“이번에 분산서비스거부(DDoS) 공격은 해킹이 아닙니다.” 인터넷 보안 전문가들은 DDoS공격은 개인정보 등을 빼가는 해킹이 아니라는 점을 강조하면서 필요 이상으로 걱정할 필요는 없다고 강조했다. ●다량 트래픽 보내 사이트 다운시켜 DDoS 공격은 다량의 접속량(트래픽)을 한꺼번에 발생시켜 웹사이트 서버 접속을 차단하는 것이다. 한 PC에서 접속량을 늘리면 공격자가 누구인지 쉽게 알 수 있고 곧바로 대응할 수 있기 때문에 악성코드를 이용해 여러 대의 좀비PC를 만들고(분산) 이 좀비PC들이 동시에 웹사이트에 트래픽을 보내 서비스를 이용할 수 없도록(서비스거부) 한다. 정상적이지만 지속적으로 많은 트래픽을 일으켜 사이트를 다운시키는 것이다. 때문에 이번 DDoS공격 대상에 농협·신한은행·외환은행 등 시중 은행이 포함되어 있지만 금융정보 등이 유출됐을 가능성은 없다고 볼 수 있다. 반면 해킹은 컴퓨터 네트워크 보안의 취약점을 이용한 공격이다. 악성코드를 사용해 정보를 빼내거나 PC를 사용할 수 없도록 만들기도 하고 다른 PC를 공격하기도 한다. ●악성코드 올해 1~3월에만 40만개 예를 들어 웹사이트 정보에 몰래 악성코드를 집어넣어 그 사이트에 접속하기만 하면 자동으로 악성코드를 자신의 PC로 다운받게 만드는 ‘SQL 인젝션’ 해킹 등이 있다. 또 ‘트로이 목마’는 감염된 PC의 키보드 입력 정보 등 여러 정보를 빼오는 악성 프로그램의 일종이다. 안철수연구소에 따르면 웹서핑만으로 유포되는 악성코드는 올해 1~3월에만 40만개를 돌파했다. 또 같은 기간에 2만개가 넘는 웹사이트가 해킹을 당해 악성코드 유포사이트로 변조된 것으로 나타났다. 이 기간에 새로 발견된 악성코드와 스파이웨어도 8192개로, 지난해 동기(4575개)와 비교해 무려 1.8배 증가했다. 이 중 개인정보를 훔쳐가는 트로이목마 비중이 62.6%를 차지했다. 김효섭기자 newworld@seoul.co.kr

2차 디도스(DDoS·분산서비스거부) 공격을 계기로 사이버 테러 가능성이 현실로 이어지고 있다. 해킹, 바이러스 유포, 디도스 공격 등이 초래하는 ‘사이버 전쟁’의 시대가 도래했다는 것이다. 특정 조직 또는 국가 차원의 공격일 경우 전면적인 국가간 사이버 전쟁으로 이어진다. ●1차 2만여대와 다른 좀비PC 공격 문제는 사이버 테러의 경우 사건이 터진 뒤에야 대응할 수밖에 없는 치명적인 구조를 안고 있다는 것이다. 당장 1차 DDoS 공격의 여파가 채 가시기도 전에 공격대상을 바꾼 2차 DDoS공격까지 시작됐다. 보안업체 잉카인터넷 김춘곤 과장은 “충분히 예측할 수 있었지만 막을 수 없었고 앞으로도 계속 발생할 것이다.”고 말했다. 이번 공격도 지난 7일 오후 6시쯤부터 시작됐으나 방송통신위원회, 정보보호진흥원(KISA), 경찰청, 국정원 등 책임 기관들은 DDoS의 습격이란 사실만 밝혀냈을 뿐 악성프로그램의 진원지를 파악하지 못하고 있다. 지난 4월 차세대전투기 F-35의 설계도를 빼낸 미국 국방부 해킹 사건처럼 오리무중에 빠질 가능성이 크다. 역대 주요 인터넷 침해 사건의 범인들도 대부분 꼬리가 잡히지 않았다. 이같은 취약점은 8일 저녁의 2차 DDoS 공격의 빌미를 제공했다. 동일한 공격패턴을 가지는 2차 공격은 1차 공격에 사용된 악성코드에 공격 대상 사이트만 변경한 것이었다. 공격의 진원지나 공격패턴을 원천적으로 막을 수 있는 대응책이 마련되지 않으면 동일한 악성코드를 사용해 공격대상만 계속 바꿔 3차·4차 DDoS 공격이 이뤄질 가능성도 높다. ●방어패치 차단·기술 과시 분석 아울러 2차 공격의 주타깃이 인터넷 보안업체들이었다는 점도 주목할 점이다. 보안업체들의 접근을 원천차단해 이번 공격을 막을 수 있는 최신 패치를 내려받지 못하게 하려는 것이 아니냐는 분석도 나오고 있다. 보안업체 홈페이지를 공격해 자신의 기술을 뽐내려는 ‘과시형’이라는 분석도 나오고 있다. 또 1차 DDoS 공격으로 사회적 파장이 커지자 약간의 손질만 가한 제3자에 의한 ‘모방형’일 가능성도 있다. 공격대상만 달라졌을 뿐 1·2차 DDoS 공격 모두 동일한 악성코드에 의한 것으로 하나의 패치로 모두 치료할 수 있다. 때문에 새 DDoS 공격을 만들어낼 정도의 기술력을 갖췄다면 굳이 한번에 치료될 수 있는 같은 악성코드를 사용할 필요는 없다. 물론 공격수법은 더욱 정교해지고 있다. 이번 디도스 공습은 이전의 사례와 달리 명령제어서버(C&C)를 거치지 않고 2만 3000여대의 좀비PC(감염된 컴퓨터)가 25개 사이트만 집중 공략하라는 악성코드의 명령을 충실히 수행했다. 예전에는 우두머리인 C&C와 그 말단에 위치한 좀비PC만 처리하면 상황이 종료됐지만 C&C가 없기 때문에 좀비PC를 찾기가 힘들다. 특히 기존 디도스 공격은 주로 기업체의 사이트를 공략해 금품을 요구했지만 이번에는 단순히 트래픽(접속량)을 폭주시켜 서버를 다운시켰기 때문에 뚜렷한 목적을 알 수 없다. 안철수연구소 조시행 상무는 “이전에는 좀비PC에서 나오는 트래픽과 정상 트래픽의 구분이 가능했지만 이번에는 불가능하다.”면서 “좀비PC를 만드는 봇(악성 프로그램)의 소스가 공개돼 누구나 손쉽게 변형 프로그램을 만들 수 있기 때문에 더더욱 진화될 것”이라고 말했다. 이번에 사용된 악성코드 ‘msiexec2.exe’는 한국과 미국 사이트뿐만 아니라 전 세계를 목표로 했을 가능성도 있다. 웹 트래픽 전문업체 아카마이에 따르면 7~8일에 걸쳐 중국, 타이완, 일본, 인도, 칠레, 브라질 등을 상대로 한 지속적인 유사 디도스 공격이 있었다. ●기밀유출·금전 피해는 아직 없어 이번 사건은 다행히 국가기밀 유출이나 금전적 피해를 낳지 않았다. 하지만 인터넷 범죄가 국가 기밀이나 기술, 개인정보, 돈을 목표로 한다면 국가간 전쟁으로 발전될 가능성이 농후하다. 중국은 2000년에 사이버 공격과 정보 교란 훈련을 임무로 하는 ‘넷 포스’ 부대를 만들었고 러시아도 연방보안국에 사이버 전쟁 부서를 설치하고 바이러스 등 신무기를 개발하고 있다. 미국도 오는 10월에 사이버 사령부를 창설할 예정이다. 북한 역시 사이버 전쟁 전담부대인 ‘기술정찰조’를 운영하는 것으로 알려졌고 한국도 2012년에 정보보호사령부를 창설할 예정이다. 이창구 김효섭기자 window2@seoul.co.kr

우리 군과 주한미군 전산망에 대한 북한의 해킹 시도가 해마다 늘고 있는 것으로 나타났다. 올해 초부터 군 장성 및 주요 직위자들에게 군사 정보를 빼내기 위한 ‘스파이웨어’ 메일이 집중 전송되는 정황도 군 당국에 포착됐다. 주한미군 장성들에게도 해킹 메일이 발송됐던 것으로 확인됐다. 정보당국의 한 소식통은 16일 “군 전산망뿐 아니라 주한미군, 연합사 등에 대한 북한의 해킹 시도가 지난해보다 15% 정도 늘어난 것으로 파악되고 있다.”고 밝혔다. 북한은 해킹 경유지로 남미 국가 및 기관의 서버를 가장 많이 이용하고 있고 미국을 경유한 사례도 적지 않은 것으로 드러났다. 군 관계자는 “지난 1월부터 군 장성과 주요 직위자들에게 해킹 프로그램이 숨겨진 이메일이 발송되고 있다.”면서 “제3국 서버를 경유해 추적이 쉽지 않지만 북한 해커들의 소행으로 추정하고 있다.”고 말했다. 이메일에 은닉된 해킹 프로그램은 개인정보와 문서 등을 빼낼 수 있도록 만들어졌다. 북한의 해킹 및 바이러스 침투 기술은 상당한 수준이라는 게 중론이다. 북한은 최근 사이버전 전담부대로 알려진 총참모부 정찰국 소속의 ‘기술정찰조’ 소속 인원을 확대 운영하고 있다. 기술정찰조는 한·미 양국의 군사관련 기관 전산망에 침투해 비밀문서를 해킹하거나 바이러스를 유포하는 업무를 맡고 있다. 사이버전 요원은 북한군 산하 해커 부대와 사이버심리전 부대 등을 합쳐 500여명이 활동 중인 것으로 전해졌다. 중앙당 산하 조사부와 통일전선부에도 각각 50여명의 요원이 배치돼 인터넷을 통해 남한 자료를 수집하고 있는 것으로 알려졌다. 한편 국군기무사령부가 이날 연 제7회 국방정보보호 콘퍼런스에서 군에 대한 사이버 공격이 하루 평균 9만 5000여건에 이르는 것으로 드러났다. 유형별로는 해킹 시도 1만 450건, 바이러스 유포 8만 1700건, 비정상적 트래핑을 유발하는 ‘서비스 거부’(DoS) 공격 950건, 인터넷 홈페이지 변조 1900여건 등이다. 안동환기자 ipsofacto@seoul.co.kr

‘정부 보안, 어디 구멍난 데 없나.’정부 기관에 대한 정기 보안 감사가 부처별로 실시된다. 행정안전부는 국토해양부, 국가정보원과 공동으로 18일부터 다음달 11일까지 한달 간 정부청사관리소, 국립과학수사연구소, 중앙공무원교육원, 국가기록원 등 8개 행안부 소속기관과 부산, 광주 등 8개 시·도에 대해 보안감사를 실시한다.이번 감사에서 개인 이메일과 업무용 이메일의 망분리 이용실태와 휴대용저장장치(USB) 안전사용, 외부 해킹에 대한 보안 수준 등을 집중 점검할 예정이다. 행안부 관계자는 “국가 주요 정보통신망에 대한 보안 관리와 기관별 맞춤형 보안관리시스템이 제대로 가동되고 있는지 점검할 것”이라면서 “문서 내 개인정보관리, 일반문서 속 대외비 유출 여부 등 국가 보안에 대한 컴퓨터 사용 전반이 감사 대상”이라고 설명했다.강주리기자 jurik@seoul.co.kr

한국정보보호진흥원(KISA)은 초·중·고교생과 일반 누리꾼들을 대상으로 ‘정보보호 공모전’을 갖는다고 6일 밝혔다. 　8회째를 맞는 이번 공모전은 표어와 포스터,UCC(손수제작물),디자인 부분으로 구성됐으며,공모 주제는 ▲개인정보보호의 중요성 및 유출 위험성 ▲해킹 등 인터넷 침해사고 예방 중요성 및 피해 심각성 ▲정보보호 실천 방법 등이다. 　대상은 부문별로 100만∼200만원의 상금이,금상은 상금 50만원이 주어지며 참가 신청은 오는 31일까지 KISA 홈페이지(www.kisa.or.kr)에서 하면 된다. 　인터넷서울신문 최영훈기자 taiji@seoul.co.kr

서울중앙지검 첨단범죄수사2부(부장 노승권)는 15일 해킹으로 빼낸 9만여명의 개인정보를 이용, 인터넷 포털사이트 네이버의 지식검색 서비스 ‘지식in’에 인터넷 도박 사이트 광고 글을 올리고 1억 4000여만원을 챙긴 해커 장모(32)씨와 김모(37)씨를 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 등 혐의로 구속기소했다. 이들은 카페와 블로그 게시판에 악성 바이러스를 유포하는 방법 등으로 보안체계가 취약한 100여개 사이트에서 230만명의 ID와 비밀번호를 빼낸 혐의를 받고 있다. 이들의 표적이 된 사이트는 주로 게임 사이트와 중고자동차 판매 사이트, 부동산 중개 사이트, 화장품 판매 사이트 등이었다. 조사 결과 이들은 이 가운데 15만명이 네이버에서 같은 ID와 비밀번호를 쓰는 것을 확인하고 이 가운데 9만개를 도용해 지식in에 광고글을 올린 것으로 드러났다. 이들은 해킹한 ID로 지식in에 “인터넷 바카라가 뭔가요?” 등의 질문을 올린 뒤 또 다른 명의자가 이에 답변하면서 특정 도박 사이트를 추천, 이를 클릭하면 바로 도박 사이트로 연결되게 하는 방법으로 광고를 했다. 이런 지식in 광고를 통해 도박 사이트에 접속한 이용자들이 실제 도박을 할 경우 이들은 도박 사이트 수익금의 20~40%를 광고 수수료 명목으로 지급받은 것으로 확인됐다. 이들은 해킹으로 빼낸 ID와 패스워드 6만여개를 중국 동포 개인정보 매매상에게 1000만원을 받고 팔아넘기기도 했다고 검찰은 전했다. 유지혜기자 wisepen@seoul.co.kr

우체국인터넷뱅킹(www.epost.go.kr)을 이용하지 않는 고객도 우체국을 찾으면 공인인증서를 발급받을 수 있게 됐다. 이에 따라 전자입찰, 온라인 신용카드 결제, 전자정부 민원서비스 등 이용이 손쉬워질 전망이다. 　지식경제부 우정사업본부는 한국정보인증과 제휴를 맺고 4월1일부터 전국 2800여 우체국에서 공인인증서 발급서비스를 제공한다고 밝혔다. 　최근 개인정보 유출과 해킹방지 등을 위해 금융거래의 보안성이 요구되고 있지만 인터넷뱅킹을 이용하지 않을 경우 한국정보인증 등 공인인증기관을 직접 찾아야 공인인증서를 발급받을 수 있었다. 　하지만 이번 서비스 실시로 인터넷금융 이용이 적은 농어촌 주민들도 손쉽게 공인인증서를 발급받을 수 있어 ‘내 자녀 바로알기 학부모서비스’ 등 다양한 서비스의 이용이 확대될 것으로 보인다. 　우체국에서 공인인증서를 발급받으려면 먼저 한국정보인증 홈페이지(www.sgco.kr)에서 발급신청과 수수료를 결제한 뒤 우체국에 온라인신청서와 실명확인증표 등 관련서류를 제출하면 승인 심사를 거쳐 발급받게 된다.궁금한 사항은 전국 우체국이나 우체국콜센터(1588-1900)로 문의하면 된다. 　인터넷서울신문 최영훈기자 taiji@seoul.co.kr

#2009년 3월 서울 A구청. 행정전산 서버에 접속한 외국 국적의 해커 B씨는 작업후 10분만에 가족관계부와 토지대장에 접속해 서류를 위조해냈다. 10만명의 구민 개인정보를 도용해 이른바 ‘대포 통장’과 ‘대포폰’으로 수십억원대의 사기극을 펼쳤다. 뉴타운·재개발 사업 등 처음에 보안유지가 필요한 각종 도시개발 사업의 세부 계획을 미리 빼돌려 부동산 투기꾼들에게 팔아먹었다. ●사이트 한곳 뚫리면 전체 위험 4일 서울시에 따르면 이같은 가상 시나리오가 현실이 될 뻔한 아찔한 상황이 최근 시에서 발생했다. 국가정보원이 서울시와 25개 자치구의 ‘정보보안실태’를 정기 점검한 결과, 보안상의 허점이 20여개나 발견된 것으로 확인됐다. 48시간 동안 13개 사이트에 대해 비공개로 실시한 표본조사 점검에서 ▲정보보안 규정 운영 ▲전자우편 보안 ▲악성코드 대응 등의 항목에서 매우 취약한 것으로 지적받았다. 국정원이 지적한 대표적 허점은 개인 웹메일과 행정포털 메일의 통합운영. 해커들이 ‘미끼 프로그램’을 이용, 사이트에서 손쉽게 아이디와 패스워드를 알아내는 만큼 공문서와 개인정보가 순식간에 넘어갈 수 있다는 지적이다. 본청 정보화기획단에서는 직원들이 이메일을 열 때 공인인증서를 통해 로그인하도록 권고하지만, 잘 지켜지지 않는 게 현실이다. 또 해커들이 여러 홈페이지에 동시다발적으로 뿌려놓는 해킹프로그램도 골칫거리다. 구청에선 홍보부서 직원 등 비전문가들이 보안관리를 담당하고 ‘보안키’마저 설치되지 않아 아이디와 패스워드 유출이 상당할 것으로 판단했다. 서울시가 직·간접으로 운영하는 인터넷 사이트는 모두 264개. 자치구의 직영사이트를 제외하면 나머지 중 119개는 본청 정보화기획단이, 105개는 38개 실·국이 운영한다. 이들 사이트는 모두 거미줄처럼 얽혀 있기 때문에 한 곳이 뚫리면 중앙서버도 안전할 수 없다는 것이다. ●전문인력·예산 턱없이 부족 보안담당 부서의 간부는 “(이런 사실이) 외부에 알려지면 (해커들에게) 당장 공격받을 수 있는 허점이 있다.”면서 “당장 보안관리센터를 만들고 취약점에 대한 진단 의무화와 운영인력 확보를 서두르겠다.”고 보고했다. 정보화기획단에 소속된 5명의 보안인력으로는 2명이 24시간 동안 2교대하기에도 벅찬 실정이어서 곧 8명, 3교대 체제의 보안관제팀을 출범시키기로 했다. 국제인증심사원(ISO27001)을 통한 사이버보안평가제를 도입하고, 30억원을 들여 각 자치구에 사이버침해대응센터를 설치해 시청 보안센터와 행정안전부·국가정보원이 연동하는 ‘광역 보안관제’ 체계도 도입할 계획이다. 이와 관련, 서울시는 “기능과 보안이 한층 강화된 국가공인증(GP KR) 방식으로 변경하고, 중요문서는 암호화했기 때문에 공문서 및 개인정보가 해킹당할 일은 드물다.”고 밝혔다. 오상도기자 sdoh@seoul.co.kr [다른 기사 보러가기] CEO가 저녁먹자 불러서 갔더니 ‘황당한 퇴직’ 국회의원 또 도진 외유병 출산휴가 마친 뒤 복귀하니 무급휴가 가라고? 新자린고비…종이값·야근비·홍보비도 없다 한약 부작용 신고 ‘0’

앞으로 지방자치단체에서는 네이버, 다음 등 개인 이메일을 사용하지 못하게 된다.행정안전부는 1일 공문 차원에 그쳤던 지자체 공무원들의 개인 메일 사용금지 등을 행안부 훈령인 ‘정보통신보안업무규정’으로 제도화한다고 밝혔다. 행안부 관계자는 “해킹·바이러스 등 사이버 침투와 내부자에 의한 정보 유출 등에 취약한 지자체 정보시스템의 각종 보안사고에 대비하기 위해 이 같은 방침을 정했다.”고 밝혔다.이 규정에 따르면 시·도, 시·군·구와 행안부 소속 기관들은 다음 등 인터넷 포털사이트의 개인 상용메일 사용이 완전히 금지된다. 이메일은 정부가 운영하는 포털사이트(korea.kr)만 이용해야 한다. 또 매월 사무실내 개인컴퓨터와 네트워크 등에 대해 정기적인 보안 점검도 받아야 한다.행정기관 정보시스템은 사전에 접근허가를 받은 공무원만 접속할 수 있도록 했다. 모든 정보열람 내역은 의무적으로 기록을 남겨야 한다. 이에 대해 공무원노조는 사생활 침해와 지나친 정보통제 우려 등을 이유로 반발하고 있다. 강경근 숭실대 법대 교수는 “보안차원에서 정당성이 있긴 하나 공무원의 개인정보자기결정권을 지나치게 침해할 수 있다.”면서 “기관과 협의해 공적인 업무유출에 대한 개인커뮤니케이션 협약서를 마련해 제재를 가하거나 점심시간에만 사용을 일부 허용하는 등 융통성을 발휘하는 것이 필요하다.”고 강조했다. 강주리기자 jurik@seoul.co.kr

법원이 개인정보유출 소송으로 골머리를 앓고 있다. 9일 서울중앙지법에 따르면 지난해 4월부터 11월까지 서울중앙지법에 접수된 옥션·하나로텔레콤·GS칼텍스의 개인정보 유출 피해자들의 손해배상 청구소송은 모두 67건으로 원고수만 19만 3600명에 소송 총액은 2140억여원에 이른다. 하지만 이를 전문적으로 다루는 재판부는 기업사건을 전문으로 다루는 서울중앙지법의 3개 재판부가 전부다. 무엇보다 소송진행이 지연되는 것은 감정이 늦어지거나 원·피고의 공방때문에 재판이 지연되는 일반 민사소송과 달리 정보유출 사건의 경우 20만여명에 이르는 원고들의 위임 여부를 먼저 확인해야 하기 때문이다. 사건을 담당하고 있는 재판부는 이 사건을 맡은 변호사들이 개설한 카페를 통해 모집한 수만명 원고들의 위임 여부를 다시 확인하는 작업이 쉽지 않다고 말한다. 이 때문에 재판부는 지난해 피고인 회사측의 요청을 받아 원고측 변호인에게 위임사실 확인을 하도록 했지만 4개월이 지난 이달 7일까지도 ‘확인중’이라는 대답만 듣고 있다. 여러 건으로 나눠 접수된 원고들의 중복 여부를 가려내는 것도 힘든 작업이다. 그래서 재판부와 변호인들은 개인정보 중 어떤 부분이 유출되었는지를 확인하기 위해 원고측이 엑셀파일에 당사자 이름을 적고 유출된 부분을 기입하면 회사측에서 파일을 받아 확인하는 과정을 거치기로 했다. 특히 옥션사건의 경우 정보유출자가 명확한 GS칼텍스와 하나로텔레콤의 사건과 달리 해킹을 통해 발생한 사건이어서 더욱 어려움을 겪고 있다. 아직도 경찰단계에서 해킹자에 대한 수사를 벌이고 있는 상황이다. 법원 관계자는 “소송 자체에서 쟁점이 되는 사안보다 지엽적인 문제들로 소송이 지연되고 있다.”면서 “위임여부 확인 등 소송지연의 문제가 해결되면 신속한 재판을 진행할 예정”이라고 말했다. 오이석기자 hot@seoul.co.kr

새 정부 들어 개인정보 유출 등 공공기관 보안시스템 문제가 빈번히 발생하면서, 국가정보원이 행정기관 보안관리실태 평가에 본격 착수했다. 이번 보안관리실태 평가는 퇴직공무원의 내부정보 유출 여부를 비롯해 국가기록원의 대통령기록관리, 국가홈페이지의 개인정보 유출, 개인 이메일과 내부 해킹방지시스템 등 전방위에 걸쳐 이뤄질 예정이다. 국정원은 43개 중앙행정기관을 대상으로 보안정책, 비밀관리, 침해사고 대응체제 등 8개 분야,135개 항목에 대한 관리실태를 평가하기로 했다고 9일 밝혔다. 국정원은 이달 말까지 보유정보의 중요도에 따라 보안등급(가∼다)을 분류한 뒤, 다음달 3∼7일 기관별 자체평가와 현지실사를 끝낼 계획이다. 지방자치단체는 다음달부터 진행되며 결과는 내년 1월에 나온다. 이번 결과는 국무총리실 정부업무평가에 반영돼 지자체의 경우 교부금 등에 영향을 미칠 전망이다. 현지 실사에는 민간전문가도 투입돼 예년보다 강도 높게 진행된다. 외부인 출입통제시스템 가동과 하드디스크·휴대저장장치(USB) 등 비인가 장비 사용, 전자출입증, 보안방지백신 설치 등이 정밀 점검 대상이다. 국정원 관계자는 “기관들의 자체평가는 보안성이 높다는 자의적 판단이 많다.”면서 “이미 있는 규정이 제대로 지켜지고 있는지 등 ‘실행 여부’에 초점을 맞춰 135개 전 항목을 꼼꼼히 살필 계획”이라고 말했다. 이같은 방침은 국정원이 2006년부터 보안관리평가를 실시했지만 기관들의 개선 흔적이 전무한 데 따른 것. 행정안전부가 제출한 국감자료에 따르면 2년간 공공기관 홈페이지 개인정보 노출은 2624개 기관,18만 2666건으로 매년 늘고 있지만, 주요 원인이 해킹이 아닌 취약 보안시스템(49%)과 관리자 부주의(36%) 등 운영상 문제로 드러났다. 강주리기자 jurik@seoul.co.kr

올해들어 잇따라 발생한 정보 유출 사고는 해킹을 통해서나 고객 정보에 접근할 수 있는 내부자에 의해 수많은 사용자의 개인 정보가 유출될 수 있다는 것을 보여주었다. 일련의 사건은 개별적인 것처럼 보이지만, 금전적 이익을 노리는 조직적 범죄와 연결돼 있다. 갖가지 지능적인 방법으로 대량의 개인 정보를 수집한 이들은 각종 스팸 발송 업체나 보이스 피싱 업자, 대규모 온라인 게임 작업장 등에 판매한다. 정보를 구입한 업자들은 ‘그들만의 비즈니스’를 한다. 무고한 사용자들만 아무것도 모른 채 스팸 홍수에 시달리거나 보이스 피싱의 피해자가 되거나 아이디(ID)를 도용당하는 등의 피해를 당한다. 이런 사건은 우선 급변하는 환경에 대응하지 못하는 구조적인 문제에서 출발한다. 필자가 정보보안 산업에 뛰어든 10년 전의 정보기술(IT) 상황과 지금은 다르다. 정보에 대한 호기심에서 시작된 인터넷이 이제는 금융 거래, 정부 민원, 통신, 상거래 등 전 분야에서 우리생활의 필수 도구가 되었다. 하지만 보안에 대한 기본 인식은 별로 나아지지 않았다. 포털을 비롯해 쇼핑몰이나 게임업체, 심지어 금융권에서도 인터넷 회원을 끌어들이고 유지하기 위해서는 마케팅 투자를 아끼지 않으면서, 그 회원들의 개인 정보를 보호하기 위한 인프라 투자에는 인색하다. 보이는 성과를 우선시하는 우리나라 IT 현장에서는 정보보안이 소홀하게 다뤄지는 것이 사실이다. 또 어떤 보안 사고가 터지면 실무자의 책임을 추궁하는 데만 몰두한다. 정보보안은 자신의 사업을 지탱하는 고객을 진정으로 생각하는 마음이 전제되어야 한다. 선진국의 개인정보보호 정책은 고객이 맡겨놓은 정보를 보호할 대책이 구축되어 있지 않으면 사업을 전개할 자격이 없다는 게 기본 개념이다. 지난 4월 열린 해외 콘퍼런스에서 한 외국 참석자는 우리나라의 정보 유출 사고 배상 금액을 보고 “소비자들이 그 정도로 물러서느냐.”고 되물었다. 미국에서 그런 사고가 났다면 회사 전체가 휘청거릴 정도로 배상 규모가 크기 때문이다. 개인정보보호법이 아직 제정되지 않은 현실을 차치하더라도, 글로벌 기준에 비추어 우리가 얼마나 뒤떨어진 체계와 시스템을 가지고 있는가를 잘 보여주는 사례이다. 재발방지를 위해 정부 차원의 대책이 필요하다. 정보보안의 핵심은 정보보안 정책의 설정과 규정 준수이다. 우리 나라는 글로벌 스탠더드에 맞는 규제나 가이드라인이 매우 부족하기 때문에 이를 정립하는 것이 급선무이다. 미국의 경우 올해 정부의 IT 투자 예산 중 10% 정도를 정보보안에 투자한다. 이는 기업에서도 비슷한 수준의 투자를 하도록 가이드라인이 된다. 반면에 우리나라는 그 절반 수준에도 미치지 못한다. 이제 정보보안은 공공기관이나 기업의 존립을 좌우하는 중요한 사안이라는 인식을 가져야 한다. 전사적인 보안의식 강화는 물론 전체 IT 투자에서 최소 5% 이상은 보안에 인적·물적으로 투자를 해야 한다. 웹사이트에 대한 보안뿐만 아니라 기업 내 보안을 점검하고 적극적인 투자를 해야 한다. 최근 일련의 사태는 결코 예사롭지가 않다. 안타깝게도 여기에 대응하는 체제가 비전문적이고 일관성이 없는 경우를 종종 보게 된다.IT 강국이 유해 정보와 불법 거래만 득실거리는 세상으로 전락하지 않도록 전문적이고 체계적인 접근이 절실히 필요하다. 김홍선 안철수연구소 대표

GS칼텍스 개인정보 유출 사건이 사상 최대의 집단 소송으로 번질 조짐이다. 개인정보 대량 유출은 올 들어 다섯 번째. 지난 2월 해킹으로 개인정보가 유출된 옥션 사건에 이어 4월에는 하나로텔레콤,LG텔레콤 사건이 거푸 터졌다.7월에는 다음의 한메일 사건이 이어졌다. 모두 대형 소송이 진행되거나 준비되고 있다. 개인정보가 유출된 사람이 1119만명으로 역대 최대 규모인 이번 사건을 놓고 현재 변호사 5명 이상이 인터넷 포털사이트를 통해 청구인단을 모집하고 있다. 개인당 소송 가액은 100만∼200만원 정도로 고려되고 있다. 피해자 10명당 1명이 100만원씩만 청구해도 전체 소송규모는 1조원을 넘는다. ●기존 10만∼70만원 배상 판결 개인정보 유출과 관련해 최근 판결된 사건의 배상액은 최소 10만원에서 최대 70만원이었다. 2005년 5월 온라인게임업체 엔씨소프트는 ‘리니지2’의 서버를 업데이트하며 사용자 개인정보를 담은 로그 파일을 암호화하지 않아 40만∼50만명의 개인정보가 노출될 수 있는 상황에 놓였다.5명이 먼저 소송을 걸었고 1심에서 50만원 배상이 선고됐다. 하지만 항소심에서는 PC방에서 게임에 접속해 개인정보 유출 위험에 놓인 3명에 대해서만 정신적 위자료 10만원이 인용됐고 집에서 게임에 접속한 2명은 기각됐다. 2006년 3월 국민은행은 인터넷 복권 통장 가입 고객 가운데 접속빈도가 낮은 3만 2277명에게 안내메일을 보내며 고객명단을 파일로 첨부하는 바람에 개인정보를 유출시켰다. 이에 1026명이 소송을 냈다. 서울고법은 주민등록번호까지 유출된 1024명에게 각 20만원씩, 이름과 이메일 주소만 유출된 2명에게 10만원씩 배상하라고 판결했다. 2006년 9월 LG전자 신입사원 모집 당시 응시자 400여명이 낸 입사원서 일부가 해킹으로 유출됐다. 이 정보가 취업 카페에 게시되자 290명이 소송을 냈다. 서울중앙지법은 입사지원 등록 정보를 열람당한 31명에게 70만원씩을 배상하라고 선고했다. ●직접 피해 없을 땐 배상 어려워 GS칼텍스 사건은 기존 사건과는 다소 다르다. 지금까지 경찰수사 결과 유출된 정보가 타인에게 노출되거나 이용되기 전에 차단된 것으로 보이기 때문이다. 법무법인 광장의 임성우 변호사는 “피해 자체가 현실화된 것이 없고 피해정도도 특정하기 어려울 것 같다.”고 지적했다. 서울중앙지법 홍준호 판사는 “1차 유출이 있었지만 그로 인해 프라이버시권이 침해당하는 등 직접적 손해를 인정하는 것은 쉽지 않을 것”이라면서도 “회사의 개인정보 관리 의무에 대해 문제제기를 한다면 새로운 쟁점으로 재판을 통해 다투게 될 것”이라고 말했다. ●시민단체 집단소송제 도입 촉구 내부자에 의한 정보 유출로 더 무거운 책임을 물릴 수 있다는 의견도 있다. 법무법인 윈의 이인철 변호사는 “정보가 실제 사용됐는지를 떠나 직원이 직접 정보를 유출한 것으로 과거 해킹 등을 통한 제3자 범죄와는 질이 다른 문제”라고 강조했다. 이 변호사와 백승우·강태길·이동국 변호사, 해냄합동법률사무소 등이 각각 개별적으로 GS칼텍스 소송을 준비하고 있다. 전응휘 녹색소비자연대 정책위원은 “옥션과 하나로텔레콤 사건 등에서 보면 한번 유출된 개인정보는 계속 악용된다. 일부가 승소하면 기업이 피해자 모두에게 같은 조건으로 배상하게 하는 집단소송제를 도입해야 한다.”고 주장했다. 홍지민 오이석기자 icarus@seoul.co.kr

국내 굴지의 정유업체 GS칼텍스에서 사상 최대 규모인 1125만명의 고객 정보가 유출되는 사고가 발생했다. 경찰청 사이버 테러대응센터 수사결과 GS칼텍스의 콜센터 운영을 담당하는 자회사 직원 4명의 소행으로 밝혀졌다고 한다. 이어지는 정보유출 사고로 가뜩이나 불안한데 내부자가 고객정보를 통째로 빼돌렸다니 입이 다물어지지 않는다. 국가정보보호백서에 따르면 지난해 우리나라에서 바이러스 침투와 해킹 등으로 발생한 사이버 침해사고는 3만건을 웃돈다. 최근 들어 규모가 대형화하고 수법도 복잡·대범·교묘해지고 있는 게 현실이다. 지난 2월 옥션의 해킹사고로 1081만명의 개인정보가 유출됐고,7월엔 포털사이트 다음의 한메일 서비스에서 로그인 오류로 최대 55만명의 개인정보가 노출됐다. 중국인 해커가 우리 인테넷망에 들어와 900만명의 개인정보를 빼내갔고 하나로텔레콤은 가입자 600만명의 개인정보를 고객 동의없이 1000여 텔레마케팅 업체에 넘겼다. 이대로 가다간 정보기술(IT)강국을 자부해 온 나라가 첨단 범죄의 온상으로 전락할 가능성도 없지 않다. 개인정보 유출 사고가 되풀이되는 것은 단순히 해킹 기술의 발달 때문만은 아니다. 법적 제도적 장치에 어떤 허점이 있는지 살펴 고객정보의 유출을 막을 근본적인 대책을 강구해야 한다. 개인정보를 다루는 금융기관과 포털 등 업체들이 보안망을 강화하는 것은 물론이고, 개별기업의 자의적인 개인정보 수집과 유통·공유 행위에 대해서도 한층 강화된 법제화가 시급한 시점이다.

GS칼텍스의 주유보너스 카드를 이용하는 고객 1125만여명의 개인정보가 유출돼 경찰이 수사에 나섰다. 이는 1080만여명의 개인정보가 유출됐던 지난 1월의 ‘옥션 사건’보다 더 큰 사상 최대 규모다. 경찰청 사이버테러대응센터는 5일 “서울 강남구에서 엄청난 양의 개인정보가 담긴 DVD와 CD가 버려진 채 발견돼 수사에 착수했다.”고 밝혔다.DVD에는 3.1GB(기가바이트) 크기의 ‘GS Caltex 고객정보’라는 제목의 폴더 아래 1125만여명의 개인정보가 담긴 76개의 엑셀파일이 있고,CD에도 샘플용 개인정보 파일이 일부 저장돼 있다고 경찰은 전했다경찰 관계자는 “DVD와 CD는 9월 초 강남역 7번출구 뒷골목 쓰레기통에서 한 회사원에 의해 우연히 발견됐다.”고 말했다. DVD에는 정부 고위 관계자들이 포함된 전국 시·도의 한국 국적자들의 이름과 주민등록번호, 주소, 이메일 등이 출생연도별로 일목요연하게 나뉘어 담겨 있다. 특히 김형오 국회의장과 청와대 정동기 민정수석, 정진곤 교육과학문화수석, 원세훈 행정안전부 장관, 이상희 국방부 장관, 김회선 국가정보원 2차장, 어청수 경찰청장 등 주요 인사의 개인정보도 고스란히 포함돼 있는 것으로 전해졌다. 경찰 관계자는 “회사 내 데이터베이스 자료를 모두 엑셀파일로 변환해 정리한 것으로 볼 때 업무용으로 제작된 게 아니라 유출을 위해 의도적으로 만들어진 DVD로 보인다.”고 설명했다. 경찰은 GS칼텍스에 수사관을 파견해 고객정보의 유출 경위와 해킹 가능성 등에 대해 조사를 벌였다. 유출된 개인정보의 복사본이 이미 인터넷 계정에 도용되거나 텔레마케팅 또는 보이스피싱에 사용되고 있는지도 확인하고 있다. 고의적인 고객개인정보 유출이 사실로 확인되면 관련자는 정보통신망이용촉진및정보보호등에 관한 법률에 따라 5년 이하의 징역이나 5000만원 이하의 벌금형에 처해진다. 회사도 양벌규정에 따라 같은 처벌을 받는다. 홍희경 이경주기자 kdlrudwn@seoul.co.kr

직장인 임모(32·서울 강남구 역삼동)씨는 최근 황당한 일을 겪었다. 인터넷 메신저 ‘네이트온’에 등록된 고교 친구가 말을 걸며 “급한 사정이 생겨서 그러는데 30만원만 빌려 달라.”고 했다. 그동안 신세진 것도 많아 아무 의심 없이 친구가 찍어준 계좌로 인터넷뱅킹을 통해 송금했다. 이튿날 친구에게 연락해 “일은 잘 해결했느냐.”라고 물었더니 “너도 당했느냐.”라는 엉뚱한 답변이 돌아왔다. 자신 말고도 여러 지인이 똑같은 방식으로 사기를 당한 것이다. 임씨는 “친구마저 믿지 못하는 ‘불신 사회’가 될까 두렵다.”고 우려했다. 인터넷 공간에서 ‘나’를 가장한 ‘또 다른 나’가 활개치며 사기 행각을 벌이고 있어 주의가 요구된다. 해킹 등으로 유출된 개인정보에서 아이디와 비밀번호를 알아낸 사기범들이 네이트온,MSN 등 인터넷 메신저를 이용해 해당 인물인 듯 행세하면서 금품을 가로채는 ‘메신저 피싱’(메신저를 이용한 신종 금융사기)이 기승을 부리고 있다. 유형은 크게 두 가지다. 하나는 유출된 개인 정보를 활용해 메신저에 접속한 뒤 거기에 등록된 지인들에게 ‘velcoco.invite.piczzx.com’ 같은 인터넷주소를 보내 개인정보를 빼내는 방식이다. 해당 주소를 클릭하면 새 창이 뜨면서 아이디와 패스워드를 입력하라는 메시지가 나온다. 지시에 따르는 순간 사용자의 개인 정보가 고스란히 빠져나간다. 이런 식으로 유출된 개인정보는 보이스피싱(전화금융사기) 등 여러 범죄에 악용된다. 또 하나는 메신저 상에서 해당 인물인 것처럼 가장해 지인들에게 돈을 빌려 달라며 금품을 갈취하는 수법이다. 경찰과 통신업계에선 올해 초 인터넷 쇼핑몰 옥션 등에서 발생한 개인정보 유출 사건의 2차 피해가 현실화되고 있는 것으로 보고 있다. 인터넷 이용자들은 대개 여러 사이트에서 같은 아이디와 비밀번호를 사용하기 때문에 한 사이트의 개인정보가 새나가면 다른 사이트로 피해가 이어진다는 것이다. 현재 국내 메신저 이용자는 2300만여명으로 인터넷 이용자 10명 가운데 7명꼴이다. 하지만 이들을 ‘금융사기’에서 보호할 대책은 없다. 경찰 사이버팀 관계자들은 “금액이 적어 피해자들도 신고하지 않고, 신고하더라도 사기범과 세탁된 돈을 추적하기 어렵다. 현실적으로 홍보를 통한 주의환기 말고 뾰족한 방법이 없다.”고 말했다. 네이트온을 운영하는 SK커뮤니케이션즈 관계자는 “개인정보가 유출된 사람 가운데 여러 사이트에 똑같은 아이디와 비밀번호를 사용하는 이들이 주로 피해를 보고 있다.”면서 “아이디와 비밀번호를 주기적으로 바꾸는 수밖에 없다.”고 밝혔다. 김승훈기자 hunnam@seoul.co.kr

‘19일 새벽 2시 적의 공격이 시작됐다. 정부청사가 피폭됐다. 사상자들을 긴급 후송해야 하고 주민들을 대피시켜야 한다.’ 이같은 가상 전쟁 상황에 대비한 ‘을지연습(18∼21일)’이 4000여 기관에서 진행 중이다. 을지연습은 중앙행정기관, 지방자치단체,KT·한전 등 국가기반을 이루는 중점관리지정 기관·업체 40만여명이 참여하는 국가안보·국민안전을 위한 대규모 종합훈련이다. 하지만 연일 밤을 지새우는 공무원들과 달리 정작 훈련에 대한 국민들의 체감 온도는 매우 낮다. 대학생 송모(21)씨는 “민방위 말고 전시 훈련도 있느냐.”고 되물을 정도다. 을지연습 주무부처인 행정안전부의 한 관계자는 “과거에는 실제 불도 끄고 파주·연천 주민들은 집결지로 이동도 시켰지만, 이제는 생계 등 불편을 고려해 각본에 따라 서면보고로 대체한다.”고 설명했다. 이처럼 ‘국민 따로, 행정 따로’식의 외로운 을지연습이지만 올해로 벌써 41번째(1968년 첫 실시)다. 해마다 열린다. 최근 북한의 금강산 관광객 피격사건과 지난 2월 청와대 사이버해킹 등으로 분위기가 한층 무거워졌다. 한 공무원은 “김대중·노무현 정권 때 흐지부지된 걸 다잡는 것”이라고 말했다. 다음날 오전 9시까지 밤샘을 해야 하는 공무원들은 잠을 쫓기 바쁘다. 부처 관계자는 “새벽엔 순번을 정해 불침번을 서거나 야식으로 잠을 깨운다.”며 빵과 음료수 등이 잔뜩 든 ‘비상식량’을 내보였다. 커피를 거푸 마시는 정공법이나 수다떨기, 게임·퀴즈풀이 등으로 잠을 털어 낸다. 특히 전시 구호물품 수송, 사상자 병원 후송, 의료 등을 담당하는 보건복지가족부의 경우 지령이 타 부처의 두배 이상 내려와 쉴 틈이 없다. 개인정보유출 논란이 극심했던 국가정보원 사이버안전센터나 행안부 정보화전략실은 ‘사이버전’에 대비한다. 홈페이지 위변조, 악성메일, 게시판 유언비어 유포 등에 대응한다. 한 관계자는 “공무원들이 밤샘 등 고생하는 사실이 아니라, 국가를 위해 열심히 일하고 있다는 사실을 알아 줬으면 한다.”고 말했다.강주리기자 jurik@seoul.co.kr

시도 때도 없이 걸려오는 휴대전화 스팸문자와 대출 권유 전화를 받으면서 이들이 내 전화번호를 어떻게 알아냈는지 궁금했을 것이다. 서울지방경찰청 사이버수사대에 따르면 중국인 크래커 1명이 인터넷 사이트에서 한국인 900만명의 주민등록번호와 이메일주소, 전화번호, 주소, 금융신용정보를 무차별 해킹해 빼내간 결과라고 한다. 달아난 중국인이 해킹한 사이트는 지방은행 6곳, 대학 2곳, 쇼핑몰 616곳, 대부업체 12곳 등 무려 2000여곳이었다. 이들은 신용불량으로 고통받는 서민들의 정보를 이용해 고리 대금업체에 대출을 알선해 주고 수수료를 받아 챙기기도 했다. 경악스러운 일이다. 물건을 구매하기 위해 무심코 가입한 쇼핑몰이나 거래하는 금융기관, 출신 대학의 인터넷 사이트 등에서 신상정보가 이렇게 샐 줄 누가 상상이나 했겠는가. 얼마전 인터넷 포털 사이트 다음(DAUM)에서 회원 43만명의 개인정보가 유출된 사례도 있어 이제 인터넷 사이트엔 안심하고 가입할 수 없게 됐다. 우리 국민의 개인 신상정보가 해외에 유출돼 국경을 넘나들며 상품처럼 이리저리 팔리고 있었지만 관계 당국이나 해킹 피해 사이트의 관리자들은 눈치도 채지 못했다고 한다. 일부 대학 사이트는 ‘해커들의 놀이터’로 불릴 만큼 보안이 취약했다. 개인 정보를 다루는 금융기관과 포털 등 관련 업체들은 해킹에 쉽게 뚫리는 보안망을 이중, 삼중 강화하는 데 비용을 아끼지 말아야 한다. 또 정부는 국민들의 신상정보 유출에 대한 불안감을 씻어줄 안전 대책을 조속히 마련하길 바란다.

중국 해커 한 명에 의해 최소 900만건에 이르는 국내 개인정보가 유출돼 불법 대출 영업 등에 악용된 것으로 드러났다. 국내 개인정보가 중국으로 넘어간 경로와 규모가 밝혀진 것은 처음이다. 서울경찰청 사이버범죄수사대는 27일 중국 해커에게서 국내 은행과 대부업체, 인터넷 쇼핑몰 등에 가입한 사람들의 개인정보를 사들인 뒤 대출광고 등에 이용한 혐의(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 등)로 대부중개업자 천모(42·중국 도주)씨를 수배했다. 또 불법으로 유출된 개인정보인 줄 알고서도 천씨를 도와 대부업체를 운영한 대부중개업자 신모(42)·이모(34·여)씨를 불구속 입건했다. 경찰에 따르면 해커는 HDSI 2.0프로그램과 SQL 인젝션 공격방식을 이용해 국내 업체의 인터넷망을 유린했다.HDSI 2.0은 SQL 인젝션을 사용하기 위한 기본 틀로, 컴퓨터를 조금만 다룰 줄 알면 누구나 활용할 수 있다.SQL 인젝션은 일부 명령어 등으로 불법 인증을 받거나 정보를 유출하는 공격법이다. 천씨 등은 2006년과 2007년 중국 지사를 통해 해커를 고용한 뒤 1500만원을 주고 국내 개인정보 900여만건을 사들였고, 이를 이용해 지난해 5월부터 올 2월까지 신용불량자들에게 무작위로 전화를 걸어 제3금융권 대출을 알선하고 대출업자와 고객에게 25억여원의 수수료를 챙긴 혐의를 받고 있다. 천씨가 매입한 고객정보 데이터베이스에는 이름과 아이디(ID), 이메일 주소, 비밀번호, 주민등록번호, 전화번호, 주소, 신용정보 등 상세한 개인정보가 담겨 있었다. 천씨 등은 6개 금융기관과 대형 대부업체의 고객정보 485만여건,12개 중소 대부업체 고객정보 26만여건,616개 쇼핑몰 회원정보 65만여건 등 900만여건의 개인정보를 구입했다. 이름 등 단순 개인정보까지 합하면 1000만건이 넘는다. 국내 업체의 개인정보가 중국 해커에게 유출돼 보이스피싱(전화금융사기)이나 납치협박 사기 등에 활용된다는 정황은 포착됐지만 실제 유출 규모가 파악된 것은 이번이 처음이다. 천씨 등은 구입한 개인정보들을 2억여원을 받고 다른 대부업체에 다시 팔았다. 경찰 관계자는 “중국에는 국내 개인정보를 빼내는 조직이 많은 만큼 실제 유출된 건수는 더 많을 것”이라면서 “중국 해커에게 사들인 개인정보는 대부업체에 다시 판매되기 때문에 피해 사례도 늘어날 전망”이라고 말했다. 경찰은 피해 금융기관 진술, 데이터베이스에 기재된 정보수집 기간 등으로 미뤄 국내 인터넷 보안 설비가 취약했던 2005년과 2006년에 해킹이 집중적으로 이뤄진 것으로 추정하고 있다. 한편 경찰은 이달 초 인터넷 포털에서 유출된 700만건의 개인정보는 해킹이 아니라 홈페이지상의 ‘친구찾기’ 기능을 악용해 빼돌려진 것이라고 밝혔다. 김승훈기자 hunnam@seoul.co.kr

포털사이트 다음의 한메일 서비스가 로그인 오류로 다른 이용자 개인정보가 대거 노출되는 사고가 발생했다. 다음의 한메일 서비스는 한 달 평균 2200만명의 이용자가 이용하는 웹메일 부문 1위다. 다음의 한메일 서비스는 22일 오후 3시30분쯤부터 50여분 동안 자신의 아이디와 비밀번호로 로그인하면 다른 사람의 받은 편지함 목록이 그대로 노출되는 사고가 발생했다. ‘새로고침’ 버튼을 누르면 다른 이용자의 받은 편지함이 무작위로 노출됐다. 목록만 볼 수 있고 이메일 내용은 확인할 수 없었지만 제목만으로도 내용을 알 수 있는 경우도 있었다. 일부 경우는 메일에 첨부된 파일까지 내려받을 수 있었다. 또 카페 서비스에서도 무작위로 다른 회원이 가입한 카페 목록이 노출되기도 했다. 때문에 사고 경위를 문의하려는 이용자들의 접속이 폭주하면서 다음의 고객센터 페이지도 다운되는 등 피해가 잇따랐다. 다음은 오후 4시20분쯤 서버를 막고 응급조치에 나서 오후 5시쯤 복구를 끝냈다고 밝혔다. 다음측은 사고원인이 해킹에 의한 것이 아니라 한메일 기능 업그레이드 작업 중 장애가 발생한 것으로 추정했다. 다음 관계자는 “정확한 원인과 피해 규모는 파악 중”이라며 “신속한 원인 파악 및 재발 방지를 위해 최대한 노력하겠다.”고 사과했다. 하지만 다음측의 설명에는 이해되지 않는 부분도 있다. 통상 서비스 점검과 서비스 업그레이드 등은 되도록 이용자가 적은 심야나 새벽에 하는 것이 보통이다. 이용자가 가장 많은 오후 시간에 서비스 업그레이드를 했다는 것은 선뜻 납득하기 힘들다. 다음의 사고대응 태도도 또다시 도마에 올랐다. 다음은 사고로 서버를 차단하면서도 명확한 설명없이 “네트워크가 약간 불안정해 접속이 원활하지 않다.”는 공지만을 띄워 이용자의 문의가 폭주했다. 이에 앞서 다음은 지난해 7월 고객상담 관리자의 계정을 알아낸 해커에 의해 주민등록번호 등 이용자 고객정보가 유출됐을 가능성이 높았지만 이용자들에게 이를 알리지 않고 피해 가능성이 있는 이용자들에게 이메일을 보내 아이디와 비밀번호를 강제로 바꾸도록 해 비난을 받았다.김효섭기자 newworld@seoul.co.kr