2018년 어느 날. 서강대에 다니는 김서울 학생이 등굣길에 학교 앞 서점에 들렀다. 전공수업에 필요한 책을 집어 든 김씨는 계산대에서 스마트폰을 꺼내 디지털 가상화폐인 ‘서강코인’ 애플리케이션(앱)을 구동했다. 잔액 3만원이라는 글씨가 스마트폰 화면에 뜨자 책값 1만 6000원을 입력하고 휴대전화로 서점 계산대에 있는 서강코인 QR코드를 스캔했다. 화면에 서점이 인식되자 그는 비밀번호를 입력하고 결제 버튼을 눌렀다. 점심시간이 됐다. 돈가스를 먹으러 학생식당으로 향했다. 이날은 마침 얼마 전 학과 행사 진행요원으로 아르바이트를 했던 ‘일당’이 들어오는 날이었다. 밥을 먹던 김씨가 진동이 울리던 스마트폰을 확인하니 서강코인으로 11만 4000원이 입금돼 있었다. 점심값 8000원을 서강코인으로 결제하자 학과 동기들이 모여 있는 카카오톡 단체 대화방에 알림이 떴다. 가을학기 동기 엠티를 가기 위해 회비를 걷는다는 내용이었다. 공지창에는 과대표의 코인지갑 주소가 적혀 있었다. 김씨는 서강코인 앱에 과대표의 지갑 주소를 입력한 뒤 엠티비 1만원을 송금했다. ‘비트코인’을 계기로 널리 알려진 디지털 가상화폐를 도입하기로 한 서강대의 미래 모습이다. 한데 이런 모습은 비단 서강대 학생만의 것이 아닐 듯하다. 이미 우리 주변 곳곳에 디지털 가상화폐가 자리를 잡아 나가기 시작했다. 서울시만 해도 현행 전통시장 온라인상품권을 조만간 디지털 가상화폐로 교체할 방침이다. ‘화폐 없는 사회’까지는 아니더라도 적어도 그런 사회로 가는 과도기는 분명 시작됐다는 평가가 나온다. 가상화폐는 일단 두 얼굴로 다가오고 있다. 지갑이 가벼워지고, 돈 흐름의 분석이 가능해져 지역경제 활성화에 도움이 될 거라는 전망이 나온다. 반면 개인의 소비 형태까지 일일이 알 수 있기 때문에 과도한 통제가 이뤄지는 것 아니냐는 우려도 있다. ●서강대 서강코인, 스마트폰 앱 통해 돈 충전·송금 서강대는 지난 8월 스타트업 ‘더루프’와 업무협약(MOU)을 체결하고 블록체인을 기반으로 하는 디지털화폐 플랫폼 ‘서강코인’을 학내에서 테스트했다. 서강코인을 이용하면 학생과 교직원이 스마트폰에 설치된 앱을 통해 돈을 충전하거나 송금을 받을 수 있다. 현금과 서강코인의 교환 비율은 1대1이었고, 교내 몇 개 업체에서 실험했다. 이 테스트에 참여했던 직원들은 학내에서 지갑을 들고 다니지 않아도 되는 것만으로도 충분히 편리했다고 전했다. 이번 사업의 자문을 맡은 김용진 서강대 경영학과 교수는 “내년 1월부터 교내에서 시범 도입하는 것이 목표”라며 “장기적으로 협력 학교인 연세대, 고려대, 숭실대, 성신여대 등도 연계해 추진하는 것을 고려하고 있다”고 밝혔다. 더루프 관계자는 “아직은 테스트 상태라 QR코드를 읽어서 계산하지만 향후에는 바코드 등 다양한 형태의 결제가 가능하도록 개발 중”이라고 말했다. ●서울시 에스코인, 온누리 상품권을 디지털화 서울시도 지난 6월 ‘4대 핀테크 시범사업’ 중 하나로 ‘에스코인’(S-coin)을 선정했다. 에스코인은 전통시장 온누리 상품권을 디지털화한 가상화폐다. 서울시는 온누리 상품권으로 지급하던 공무원의 복지 포인트 일부를 에스코인으로 대체해 주고, 장기적으로 전통시장 외에 소상공인 상점에서도 사용할 수 있도록 사용처를 확대할 계획이다. 서울시 관계자는 “내년 1분기에 사업자 공모를 시작할 것”이라며 “에스코인이 도입되면 시장 상인들은 상품권을 현금으로 다시 교환하기 위해 은행을 방문하는 번거로움이 줄어들 것”이라고 말했다. 그는 “사용자 입장에서는 분실·도난의 위험이 사라지고 종이 상품권과 달리 여러 상점에서 소액 결제가 가능해진다”고 덧붙였다. 블록체인 기반 가상화폐의 시초는 ‘비트코인’이다. 블록(block)은 한 번의 거래기록을 말한다. 따라서 블록체인(block chain)은 휴대전화에 저장되는 거래기록들, 즉 공공거래장부다. 예전에는 내가 타인에게 돈을 보내려면 신뢰도가 높은 금융기관이 거래를 중개하고 수수료를 받았다. 하지만 블록체인은 금융기관의 역할을 공공거래장부가 대신한다. 쉽게 말해 거래가 잘못됐다면 양자가 장부의 거래기록을 토대로 바로잡으면 된다. 따라서 화폐의 발행자나 관리자가 필요 없다. 비트코인의 경우 수학문제를 풀면 화폐의 양이 늘어난다. 에스코인의 경우 초기에는 서울시가 온누리 상품권을 에스코인으로 변환해 공급할 가능성이 높다. 하지만 이후에 전통시장 상품권의 인기가 떨어져 1만원짜리를 9000원의 현금으로 사고팔든, 상품권의 양이 늘고 줄든 서울시가 인위적으로 조정하는 것은 불가능하다. 또 중앙 서버가 모든 돈의 움직임을 관리하는 것이 아니기 때문에 해킹에 대해 저항력이 높다. 이군희 서강대 경영학과 교수는 “가상화폐는 기존의 중앙집중 관리형이 아닌 분권형 네트워크 시스템이기 때문에 모든 사용자의 거래 장부를 동시에 조작하지 않는 이상 위조가 불가능하다”고 설명했다. 서강대·서울시의 가상화폐는 그 기반이 블록체인이라는 점에서 비트코인과 같지만, 사용자나 사용처에 대해 일정한 제한을 만들 수 있는 ‘특수목적형 화폐’라는 점에서는 큰 차이가 있다. 서강대 관계자는 “학생이나 교직원이 서강코인을 특정 가맹점에서만 쓸 수 있다는 것은 학교가 장학금이나 직원의 복지포인트 등을 지급하는 단계에서 이미 사용처를 어느 선까지 지정할 수 있다는 의미”라고 설명했다. 예컨대 장학금으로 지급된 서강코인은 서점 등 학업 관련 용도로만 사용하도록 설정하는 식이다. 서울시 관계자도 “기존의 종이 상품권은 사용량만 추적할 수 있지, 실제 어디서 어떻게 사용됐는지 정밀한 분석을 할 수 없었다”며 “가상화폐의 경우 소비 패턴에 대한 빅데이터를 수집할 수 있고, 이를 이용해 심층 분석과 데이터 작업이 가능하기 때문에 향후 전통시장 활성화 정책 등을 수립하는 데 좋은 자료로 활용할 수 있을 것”이라고 말했다. ●소비패턴 심층분석 가능… ‘빅브러더’ 우려 이렇게 사용 목적에 부합하도록 설계한 가상화폐를 전문가들은 ‘스마트 머니’라고 부른다. 인호 고려대 정보통신대학 컴퓨터학과 교수는 “가상화폐의 등장으로 쓰임새에 맞게 돈의 기능을 설계하고 배포하는 ‘프로그래머블 머니’(programmable money)의 활용이 가능해졌다”고 말했다. 언제 어디서나 널리 자유롭게 사용할 수 있지만 배포 이후 조절이 어려운 기존 화폐의 특징을 바꾸었다는 점에서 ‘돈의 진화’라고 봐야 한다는 시각도 있다. 김용진 교수는 “서강코인과 같은 지역공동체 화폐는 지역 안의 업체에서 소비를 하도록 유도할 수 있기 때문에 지역경제 활성화를 가능케 한다”며 “예전에는 쿠폰이나 할인 등을 통해 돈을 쓰도록 유도했지만 앞으로는 화폐 자체의 용도를 설정할 수 있기 때문에 다른 유인책들의 필요성이 줄어드는 것”이라고 설명했다. 하지만 설계와 추적이 가능한 통화가 ‘빅브러더’(정보의 독점으로 사회를 통제하는 관리 권력)를 만들 수 있다는 우려도 나온다. 구매정보가 빅데이터로 저장되면 소비 행동 하나하나가 감시의 대상이 될 수 있다. 서강대 재학생 박모(23)씨는 “아무리 학교에서 목적을 갖고 지급하는 돈이라 해도 사용처까지 제한하는 건 학생 개인의 자율성을 침해하는 것 아니냐”며 “학생의 입장에서는 학교 내에서는 현금을 가상화폐로 변화해서 쓰고 밖에서는 현금을 쓰는 식이기 때문에 복잡한 것 같다”고 말했다. 이에 대해 박성준 동국대 국제정보보호대학원 블록체인연구센터장은 “개인정보보호 문제는 기술적 결함이 아니라 정책적 선택의 문제”라며 “블록체인을 활용하면 공개되는 정보의 범위를 설정할 수 있기 때문에 보안성 수준을 정하면 된다”고 말했다. 이군희 교수는 “중앙 통제가 없는 가상화폐의 특성상 감시문제보다도 오히려 지나치게 익명성이 보장돼 테러자금 등 범죄에 악용될 위험이 더 크다”며 “최근 해커들이 해킹한 정보를 대가로 비트코인을 요구하는 게 같은 이유”라고 설명했다. ●가벼워진 지갑… “경제 활성화” vs “과도한 통제” 그럼에도 가상화폐 상용화까지는 아직 넘어야 할 산이 많다. 서강대 관계자는 “서강코인 사업을 정식으로 시행하려면 대학을 금융기관으로 등록해야 하는데, 대부업 등록과 은행업 등록 모두 조건 충족이 어려워 우선 시범사업 형태로 진행할 것”이라고 말했다. 빠르게 널리 쓰일지, 즉 상용화 여부도 아직 정확히 예측할 수 없다. 노상규 서울대 경영학과 교수는 “블록체인이 성공하려면 우선 결제에 필요한 앱 등 인프라를 이용자들에게 보급해야 하는데, 현재의 가상화폐 결제 시스템이 비용을 획기적으로 낮추거나 과거에 할 수 없었던 일을 할 수 있게 해주는 등의 충분한 유인 동기를 제공할지 미지수”라며 “아직은 디지털 가상화폐 시대에 진입하기 위한 실험을 한다는 것 자체에 의의가 있다”고 말했다. 김희리 기자 hitit@seoul.co.kr

충북지방경찰청은 19일 해외에 서버를 둔 불법 인터넷 도박사이트를 운영하며 수십억원을 가로챈 총책 이모(35)씨 등 11명을 특정경제범죄가중처벌법상 사기 혐의로 구속했다. 경찰은 또 공범 김모(23)씨 등 3명과 이씨의 도피를 도와준 여성 2명 등 총 5명을 같은 혐의로 불구속 입건했다. 이씨 등은 2014년 4월부터 최근까지 중국 칭다오에 서버를 둔 불법 스포츠 도박사이트를 운영하며 회원들을 모집한 뒤 회원들이 경기결과를 맞힌 것처럼 조작했다. 이어 회원들이 환전을 요구하면 배팅규정 위반, 프로그램 해킹 등을 이유로 추가입금을 하게 한 뒤 사이트폐쇄, 가입아이디 삭제 등의 방법으로 1만 3000여명에게 총 76억원을 가로챘다. 이들은 중국과 국내에 수익금정산팀, 홍보팀, 현금인출팀, 대포통장조달팀, 문자전송팀 등을 만들어 조직적으로 사기행각을 벌였다. 총책 이씨의 작은아버지(55)는 국내에서 피해자들이 입금한 게임머니를 인출하는 현금 인출팀장으로, 사촌동생(23)은 중국에 만든 사무실 6곳을 관리하는 실장을 맡아 범죄에 가담했다. 이들은 스포츠경기결과 예상정보인 일명 ‘픽’을 자신들이 알려주고 ‘한 달에 500만원 이상 수입이 가능하다’는 내용의 글을 각종 인터넷에 올려 피해자들을 끌어모았다. 경찰은 검거과정에서 현금 12억원, 6000만원 상당의 로렉스시계 2개, 대포통장 70여개, 대포폰 18대, 현금인출카드 41개 등을 압수했다. 청주 남인우 기자 niw7263@seoul.co.kr

　추석 연휴 동안 무료로 최신 영화 등을 다운로드 받으려다 해킹이나 악성 바이러스에 노출될 수 있어 주의해야 한다. 　게임, 내비게이션, 각종 정보 검색 등으로 휴대전화와 PC 사용량이 늘면서 해커들이 네트워크에 침투할 기회가 많아지기 때문이다. 　14일 보안업계에 따르면 연휴 기간 집에서 최신 영화와 드라마를 즐기려는 사람들이 늘면서 파일 공유 사이트를 통해 악성코드가 유포될 가능성이 커진다. 최근 개인 간 파일 공유 프로그램인 토렌트(Torrent)에서는 ‘부산행’을 위장한 악성 파일이 발견되기도 했다. 이 파일을 실행하면 1기가바이트(GB) 용량의 가짜 동영상 파일과 함께 악성 코드가 함께 다운로드된다. 　선물 택배·상품권 안내·경품 당첨 등을 위장한 스미싱 문자도 주의해야 한다. 　스미싱 문자는 ‘추석을 맞아 특별 저금리 대출이 가능하다’ ‘추석 물량 증가로 배송이 지연되고 있다’ 등의 메시지에 URL을 첨부해 자연스럽게 클릭을 유도한다. 클릭하면 자동으로 특정 금액이 결제되거나 개인 정보가 해커에게 넘어가게 된다. 　악성 파일이나 스미싱 문자 피해를 예방하려면 출처가 불분명한 URL이나 파일은 가급적 실행하지 말아야 한다. 　영화 파일이나 게임 등은 공식 사이트나 앱 마켓 등을 통해 내려받는 게 안전하다. 보안업계 관계자는 “공식 마켓에도 악성 앱이 등록돼 있을 수 있어 평판 정보를 반드시 확인하고, 과도한 권한을 요구하지는 않는지 앱 권한 등을 확인하는 것이 좋다”고 조언했다. 　랜섬웨어(중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성 코드) 예방에도 각별히 신경 써야 한다. 연휴 기간 접속이 많은 여행·쇼핑·택배 사이트 등을 통해 대규모로 유포될 가능성이 크기 때문이다. 　웹사이트의 광고 서버에 숨어있는 랜섬웨어는 사이트에 접속만 해도 감염될 수 있다. 웹사이트 접속만으로 감염되는 사례를 막기 위해서는 공격자의 주요 타깃인 인터넷 익스플로러보다는 크롬이나 파이어폭스 등 다른 웹 브라우저를 사용하는 편이 안전하다. 　익스플로러로 신뢰도가 낮은 웹사이트를 방문할 때는 최신 버전을 사용하고, 플래시 플레이어가 작동하지 않도록 설정을 바꿀 필요가 있다. 익스플로러의 ‘추가기능관리’ 메뉴에서 ‘쇼크웨이브 플래시 오브젝트(Shockwave Flash Object)’ 항목을 ‘사용 안 함’으로 전환하면 된다. 　이밖에 공공장소에서는 제공자가 불분명하거나 보안이 적용되지 않은 와이파이(WiFi)는 가급적 사용하지 말고, 연휴 동안 장기간 사용하지 않는 PC는 전원을 꺼 네트워크에서 분리하는 것이 좋다. 　김헌주 기자 dream@seoul.co.kr

해킹과 악성앱 등을 통한 스마트폰 문자 메시지 사기인 ‘스미싱’ 피해가 갈수록 늘어나고 있다. 9일 감사원의 ‘국가 사이버안전 관리 실태’ 보고서에 따르면 지난해 스미싱 피해액은 66억원으로, 전년(34억원) 대비 94% 증가했다. 피해 건수로는 지난해 3만 6860건으로 1년 전보다 무려 7.5배나 급증했다. 전문가들은 이러한 스미싱 피해를 막기 위해서는 스마트폰에도 노트북이나 PC처럼 백신을 깔아야 한다고 조언한다. 한국인터넷진흥원과 이동통신 3사는 그동안 정보 유출지와 해커의 명령 서버(C&C) 등을 차단해 스미싱 피해를 예방해 왔지만 스마트폰에 설치된 악성앱을 삭제하지 않을 경우 추가적인 피해가 발생할 수 있다는 점이 문제로 지적돼 왔다. 최근 스마트폰에는 백신앱 등이 보급되고 있지만 보안 패턴을 업데이트하지 않아 악성앱이 그대로 남아 있다. 이럴 경우 추가적인 개인정보 유출과 스미싱 문자 발송 등으로 2차 피해를 볼 수 있다. 미래창조과학부와 한국인터넷진흥원은 대규모 사이버 침해 사고에 악용되는 ‘좀비 PC’를 치료하는 ‘감염 PC 사이버 치료체계’를 모바일 분야로 확대했다. 지난해 10월부터 이통사들과 연계해 ‘모바일 응급 사이버 치료체계’를 구축했다. 지난 7월까지 총 5만 6753건을 치료했다. 스미싱 1건의 피해액이 평균 18만원인 점을 감안하면 100억원 규모의 피해를 막은 셈이다. 한국인터넷진흥원 측은 “스마트폰에 별도의 앱을 설치하지 않고 기본으로 탑재된 이통사의 앱을 활용해 악성앱 정보를 이용자에게 알리고 치료하도록 안내하고 있다”고 말했다. 윤수경 기자 yoon@seoul.co.kr

지난 5월3일부터 6일까지 발생한 인터파크 해킹 사고는 해커가 직원PC에 악성코드를 최초 감염시켜 시작된 것으로 확인됐다. 31일 미래창조과학부(이하 미래부)와 방송통신위원회(이하 방통위)는 인터파크 침해사고 관련 ‘민관합동조사단(이하 조사단)’ 조사 결과를 발표했다. 해킹은 메일을 통한 내부망 최초 감염을 시작으로 내부망 감염을 확산 시켜 정보를 수집했으며 개인정보취급자 PC와 DB를 점거해 개인정보를 탈취하고 유출한 것으로 나타났다. 또 이번 해킹 사고로 중복 포함 2666만 건에 달하는 회원정보가 유출된 것으로 파악됐다. ▲해커는 스피어피싱으로 직원PC에 악성코드를 최초 감염시키고 ▲다수 단말에 악성코드 확산과 함께 내부정보를 수집하고 ▲DB서버에 접근 가능한 개인정보취급자PC의 제어권을 획득한 후 ▲DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출한 것으로 확인됐다. 또 해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2665만8753건(중복 여부는 방통위가 파악 중)이 보관된 파일을 16개로 분할하고 직원PC를 경유해 외부로 유출한 것으로 조사됐다. 유출된 회원정보 수는 인터파크 회원뿐 아니라 제휴사, 탈퇴회원, 휴면회원 등이 포함된 수치다. 또 이름, 전화번호, 이메일, 주소 등 상세한 정보가 유출된 경우도 있으며, 경우에 따라 아이디만 유출된 사례도 있다. 아울러 이 수치에는 중복된 정보도 있을 것으로 조사단은 파악하고 있다. 방통위는 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치했다. 온라인뉴스부 iseoul@seoul.co.kr

글로벌 은행들이 새로운 디지털 화폐 개발에 나섰다. 스위스 최대 은행인 UBS와 독일 도이체방크, 미국 뱅크오브뉴욕(BNY) 멜론, 스페인 산탄데르 등 세계 4대 은행은 글로벌 금융중개업체 아이캡(ICAP)과 함께 디지털 화폐를 개발하기로 했다고 영국 파이낸셜타임스(FT)가 23일(현지시간) 보도했다. UBS가 개발을 제안한 이 디지털 화폐는 ‘범용결제통화’(USC)로 불린다. 이들이 디지털 화폐에 적용할 기술은 비트코인(가상화폐)의 핵심이기도 한 ‘블록체인’이다. 온라인금융 해킹 방지가 목적인 블록체인은 거래 정보를 중앙 서버에 저장하지 않고 네트워크상의 여러 컴퓨터에 분산해 저장하는 기술이다. 이에 따라 보안성과 투명성이 높고 거래 비용을 크게 절감할 수 있다. 중앙은행이 여러 통화로 교환 가능한 이 디지털 화폐를 도입하면 금융기관이 채권이나 주식 등 증권 거래 대금을 결제할 때 대금 이체가 완료되기까지 기다릴 필요 없이 바로 결제가 가능한 덕분에 수십억 달러를 묶어 두지 않아도 된다. 컨설팅업체 올리버와이먼에 따르면 지난해 글로벌 금융산업의 거래 중개와 결제에 들어간 비용은 연간 650억~800억 달러(약 73조~90조원)에 이른다. 훌리오 파우라 산탄데르 연구·개발(R&D) 및 혁신부문 대표는 “현재 은행과 다른 기관과의 거래는 시간과 비용이 많이 드는 구조”라며 “디지털 화폐는 거래의 효율성을 더욱 높여 준다”고 강조했다. 디지털 화폐는 그동안 금융 사기 우려 등의 이유로 개발에 회의적이었으나 최근 막대한 거래 비용을 절감할 수 있는 등 다양한 장점이 부각되며 글로벌 은행들이 개발에 뛰어들고 있다. 씨티그룹은 ‘씨티코인’ 솔루션을 개발하고 있으며, 골드만삭스는 ‘세틀코인’ 기술에 대해 ‘증권 거래를 위한 암호화 화폐’라며 특허를 냈다. 미쓰비시도쿄UFJ은행은 ‘MUFG코인’을 개발하고 있고, 도쿄증권거래소는 IBM과 함께 블록체인에 기반한 장외 주식거래 시스템 도입을 추진하고 있다. 김규환 선임기자 khkim@seoul.co.kr

　국무장관 당시 자택에 개인 이메일 서버를 설치하고 공무를 봤던 일로 인해 최근까지 연방수사국(FBI)의 수사를 받았던 미국 민주당 대선후보 힐러리 클린턴이 고소를 당했다. 　2012년 9월 11일 발생한 리비아 ‘벵가지 사태’에서 숨진 외교관 2명의 부모인 패트리샤 스미스와 찰스 우즈는 8일(현지시간) 자녀들의 사망에 클린턴의 책임이 있다며 워싱턴DC 연방법원에 고소장을 제출했다. 　클린턴이 부주의하게 이메일을 취급해 숀 스미스와 타이론 우즈 등 두 자녀의 소재가 노출돼 비극으로 이어졌다는 게 이들의 주장이다. 　‘벵가지 사태’는 리비아 무장괴한 수십 명의 테러로 크리스토퍼 스티븐스 대사 등 미국인 4명이 숨진 사건을 할한다. 클린턴은 당시 국무장관이었다. 　패트리샤 스미스 등은 고소장에서 “벵가지 공격은 클린턴의 극히 부주의한 기밀 정보취급으로 인해 직접 야기됐다”고 주장했다. 　또 “클린턴이 비밀정보를 무모하게 취급했음을 고려하면 크리스토퍼 대사와 국무부의 활동, 고인들이 벵가지에서 했던 비밀작전에 관한 이메일 정보가 노출됐을 가능성이 매우 크다”면서 “이들 정보는 클린턴의 개인 이메일서버를 떠나 러시아와 이란, 중국, 북한을 넘어 외부세력으로 흘러들어 가는 순간부터 위험에 처했다”고 말했다. 　이들은 이와 함께 클린턴이 당시 벵가지 공격은 무슬림에 반대하는 유튜브 비디오에 의해 야기된 것이라고 해놓고 추후 말을 바꿨다면서 명예훼손 혐의도 고소장에 포함했다. 　고소장을 제출한 스미스는 공화당 대선후보인 도널드 트럼프를 지지하는 인물이다. 　그녀는 지난달 공화당 전당대회의 찬조 연사로 나서 “내 아들의 죽음 때문에 개인적으로 힐러리 클린턴을 강하게 비난한다. 힐러리는 감옥에 가야 한다”며 공세를 폈다. 　앞서 ‘이메일 스캔들’을 수사했던 제임스 코미 FBI 국장은 적대세력이 클린턴의 이메일에 접근했을 가능성이 있다는 입장을 밝히면서도 해킹의 직접증거는 발견하지 못했다고 말했다. 　류지영 기자 superryu@seoul.co.kr

최근 금융사들이 비밀번호나 공인인증서 대신 홍채나 지문, 정맥 등을 활용하는 생체인증 시스템을 속속 도입하고 있다. 스마트 기기 보급 한계와 보안 우려 등으로 일상생활에서 누구나 쉽게 사용하기까지는 시간이 다소 걸릴 전망이다. 8일 금융권에 따르면 KEB하나은행과 우리은행 등은 홍채인식 기술이 탑재된 삼성전자 갤럭시노트7 기기를 이용해 홍채 인증만으로 로그인은 물론 이체와 송금 등 각종 금융거래를 할 수 있는 서비스를 도입했다. 기존의 공인인증서를 완전히 대체하는 방식으로 갤럭시노트7 출시와 함께 이달 중 상용화될 예정이다. 이날 농협금융과 농협은행이 내놓은 모바일플랫폼 ‘올원뱅크’는 지문인증 방식을 도입했다. 이렇듯 금융사들이 경쟁적으로 기존의 공인인증서를 대체할 생체인증 서비스에 뛰어들고 있지만 아직까지는 시범 단계에 머무는 수준이다. 특정 기기에서만 이용할 수 있거나 보안에 대한 검증이 완전히 끝나지 않았기 때문이다. ●시중은행 생체인증 이용 ATM 서울권에 손꼽아… 상용화 의문 올해 초 우리은행과 IBK기업은행은 자동화기기(ATM)에서 입출금, 계좌조회, 송금 등을 할 때 카드나 통장 없이도 홍채 인증만으로 본인임을 식별해 거래할 수 있는 ‘홍채인증 ATM’을 선보였다. 우리은행은 서울 지역 5개 지점에, 기업은행은 임직원 전용으로 2대를 설치했다. 하지만 반년이 지나도록 이 숫자는 더 늘지 않고 있다. 앞서 신한은행은 지난해 말 금융권 최초로 정맥 인증을 통해 비대면 실명 확인 후 통장 개설까지 할 수 있는 ‘디지털 키오스크’를 선보였다. 금융권에서 유일하게 생체인증으로 비대면 실명 확인까지 가능한 시스템이지만 직접 키오스크 기계에 가서 정맥 등록을 해야 하는 불편함이 비대면의 장점을 상쇄시켰다. 디지털 키오스크는 현재 수도권을 중심으로 24대 있다. ●생체정보 바꿀 수 없어 대체 불가… 금융사 수집·활용 표준화 지침 없어 공인인증서나 보안카드 등은 복제나 분실 우려가 있었던 데 반해 생체인증 방식은 개인의 고유한 특성을 활용해 식별하는 것이어서 가장 강력한 개인 식별 수단으로 여겨진다. 대신 하나밖에 없기 때문에 한번 유출될 경우 이를 바꿀 수 없다는 위험이 있다. 지문의 경우 우리나라에서는 주민등록번호를 발급받을 때 함께 등록되기 때문에 주민번호가 해킹될 경우 지문정보도 함께 유출될 수 있다는 지적도 나온다. 이 때문에 금융사들은 주로 금융사 서버에 고객의 생체 정보를 저장하지 않고, 공인인증서처럼 개인의 단말기에 저장한 뒤 불러내는 방법을 사용하고 있다. 노트7을 활용한 홍채인증이 이런 방식이다. 금융사 서버에 저장할 경우 전산망 보안에 대한 부담이 커지기 때문이다. 하지만 공인인증서처럼 금융사 간 호환이 가능해지고 다른 기기에서도 이용할 수 있으려면 궁극적으로는 금융사 전산망에 저장하는 방식을 고려할 수밖에 없다. 생체 정보 수집과 활용에 관한 표준화된 지침이 필요하다는 주장도 있다. 김상봉 한성대 경제학과 교수는 “생체인증은 한번 유출되면 치명적이기 때문에 조심스럽게 접근해야 한다”면서 “다만 여러 가지 새로운 기술이 도입되는 상황에서 일원화된 가이드라인을 적용하기보다는 자체적으로 시스템을 관리하되 유출될 경우 강력하게 처벌해야 한다”고 제안했다. 신융아 기자 yashin@seoul.co.kr

국가기밀 등 유출 여부는 수사 국방부 관계자 연루도 확인 중 북한 해킹 조직으로 추정되는 단체가 올해 1∼6월 정부 외교·안보 부처 공무원과 전문가 등 수십명을 대상으로 이메일 해킹 시도를 해 절반 이상의 계정 비밀번호를 유출한 사실이 검찰 수사 결과 드러났다. 대검찰청 사이버수사과는 1일 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱) 공격을 통한 이메일 계정 탈취가 시도됐다는 신고를 접수해 수사한 결과 북한 해킹조직으로 추정되는 단체가 총 27개의 피싱 사이트를 개설해 조직적으로 범행한 사실을 확인했다고 밝혔다. 범행 대상은 국방부와 외교부, 통일부 등 외교·안보 부처 공무원과 출입기자, 북한관련 연구소 교수 등 90명이며 이메일 계정에 접근해 계정 비밀번호 56개를 유출했다. 이들은 이메일을 통해 오간 각종 비밀 등 자료를 확보하기 위해 해킹을 시도한 것으로 보고 있다. 실제로 국가기밀 자료 등이 유출됐는지는 계속 수사 중이다. 검찰은 “범행에 이용된 도메인 호스팅 업체와 보안 공지를 위장한 피싱 이메일 내용과 피싱 사이트의 웹 소스코드 등을 검토한 결과 2014년 발생한 한국수력원자력 자료 유출 사건과 수법이 동일해 북한 해킹조직의 소행으로 추정된다”고 밝혔다. 이들은 올해 1월 12일 국내 무료 도메인 호스팅 업체 서버를 이용해 피싱 사이트를 개설하고 외교부와 방산업체, 대학교, 각종 포탈업체 사이트로 꾸민 뒤 이 사이트의 보안담당자를 사칭해 “비밀번호가 유출됐으니 확인 바란다”는 내용의 메일을 보내는 방식으로 접근했다. 가짜 비밀번호 변경창을 만들어 비밀번호를 입력하도록 유도하는 방식으로 정보를 빼냈다. 북한 소행으로 추정되는 해킹의 타깃이 된 외교안보 부처에서는 피해 상황 등을 확인하고 있지만 아직 인트라넷과 업무용 메일 계정이 해킹된 사례는 파악되지 않은 것으로 전해졌다. 문상균 국방부 대변인은 “국방부 관계자의 연루 여부도 사실관계를 확인 중”이라고 말했다. 통일부 관계자는 “이는 국가안보를 위협하는 엄중한 도발”이라면서 “북한은 이러한 행동을 즉각 중단해야 한다”고 덧붙였다. 최지숙 기자 truth173@seoul.co.kr 강병철 기자 bckang@seoul.co.kr

2014년 한수원 사건과 수법고과 동일…“비밀번호 유출됐으니 바꾸라” 접근 대검, 27개 피싱사이트·56명 계정 노출 확인…자료유출 여부는 수사 중 북한 해킹 조직으로 추정되는 단체가 올해 1∼6월 정부 외교·안보 부처 공무원과 전문가 등 90명을 대상으로 이메일 해킹 시도를 해 56명의 계정 비밀번호가 노출됐던 것으로 검찰 수사 결과 드러났다. 대검찰청 사이버수사과는 1일 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱) 공격을 통한 이메일 계정 탈취가 시도됐다는 신고를 접수해 수사한 결과, 북한 해킹조직으로 추정되는 단체가 총 27개의 피싱 사이트를 개설해 조직적으로 범행한 사실을 확인했다고 밝혔다. 범행 대상은 국방부와 외교부, 통일부 등 외교·안보 부처 공무원과 출입기자, 북한관련 연구소 교수 등 90명이며 이메일 계정에 접근해 56개의 계정 비밀번호를 유출한 것으로 파악됐다. 56명의 이메일을 들여다봤을 가능성이 있다는 얘기다. 이들은 이메일 및 전자우편을 통해 오간 각종 비밀 등 자료를 확보하기 위해 해킹을 시도한 것으로 추정된다. 실제로 국가기밀 자료 등이 유출됐는지는 계속 수사 중이다. 검찰은 “범행에 이용된 도메인 호스팅 업체와 보안 공지를 위장한 피싱 이메일 내용, 피싱 사이트의 웹 소스코드, 탈취한 계정의 저장파일 형식, IP 주소 등을 검토한 결과 2014년 발생한 한국수력원자력 자료 유출 사건과 수법이 동일해 북한 해킹조직의 소행으로 추정된다”고 밝혔다. 이들은 올해 1월 12일 국내 무료 도메인 호스팅 업체 서버를 이용해 총 27개의 피싱 사이트를 개설해 외교부와 방산업체, 대학교, 각종 포탈업체 사이트를 사칭한 것으로 드러났다. 범인들은 이 사이트의 보안담당자를 사칭해 피해자에게 “비밀번호가 유출됐으니 확인바란다”는 내용의 메일을 보내는 방식으로 접근한 뒤 피해자가 직접 가짜 비밀번호 변경창에 비밀번호를 입력하도록 유도한 것으로 나타났다. 검찰은 국가정보원, 한국인터넷진흥원과 협조해 문제가 된 피싱 사이트를 폐쇄하고 피해자가 비밀번호를 변경하도록 알려주는 등 보호조치를 했다. 또 탈취된 계정을 통해 추가 해킹 및 자료 유출 행위가 발생할 것으로 보고 이를 예방하기 위한 온라인상 감시활동을 강화하기로 했다. 대검 관계자는 “사설 이메일을 업무에 사용하는 것을 자제하고 비밀번호는 수시로 변경하는 것이 중요하다”며 “특히 공공기관은 외부 인터넷 사용을 자제하고 주요 업무 수행 시에는 인터넷을 차단하는 등 보안조치를 해두는 것이 좋다”고 당부했다. 연합뉴스

국내 대표 인터넷 쇼핑몰 ‘인터파크’가 해킹 피해로 약 1030만명의 고객정보가 유출된 사실을 알고도 2주 늦게 공지한 이유에 대해 인터파크 측이 “(거액의 금품을 요구한) 범인(해커)과 수차례 협상을 하면서 경찰 측에 단서를 제공하고 있었다”라고 밝혔다. 주세훈 인터파크 마케팅 지원실 상무는 27일 CBS라디오 <김현정의 뉴스쇼>와의 전화 인터뷰에서 지난 11일 고객 데이터베이스(DB) 서버가 해킹을 당한 사실을 2주 뒤에 공지한 이유를 묻는 질문에 “저희가 다소 좀 불리하더라도 침해 사실 공개를 좀 유보하고 경찰 수사에 적극 협력하는 것이 맞다고 생각했다”면서 “범인을, 단서를 잡기 위해서는 이메일이 오고가면서 그 사람들(범인)이 보내오는 이메일의 IP를 추적해야 하는 부분이 있었다”고 말했다. 해커는 정보유출에 성공하자 인터파크 측에 이메일을 보내 “개인정보 유출 사실을 공개하겠다”며 거액의 금품을 요구한 것으로 전해졌다. 주 상무는 “해킹을 사전에 못 막기는 했지만 범인 검거를 통해서 회원들의 개인정보가 추가 유출되는 2차 피해를 막는 것이 최우선이라고 판단했다”면서 “2주 동안 범인과 수차례 협상을 전개하면서 경찰 측에 단서를 제공하고 있었다”고 설명했다. 하지만 개인정보 유출 사실이 언론을 통해 알려지면서 협상은 끝난 것으로 전해졌다. ‘해킹을 당한 것이 5월이고, 해킹이 됐다는 사실을 안 건 7월 11일인데, 두 달 동안 (해킹 피해 사실을) 전혀 몰랐느냐’는 질문에 주 상무는 “전혀 몰랐다”면서 “저희 스스로도 참담하고 회원들께 죄송스러운 마음”이라고 말했다. 신속한 공지 등 빠른 대처가 아쉽다는 지적에 대해 주 상무는 “이번 유출 정보에는 주민등록번호라든지 금융정보가 없어서인지 저희 업체에 직접 협박을 해온 경우라서 범인 검거를 위한 비중을 뒀던 사안인 것 같다”면서 해킹 사실을 끝까지 감추려고 했던 것은 아니라고 해명했다. 이번 고객정보 유출 사태 이후 인터파크가 약관을 변경한 사실이 알려지면서 또다른 논란이 초래됐다. 인터파크는 ‘회원이 자신의 ID 및 비밀번호 또는 개인정보 등을 도난당하거나 제3자가 사용하고 있음을 인지한 경우에는 바로 인터파크에 알려야 한다’는 내용으로 약관을 변경했다. 이에 ‘개인 부주의로 개인정보가 유출되면 회사 책임은 없다는 것이냐’는 식의 반발이 이어졌다. 논란이 일자 주 상무는 “이 부분은 정말 오해”라면서 “이번 개인정보 유출과는 전혀 무관한 내용으로, 기존의 다른 업체들도 서비스 중이었던 페이스북이나 카카오톡 같은 소셜네트워크서비스(SNS) ID로 손쉽게 로그인하는 서비스(연동 서비스) 도입을 위한 공지였다. 그 관리(연동 서비스 로그인) 부분에 대해서 문제가 생겼을 때는 인터파크에 빨리 알려주셔야 저희가 사고라든지 이런 부분들을 미연에 방지할 수 있다는 부분을 알려드리는 부분”이었다고 해명했다. 그러나 주 상무는 “불필요한 오해를 야기하고 있어서 해당 조항을 삭제하고 서비스도 일부 유보시킨 상태”라고 말했다. 오세진 기자 5sjin@seoul.co.kr

직원 PC 악성코드 감염·해킹 이름·이메일·전화번호 빼내 주민번호·금융정보는 안 뚫려 미래부·방통위 합동조사 착수 인터넷 쇼핑몰 인터파크의 고객 데이터베이스(DB)가 해킹돼 1030만명의 회원 개인정보가 유출됐다. 해킹 세력은 인터파크 사장에게 메일로 ‘비트코인(온라인 가상화폐) 30억원어치를 내놓으라’고 협박한 상태다. 경찰청 사이버수사과는 25일 “회원 1030만명의 개인정보가 해킹으로 유출됐고, 대가를 지불하지 않으면 정보를 유포하겠다며 해킹범들이 협박했다고 인터파크 측이 지난 13일 신고해 수사에 착수했다”면서 “우선 해외 인터넷 프로토콜(IP)을 통해 접속한 해킹 세력의 소행으로 보고 있다”고 밝혔다. 유출 정보는 회원별 인터파크 계정 아이디와 비밀번호, 이름, 생년월일, 이메일 주소, 전화번호 등이다. 다만 주민등록번호, 신용카드 번호, 계좌번호 등 금융정보는 유출되지 않았다. 2012년 8월 시행된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안’에 따라 온라인 회사는 회원의 주민번호 정보를 보관하지 못한다. 경찰은 지난 5월 인터파크의 한 직원이 악성코드가 담긴 이메일을 받았고, 이 직원이 이메일을 열어 보면서 PC가 악성코드에 감염된 것으로 보고 있다. 해킹 세력은 이 PC를 통해 DB 서버에 접근 권한이 있는 직원의 PC를 해킹했고, 이후 개인정보를 유출한 것으로 경찰은 추정하고 있다. 경찰은 해당 악성코드를 지능형 지속가능 위협(APT) 형태로 파악했다. APT는 메일이나 웹문서를 통해 악성코드를 설치하고 오랜 기간 잠복하면서 원격으로 PC를 제어해 원하는 정보를 빼 가는 방식이다. 2008년 1000만명의 회원 개인정보가 유출된 옥션 사태, 2011년 넥슨(1320만명)·네이트(3500만명) 사태 및 2014년 KT(1170만명) 사태 등도 같은 방식의 악성코드에 당해서 발생했다. 경찰은 해당 해킹 세력이 추적을 피하기 위해 미주, 유럽, 아시아 등 여러 대륙의 해외 서버를 경유한 것으로 보고 해당 국가에 공조 수사를 요청한 상태다. 미래창조과학부와 방송통신위원회도 민간 전문가들과 함께 ‘민관 합동조사단’을 구성, 진상 파악에 나섰다. 미래부는 침해사고 원인 분석, 개인정보 유출에 악용된 취약점 등을 보완·조치할 수 있도록 기술 지원을 실시한다. 방통위는 개인정보 불법 유통, 노출과 관련해 모니터링을 강화하고 개인정보침해신고센터(118)를 24시간 가동한다. 미래부 관계자는 “정보 유출이 예상되는 이용자들은 2차 피해를 막기 위해 비밀번호를 변경해야 한다”고 밝혔다. 강동화 인터파크 대표는 “고객 정보를 지키지 못한 것에 대해서는 변명의 여지가 없으며 회원들께 머리 숙여 사과드린다”면서 “범인 검거와 정보 유통 방지를 위해 사이버안전국 등 관계 기관 및 포털 사업자들과 긴밀히 공조하겠다”고 말했다. 이민영 기자 min@seoul.co.kr 박재홍 기자 maeno@seoul.co.kr

국내 대표 인터넷 쇼핑몰 인터파크가 해킹으로 약 1030만명의 고객정보가 대량 유출돼 경찰이 수사에 나섰다. 민관합동조사단을 꾸려 조사에 착수한 정부는 고객정보 유출로 ‘파밍’, ‘피싱’ 등 2차 피해가 우려된다며 주의를 당부했다. 파밍은 PC를 악성코드에 감염시켜 이용자가 인터넷 즐겨찾기나 포털사이트 검색을 통해 정상 홈페이지 주소로 접속해도 가짜 홈페이지(피싱 사이트)로 유도돼 해커가 금융거래 정보 등을 빼가는 것을 말한다. 피싱은 금융기관을 사칭해 이메일 발송한 뒤 이메일에서 안내하는 인터넷 주소를 클릭하도록 유도해 가짜 은행사이트로 접속 유도해 금융정보 탈취하는 사기 수법을 가리킨다. 25일 경찰과 인터파크에 따르면 지난 5월 인터파크 고객 데이터베이스(DB) 서버가 해킹당해 고객 1030만여명의 이름, 아이디, 주소, 전화번호 등 개인정보가 유출됐다. 해킹은 인터파크 직원에게 악성 코드를 심은 이메일을 보내 해당 PC를 장악한 뒤 오랜 기간 잠복했다가 DB서버에 침투한 것으로 추정된다. 주민등록번호는 정보통신망 이용촉진 및 정보보호에 관한 법률상 업체에서 보관하지 않아 이번 공격으로 유출되지 않은 것으로 파악됐다. 해커는 정보유출에 성공하자 인터파크 측에 이메일을 보내 “개인정보 유출 사실을 공개하겠다”며 거액의 금품을 요구한 것으로 전해졌다. 경찰청 사이버안전국은 이달 중순쯤 인터파크 측으로부터 금품과 관련한 협박을 받는다는 신고를 받고 수사에 착수했다. 경찰은 해커들이 여러 국가를 경유해 인터파크 전산망에 침투한 것으로 보고 해킹이 시작된 인터넷 프로토콜(IP) 추적에 주력하고 있다. 인터파크 측은 “주민등록번호와 금융정보가 빠져 있음에도 범인이 거액을 요구하고 있다”면서 “고객정보를 지키지 못한 것은 변명의 여지가 없고, 범인 검거와 정보 유통 방지를 위해 관계기관과 긴밀히 공조하겠다”고 말했다. 인터파크는 현재 2차 해킹 등에 대비해 추가 공격을 막기 위한 비상 보안 시스템을 가동하고 있으며 보안 전문 인력들이 시스템을 관리 중이라고 밝혔다. 인터파크는 “오늘 중으로 고객들에게 홈페이지를 통해 해킹 관련 내용을 공지할 예정이다”고 밝혔다. 한편 미래창조과학부와 방송통신위원회는 이번 유출 사고의 원인을 조사하기 위해 민관합동조사단을 구성해 조사를 한다고 이날 밝혔다. 방통위는 개인정보 유출 사고에서 이용자를 보호하기 위해 개인정보 불법유통 및 노출 검색 모니터링을 강화하고 개인정보침해신고센터도 24시간 가동하기로 했다. 신고접수는 전화(118)와 개인정보보호 포털(www.i-privacy.kr)에서 할 수 있다. 미래부는 유출된 개인정보를 이용한 파밍·피싱 등 2차 피해 예방을 위해 비밀번호를 변경하는 등 이용자가 사이버사기 대처 요령을 숙지하고 주의를 기울일 것을 당부했다. 사이버사기 대처 요령은 보호나라(www.boho.or.kr) 게시판을 통해 확인할 수 있다. 온라인뉴스부 iseoul@seoul.co.kr

개인정보 판매 브로커와 결탁 해커·택배기사까지 동원 ‘조직화’ 간통죄 폐지를 틈타 외도가 의심되는 배우자의 사생활을 조사한 심부름센터 업자들이 경찰에 붙잡혔다. 이들은 개인정보 판매 브로커와 결탁해 해커와 택배기사까지 뒷조사에 동원했다. 서울지방경찰청 사이버수사대는 전국 심부름센터에 개인정보를 팔아넘긴 브로커 홍모(40)씨와 통신사 서버에 접속해 위치정보를 빼낸 해커 김모(27)씨, 서비스센터 업자 임모(40)씨 등 3명을 개인정보보호법 위반 등의 혐의로 구속했다고 4일 밝혔다. 주소를 빼돌린 택배기사 윤모(43)씨와 또 다른 심부름센터 대표 강모(45)씨, 그리고 이들에게 불법 정보를 의뢰한 가정주부, 회사원, 공무원 등 36명은 불구속 입건했다. 경찰에 따르면 2015년 2월 간통죄가 폐지된 후 심부름센터는 2배로 늘어나 3000개에 이른다. 이들은 인터넷에 ‘차량 조회 15만원, 출입국 조회 45만원, 병원기록 40만원, 재산 조회 30만원’ 등 홍보성 게시글을 올리고 외도가 의심되는 배우자나 사위를 뒷조사해 달라는 의뢰를 받았다. 헤어진 여자친구, 딸의 남자친구 위치를 추적해 달라는 의뢰도 있었다. 해커 김씨는 피처폰(일반 휴대전화)의 보안 취약점을 이용, SK텔레콤의 위치정보 서버 주소(URL)를 알아낸 뒤 위치정보 서버와 교신하는 데이터를 조작하는 수법으로 위치정보를 탈취했다. 김씨는 이렇게 얻은 위치정보를 홍씨에게 건당 30만원에 넘겨 총 5000만원을 챙겼다. SK텔레콤은 이번 사건으로 경찰이 연락하기 전까지 위치정보를 암호화하지 않은 것으로 조사됐다. 다른 통신사들은 특정 IP에서만 위치정보를 조회할 수 있도록 제한하고 위치정보가 조회됐을 때 이용자에게 그 사실을 문자로 통보했다. 택배기사 윤씨는 ‘모바일 택배관리시스템’에 접속해 알아낸 택배 배송지 주소를 건당 15만원에 유출한 혐의를 받고 있다. 홍씨는 해커와 택배기사에게 받은 정보를 심부름센터에 넘겨 2014년 8월부터 지난 5월까지 647회에 걸쳐 2억 7477만원을 벌었다. 홍씨에게 정보를 받은 임씨는 2014년 8월부터 지난 5월까지 ▲휴대전화 위치 조회 80만원 ▲주소 조회 70만원 ▲가족 관계 150만원 ▲차량 위치추적기 250만원(1주) 등의 가격으로 의뢰인 557명에게 7억 5000만원을 받아 챙겼다. 경찰 관계자는 “임씨가 운영하는 심부름센터는 업계 1위로 알려졌는데, 의뢰자의 80%는 외도를 의심한 배우자의 사생활을 뒷조사해 달라는 것이었다”고 설명했다. 경찰은 심부름센터 업자 상당수가 비슷한 방법을 통해 불법적으로 정보를 얻을 것으로 보고 수사를 확대할 계획이다. 이민영 기자 min@seoul.co.kr

폭로 전문 웹사이트 ‘위키리크스’의 창립자 줄리언 어산지가 미국 민주당의 대선 후보 힐러리 클린턴의 이메일 스캔들을 부채질하겠다고 선언하고 나섰다. 12일(현지시간) 영국 일간 가디언에 따르면 어산지는 영국 ITV 인터뷰에서 “위키리크스가 클린턴 전 국무부 장관의 이메일을 추가로 폭로하려고 준비하고 있다”고 말했다. 어산지는 새로 공개될 이메일의 규모나 폭로 시점에 대해서는 구체적 발언을 아꼈다. 장관 시절 송수신한 이메일 중 나중에 기밀로 분류된 것들이 상세하게 공개된다면 대선 본선을 준비하는 클린턴 전 장관에게 악재가 될 것으로 예상된다. 가디언은 위키리크스의 새 폭로로 클린턴 전 장관의 이메일 스캔들을 비판하는 공화당 대권후보 도널드 트럼프가 추가로 ‘실탄’을 얻을 수 있다고 보도했다. 최근 클린턴 전 장관은 장관 시절 보안 등급이 낮은 시스템을 통해 1급 비밀인 파키스탄 드론 공습 계획을 개인 이메일로 받은 사실이 보도돼 비판을 받고 있다. 어산지는 클린턴 전 장관이 “오랫동안 진보 진영에서 전쟁을 옹호하는 논객으로 활동해왔다”고 비판했다. 그는 국방부의 만류에도 리비아에서 무아마르 카다피 정권을 타도한 장본인이 클린턴 전 장관이라는 사실을 보여주는 이메일은 이미 폭로했다고 주장했다. 당시 카다피를 제거한 뒤에 권력 공백에 따른 혼란이 중동 전체를 뒤덮을 것이라는 점을 미국 관리들이 이미 아는 상황이었다고 강조하기도 했다. 호주에 국적을 둔 어산지는 2010년 스웨덴에서 성폭행 혐의로 수배된 뒤 2012년부터 지금까지 영국 런던에 있는 에콰도르 대사관에 망명 신청자로 머물고 있다. 클린턴 전 장관은 국무장관으로 재직하던 2009년 1월부터 2013년 2월까지 정부가 지정한 서버가 아닌 자신의 개인 서버를 이용해 이메일을 주고받았다. 그 때문에 기밀이 해킹될 우려가 있어 국가안보를 위협했다는 비판을 받았을 뿐만 아니라 기밀이 없었다고 항변한 말이 거짓말 논란으로 이어지기도 했다. 미국 국무부는 문제의 이메일 가운데 나중에 기밀로 지정된 것들을 제외한 3만여건을 공개했다. 뉴욕타임스에 따르면 개인 서버로 송수신된 이메일 중에는 1급 비밀이 22건, 2급 비밀이 65건, 3급 비밀이 2028건이 있던 것으로 나타났다. 온라인뉴스부 iseoul@seoul.co.kr

위키리크스 창립자 줄리언 어산지가 미국 민주당의 대선후보 힐러리 클린턴의 이메일 스캔들을 부채질하겠다고 선언하고 나섰다. 12일(현지시간) 영국 일간지 가디언에 따르면 어산지는 영국 ITV 인터뷰에서 “위키리크스가 클린턴 전 국무부 장관의 이메일을 추가로 폭로하려고 준비하고 있다”고 말했다. 어산지는 새로 공개될 이메일의 규모나 폭로 시점에 대해서는 구체적 발언을 아꼈다. 장관 시절 송수신한 이메일 중 나중에 기밀로 분류된 것들이 상세하게 공개된다면 대선 본선을 준비하는 클린턴 전 장관에게 악재가 될 것으로 예상된다. 가디언은 위키리크스의 새 폭로로 클린턴 전 장관의 이메일 스캔들을 비판하는 공화당 대권후보 도널드 트럼프가 추가로 ‘실탄’을 얻을 수 있다고 보도했다. 최근 클린턴 전 장관은 장관 시절 보안 등급이 낮은 시스템을 통해 1급 비밀인 파키스탄 드론공습 계획을 개인 이메일로 받은 사실이 보도돼 비판을 받고 있다. 어산지는 클린턴 전 장관이 “오랫동안 진보진영에서 전쟁을 옹호하는 논객으로 활동해왔다”고 비판했다. 그는 국방부의 만류에도 리비아에서 무아마르 카다피 정권을 타도한 장본인이 클린턴 전 장관이라는 사실을 보여주는 이메일은 이미 폭로했다고 주장했다. 당시 카다피를 제거한 뒤에 권력 공백에 따른 혼란이 중동 전체를 뒤덮을 것이라는 점을 미국 관리들이 이미 아는 상황이었다고 강조하기도 했다. 호주에 국적을 둔 어산지는 2010년 스웨덴에서 성폭행 혐의로 수배된 뒤 2012년부터 지금까지 영국 런던에 있는 에콰도르 대사관에 망명신청자로 머물고 있다. 클린턴 전 장관은 국무장관으로 재직하던 2009년 1월부터 2013년 2월까지 정부가 지정한 서버가 아닌 자신의 개인 서버를 이용해 이메일을 주고받았다. 그 때문에 기밀이 해킹될 우려가 있어 국가안보를 위협했다는 비판을 받았을 뿐만 아니라 기밀이 없었다고 항변한 말이 거짓말 논란으로 이어지기도 했다. 미국 국무부는 문제의 이메일 가운데 나중에 기밀로 지정된 것들을 제외한 3만여건을 공개했다. 뉴욕타임스에 따르면 개인 서버로 송수신된 이메일 중에는 1급 비밀이 22건, 2급 비밀이 65건, 3급 비밀이 2천28건이 있던 것으로 나타났다. 한편 어산지는 민주당 행정부의 로레타 린치 미국 법무부 장관이 클린턴 전 장관을 공직 이메일과 관련한 범법 혐의로 기소할 가능성은 희박하다고 내다봤다. 그는 “기소는 불가능한 일”이라며 “다만 (사건을 조사하고 있는) 연방수사국(FBI)이 차기 클린턴 행정부로부터 뭔가를 얻어내려고 할 것”이라고 말했다. 연합뉴스

이미지, 비디오 및 스트리밍 등 인터넷의 이용 패턴 변화와 더불어 고용량 콘텐츠와 트래픽, 데이터에 대한 소비가 증가하고 있다. 일상 생활에서 온라인이 차지하는 비중이 높아짐에 따라 IT산업의 기초 인프라도 함께 진화가 필요한 상황이다. 이런 인프라의 변화의 중심에는 데이터를 저장하고 유통하는 IT설비, 즉 ‘데이터센터’가 있다 할 수 있으며 그 역할은 점점 더 중요해지고 있다. 기존 운영되고 있는 다수의 데이터센터는 90년대 후반~2000년도 초반을 기준으로 텍스트 및 이미지 중심의 저용량 컨텐츠를 유통하는 것에 적합하게 설계되었다. 하지만 현재의 대다수 컨텐츠는 동영상 등 고용량 컨텐츠, 실시간으로 움직이는 전자상거래 트래픽등 과거와는 비교할 수 없는 역동적이고 민감한 데이터들이 유통되고 있다. 이러한 데이터 유통 및 저장의 핵심 역할을 수행하는 데이터센터를 선정하는 기준은 까다로워야할 것이다. 차세대에 적합한 데이터센터 선정 시에 고려해야 할 요소들은 무엇이 있을까? 우선, 안정성을 기반으로한 가용성 및 확장성이다. 데이터센터는 서버랙을 수용하는 전산실 상면과 서버장비에 공급하는 무정전 전력이 핵심이다. 특히 비용절감을 위해 데이터센터의 고집적화가 진행됨에 따라 서버 가용전력이 충분히 확보가 되어 있는지가 중요한 요소가 되었다. 국내의 경우 2000년 초 중반에 구축된 센터는 랙당 2~3kW 수준이나 현 시점에서 센터를 선정한다면 최소 4kW/랙 이상의 설비용량을 갖춘 데이터센터를 찾아보는 것이 좋다. 서버장비는 기술발전에 따라 부피는 감소하지만 컴퓨팅 성능은 증가되고 있다. 결국 전산실내 단위 면적당 전력을 더 많이 소모하게 되므로 가능한 전력용량을 보유하고 있는 데이터센터가 미래의 확장성을 보장받을 수 있게 된다. 한 번 데이터센터를 선정하면 옮기기 어렵기 때문에 중장기적 관점에서도 확장성을 고려한 데이터센터 선정이 중요하다. 데이터센터의 가용성은 전산실내 서버장비를 지원하기 위한 인프라설비가 어떻게 구성되어 있는가를 평가하는 것이다. 물리적인 인프라측면에서 구분하자면 전원공급을 위한 전력설비와 전산실 냉방을 위한 냉방설비로 구분할 수 있다. 데이터센터는 한번 가동에 들어가면 센터 수명이 다할때까지 24*365일 운영되어야 하는 특징이 있으며, 건축수명이 50년이라 가정하면 건물 내 인프라 설비는 적어도 2~3번은 교체되어야 한다. 데이터센터를 선정하는 지금 당장은 아니라도 향후 주요 인프라 교체 시점이 오게되면 입주한 센터를 근간으로 하는 입주고객의 IT 서비스는 장애 위험성에 노출될 수 밖에 없다. 이러한 측면에서 입주 전 물리적 인프라에 대한 가용성 평가가 이루어져야 한다. 가용성 평가는 1차적으로는 제안서 상의 데이터센터 인프라 구성 개요 확인 그리고 이를 바탕으로 센터 방문 실사를 통해 확인 할 수 있다. 물리적인 안전성과 보안성 또한 염두해야 된다. 개인정보나 생체정보, 금융 정보 등이 IT에 상당부분 의존하고 있으므로 물리적 보안사고나 해킹 위협 등에 대비해야 한다. 특히, 홍수, 지진, 화재 등 예기치 못한 자연재해에 대해서도 물리적 안전성이 보장된 데이터센터를 선정하는 것이 필수다. 데이터센터 이용료는 랙비용과 전력비용으로 구성되며 랙 전력밀도가 높아질수록 전력비 비중이 높아지게 된다. 결국 동일센터라도 얼마나 에너지효율이 좋은가에 따라 전력비가 달라지게 되므로 비용절감을 위해 에너지효율성도 살펴봐야한다. 에너지효율은 서버에서 발생하는 열을 얼마나 효율적으로 처리하고 있는에 따라 센터간 차이가 발생하는데 이를 비교하기 위해 PUE라는 지표가 도입되었으며 사실상 전세계 업계의 대표적인 에너지효율지표로 활용되고 있다. 보통 국내기준 기존 일반 상업용 데이터센터에서 1.7 정도의 PUE지수일 때 고효율 센터로 간주되고 있다. (PUE란, 데이터센터가 전력을 얼마나 효율적으로 사용하는지를 나타내는 지표이며, 낮을수록 효율이 좋은 것으로 판단한다.) 그러나 지난 몇년간 에너지비용이 증가하면서 데이터센터의 에너지효율성에 관심이 증대되었고 효율적인 설계, 적극적 프리쿨링 설비 도입등으로 최근 PUE 1.4 수준의 상업용 데이터센터가 구축되었다. 문제는 이러한 조건을 두루 갖춘 데이터센터를 국내에서 찾기는 쉽지 않다는 데에 있다. ’15년 하반기 오픈한 LG유플러스의 평촌메가센터와 금년 하반기 오픈 예정인 신규 데이터센터 등 몇몇에 국한 될 것으로 보인다. 당장은 평촌메가센터가 아시아 최대 규모, 세계 최대 전력용량 확보, 자체 냉방효율 특허를 보유하는 등 글로벌 경쟁력을 갖추고 있어 국내 IT업계의 위안이 되고 있다. 향후 이러한 미래형 데이터센터로의 진화가 가속화되어 IT업계가 보다 안정적으로 사업을 수행할 수 있는 환경이 조성될 수 있기를 기대해 본다. 온라인뉴스부 iseoul@seoul.co.kr

북한 해킹조직이 국내 금융 정보 보안업체를 해킹해 전자인증서를 탈취하는 수법으로 국세청과 서울시청 등 공공기관 PC에 악성 프로그램을 만들어 유포한 사실이 드러났다. 개인정보범죄 정부합동수사단(단장 손영배)은 북한 해킹조직이 보안업체 I사의 전자인증서를 탈취해 ‘코드서명’을 위조한 뒤 악성 프로그램을 만들어 유포한 것으로 확인됐다고 31일 밝혔다. 코드서명은 컴퓨터에 프로그램을 설치하기 전에 해당 프로그램이 신뢰할 수 있다는 점을 확인하는 수단이다. 올해 2월 한 백신업체가 I사 코드서명이 탑재된 악성 프로그램을 발견한 것을 계기로 수사를 진행한 합수단은 관련 자료 분석과 관계자 조사 등으로 유포 경로를 확인했다. 수사 결과 북한 해킹조직은 지난해 11월쯤 I사의 전산 서버를 해킹하고 내부 자료를 빼낼 수 있는 악성 프로그램을 설치한 것으로 밝혀졌다. 김양진 기자 ky0295@seoul.co.kr

1890년대 미국 서부 은행강도 실화를 바탕으로 만든 ‘내일을 향해 쏴라’(1969년)에서 주인공 부치 캐시디(폴 뉴먼)와 선댄스 키드(로버트 레드퍼드)는 복면과 권총으로 은행을 턴다. 1960년대를 배경으로 한 영화 ‘쇼생크 탈출’(1994년)에서는 복역수인 앤디 듀프레인(팀 로빈스)이 교도소를 탈출한 뒤 정장 차림으로 은행에 들어가 위조 서류를 내밀어 현금을 챙겨 온다. 두 영화는 ‘19세기 은행강도’에게는 복면과 권총이, ‘20세기 은행 강도’에게는 위조 문서와 두둑한 배짱이 필수라는 걸 알게 해 준다. 세상의 변화에 맞춰 은행강도도 진화한다. 21세기 은행강도들에게는 더이상 권총이나 위조 서류 같은 건 필요 없다. 무선 인터넷이 되는 노트북 한 대만 있으면 된다. 은행 주변에 숨어 밤이 오기만을 기다리거나 수표를 원본과 똑같이 위조해 줄 장인을 찾아 전국을 헤매던 은행강도들은 이제 최신 정보기술(IT)로 무장한 지능범으로 환골탈태했다. ●1차적 책임은 방글라데시… 美도 면책 힘들어 30일 금융업계에 따르면 최근 ‘사이버 은행강도’들은 과거에는 상상할 수 없던 첨단 소프트웨어들로 글로벌 금융 네트워크의 ‘약한 고리’를 찾아내 정밀하게 침투한다. 상대적으로 첨단 보안 시스템을 구축할 자금이 모자라는 동남아시아 지역 은행 등이 주요 타깃이 되고 있다고 영국 일간 파이낸셜타임스(FT)가 전했다. 지난 2월 미국 뉴욕 연방준비은행(연은)에 방글라데시 중앙은행 명의로 35건의 계좌 이체 요청이 접수됐다. 금액은 9억 5100만 달러(약 1조 2200억원). 뉴욕 연은은 별다른 의심 없이 이체를 진행시켰다. 하지만 스리랑카은행으로 2000만 달러(약 236억원)를 보내는 과정에서 직원이 자금 수령인 철자가 잘못된 것을 발견하고 스리랑카 측에 정확한 이름을 되묻는 과정에서 불법 인출 사실이 드러나 거래를 중단시켰다. 그때까지 이체된 자금이 8100만 달러(약 956억원). 이 정도만 해도 역대 은행강도 역사상 최대 규모 범죄로 기록될 수준이다. 당시 사태에 대해 미국과 방글라데시는 서로의 잘못이라며 책임을 떠넘겼다. 수사를 통해 지금까지 밝혀진 것은 해커들이 방글라데시 중앙은행 네트워크에서 국제은행간통신협회(SWIFT) 계좌 정보를 빼내 이체에 활용했다는 것이다. SWIFT는 전 세계 은행들끼리 저렴한 비용으로 금융거래를 할 수 있게 만든 국제 네트워크를 말한다. 해커들은 범행 전 방글라데시 은행 네트워크에 멀웨어(정보를 캐기 위해 심어둔 악성 소프트웨어)를 설치해 SWIFT 정보를 얻어낼 수 있었다. 어찌 됐건 1차적인 책임은 자신들의 계좌 보안을 소홀히 한 방글라데시 측에 있다고 볼 수 있다. 하지만 미국 또한 책임이 적다고 말하긴 어렵다. 당시 해커들이 돈을 보내려 했던 곳들은 대부분 개인 또는 민간업체들이었고, 뉴욕 연은이나 방글라데시 은행 등과 단 한 차례도 거래가 없던 곳들이었기 때문이다. 1조원이 넘는 거액을 이체할 만한 수령처들이 아니었기에 미국 측이 사전에 반드시 알아챘어야 했다. 전 세계 대부분 중앙은행의 달러를 맡아 관리해 ‘세계의 중앙은행’으로 불리는 뉴욕 연은이라면 이 정도 감지 시스템은 당연히 갖췄어야 하는 것 아니냐는 비판이 크다. ●첨단 보안 무용지물… 직원 성실이 추가 피해 막아 이번 범죄를 발견한 건 엄청난 돈을 들여 설치한 보안 시스템이 아니라 범죄자들이 저지른 아주 사소한 철자 실수를 찾아낸 은행 직원의 성실함이었다. 만약 수령인 철자가 틀리지 않았다면 두 나라 은행은 지금까지도 조(兆) 단위 현금이 사라진 사실 자체도 모르고 있을 수 있다. 안타깝지만 현 보안 시스템으로는 ‘21세기 은행강도’들을 완벽히 막아내기가 어렵다는 사실을 여실히 보여준다. 이번 범죄에 세 개의 해커그룹이 관여했고 이 가운데 둘은 파키스탄과 북한 소속이라는 것 말고는 아직까지도 확인된 게 거의 없다. 이체된 자금 8100만 달러는 돈세탁 목적으로 카지노로 흘러 들어간 것으로 추정된다. 돌려받을 가능성은 희박하다. 블룸버그는 “방글라데시 중앙은행에 앞서 베트남 시중은행에도 이번 사건과 유사한 사이버 공격이 나타났다”면서 “은행에 대한 사이버 공격을 두고 전 세계 금융기관들의 걱정이 커지고 있다”고 보도했다. 특히 베트남 은행을 공격하는 데 사용된 멀웨어에 중국 4대 은행 가운데 하나인 공상은행, 일본 최대 은행인 미쓰비시도쿄UFJ은행, 이탈리아 최대 은행 유니크레디트의 SWIFT 정보가 들어 있는 것으로 확인됐다. 한국의 KB국민은행도 포함됐다. 해커들이 마음만 먹으면 언제든 세계 유수의 은행들 금고도 열 수 있다는 뜻이기 때문이다. ●해커 조직 글로벌화… 인터폴도 검거 어려워 고트프라이드 라이브랜트 SWIFT 최고경영자(CEO)는 “최근 사례들을 보면 해커들은 단순한 자료 빼내기 수준을 넘어 은행들의 해외 자산에까지 손을 대는 수준에 이르렀다”면서 “앞으로 해커들의 사이버 공격이 계속될 것이고 이 가운데 몇 가지는 분명 성공할 것”이라고 우려를 나타냈다. 특히 전 세계 모든 PC들이 초고속 인터넷으로 연결되면서 ‘중국 출신 해커가 아프리카에 서버를 두고 동남아시아의 한 휴양지에서 노트북으로 전 세계 은행들을 해킹해 돈을 훔치는’ 시대가 됐다는 게 IT 보안업계의 설명이다. 어렵사리 정보 당국이 용의자를 찾아내도 인터폴과 협의해 해당 국가에 도움을 요청할 때엔 그는 이미 자취를 감춘 지 오래다. 현 범죄인 인도 방식으로 ‘21세기 은행강도’를 잡아내기란 매우 어렵다. 할리우드 영화에서는 해커들이 1~2명 단위로 은밀히 일하다 보니 해커들을 ‘나홀로 움직이는’ 존재로 여기는 경우가 많다. 하지만 실제 해커들은 대부분 마피아나 삼합회처럼 전 세계에 걸친 글로벌 네트워크 조직의 일원으로 활동한다. 해커 집단들은 크게 세 가지 사업 모델로 수익을 낸다. 우선 해킹을 원하는 일반인들에게 자신들이 개발한 프로그램을 팔거나 해킹 기술을 전수한다. 해커 조직들은 인터넷에서 ‘범죄 서비스’(Caas)라는 이름으로 고객을 끌어모으며 은행 계좌 로그인 정보를 빼낼 수 있는 악성 프로그램도 판매한다. 실력이 부족한 초보 해커들을 위해 컨설팅 서비스도 해 준다. 2009년부터 2011년까지 전 세계에서 1억 달러(약 1180억원)가 넘는 금융 피해를 입힌 전설적 해킹 프로그램 ‘제우스’는 한 개에 3000달러(약 350만원)에 팔려 동유럽 해커 조직에 자금줄 역할을 하기도 했다. ●돈 받고 대리 해킹 성행… 피해 숨기는 기업도 두 번째로 이들은 금융기관 해킹을 원하는 개인이나 조직을 대신해 일해 주고 사례금을 받는다. 일종의 ‘해킹 아웃소싱’인데 계약을 따내기 위한 글로벌 해커 조직들의 ‘수주전’은 상상을 초월한다. 세 번째로 자신들이 직접 ‘은행강도’를 기획하고 기관 정보를 빼내 돈을 갈취한다. 국내외를 막론하고 기업 운영에 불법적 요소가 많은 곳들은 해킹 자체보다도 사건이 알려져 당국의 조사를 받는 게 더 골치 아플 수 있다. 이 때문에 해킹 사실 자체를 덮고 넘어가는 기업들도 태반이다. 해커 조직들도 이런 ‘사회공학적 배경’까지 염두에 두고 전 세계의 ‘약한 고리’들을 찾아 다니며 대담하게 활동한다. 한국의 대표적 IT 전문가 가운데 한 사람인 김홍선 전 안랩 대표는 “해커들은 목표 기업의 구체적인 운영방식이나 CEO의 인간관계 등 우리 생각보다 훨씬 깊고 수준 높은 지식을 갖고 접근한다”면서 “이런 지식들은 내부자 정보나 해킹, 또는 이 두 가지 모두를 통해 얻어내는 것으로 보인다”고 밝혔다. 류지영 기자 superryu@seoul.co.kr

인터넷 쇼핑몰 전산 서버를 해킹해 5000만원대의 고급 카메라와 렌즈를 1만여원에 챙긴 고졸 해커가 경찰에 붙잡혔다. 서울 남대문경찰서는 이모(24)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 등의 혐의로 구속했다고 10일 밝혔다. 이씨는 지난달 26~29일 카메라를 판매하는 소규모 인터넷 쇼핑몰에 접속해 6차례에 걸쳐 고급 카메라 4대, 렌즈 13개를 구매했다. 물건값은 총 5577만원에 달했지만 이씨는 쇼핑몰 서버를 해킹해 1만 779원만 결제하고 물건을 배송받았다. 이씨는 이를 중고업체에 팔아 3330만원을 챙겼다. 경찰 조사 결과 검정고시로 고등학교를 마친 이씨는 독학으로 컴퓨터 프로그램을 배워 직접 해킹 프로그램을 만들었다. 이씨는 인터넷 쇼핑몰에서 물건값을 결제할 때 결제대행사 서버로 전송되는 인증값을 미리 알아내 상품 가격 정보를 조작하는 수법을 쓴 것으로 드러났다. 예를 들어 885만원짜리 디지털 카메라의 경우 ‘8850000’에서 ‘885’로 1만분의1로 조작했다. 이런 방식으로 각각 카메라, 렌즈 제품을 실제 가격의 0.01~0.1%에 구매했다. 경찰 관계자는 “이씨가 해킹 범죄로 교도소에서 2년을 복역하고 2014년 12월에 출소했는데, 또다시 같은 범행을 저질렀다”고 말했다. 이민영 기자 min@seoul.co.kr