방위원장의 언급 이후 북한은 해킹부대를 본격적으로 운영하는 등 사이버 전력 강화에 박차를 가하고 있다. 우리 사이버 안보 현실은 어떤가. 우리는 북한의 대남 사이버 전력이 어느 정도인지조차 정확히 가늠하지 못하고 있는 형편이다. 북한은 우수 대학생을 뽑아 해킹과 사이버전 프로그램을 개발하는 비밀학교에 보낸다는 얘기도 있다. 사이버 테러가 고도의 지능범죄임을 감안하면 사이버 보안기술의 개발과 전문인력의 육성은 아무리 강조해도 지나치지 않다. 정보기술 강국인 우리가 사이버 안보에 눈뜬 것은 2009년 7·7 사이버 대란을 겪고 나서다. 사이버 전사 10만 양병설이 힘을 얻기도 했다. 그러나 위기의 순간 반짝 긴장했을 뿐 우리의 사이버안보 현주소는 초라하기 짝이 없다. 사이버 안전을 책임지는 국가정보원의 역할을 강화하는 것이 맞다. 이미 본란을 통해 지적했지만 정보통신기반보호법 개정이 시급하다. 정략적 접근에서 탈피해 국정원이 명실상부한 사이버 대응 컨트롤타워 역할을 하도록 해야 한다. 미국 백악관은 지난주 해킹으로 개인정보가 유출됐을 경우 정부가 적절한 조치를 강제할 수 있도록 하는 ‘사이버안보법’을 의회에 제출했다. 국가안보 차원의 민·관·군 총체적 대응만이 사이버 위험사회에서 살아남을 수 있는 길이다.

현대캐피탈 서버 해킹을 통해 유출된 고객 정보가 뒷거래를 통해 국내 대출중개업체의 영업에 이용된 사실이 경찰 수사에서 확인됐다.<서울신문 4월 12일자 1, 8면> 서울지방경찰청 사이버범죄수사대는 16일 현대캐피탈 서버에 침입해 개인정보를 빼낸 A대출중개업체 팀장 윤모(35)씨를 정보통신망법 위반 혐의로 구속했다. 윤씨는 지난 3월 10일 필리핀에 머물고 있는 이 사건의 주범 정모(36·미검)씨에게서 현대캐피탈 서버에 침입할 수 있는 주소(URL)를 받아 고객 휴대전화 번호 1만 9300여건을 입수, 대출중개 영업에 이용한 혐의를 받고 있다. 경찰 조사 결과 윤씨는 예전에 다니던 직장 동료로부터 지난해 3월쯤 정씨를 소개받았으며, 지난 2월 정씨가 “내가 아는 해커가 현대캐피탈 서버에 침입했는데 작업비를 주면 URL을 알려주겠다.”고 제의하자 2200만원을 보낸 것으로 드러났다. 윤씨는 지난 3월 10일 서울 서초구의 한 PC방에서 정씨로부터 메신저로 URL을 넘겨받은 뒤 현대캐피탈 서버에 침입했다. 이어 11일까지 두 차례에 걸쳐 외장하드에 고객정보를 내려받아 보관한 것으로 조사됐다. 경찰은 국내 PC방에서 현대캐피탈 서버 접속 기록 흔적을 발견, 추적한 끝에 윤씨가 해당 시간대에 정씨와 국제통화를 한 사실을 확인해 검거했다. 윤씨는 지난해에도 정씨에게 1200만원을 보내고 개인정보를 사들였다는 진술을 확보한 바 있다. 김동현기자 moses@seoul.co.kr