농협의 이번 전산망 서비스 중단 사고는 사상 최악으로 기록될 판이다. 부분적으로 영업이 중단된 적은 있지만 은행 업무가 완전 중단된 것은 처음이다. 지난해 말 씨티은행의 전산실 침수로 은행 업무가 중단된 적은 있지만 휴일이어서 피해는 크지 않았다. 농협법 개정으로 내년부터 신용·유통이 분리돼 새로운 출발을 하려는 터에 발생한 사고로 농협의 신뢰도 타격이 불가피해졌다. 농협은 “전산장애는 중계서버(IBM서버)의 장애로 인해 발생했다.”고 설명했다. 서버 관리 협력업체 직원의 노트북 아이피(IP)에서 금융거래 중계 서버 시스템 파일 삭제를 유도하는 명령이 실행된 것으로 조사됐다. 이 직원은 농협 자체 조사에서 “전혀 아는 바가 없다.”고 주장했다. 사실이라면, 이 직원의 노트북을 매개로 외부에서 해킹을 해 농협 서버가 다운됐을 가능성이 높다. 현대캐피탈 해킹 사건과 마찬가지로 협력업체와 공유하는 지점에서 ‘약한 고리’가 발견된 것이다. 중계 서버는 지점 창구·인터넷뱅킹 등 고객 서비스에 활용되는 외부망과 은행 내부망을 연결하는 다리 역할을 한다. 고객의 개인정보를 암호화하는 작업도 수행되기 때문에 거래내역 등에 대한 정보가 남아 있을 수도 있다. 농협 측은 “개인정보와 관련된 부분은 IBM서버가 아닌 HP서버에서 관리하기 때문에 개인정보가 유출됐을 가능성이나 개인 신상에 대한 데이터베이스(DB)가 삭제됐을 가능성은 낮다.”고 말했다. 하지만 서버 오류가 보수작업 중 직원의 실수로 일어났는지, 고의로 발생시킨 것인지, 제3자에 의해 자행됐는지는 불분명하다. 검찰 조사에서 이런 점이 규명될 것으로 보인다. 농협은 이날 원인파악을 미룬 채 복구작업에 매달렸지만, 당초 오전 9시로 예정됐던 복구시간은 점점 뒤로 밀렸다. 결국 낮 12시 35분에서야 창구 입·출금 업무를 재개했고, 밤 늦게까지 인터넷·폰뱅킹 복구작업을 진행했다. 농협 측은 “12일 IT본부 분사 전 직원 520명이 꼬박 밤을 새웠고, 13일에도 300명이 철야를 하며 복구작업을 진행했다.”면서 “지점이 워낙 많고 시스템 재가동을 위해 운영시스템(OS)을 재설치하느라 시간이 오래 걸렸다.”고 설명했다. 더딘 원인파악과 복구속도 때문에 금융권에서는 농협이 상황을 축소해서 전달하는 게 아닌지 의혹이 제기됐다. 금융권의 전산 담당자는 “영업시간이 이틀이 지날 동안 복구가 계속 지연되는 것을 보면 서버 전체에 문제가 생긴 것”이라고 추측했다. 다른 관계자는 “보통 은행들은 서버가 한꺼번에 다운되는 것을 막기 위해 전원을 분산해서 배치하는 등 안전장치를 한다.”면서 “20시간 이상 복구가 안 됐다면, 총체적인 문제가 발생했다고 봐야 한다.”고 지적했다. 전산망과 함께 지주사 설립을 앞두고 있는 농협 금융부문에 대한 혹평도 나왔다. 시중은행 관계자는 “고객의 보안에 관한 사안은 은행 업무의 본질 중의 본질”이라면서 “전산장애뿐 아니라 이후 보여 준 무성의한 태도 때문에 농협에 대한 고객 충성도가 크게 떨어지게 될 것”이라고 내다봤다. 농협이 덩치에 맞지 않게 전산설비 확보나 위기관리 체제 구축에 무관심했다는 비판도 나왔다. 농협은 2004년 이후 IT서비스의 상당 부분을 아웃소싱에 의존해 왔다. 그래서인지 농협은 지난해 2월 6일에도 ATM 2000여대가 작동되지 않는 사고를 냈고, 이전에도 크고 작은 금융사고에 시달려 왔다. 홍희경·오달란기자 saloo@seoul.co.kr

현대캐피탈 고객들의 개인정보를 빼낸 한국인 해커는 사이버 범죄의 온상지로 유명한 필리핀 클라크 지역에서 활동하고 있는 것으로 확인됐다. 경찰은 사건 발생 이후 한국인 해커의 신원과 소재지를 파악, 한국인 해커를 쫓는 데 수사력을 모으고 있다. 또 북한 해커들도 외화를 벌어들이기 위해 제2금융권의 허술한 보안망을 뚫고 고객들의 데이터베이스(DB)를 빼내고 있는 것으로 파악됐다. 필리핀에 근거를 둔 해커들의 다음 해킹 표적은 상조업체인 것으로 알려졌다. 12일 서울경찰청 사이버범죄수사대에 따르면 한국인 해커 A씨는 필리핀 한국인 밀집지역인 클라크에 마련한 해커 조직 사무실에서 활동하고 있다. 클라크는 현재 세계적인 해커들이 모이는 해커 총본산지로 알려져 있다. A씨는 국내에서 해커로 활동하다 최근 필리핀으로 옮겨간 것으로 전해졌다. 경찰 관계자는 “내로라하는 해커들이 클라크에 모여 한국 기업체 등의 개인 정보를 빼내며 서로 실력을 겨루고 있다.”고 귀띔했다. 경찰이 비록 해커의 신원과 소재지를 파악했지만 검거는 쉽지 않다는 지적이 지배적이다. 외교적 마찰이 빚어질 가능성이 있는 데다 현지 경찰의 도움 없이는 피의자 체포 자체가 힘들기 때문이다. 인터폴에 수사를 요청한 뒤 인터폴과 해당 국가에서 한국에 수사관 파견 요청이 와야 직접 피의자를 잡으러 갈 수 있다는 것이다. 경찰 관계자는 “필리핀과의 공조가 쉽지 않고, 현지 수사도 어렵다. 경찰 입장에서는 이런 이유들 때문에 아직 확인된 바 없다는 입장을 내세우는 것”이라면서 “필리핀 측에서 한국인 해커를 검거해 인계해 주거나 수사관 파견 요청이 올 때까지 기다릴 수밖에 없다.”고 털어놨다. 현대캐피탈 같은 제2금융권 해킹은 북한 해커들에게도 주요 돈벌이 수단으로 이용되고 있다. 경찰 관계자는 “공식적으로는 러시아 해커들을 최고로 인정해 주지만 비공식적으로 북한 해커들이 최고의 실력을 발휘한다.”면서 “해킹 한번으로 손쉽게 수천만원에서 수억원까지 벌 수 있기 때문에 북한 해커들도 대거 해킹에 나서고 있다.”고 설명했다. 해커들은 금융권 외에 다른 업체로도 손을 뻗고 있다. 경찰은 필리핀 해커들의 다음 표적이 상조업체 DB라는 첩보를 입수했다. 경찰 관계자는 “제2금융권만큼이나 상조업체 고객정보 보안 관리시스템도 빈틈이 많다.”면서 “상조업체가 뚫리면 유출될 개인정보는 현대캐피탈 해킹사건을 능가할 것”이라고 우려했다. 백민경기자 white@seoul.co.kr

“현대캐피탈 사건 같은 건은 비일비재하다. 국내 대부업체가 해커를 고용해 제2금융권을 해킹한 것은 (대출이) 거부됐다 해도 대출 의사가 확실하고, 신용등급이 어느 정도 있는 사람들의 개인정보라 대출 성공률이 높기 때문이다. 빼내기만 하면 고급 데이터베이스(DB)로 분류돼 대부업체나 대부중개업체, 개인 등에게 한명당 2만~3만원에 거래된다.” 대부업체를 운영하는 A(36)씨는 개인정보 수집 과정에 대해 이렇게 설명했다. 그는 서울신문과의 전화 인터뷰에서 “동업자가 몇년 전 중국에 있는 해커를 만나러 출장을 가기도 했다.”면서 “해커들은 중국, 필리핀, 인도네시아에 있는 서버에 접속해 경찰 추적을 따돌린다.”고 12일 전했다. 동남아 지역의 경우 지리적으로도 가깝고, 경비가 싼 편인 데다 공안이나 현지 경찰이 한국의 수사의뢰를 받아도 거의 협조를 해주지 않기 때문이라는 것이다. A씨뿐 아니라 대부업계 종사자나 수사관들의 설명에 따르면 ‘DB장사’는 통상 3단계로 이뤄진다. 우선 ‘1차 사무실’이라고 불리는 개인 및 조직이 ▲금융권 해킹 ▲졸업앨범 및 동문 주소록, 주차장 차량 연락처 등을 활용한 무작위 전화 ▲정보 수집상을 통한 DB 구매 등으로 개인정보 DB를 확보한다. 다음은 텔레마케터(TM)를 이용해 전화를 건다. 이 가운데 일정 수준의 신용등급과 대출 의사가 있는 사람들일 경우 “우리 직원이 곧 전화할 겁니다.”라고 안내한 뒤 고급 DB로 분류한다. 업계 관계자는 “무작위 전화는 시간·비용도 많이 걸리고 번거로워 2금융권 DB를 가장 고급으로 친다.”고 말했다. 이렇게 대출 의사가 있는 이들의 DB는 ‘설계사’(프리랜서 대출 알선자)나 대부중개업체에 판매된다. 업계는 이들을 ‘2차 사무실’이라고 부른다. A씨는 “설계사나 중개업체가 직접 해커를 고용해 정보를 모으기도 하는데 해킹가격은 수천만~수억원까지 가고, 일이 끝난 뒤 잔금을 준다.”면서 “설계사는 대부업체에서 알선 수수료를 받거나 대부회사와 짜고 자신이 직접 대출을 진행한 뒤 대출금액의 3~8%가량을 받기도 한다.”고 말했다. 백민경기자 white@seoul.co.kr

현대캐피탈 해킹 사건의 파문이 확산되며 집단 소송 가능성이 제기되고 있다. 12일 현대캐피탈에 따르면 고객 42만명의 이름과 주민등록번호, 휴대전화 번호가 유출됐다. 이 가운데 36만명은 이메일 정보가 해킹됐다. 현재까지 파악된 규모가 그렇다는 것이다. 현대캐피탈 전체 고객은 약 180만명으로, 정보 유출 규모가 더 늘어날 가능성이 크다. 해킹 사실 공표 뒤에도 새로운 해킹 시도가 있었던 것으로 확인됐다. 하지만 현대캐피탈 관계자는 “다른 해커들이 해킹된 곳을 호기심 차원에서 뚫어보려고 시도한 것 같은데 추가 피해는 없다. 보안에 만전을 기하고 있다.”고 설명했다. 현대캐피탈 피해대책센터에는 3만 6000여건의 관련 문의와 항의 전화가 빗발쳤다. 일부 고객들은 정신적 피해 보상을 요구한 것으로 알려졌다. 아직 해커들의 협박대로 인터넷상에 고객 정보가 유출되지는 않았고, 고객들의 금전적인 피해도 신고되지 않았으나 과거 대규모 개인 정보 유출 사건들을 살펴볼 때 피해자들이 위자료를 요구하는 집단 소송을 제기할 가능성이 높다. ●옥션·국민銀 등 유출 때도 집단 소송 앞서 옥션 사건이나 하나로텔레콤, GS칼텍스, 엔씨소프트, 국민은행, LG전자 개인 정보 유출 사건에서도 피해자들이 단체로 손해배상 청구 소송을 제기했다. 현대캐피탈 해킹 사건과 관련해 소송이 제기된다면 현대캐피탈이 고객들의 정보를 철저히 관리하며 관리자로서의 주의 의무를 다했는지가 쟁점이 될 것으로 보인다. 2008년 1월 1080만명의 고객 정보를 해킹당한 옥션 사건의 경우 피해자 가운데 14만여명이 소송을 모두 합쳐 11건이나 제기했으나 1심에서 패소했다. 옥션 측이 관리자로서 과실이 있다고 보기 어렵고 관련 법도 위반하지 않았다는 이유에서다. 2008년 9월 회사 직원이 고객 1125만명의 개인정보를 빼돌렸던 GS칼텍스 사건의 경우 1심에서 법원은 고객들에게 실질적인 피해가 일어나지 않았다며 원고 패소 판결을 내린 바 있다. ●관리 의무 다했는지 여부 쟁점 될 듯 반면 인터넷복권 구매 안내 메일을 발송하며 고객 명단을 파일로 첨부해 개인 정보를 유출했던 국민은행 사건의 경우 1000여명의 피해 고객에게 20만원씩 배상하라는 판결이 나오기도 했다. 재산상 손해가 없는 개인 정보 유출만으로도 고객의 정신적 고통에 대한 책임을 인정한 사례였다. 홍지민·오달란기자 icarus@seoul.co.kr

현대캐피탈 고객정보 유출 사건의 파장이 금융권 전체로 확산되고 있다. 금융감독원은 11일 현대캐피탈이 전자금융 감독규정의 보안 기준을 준수하지 않았을 가능성을 염두에 두고 현대캐피탈에 대한 특별검사에 돌입했다. 금감원은 또 비슷한 사고가 발생하지 않도록 금융권 전체에 해킹 방지 및 정보보호 대책의 이행실태를 자체 점검해 보고하도록 지시했다. 이와 함께 금융정보공유분석센터(ISAC) 등과 함께 점검반을 꾸려 금융권 전체를 대상으로 보안 점검을 벌이기로 했다. 금감원 관계자는 “고객 정보의 암호화 여부가 집중 검사 대상”이라며 “해킹 방지 및 고객 정보 보호 대책이 적절했는지, 외부 공개용 웹서버와 아웃소싱업체에 대한 통제가 제대로 이뤄졌는지 등도 점검한다.”고 말했다. 금감원은 현대캐피탈과 현대카드 서버의 분리 운영 실태도 점검할 예정이다. 검사 결과 현대캐피탈이 전자금융 감독규정을 어긴 것으로 드러나면 제재할 방침이다. 이날 캐피털 업계와 신용카드 업계는 물론 상대적으로 높은 수준의 보안체계를 갖춘 은행, 증권, 보험사 등 금융권 전체는 해킹 특별 점검에 나서는 등 긴장의 하루를 보냈다. 하지만 제2금융권의 일부 영세한 업체는 해킹 위험에 무방비로 노출된 상황인 것으로 알려졌다. 이들 업체를 이용하는 저신용·저소득자들의 개인정보가 이미 외부로 유출됐을 가능성도 제기되고 있다. 캐피털업계의 관계자는 “직원이 10명 안팎인 작은 회사는 서버 및 보안 관리를 외부 업체에 위탁하고 있다.”면서 “이 때문에 보안 관리가 소홀해 이미 새어나간 고객정보가 많을 것”이라고 추정했다. 일부 회사들은 정보를 해킹한 해커들의 협박에 굴복해 돈을 주고 문제를 덮는 사례도 있다는 게 복수 관계자의 전언이다. 각 캐피탈사는 지난 주말 IT 보안팀을 모두 동원해 해킹 시도가 있었는지 확인 작업을 벌였다. 중대형 규모의 A캐피탈 관계자는 “이번 사건을 계기로 주 단위 해킹 점검 주기를 일 단위로 단축했다.”고 말했다. 제1금융권은 별도의 보안 강화 조치는 없다면서도 고객 불안감이 확산되는 것을 경계하는 눈치다. 우리은행 관계자는 “지난달 인터넷뱅킹 시스템을 새로 단장하며 해킹과 보안의 잠재 위험요소를 체크했다.”면서 “이상 접속 신호를 전문요원들이 24시간 감시하고 있다.”고 말했다. 신한은행도 1년에 네 차례 보안 점검을 하고 관제센터에서 해킹 여부를 수시로 감시하고 있다고 강조했다. 홍지민·오달란기자 dallan@seoul.co.kr

현대캐피탈 고객 개인정보 해킹 사건을 수사 중인 경찰이 용의자 2명의 얼굴이 찍힌 폐쇄회로(CC) TV를 확보했다. 경찰은 용의자 검거를 위해 세 가지 방향으로 수사력을 모으고 있다. 우선 은행 현금인출기에서 돈을 빼낸 인출책과 입금 계좌에 관련된 수사다. 서울지방경찰청 사이버범죄수사대는 11일 “범인들은 총 9개 계좌로 분산해 돈을 받았으며, 이들 계좌는 예금주가 모두 법인명으로 돼 있었다.”면서 “이들 법인이 실제로 존재하는지, 해킹과 어떤 연관성이 있는지 계좌 압수수색을 통해 파악할 방침”이라고 밝혔다. 현재까지 돈이 인출된 것으로 확인된 은행계좌는 농협, 기업·국민은행, 우체국 등 5곳이다. 각각 600만원씩 총 3000만원가량이 인출된 것으로 경찰은 확인했다. 두 번째는 아이피(IP) 주소다. 경찰은 “해커들이 지난달 초와 지난달 말 두 차례 필리핀에서 국내로 경유해 들어오는 중간 서버를 통해 현대캐피탈에 접속한 것으로 파악했다.”면서 “이 중간 서버 이용료를 각각 결제한 2명의 인적사항을 확인하고 소재를 파악하고 있다.”고 밝혔다. 경찰은 해커들이 협박 메일을 보낸 핫메일의 계정도 수사 중이다. 마지막으로 경찰은 과거 유사사건과 관련, 동종 전과자를 추적하고 있다. 이병하 서울청 수사과장은 “해킹 경로나 기업 대상, 범행수법 등이 유사한 사례들과 비교해 용의자들을 찾고 있다.”고 말했다. 백민경기자 white@seoul.co.kr

　현대캐피탈 고객 개인정보 해킹 사건을 수사중인 서울지방경찰청 사이버범죄수사대는 11일 은행 현금인출기에서 돈을 빼낸 남성 2명의 폐쇄회로(CC)TV 영상을 확보, 소재를 쫒고 있다고 밝혔다. 　경찰이 입수한 영상에는 지난 8일 오후 2시40분쯤 농협 구로지점과 9일 오후 6시쯤 신한은행 숙명여대입구점에서 각기 다른 두 남성이 돈을 인출하는 장면이 담겨있다. 　경찰은 이들이 20~30대 한국인으로 추정되며 농협 구로지점에서는 600만원이 인출됐지만 신한은행 계좌는 지급정지돼 돈이 빠져나가지 않았다고 전했다. 　경찰은 해커들이 지난달 필리핀에서 국내로 경유해 들어오는 중간서버를 통해 두차례에 걸쳐 현대캐피탈에 접속한 것으로 파악했다며 이 중간서버 이용료를 각각 결제한 2명의 인적사항을 확인하고 소재 파악에 나섰다고 밝혔다. 　경찰에 따르면 해커들은 지난 7일 오전 8시50분쯤 현대캐피탈 직원에게 이메일을 보내 해킹 사실을 알리고 “내 이메일 아이디와 비밀번호를 알려줄 테니 연락은 이 메일 계정의 ‘내게 쓴 메일‘ 기능을 통해서만 하라.”고 협박했다. 　 이들은 같은날 오후 2시쯤 다시 메일을 보내 “내일 10시에 5억원을 알려주는 계좌들에 지정 금액만큼 입금하라.”고 한 뒤 다음날인 8일 오전 10시에는 4개 계좌를 알려주면서 11시까지 입금하라고 요구했다. 　현대캐피탈은 8일 오전 12시37분께 해커가 지정한 4개 계좌 가운데 1개 계좌로 1억원을 입금했다. 이 가운데 5900만원은 지급정지됐고 나머지 4100만원 가운데 6개 은행 계좌에서 3000만원 가량이 인출됐다. 경찰은 “범인들은 받은 돈을 6개 계좌로 분산했으며 이들 계좌는 예금주가 모두 법인명이었다..”면서 “이들 법인이 실제로 존재하는지, 해킹과 어떤 연관성이 있는지 계좌 압수수색을 통해 파악할 방침”이라고 밝혔다. 경찰은 현대캐피탈 내부 공모 가능성에 대해서 “뚜렷한 용의점이 나오지 않아 아직 말할 단계는 아니다.”며 “외국에도 공범이 있을 것으로 추정은 하고 있지만 아직 확인된 사실은 없다.”고 말했다. 경찰은 현대캐피탈에 요구한 전산자료를 받는대로 이를 분석해 해킹 경로와 규모를 파악할 계획이다. 인터넷서울신문 event@seoul.co.kr

지난해 인터넷 이용자 10명 중 1.5명꼴로 해킹 피해를, 3.4명은 바이러스 피해를 경험한 것으로 나타났다. 또 인터넷 이용자의 90.7%가 스마트폰 보안 문제가 심각한 것으로 인식하고 있으며, 84.9%는 ‘소셜네트워크서비스(SNS)’의 보안 피해도 우려했다. 24일 방송통신위원회와 한국인터넷진흥원(KISA)의 ‘2010년 정보보호실태 및 정보보호 지수’ 조사에 따르면 지난해 해킹 피해를 본 인터넷 이용자는 14.0%로 집계됐다. 해킹·바이러스, 스파이웨어 등의 연간 피해 횟수는 평균 6.9회로 나타났다. 개인정보 침해는 연간 평균 4.77회로 17.1%가 경험했고, 이 가운데 사업자 관리 소홀로 인한 개인정보 유출이 전체의 67.3%에 달했다. 그러나 침해사고 피해를 경험한 인터넷 이용자 중 신고한 사용자는 해킹 48.3%, 애드웨어·스파이웨어 22.7%, 웜·바이러스 22.6%에 그쳐 여전히 침해 사고에 대한 인식이 낮은 수준에 머물고 있다. 보안 침해 사고로 인한 피해 기업도 적지 않았다. 전체 조사 기업의 12.6%가 인터넷 침해 사고를 경험했고, 직원 250명 이상의 기업은 50명 미만의 소기업보다 4~5배 많은 해킹, 디도스(DDoS·분산서비스거부) 공격 피해를 당한 것으로 나타났다. 기업의 보안 피해액도 2009년 대비 26.2%가 늘어난 것으로 조사됐다. 국내 기업의 85.5%가 사내 정보보호를 전담하는 조직이 없으며 74.2%가 기업 내 정보보호를 위한 대책을 수립하지 않고 있다. 지난해 국가 정보보호지수는 80.5점으로 전년 73.9점보다 6.6점이 상승해 다소 개선된 것으로 나타났다. 정보보호 실태조사는 전국 12~59세 인터넷 이용자 5422명에 대한 온라인 조사와 종사자 5인 이상 6529개 기업에 대한 방문 조사로 이뤄졌다. 안동환기자 ipsofacto@seoul.co.kr

지난 2월 스마트폰을 장만한 윤모(33·여)씨는 요즘 친구들과 모바일 인터넷전화(mVoIP)와 카카오톡으로 대화하는 재미에 푹 빠졌다. 요금이 무료인 데다가 무선인터넷망인 와이파이존에서는 언제 어디서나 통신이 가능하기 때문이다. 친구의 험담에서부터 가끔은 돈거래도 한다. 윤씨는 단 한번도 자신의 통화를 누군가 엿들을 수 있다고 생각하지 않았다. 하지만 스마트폰 인터넷 통화나 문자 전송도 절대 안심하면 안 된다. 무료 통화 및 메시지 전송 기능으로 국내 1000만 스마트폰 사용자에게 빠르게 확산 중인 mVoIP와 ‘스마트폰 메신저’가 도청 및 스니핑(sniffing)에 무방비로 노출된 것으로 드러났다. 서울신문이 지난달 1일부터 한달 동안 국내 주요 mVoIP 서비스 6개와 카카오톡 등 메신저 4개에 대한 와이파이망 등 무선랜 환경에서의 도청·스니핑 테스트를 한 결과 국내 기술로 개발된 mVoIP는 모두 수·발신 대화 내용이 도청된 것으로 22일 확인됐다. 국내외 930만명의 가입자를 둔 카카오톡은 안드로이드 애플리케이션에서 가입자 간 문자 채팅 내용이 스니핑됐다. 도청·스니핑 검증은 국내 모바일 보안업체인 쉬프트웍스가 수행했고, 한달에 세번 반복 테스트했다. 반면 해외 mVoIP인 스카이프와 바이버는 독자적인 프로토콜(통신규약)로 도청 및 스니핑을 차단했다. 국내 mVoIP인 다음 마이피플, 수다폰, 올리브폰, 터치링은 국제 표준 프로토콜을 쓰지만 데이터 패킷을 암호화하지 않아 양쪽의 통화 내용을 도청할 수 있었다. 보안 전문가들은 국내 mVoIP들이 품질보다 가입자 경쟁에만 치중하고 있다고 지적한다. 약관에도 무선 통화의 보안 취약성에 대한 기본적인 안내나 경고가 없다. 취재팀의 보안 취약성 제기에 일부 업체는 보안 패치나 암호화 기술을 곧바로 적용하겠다고 응답했다. 보안을 강화할 수 있는데도 하지 않은 것이다. 도청·스니핑 피해는 고스란히 소비자의 몫이어서 자칫 국내 mVoIP가 900만명(중복 포함)에 달하는 이용자들로부터 외면받을 수 있다는 우려도 나온다. 이형우 한신대 컴퓨터공학부 교수는 “국내 mVoIP가 급성장하고 있는 가운데 기존의 디도스(DDoS·분산서비스 거부) 공격 등 인터넷망에 대한 테러뿐 아니라 mVoIP 도청, 스마트폰 개인정보 유출, 좀비폰 등장 등 모바일 공격이 본격화될 것”이라고 경고했다. 안동환기자 ipsofacto@seoul.co.kr [용어 클릭] ●모바일인터넷전화(mVoIP) 무선랜(와이파이) 등 무선 인터넷망을 통해 인터넷전화(VoIP)를 할 수 있는 기술. 애플리케이션을 내려받은 스마트폰 사용자끼리 무료 통화가 가능하다. 음성통화뿐 아니라 메신저 기능이 통합되면서 무료 문자 전송도 가능하다. ●스니핑(sniffing) ‘냄새를 맡다.’는 뜻. 일종의 해킹 기법으로 네트워크상에 오가는 정보를 중간에서 훔치는 행위다. 메신저·무선 패킷·와이파이 스니핑 등으로 발전하고 있다.

‘모바일인터넷전화’(mVoIP)와 ‘스마트폰 메신저’에 대한 도청·스니핑 우려가 현실화되면서 내 손안의 스마트폰 보안이 관심사가 되고 있다. 악성코드에 감염되면 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등 광범위한 피해를 입을 수 있기 때문이다. ●집에선 ‘WPA2’ 기술 적용해야 스마트폰 보안의 제1원칙은 정품을 그대로 사용하는 것이다. ‘탈옥’ 등 자의적인 해킹을 통해 설정을 마음대로 변경한 단말기는 외부 공격에 노출된다. 조금이라도 의심이 가는 애플리케이션(응용 프로그램·앱)은 내려받지 않는 게 좋다. 해커들은 호기심을 유발하는 앱에 악성코드를 심어놓는 경우가 많다. 신뢰할 수 없는 사이트의 방문도 삼가고, 보안이 취약한 중소형 쇼핑몰에서의 거래도 주의해야 한다. 스마트폰용 백신을 설치하면 좀비폰의 공포를 줄일 수 있다. 해커들의 해킹 능력이 진화하는 만큼 백신의 업데이트도 중요하다. mVoIP를 업무에 활용하는 기업들은 무선랜을 최상위급 암호화 기술인 ‘WPA2’로 바꾸는 게 안전하다. 가정에서는 보안 설정이 없는 무선랜에서는 인터넷뱅킹을 하지 않는 게 좋다. 스마트폰의 블루투스(무선전송) 기능은 사용할 때만 켜 둬야 한다. 의심스러운 메일은 첨부파일을 열지 않는 편이 낫다. ●‘블루투스’는 사용때만 켜 둬야 방송통신위원회와 한국인터넷진흥원(KISA)은 올해 말을 목표로 사용자 본인이 스마트폰 보안을 점검하는 자가진단 서비스 개발에 착수했다. 특히 상대적으로 보안 우려가 큰 안드로이드 운영체제(OS)용으로 서비스를 내놓는다는 계획이다. 전길수 KISA 악성코드 분석팀장은 “자가진단 서비스를 통해 수출 주력품목인 안드로이드 OS 스마트폰의 보안을 강화할 것”이라고 말했다. 이두걸기자 douzirl@seoul.co.kr

영화배우 제시카 알바, 가수 크리스티나 아길레라 등 미국의 대표적인 여성 톱스타 50명이 개인정보 해킹 파문에 휩싸여 사생활이 유출될 위기에 놓였다. 미국 온라인 연예매체 티엠지(TMZ)에 따르면 할리우드 톱스타들의 노트북과 휴대전화기 등을 해킹해 개인적인 사진과 영상 등을 빼내온 전문조직의 정체가 최근 드러났다. 이달 초 영화배우이자 가수인 바네사 허진스의 개인적인 누드사진이 인터넷에 유출되면서 베일에 싸였던 해킹 전문조직의 충격적인 범죄행각이 드러나기 시작했다. 문제의 조직이 노린 스타들은 50명의 여성스타. 스칼렛 요한슨, 제시카 알바, 크리스티나 아길레라 등 쟁쟁한 톱스타들이 포함됐고, 심지어 미성년자인 마일리 사이러스, 데미 로바토, 셀레나 고메즈 등도 피해를 당한 것으로 드러나 파문이 거세지고 있다. 현재 미국의 연방수사국(FBI)은 문제의 해킹조직의 소재를 파악 중이다. 스타들에게 씻을 수 없는 상처를 줄 수 있는 사생활이나 누드사진들의 유포를 사전에 막기 위해서 수사를 서두르고 있다. 한편 이미 누드사진이 유출돼 곤욕을 치르고 있는 허진스는 지난 16일(현지시간)부터 캘리포니아주 센추리시티에서 FBI와 만나 수사에 협조해 온 것으로 전해졌다. 사진설명=제시카 알바, 바네사 허진스, 마일리 사이러스(왼쪽부터) 서울신문 나우뉴스 강경윤기자 트위터(http://twitter.com/newsluv)

지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스)공격이 큰 피해없이 마무리 된 가운데 경찰청은 8일 이른바 ‘좀비 스마트폰’의 위험성을 경고하면서 예방법을 소개했다. 　경찰청은 공식 블로그인 ‘폴인러브’를 통해 컴퓨터는 물론 스마트폰도 악성코드에 감염돼 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등에 노출될 수 있다고 밝혔다. 경찰청은 “특히 악성코드를 통한 스마트폰 뱅킹 해킹은 물론 문자 메시지 가로채기를 통한 소액결재 해킹도 가능하다는 것이 전문가들의 의견이며 실제로 가능하다.”며 “심한 경우 스마트폰이 해커들에 의해 좀비 스마트폰으로 악용돼 디도스 공격의 또 다른 범인이 될 수도 있다.”고 경고했다. 　현재 스마트폰의 인터넷 매개체인 와이파이 등 무선랜은 보안 설정을 하지 않을 경우 누구든 접속이 가능하기 때문에 해킹하거나 악성코드를 침투시키기 쉽다는 것이다. 경찰청은 스마트폰 해킹을 막기 위해서는 사용자의 주의가 필요하다며 다음과 같은 예방법을 소개했다. 　●정품을 그대로 사용하자. 　아이폰과 안드로이드폰 사용자들은 이른바 ‘탈옥’, ‘루팅’이라는 자의적이고 임의적인 해킹을 통해 단말기에서 제공하는 응용프로그램 등 설정사항을 마음대로 변경하고 있다. 하지만 이런 해킹은 단말기에 보안상 취약점을 만들 수 있기 때문에 정품을 사용하는 것이 중요하다. 　●조금이라도 의심이 가는 응용프로그램(애플리케이션)은 내려받지 말자.　 　●신뢰할 수 없는 사이트의 방문을 되도록 줄이자. 　●스마트폰용 백신(V3, 알약 등)을 반드시 설치하자. 　백신 설치와 함께 중요한 것은 수시 업데이트이다. 해커들의 해킹능력과 기술이 업데이트되는 만큼 백신의 업데이트도 중요하다. 　●보안설정이 된 무선랜을 사용하자. 　가정에서 무선랜을 이용하고 있다면 최상위급 암호화 보안기술인 WPA2를 적용하고, 어쩔 수 없이 외부에서 보안설정이 없는 무선랜을 사용할 때는 인터넷뱅킹 등의 서비스는 이용하지 말자. 　 　●무선 인터페이스(블루트스기능)는 사용할 때만 켜두자. 　 　●보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래에도 주의를 귀울여야 한다. 　 　●멀티미디어 메시지(MMS)나 e메일의 첨부파일도 주의하자. 　특히 발신인이 불분명하고 경품에 당첨되었다고 하거나, 친한 척하는 의심스로운 메일은 특히 주의해야 한다. 　 　●개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 악용되지 않게 주의하자. 　●스마트폰 사용자에게 이미 널리 애용중인 P2P를 통한 정보공유나 불법 다운로드를 하지 말자. 맹수열기자 guns@seoul.co.kr

　경찰청이 공식 블로그인 ‘폴인러브’를 통해 ‘좀비 스마트폰’을 막는 방법을 소개했다. 　경찰청은 지난 7일 이 블로그에서 “스마트폰도 악성코드 감염으로 인해 개인정보 유출은 물론 데이터 조작, 기기 오작동, 사생활 침해, 심지어 스마트폰이 ‘좀비 스마트폰’으로 전락해 디도스(DDoS·분산서비스거부) 공격의 또다른 범인이 될 수 있다.”고 경고했다. 　이어 “악성코드를 통한 스마트폰 뱅킹 해킹은 물론 개인정보 유출로 문자메시지 가로채기를 이용한 소액결제 해킹도 가능하다.”고 덧붙였다. 　경찰청은 ‘좀비 스마트폰이 되지 않는 방법’을 공개했다. 　경찰청은 “아이폰의 탈옥, 안드로이드의 루팅 등 해킹을 통해 본래 단말기에서 제공하는 응용프로그램의 설정을 변경할 경우 보안상 취약점이 발생할 수 있다”고 지적했다. 또 의심이 가는 응용프로그램(애플리케이션)은 다운받지 말고 신뢰할 수 없는 사이트의 방문도 지양할 것을 권장했다. 　이어 “스마트폰용 백신(V3, 알약 등)을 반드시 설치해야 하며, 해커들의 해킹 능력이나 기술이 업데이트 되기 때문에 수시로 업데이트 해야 한다.”고 강조했다. 　경찰청은 “보안 설정이 된 무선랜을 사용해야 하며 만일 가정에서 무선랜을 이용한다면 최상위급 암호화 보안기술인 WPA2를 적용해야 한다.”고 말했다. 어쩔 수 없이 외부에서 보안 설정이 없는 무선랜 사용시에는 인터넷뱅킹 등의 서비스는 지양하라고 당부했다. 　또 “같은 맥락으로 무선 인터페이스(블루투스)는 사용시에만 켜두고, 보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래도 주의를 기울여야 한다.”고 말했다. 　경찰청은 “멀티미디어 메시지(MMS)나 e메일 첨부파일 등에서 발신인이 불분명하고 경품에 당첨되었다든지 친한 척하는 의심스러운 메일 등은 특히 주의하라.”면서 “개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 활용되지 않도록 하라.”고 강조했다. 　경찰청은 이어 “스마트폰 사용자들에게 이미 널리 애용 중인 P2P를 통한 정보 공유나 이를 통한 불법 다운로드를 하지 말라.”면서 “전 국민의 대다수가 사용중인 스마트폰이 디도스의 희생양이 되면 엄청난 피해가 예상된다. 개개인이 조금씩만 주의한다면 디도스 공격으로부터 안전한 한국을 만들 수 있을 것”이라고 덧붙였다. 　인터넷서울신문 event@seoul.co.kr

‘정보 사회’ 추세가 가속화되고 있다. ‘정보화 사회’를 운위하며 컴퓨터 앞에 앉기 시작한 게 불과 20여년 전인데 어느새 우리 앞에는 소셜네트워크서비스(SNS)와 스마트폰까지 등장했다. 주요 도시의 지하철역이나 시외·고속버스 터미널 등에 설치된 현금입출금(ATM)기는 또 어떤가? 수수료가 비싸 그렇지 은행에 가는 수고를 상당 부분 덜어주는 게 사실이다. 그런데 문제는 부작용이다. 인터넷 기반의 SNS나 스마트폰에서 개인정보가 심심찮게 새나가는가 하면 엊그제는 급기야 ATM기에서 개인정보가 통째로 유출되는 사고가 발생했다. 2~3년 전부터 옥션 등 대형 온라인 유통업체와 GS칼텍스 등 주유소, SK텔레콤·LG유플러스 등 이동통신업체 등에서 대량의 개인정보가 유출됐다는 언론보도가 잇따랐다. 국내에서는 특히 지난 연말에 있었던 구글(Google)의 개인정보 불법수집 사건 이후 프라이버시에 대한 사회적 관심이 크게 높아지고 있다. 지난달 행정안전부가 주요 쇼핑몰 ·백화점·할인마트 등 20개 업체를 대상으로 개인정보 관리실태를 점검한 결과 절반인 10개 업체가 개인정보 보호조치를 제대로 취하지 않은 것으로 드러났다. 또 얼마 전엔 학교, 경제단체, 기업 등의 100여개 서버시스템을 해킹하여 760만건의 개인정보를 탈취하고 사회적 이슈가 된 인물의 개인정보를 추적(신상털이)해 인터넷에 유포한 고교생 2명이 검거되는 사건도 있었다. 이미 대한민국 국민 5000만명의 개인정보는 자기 것이 아니라는 말이 정설이 돼 있다. 수많은 국민대중이 다양한 온라인 서비스를 이용하고 있는 현실에서 특히 인터넷상의 개인정보 보호의 중요성은 점점 더 높아져 가고 있으나 개인정보 유출사고는 끊이지 않고 있으며 이로 말미암은 사회적 폐해도 갈수록 커지고 있다. 국민의 소중한 개인정보 유출을 막고 프라이버시를 보호하기 위한 핵심적인 관건은 기업과 단체의 윤리의식 및 사회적 책임의식이다. 얼마 전 이른바 ‘옥션 사태’에 대한 판결에서 법원은 제기된 집단소송에 대한 사업자의 직접배상 책임을 인정치 않았다. 미국 등 선진국의 판례와는 사뭇 다른 모습이다. 직접배상 책임의 불인정은 기본적으로 ‘침해된 개인정보로 인한 개별적 피해 입증의 어려움’ 때문이지만, 예방조치의 강제 및 유출 때 의법 처리를 위한 법·제도적 미비점도 주된 요인으로 꼽히고 있다. 국민의 개인정보(프라이버시) 보호는 헌법이 규정하고 있는 중대한 공익이다. 그럼에도, 공익을 보호하기 위한 법·제도적 보완을 ‘정부 규제’란 시각에서 접근하는 어리석음을 범해선 안 될 것이다. 지금 우리 국민은 휴대전화 하나를 개통시키는 데도 ‘개인정보, 신용정보 및 위치정보 제공 동의서’에 서명해야만 하는 게 엄연한 현실이다. 또한, 앱 프로그램 ‘오빠’ 및 ‘구글 사태’에서 보듯 위치정보의 무단 수집과 제공으로 말미암은 ‘정보 인권’ 침해도 발등의 불이 됐다. 정보 사회의 ‘침해’와 ‘방어’는 ‘창과 방패’요 ‘열쇠와 자물쇠’라는 말이 있다. 하지만 ‘정보 인권’은 결코 포기할 수 없는 헌법적 가치다. ‘정보 안심 사회’를 위한 정부와 의회의 특단 조치가 시급하다.

지난해 케이블TV ‘4억 명품녀’ 출연 방송과 관련, 해당 여성의 신상정보를 인터넷에 공개(일명 신상 털기)해 논란을 불러일으켰던 장본인이 고교생들인 것으로 드러났다. 대구지방경찰청은 8일 학교와 기업, 경제단체, 언론사 등 104개의 인터넷 서버 시스템을 해킹해 760여만건의 개인정보를 빼돌리고 사이버상에 이를 유포하거나 자신들이 운영하는 게임과 경쟁 관계에 있는 게임 서버에 ‘분산서비스거부’(DDoS) 공격을 한 혐의로 대구 모고교 2학년 K모(17)군과 경북 포항 모고교 1학년 C모(16)군 등 2명을 불구속 입건했다. 이들은 지난해 9월 한 TV 프로그램에 출연한 20대 여성이 ‘무직이지만 부모의 용돈으로 명품을 구입해 몸에 걸치고 있는 것만 4억원대’라며 자신의 명품을 과시하자 김씨가 회원으로 가입한 인터넷 쇼핑물과 항공사, 부동산 사이트를 해킹, 물품 구매 및 배송 내역 등을 캐낸 뒤 이를 인터넷에 유포시킨 혐의를 받고 있다. 또 지난해 10월 전두환 전 대통령 추징금 자진 납부가 사회적 이슈로 부각되자 전 전 대통령의 출신 학교인 대구 협성중, 대구공고의 홈페이지를 해킹한 뒤 홈페이지 내용을 악의적으로 훼손하고 이들 학교 교사의 개인정보 등을 인터넷에 유포한 혐의도 받고 있다. 두 사람은 인터넷상에서 해킹을 공부하면서 친해졌으며 인터넷 해킹그룹 ‘TEAM KOS’의 운영자로 활동하고 있는 것으로 드러났다. 대구 한찬규기자 cghan@seoul.co.kr

세계 최대 소셜네트워크서비스(SNS)인 페이스북 창업자이자 최고경영자(CEO) 마크 저커버그의 페이스북 팬 페이지가 해킹당했다고 BBC방송 등이 26일(현지시간) 보도했다. 페이스북이 개인정보 보안 강화조치를 발표하며 대응에 나섰지만 SNS의 최대 약점으로 꼽히는 안전성 문제가 다시 도마에 올랐다. 해커는 저커버그의 팬 페이지에 마치 저커버그가 쓴 것처럼 꾸며 메시지를 올렸다. 해커는 “해킹을 시작하자. 페이스북이 돈을 필요로 한다면 은행으로 가는 대신에 사회적인 방법으로 페이스북 이용자들에게 페이스북 투자를 허용하는 게 어떨까. 노벨상 수상자인 무함마드 유누스가 설명한 방법으로 페이스북을 소셜 비즈니스로 전환하자.”라고 썼다. 유누스 그라민 은행 총재는 가난한 사람들을 위한 금융 제도(마이크로 크레디트)를 통해 빈곤층과 여성 등에게 자활의 길을 열어 주는 운동으로 2006년 노벨평화상을 받은 방글라데시 빈곤퇴치 운동가다. 메시지가 올라온 지 3분 만에 1800여명이 ‘좋아요’를 눌러 공감을 표시했고 댓글도 438건이나 달렸다. 페이스북 팬 페이지는 개인 계정과는 별도로 운영되며 주로 유명 인사와 기업 등이 일반인과 소통하기 위해 운영하는 곳이다. 페이스북이 해킹 피해를 입은 것은 처음이 아니다. 지난 23일에는 니콜라 사르코지 프랑스 대통령의 페이스북 계정이 두 차례나 해킹당했다. 당시 해커는 오는 2012년 대선에 출마하지 않기로 결심했다는 메시지를 올렸고 사르코지 대통령과 페이스북 친구를 맺은 35만명이 이 거짓 메시지를 즉각 받아봤다. 안전성 논란 속에서 페이스북은 이날 이틀 앞으로 다가온 ‘세계 개인정보 보안의 날’을 맞아 카페나 공항, 호텔 등 여러 사람이 사용하는 컴퓨터에서 쓸 수 있는 ‘1회용 비밀번호’를 도입하는 등 개인정보 보호 개선 조치를 발표했다. 강국진기자 betulo@seoul.co.kr

금융감독원은 26일 신용카드 개인신용정보 보호를 위한 10계명을 제시했다. 개인신용정보 불법 유출로 인한 피해 사례가 잇따르고 있기 때문이다. 금감원은 우선 신용카드 발급을 도와준다며 개인신용정보를 요구하는 인터넷 카페에 대한 주의를 당부했다. 일부 카페 운영자가 신용카드 모집인과 연계해 정보를 무단 유출하거나 돈을 받고 파는 경우가 있을 수 있다는 것이다. 길거리에서 발급을 신청받는 경우도 마찬가지라는 게 금감원의 설명이다. 금감원 관계자는 “카드사 홈페이지를 제외하고 인터넷을 통한 카드발급 신청은 금지되어 있다.”면서 “길거리에서 경품을 제공하며 신용카드를 발급하는 행위도 불법”이라고 말했다. 여러 사람이 사용하는 컴퓨터에는 신용카드 해킹 프로그램 설치 가능성도 있다는 점을 명심해야 한다. 영수증과 이용 명세서를 함부로 버리면 ‘제 발등 찍기’가 될 수 있다. 영수증에는 전체 카드번호의 일부만 가려지는 데 가려진 위치도 가맹점에 따라 달라 개인신용정보가 유출될 소지가 크다. 심지어 카드 유효기간도 찍히는 영수증이 있으니 안전하게 보관하거나 아예 확실하게 폐기하는 게 좋다. 명세서도 이사 즉시 바뀐 주소를 카드사에 알리지 않으면 이전 주소지로 발송될 수 있다. 해외에 나갈 일이 있다면 출입국 정보 활용 동의 서비스를 신청하는 게 신용카드 부정 사용을 막는 지름길이다. 귀국 뒤 해외에서 들어오는 승인 요청이 거부되기 때문이다. 이 밖에 금감원은 SMS 서비스를 적극 활용하고 개인정보는 절대 타인에게 알려주지 말아야 하며, 안 쓰는 카드는 해지하라고 권유했다. 홍지민기자 icarus@seoul.co.kr

　”우리 집엔 방화벽 없어요.”(상담원이 PC 방화벽 설정이 너무 높아 접속이 되지 않을 수 있다고 안내하자) 　한국인터넷진흥원(KISA·원장 서종렬)은 18일 서울 송파구 가락동 KISA 대강당에서 임직원과 민원인,유관 콜센터 관계자가 참석한 가운데 ‘118 개소 1주년 보고회’를 가졌다. 상담 건수는 1년 만에 3만건에서 10배가 넘는 30만건으로 증가했다. KISA는 서비스 1년간에 일어났던 주요 상담 내용도 소개했다. 　KISA는 또다른 상담 등의 사례로 ▲”야한 방송 좀 틀어주세요”(케이블 TV를 신청한 민원인이 야한 방송이 나오지 않는다며) ▲ “스팸 신고 많이 했는데 포상금 없나요”(스팸 신고를 자주하는 민원인이 징수한 과태료를 어디에 쓰는지 궁금하다며) ▲ “제 PC가 해킹 당한 거 같아요···어? PC 전원코드가 빠져 있었네요.”(PC가 작동하지 않는다고 했다가) 등을 소개했다. 　118 상담서비스는 해킹,바이러스,개인정보,스팸 등 정보보호 관련 상담을 비롯 스마트폰 등 IT기기 활용과 같은 인터넷·IT분야에 대한 종합상담서비스를 제공하는 KISA의 대표적인 서비스다. 365일 24시간 운영되며, 전국 어디에서나 118 번호만 누르면 해킹,바이러스,개인정보 침해,인터넷 도메인 등 인터넷 관련 각종 상담을 무료로 받을 수 있다. 　서종렬 원장은 “해킹,스팸,개인정보 침해 관련 문의뿐만 아니라,인터넷을 이용하다가 고충이 있거나 궁금한 점이 있을 때는 118 상담서비스를 이용해 실질적인 도움을 받을 수 있도록 하겠다.”고 말했다. 　최영훈기자 taiji@seoul.co.kr

직장인 이모(32)씨는 최근 신용카드 결제 내역을 보고 깜짝 놀랐다. 미국 애플사에서 50달러를 청구했기 때문이다. 구입 물품은 게임 애플리케이션(이하 앱)이었다. 아이폰을 사용하지 않는 그로서는 어떻게 된 영문인지 몰랐다. 카드사에 연락했다. 담당자는 “누군가 카드정보를 도용해 구입한 것 같다.”면서 “고객님과 같은 아이폰 소액결제 피해 신고 사례가 적지 않다.”고 말했다. 대학생 박모(28)씨도 카드사용 명세서에 미국 사이트에서 게임 앱을 60달러어치나 구입한 것으로 나와 있어 당황했다. 아이폰 앱스토어에서 실제 게임을 구입한 적이 없는 그로서는 어이가 없었다. 그는 “세계 일류 기업이라는 애플사가 카드결제 시스템을 너무 허술하게 관리한다는 데 충격을 받았다.”고 토로했다. ‘아이폰’을 이용한 타인명의 신용카드 불법 결제가 기승을 부리고 있다. 불법 카드결제자들은 실제 카드 사용 국가를 검증하지 않는 등 애플사의 카드결제 시스템이 허술한 점을 파고들고 있다. 불법 소액 결제는 간단하다. 먼저 애플 ‘아이튠즈’ 홈페이지에 접속한 뒤 계정(아이디, 비밀번호)을 설정할 때 아이폰 사용 국가를 미국으로 지정한다. 신용카드 입력 창이 뜨면 해킹을 통해 빼낸 타인 명의의 카드 정보(카드번호, 유효기간, CVV)를 입력한다. 이후 아이폰 앱스토어에서 게임 등 앱을 구입한다. 한 통신업계 관계자는 “미국 계정 하나만 만들면 다른 나라 앱도 얼마든지 구매할 수 있다.”면서 “국내 거주자라고 하더라도 지정 국가를 해외로 하면 해외에서 구매한 것으로 처리된다.”고 털어놨다. 게임 등 앱 구매가격은 앱당 0.99달러에서 4.99달러까지 다양하다. 범죄자들은 최소 50~60달러에서 최대 100달러까지 앱을 대량 구매한 뒤 반값에 판다. 트위터나 인터넷 사이트 등에 앱 저가 판매광고를 띄운다. 광고를 보고 이메일이나 쪽지 등으로 구입 의사를 밝혀 오면 돈을 입금 받은 뒤 아이폰 내 ‘선물주기’ 방법을 이용해 구입자 계정으로 보내준다. 카드 정보 해킹은 3가지 방법으로 이뤄진다. 범죄자들은 ‘온라인 쇼핑몰 피싱’이나 ‘금융권 홈페이지 사칭 피싱’ ‘키로그 프로그램(해킹 프로그램)을 활용한 개인컴퓨터(PC) 해킹’을 통해 카드번호, CVV 같은 카드정보를 빼낸다. 온라인 쇼핑몰 피싱은 쇼핑몰에 시중 가격보다 배 이상 낮은 가격으로 물건을 파는 것처럼 위장 광고를 낸 뒤, 구매자가 구매 절차 입력을 마치면 ‘에러’ 표시를 띄우는 방법이다. 에러 창이 뜨는 순간, 구매자의 카드정보와 개인정보가 모두 빠져나간다. 금융권 홈페이지 사칭도 마찬가지다. 국내 은행 홈페이지와 유사한 사이트를 개설한 뒤 이용자가 정보를 입력하는 순간 에러 표시를 띄운다. 키로그 프로그램은 인터넷에서 프로그램 등을 내려받을 때 PC에 자동으로 깔린다. 일단 설치되면 개인들이 키보드로 입력하는 내용이 모두 범죄자들이 지정한 특정 이메일로 전송된다. 범죄자들은 키보드 입력 내용을 분석해 카드정보 등을 알아낸다. 수사당국 관계자는 “연간 100만명의 카드정보가 해외로 빠져나가고 있다.”면서 “아이폰을 이용한 불법 카드 결제 피해자가 더욱 늘어날 것”이라고 우려했다. 김승훈기자 hunnam@seoul.co.kr

해킹으로 빼낸 타인의 신용카드 정보로 아이폰의 애플리케이션(이하 앱)을 마구잡이로 구입하는 등 스마트폰 결제 시스템에 구멍이 뚫린 것으로 확인됐다. 이 같은 불법결제가 무차별적으로 이뤄짐에 따라 검찰과 경찰이 대대적인 수사에 나섰으나 애플 등 해당 통신사의 비협조로 수사에 어려움을 겪고 있는 것으로 나타났다. 또한 스마트폰이 휴대전화번호·주민등록번호 등 개인정보를 수집하는 창구로도 활용되고 있다. 27일 수사당국과 금융기관 등에 따르면 최근 들어 카드정보 도용 범죄자들이 피싱(Phishing, 개인정보를 빼내는 해킹 수법)을 통해 빼낸 신용카드 정보로 아이폰의 게임 등 앱을 대량 구입한 뒤 아이폰 이용자들에게 반값에 되파는 사건이 빈번하게 발생하고 있다. 금융기관 등은 현재까지 파악된 피해자만 1000~2000명에 이르고 있고, 연간 100만여명의 카드정보가 해킹을 통해 빠져나가는 만큼 피해 규모가 산더미처럼 불어날 것으로 보고 있다. 불법결제는 아이폰 구입 뒤 계정(아이디·비밀번호) 설정 때 국가를 임의로 지정할 수 있다는 점과 게임 등 소액결제(주로 0.99~4.99달러)의 경우 본인 확인 과정이 허술해 명의도용 신용카드로 결제할 수 있다는 점이 악용됐다. 금융기관 관계자는 “국내 이용자가 국가를 미국으로 설정하면 카드 사용처가 미국으로 나온다.”면서 “명의 도용 카드인 데다가 사용처가 해외여서 실사용자를 파악하는 것이 쉽지 않다.”고 밝혔다. 수사당국 관계자는 “애플 한국 지사가 미국 본사 핑계를 대는 등 불법 사용자에 대해 전혀 확인을 해주지 않아 수사에 난항을 겪고 있다.”고 털어놨다. 상황이 이런데도 방송통신위원회와 금융감독원은 “지금까지 아이폰을 이용한 불법 소액결제는 신고된 게 없다.”는 입장이다. 한편 검찰은 안드로이드용 앱을 통해 사용자의 개인정보를 불법 수집한 앱 배포업체 T사 남모(48)씨와 개발업체 S사 이모(44)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 불구속기소했다. 검찰은 T사와 S사 법인도 같은 혐의로 함께 기소했다. 이들은 3월부터 5개월간 증권시세 정보를 제공하는 스마트폰 앱을 이용해 사용자의 동의 없이 휴대전화 번호와 국제단말기인증번호(IMEI), 범용가입자식별모듈(USIM) 카드의 일련번호 등 8만 3416건의 개인정보를 무단 수집한 혐의를 받고 있다. 검찰 관계자는 “IMEI나 USIM 카드의 일련번호 등을 법률상 보호해야 할 개인정보로 보고 관련자들을 기소한 것은 처음”이라고 말했다. 김승훈·임주형·강병철기자 hunnam@seoul.co.kr