‘신한카드 정보유출’ 업계 1위 카드사인 신한카드에서 3만 5000명의 개인정보가 유출됐다. 1억건의 정보 유출로 물의를 일으켰던 국민카드와 농협카드에서 6만여명의 고객 정보가 추가로 빠져나간 것으로 밝혀졌다. 금융당국은 모든 카드사들이 부정사용방지시스템(FDS)을 가동해 부정 사용 적발 시 곧바로 경찰에 통보하도록 했다. 금융감독원은 지난 12월 포스단말기 관리업체 서버를 해킹해 320만건의 카드 거래 정보를 빼낸 일당을 적발한 경찰이 수사 도중 이런 사실을 알게 된 것으로 밝혀졌다. 카드사별로는 제휴카드를 제외할 때 신한카드가 3만 5000건으로 고객 정보가 유출된 10개 회사 중 가장 많았다. 이밖에 국민카드는 3만 3000건, 농협카드는 3만건의 정보가 유출된 것으로 확인됐다. 금융당국 관계자는 “경찰에서 피해 내역을 받아 320만건을 분석해보니 유출 고객은 20만 5000명이었다”며 “신한카드의 정보 유출 고객이 가장 많았고 국민카드와 농협카드가 그 다음이었다”고 했다. 카드사에서 빠져나간 개인 정보는 이름, 전화번호, 카드번호, 유효 기간, OK캐시백 포인트카드 비밀번호 등으로 거의 모든 정보를 포함하고 있었다. 다만 신용카드 비밀번호는 빠져나가지 않았다. 그러나 신용카드와 포인트카드 비밀번호를 같이 쓰는 경우가 많아 카드 위조와 현금 인출에 악용된 것으로 알려졌다. 경찰청이 확인한 사고액만 268건에 1억 2000만원에 달한다. 적발된 일당들은 카드 이용자들에게 포인트 할인을 해준다며 직접 포인트카드 비밀번호를 물어본 뒤 이를 피해자들의 신용카드에 일일이 입력해 현금을 몰래 인출했다. 금융권 관계자는 “이용자들에게 구두로 비밀번호를 요구하는 경우는 없다”면서 “비밀번호를 요구받으면 반드시 입력기를 이용해야 한다”고 말했다. 이에 금감원은 현재 35만대의 포스단말기가 가동되는 점을 고려해 소프트웨어 방식의 보안 표준 프로그램을 조속히 설치, 해킹 등에 대처하도록 할 방침이라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

’포스단말기’ ‘신한카드 개인정보 유출’ 업계 1위 카드사인 신한카드에서 3만 5000명의 개인정보가 유출됐다. 1억건의 정보 유출로 물의를 일으켰던 국민카드와 농협카드에서 6만여명의 고객 정보가 추가로 빠져나간 것으로 밝혀졌다. 금융당국은 모든 카드사들이 부정사용방지시스템(FDS)을 가동해 부정 사용 적발 시 곧바로 경찰에 통보하도록 했다. 금융감독원은 지난 12월 포스단말기 관리업체 서버를 해킹해 320만건의 카드 거래 정보를 빼낸 일당을 적발한 경찰이 수사 도중 이런 사실을 알게 된 것으로 밝혀졌다. 카드사별로는 제휴카드를 제외할 때 신한카드가 3만 5000건으로 고객 정보가 유출된 10개 회사 중 가장 많았다. 이밖에 국민카드는 3만 3000건, 농협카드는 3만건의 정보가 유출된 것으로 확인됐다. 금융당국 관계자는 “경찰에서 피해 내역을 받아 320만건을 분석해보니 유출 고객은 20만 5000명이었다”며 “신한카드의 정보 유출 고객이 가장 많았고 국민카드와 농협카드가 그 다음이었다”고 했다. 카드사에서 빠져나간 개인 정보는 이름, 전화번호, 카드번호, 유효 기간, OK캐시백 포인트카드 비밀번호 등으로 거의 모든 정보를 포함하고 있었다. 다만 신용카드 비밀번호는 빠져나가지 않았다. 이에 금감원은 현재 35만대의 포스단말기가 가동되는 점을 고려해 소프트웨어 방식의 보안 표준 프로그램을 조속히 설치, 해킹 등에 대처하도록 할 방침이라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

‘국방과학연구소’ ‘국과연’ 새정치민주연합 김영주 의원은 10일 “국방과학연구소(이하 국과연) 전산망이 국외 해커조직들에 의해 해킹을 당해 군사기밀이 대량 유출된 것으로 확인됐다”고 밝혔다. 김 의원은 이날 배포한 보도자료를 통해 “중국과 북한의 해커조직으로 추정되는 해커들이 프로그램의 중앙배포 서버에 악성코드나 악성프로그램을 침투시켜 내부의 전체 PC와 서버컴퓨터를 장악해 군사기밀 자료를 유출했다”고 주장했다. 김 의원실이 입수한 자료에 따르면 우리 군이 대북 감찰·정찰 능력강화를 위해 본격적인 체계 개발에 착수한 ‘중고도 정찰용 무인항공기(MUAV)’의 위성데이터링크시스템 자료와 700억원의 개발비가 투입된 휴대용 대공미사일 ‘신궁(新弓)’의 성능시험장비 자료, 중거리 지대공 유도미사일 ‘천궁(天弓)’의 탐색기 소프트웨어 자료가 유출된 것으로 나타났다. 유출된 문건에는 ‘경고’라는 문구와 함께 ‘목적 외에 불필요한 제공을 금함, 발행권자의 승인 없이 복제, 복사 및 인용을 금함’이라고 적혀 있어 군사기밀 문서임이 증명된다고 김 의원은 설명했다. 김 의원은 “국과연에 있는 3000대 이상의 컴퓨터가 모두 해킹을 당했는데 국과연과 군 당국은 언제 해킹이 됐고, 피해가 어느 정도인지 파악조차 못하고 있다”면서 “국과연은 최근 북한에서 보낸 것으로 알려진 무인정찰기를 정밀분석하는 국방부 핵심 연구기관이라는 점에서 철저한 조사와 대처방안 마련이 필요하다”고 말했다. 국과연은 김 의원의 이런 주장에 대해 입장자료를 내고 “(유출된) 문건은 국과연 개발 장비 제작을 위해 국과연 및 업체에서 작성한 기술 자료 등으로 기밀문서가 아닌 일반 문서”이라고 밝혔다. 국과연에서 확인한 유출 자료는 ▲ 위성항법장치 SSP-960K 시험절차서 ▲ 점화안전장치 SS-965K 시험절차서 ▲ 신궁조종장치 성능시험장비 운용절차서 등 국과연과 업체에서 작성한 9건이며, 750여 쪽의 분량이다. 국과연은 “국과연은 일반 업무를 위해서 외부 인터넷망을 운용 중이지만 연구 업무는 보안을 위해 외부와 전면 차단된 내부 전산망을 사용하고 있어 외부접근이 불가능하다”며 “이번 자료 유출과 관련 국과연 전산망을 세 차례에 걸쳐 정밀 진단한 결과 외부 해킹 흔적은 발견되지 않았다”고 설명했다. 국과연은 다만 외부 인터넷망과 연결된 직원 이메일 등이 해킹됐을 가능성을 염두에 두고 기무사령부에 사이버 수사를 의뢰했고, 기무사는 현재 수사를 진행 중이다. 온라인뉴스부 iseoul@seoul.co.kr

미국 국가안보국(NSA)이 중국 통신장비업체 화웨이를 해킹했다고 뉴욕타임스(NYT)와 독일 시사주간지 슈피겔이 22일(현지시간) 보도했다. 미국은 그동안 중국이 화웨이 통신장비를 통해 미국을 해킹할 가능성이 있다고 지적했지만 반대로 미국이 해킹을 저지른 것이다. NYT와 슈피겔은 CIA에서 근무한 전 미국 방산업체 직원 에드워드 스노든이 제공한 기밀문서를 토대로 일명 ‘샷자이언트’(Shotgiant) 작전을 전했다. NSA 산하 해커 조직인 ‘특수접근작전실’(TAO)은 2009년 화웨이의 선전(深?) 본사 서버에 잠입하는 데 성공했고, 중국 본사 서버를 뚫어 전산망 정보를 가로채고 당시 경영진의 통신 내용을 감시했다. 후진타오 당시 국가 주석, 중국 은행, 통신 회사 등도 표적이었다. 이 작전은 미국이 각국에 공급되는 화웨이 통신장비를 이용해 여러 나라를 해킹하는 계획까지 목표로 내세웠다. 미국의 우방국이나 이란과 파키스탄 등 테러 의심 국가에 화웨이가 서버·인터넷 케이블 등 통신장비를 수출하면 이를 통해 해당 국가를 해킹하려 한 것이다. 미국이 실제 화웨이 제품을 거쳐 각국을 해킹하는 데 성공했는지는 명확하게 알려지지 않았다. NSA는 또한 미국 정부의 의심대로 화웨이가 실제 중국 인민해방군과 연관이 있는지 밝혀내려 했지만, 스노든의 문서에는 명확한 결론이 나와 있지 않았다. 화웨이는 연간 수입 386억 달러(약 41조 3800억원)에 이르는 세계 2위 통신장비업체다. 스마트폰 부문에서도 삼성, 애플, 레노버에 이어 세계 4위다. 지난해 LG 유플러스가 광대역 LTE 망구축 장비로 ‘화웨이’를 선택하면서 보안 논란이 일었고, 월스트리트저널은 미국이 한국과 ‘민감한 내용의 교신에는 화웨이 장비를 사용하지 않는다’는 합의를 맺었다고 보도했다. 이민영 기자 min@seoul.co.kr

최소한 올 1월까지 SK브로드밴드의 고객 개인정보가 유출된 정황이 포착됐다. 개인정보 1230만건 유출 사건을 수사 중인 부산 남부경찰서는 유통업자 문모(44·구속)씨가 지난 1월 SK브로드밴드의 한 영업점 사이트의 아이디와 비밀번호를 중국인으로 추정되는 A씨와 주고받은 문자를 확보했다고 14일 밝혔다. 따라서 경찰은 최소한 지난 1월까지 이 영업점의 고객 정보가 유출됐을 가능성이 큰 것으로 파악하고 있다. 또 문씨가 SK브로드밴드의 고객 정보 15만건을 확보하고 이를 엑셀 파일을 통해 연령, 지역, 성별 등으로 가공한 뒤 권모(31)씨 등에게 팔아넘긴 것으로 경찰은 보고 있다. 이는 문씨 등이 ‘SK’라는 파일명으로 보관하고 있던 개인정보 150만여건 가운데 일부다. 경찰은 미래창조과학부와 한국인터넷진흥원 관계자 등 7명으로 합동 점검반을 편성해 SK브로드밴드의 해당 영업점 사이트 서버를 압수, 정확한 해킹 경로와 시기 등을 조사하고 있다. 해당 영업점이 2개월 단위로 고객 개인정보를 보관하고 수시로 비밀번호를 변경한다고 밝혔지만 유출된 개인정보가 무려 15만건에 달해 장기간 해킹됐을 가능성이 크다. 그러나 경찰은 LG유플러스와 KT 등 이동통신사들과 11개 금융기관, 여행사, 인터넷 쇼핑몰, 불법 도박 사이트 등에서는 어떤 경로를 통해 개인정보가 유출됐는지 아직 파악하지 못했다고 밝혔다. 이에 대해 SK브로드밴드 측은 “문제의 영업점으로 거론된 곳은 우리 회사와 계약을 맺은 영업점이 아니다”면서 “특정 업체만을 대상으로 영업하는 것은 아닌 것으로 알고 있다”고 말했다. 한편 지난 11일 부산 남부경찰서는 통신 3사 등에서 유출된 개인정보 1230만여건을 유통한 혐의로 문씨를 구속하고 이를 영업 등에 사용한 권씨 등 17명을 불구속 입건했다. 부산 김정한 기자 jhkim@seoul.co.kr

국가 행정사무를 다루는 공무원이 앞으로 시간과 장소에 구애받지 않고 공문을 확인하고 즉시 결재할 수 있을 것으로 보인다. 공무원의 재택근무를 위한 발판이 마련되는 셈이다. 안전행정부는 스마트폰이나 태블릿PC 등을 이용해 이동 중에도 공문에 결재하고 전송할 수 있는 전자결재 사업을 올해 안에 추진해 ‘전자정부’ 구현 수준을 한 단계 끌어올릴 계획이라고 10일 밝혔다. 이를 위해 예산 3억원을 들여 기존의 행정기관 업무용 애플리케이션(앱)에 모바일 결재 기능 등을 추가해 중앙부처를 포함한 행정기관 154곳에 보급하기로 했다. 이 앱은 ‘온나라시스템’(정부 업무처리 전산화 시스템)을 도입한 일부 지방자치단체에서도 이용할 수 있다. 공무원들은 현재 사무실에 있는 PC 기반의 업무처리 시스템을 통해서만 전자결재와 문서 유통을 포함한 모든 공무 수행이 가능하다. 안행부는 스마트 시대를 맞아 2012년에 모바일용 업무 포털 ‘하모니’를 구축했으나 직원 검색이나 일정 관리, 메모 보고 등 보안등급이 낮은 공무에만 이용하고 있을 뿐이다. 하모니와 비슷한 행정기관용 업무 포털은 국토교통부, 산업통상자원부, 산림청 등 행정기관 13곳에서도 별도로 운영되고 있다. 전자인사관리시스템 e사람에는 결재 기능이 있긴 하지만 이마저도 휴가 신청이나 출장 보고 등 복무 관련 사항에만 해당한다. 안행부 관계자는 “현재로서는 이동 중에 공문을 확인하는 방법이란 사무실에 있는 직원이 PC에서 공문 자체를 사진으로 찍어 이동 중인 직원에게 이미지 파일을 전송하는 것뿐”이라면서 “하지만 무선통신망 해킹 위험이 있기 때문에 이는 보안 규정 위반”이라고 말했다. 안행부는 이와 함께 예산 8500만원을 들여 서로 다른 행정기관에서 근무하는 공무원들끼리 자유롭게 소통할 수 있도록 공용 메신저인 ‘공무원 소셜네트워크서비스(SNS)’ 공간도 운영할 계획이다. 민간용 카카오톡과 같은 공무원 SNS는 일반 인터넷망이 아닌 정부통합전산센터 서버 통신망을 이용한다. 상반기에 안행부 내부에서 시범 운영한 뒤 하반기에 다른 중앙행정기관에도 보급할 계획이다. 다만 해킹이 가능한 무선통신망을 이용해 국가 문서를 처리하는 만큼 전송 대상이 되는 전자문서를 ‘원문공개 대상’ 공문으로 제한하고, 해킹과 악성코드 감염을 방지할 수 있는 보안 시스템을 구축하기로 했다. 안행부 관계자는 “국정과제 중 하나인 정부3.0의 적극적 실현과 함께 세종청사에 입주한 행정기관의 간부들이 서울 출장길에서도 문서 확인이나 결재가 가능하다는 데 의미가 있다”고 말했다. 반면 세종청사의 한 사무관은 “중요한 안건은 결재권자가 업무 보고 자리에서 공문을 작성한 사람에게서 직접 설명을 듣고 천천히 검토해야 하는데 스마트폰 사용으로 몰입도가 떨어지고 날림 처리가 될 수도 있다”고 말했다. 오세진 기자 5sjin@seoul.co.kr

한국공인중개사협회 홈페이지 해킹 사건을 수사 중인 경찰이 협회의 부동산 거래 관련 정보가 외부로 유출되지는 않은 것으로 확인했다. 경찰청 사이버안전국은 지난달 17일 발생한 공인중개사협회 홈페이지 해킹 사건을 수사한 결과 홈페이지가 해킹돼 악성코드가 설치된 것은 맞지만 악성코드가 작동하지는 못해 정보 유출 등 추가 피해는 발생하지 않았다고 9일 밝혔다. 지난달 협회 홈페이지가 해킹당한 사실이 알려지자 일각에서는 “홈페이지와 연결된 부동산거래정보망 ‘탱크21’의 데이터베이스(DB) 서버에서 부동산거래 관련 정보 597만건이 유출됐을 수 있다”는 우려가 제기됐었다. 경찰 관계자는 “해커가 부동산 거래 DB에서 정보를 빼내려면 악성코드를 외부에서 조종해야 하는데 조작에 실패한 것으로 보인다”고 말했다. 악성코드는 지난해 11월 8일 중국에 있는 IP 주소에서 협회 홈페이지에 전송돼 설치된 것으로 파악됐다. 경찰은 홈페이지 외 협회의 전산망 서버와 보안시스템에 대한 전수조사를 벌였지만 다른 경로로 부동산 거래 DB가 유출된 흔적은 찾지 못했다. 또 조사 과정에서 협회가 DB의 주민등록번호 등을 암호화하지 않은 사실을 적발해 국토교통부와 미래창조과학부 등에 통보해 보완 조치를 하도록 했다. 유대근 기자 dynamic@seoul.co.kr

“수사 발표 당일 4시간 전까지도 KT에서는 (정보 유출 사실을) 전혀 몰랐어요.” KT 고객정보 유출 사건을 수사 중인 한 경찰은 7일 KT의 허술한 대처를 두고 혀를 내둘렀다. 그는 “우리가 6일 오전 직접 방문해 유출 사실을 전해줄 때까지 KT는 뜬 눈으로 1200만명의 고객 정보를 흘렸다”면서 “국내 최대 통신사의 보안이 이렇게 쉽게 뚫릴 수 있는지 범인의 해킹 방법을 눈으로 보고도 황당했다”고 말했다. 인천지방경찰청 광역수사대가 해당 사건을 인지한 건 지난 2월 1일. 수사는 ‘해커가 개인정보를 빼내 텔레마케팅 장사를 한다’는 첩보에서 시작됐다. 탐문 수사 끝에 경찰이 영장을 받아 해커 김모(29)씨의 사무실을 압수수색하기까지 걸린 시간은 2주. 경찰은 김씨가 빼낸 정보가 KT 고객정보라는 사실을 그 이후 알았다. 김씨는 경찰 조사에서 약 한 달간 독학해서 해킹 프로그램을 만들었다고 말했다. 해커의 능력을 떠나 KT의 보안 시스템이 얼마나 취약했는지를 단적으로 보여주는 대목이다. 김씨는 “개인정보를 해킹해 돈을 벌려 했다”면서 “(만든 프로그램으로) 여기저기 시도했는데 KT만 뚫렸다”고 진술했다. 김씨가 시연한 해킹 방법은 단순했다. 김씨는 먼저 KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌렸다. 9자리 고유번호가 맞아떨어지면 개인정보가 뜨는 KT의 고객정보 관리 시스템의 허점을 파고들었다. 보안이 철저한 곳은 본인 인증 서비스를 한번 더 이용하게끔 돼 있다. 김씨는 이때 2000년대 유행했던 해킹 툴인 ‘파로스 프로그램’을 이용했다. 파로스는 인터넷에서 누구나 공짜로 다운받을 수 있는데 PC와 서버 간에 오고 가는 정보를 중간에 가로챌 수 있다. 김씨는 고유번호가 맞아떨어졌을 때 파로스로 KT 메인 서버가 보내는 개인정보를 수집했다. 이름, 주민번호, 휴대전화번호, 이용대금, 계좌번호, 카드사, 잔여 가입비 등 암호화되지 않은 13개 항목의 정보가 그대로 잡혔다. 정보통신보안법에 따르면 서버상의 모든 개인정보는 암호화 준칙을 준수하도록 돼 있다. 서버 간 정보를 보낼 때도, 심지어 본인이 개인정보를 조회하려 해도 일부 개인정보는 ‘*’ 표시로 가리도록 권장한다. 전화번호가 ‘2000-0000’이라면 ‘20**-00**’식으로 표시돼야 한다는 소리다. 경찰이 KT 보안 담당자를 사법처리하려는 이유가 여기에 있다. 김씨가 가로챈 정보가 전혀 암호화되지 않았다는 건 KT 홈페이지의 보안이 뚫린 게 아니라 뚫려 있었다는 얘기가 된다. 해킹에 대한 기초적인 지식만 있으면 누구나 개인정보를 빼갈 수 있는 빌미를 제공한 셈이다. 이에 경찰도 다음 주초 KT 보안 관계자들을 불러 허술한 홈페이지 보안 시스템과 관리 소홀 여부를 집중 추궁할 계획이다. 한 수사관은 “만약 암호화 준칙을 제대로 지키지 않은 것이 확인된다면 보안 관리자뿐만 아니라 필요에 따라 홈페이지를 만든 업체까지 불러 조사할 수 있다”고 말했다. 이 관계자는 “해커가 하루 종일 9자리 숫자를 집어넣는데도 KT가 이를 눈치채지 못한 것이 이해가 되지 않는다”면서 “번호 입력자가 고유번호의 원래 주인이 맞는지 휴대전화 인증이나 아이핀 인증 절차를 두는 게 보안의 기본”이라고 덧붙였다. 명희진 기자 mhj46@seoul.co.kr

이번 KT의 고객 정보 유출 사건은 해커가 이동통신 3사를 비롯해 이곳저곳 다 돌아다녔는데 유독 KT만 뚫렸다는 데 심각한 문제가 있다. 그렇다면 다른 데는 멀쩡한데 왜 KT만 뚫렸을까. 이는 SK텔레콤이나 LG유플러스 등 다른 이통사와 달리 보호해야 할 고객 개인 정보 전체 데이터를 별도의 전산 서버가 아닌 해킹이 쉬운 회사 홈페이지 서버에 보관했기 때문이다. KT가 ‘보안 빵점’이라고 지적받는 이유다. SKT와 LGU+는 고객 정보 홈페이지에서 아이디와 패스워드를 넣고 로그인을 하면 본 서버에 있는 데이터 중 당사자와 관련된 데이터만 링크되도록 했다. 하지만 KT 올레닷컴에 로그인을 하면 다른 모든 고객의 개인 정보까지 통째로 링크된다. 또 로그인 이후 개인 정보에 접근하려면 SKT나 LGU+에서는 문자나 전화, 공인인증서 등을 통해 2차 신분 확인을 거쳐야 하지만 KT는 그런 절차를 생략했다. 고객 번호 9자리만 넣고 돌리면 곧바로 개인 정보를 확인할 수 있도록 했다. 고객 번호를 실수로 잘못 입력하면 다른 고객의 정보를 볼 수 있을 정도로 시스템 보안이 취약했던 것으로 드러났다. 특히 KT는 고객 정보를 입력할 때 데이터 필드 마스킹 등의 기본적인 보호장치도 활용하지 않은 것으로 확인됐다. 데이터 필드 마스킹은 특수문자를 이용해 자신이 입력하는 문자나 숫자가 안 보이도록 하는 장치다. 보안 전문가들은 “홈페이지 서버는 시스템적으로 해커를 100% 막기는 어렵다”고 말한다. 그렇게 때문에 고객 개인 정보는 전산시스템에 별도로 보관한다. 홈페이지는 단순히 인증을 위한 형태로만 운영하고 있다. 전산시스템에 접속해도 인증한 것만 고객 정보 열람이 가능하기 때문에 한꺼번에 빠져나가는 일은 거의 없다. 더구나 2년 전 고객 정보 유출 사고 뒤 KT 표현명 사장이 “최고의 보안시스템을 구축하겠다”고 했으나 구두 선에서 그쳤다. 이 부분에 대한 수사가 이뤄져야 할 것으로 보인다. 정상적인 회사라면, 더더욱 당시 사고가 발생했던 KT 측이라면 보안정책팀이 실질적으로 허술한 부분을 모를 리 없었을 것이라는 게 업계의 진단이다. ‘어느 부분에 문제가 있는지’ ‘어느 정도 수준인지’를 재점검해 보안이 뚫리지 않도록 변경했어야 했다. 이는 말로만 했지, 실행은 안 했다는 근거가 된다. 특히 해커가 1년 동안 고객 정보를 빼내 가는데도 트래픽 체크가 안 됐다는 점은 보안 수준 문제를 넘어 황당하기 짝이 없는 일이다. 해커가 들어오면 시스템적으로 바로 인지해야 한다. 그래야 자체 조사를 하든 수사를 의뢰하든 할 수 있다. SKT나 LGU+의 경우엔 한 사람이 여러 명의 정보를 확인하면 보안담당자에게 경고가 전달되도록 시스템이 설계돼 있다. 김양진 기자 ky0295@seoul.co.kr

KT 홈페이지의 고객 정보를 해킹한 해커는 인터넷에서 쉽게 구할 수 있는 해킹 도구로 1년 넘게 매일같이 제집 드나들듯 홈페이지에 접속해 1200만명의 고객 정보를 모조리 빼 갔다. 그러나 KT는 해커가 종횡무진 활보하고 있었는데도 경찰이 수사 결과를 발표할 때까지 유출 사실조차 모르고 있었다. 2012년 7월 전산망 해킹으로 873만명의 개인 정보 유출 사고가 일어난 지 7개월 만에 다시 뚫렸고, 이 같은 사실을 1년 동안 까맣게 몰랐다는 점에서 KT의 엉성한 보안의식에 대한 비난이 쏟아지고 있다. 2년 전 표현명 KT 개인고객부문 사장은 “세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다”고 약속했지만 결국 공염불이었다. 미래창조과학부가 ‘엄벌 의지’를 밝힌 것도 이런 도덕적 해이를 문제 삼은 것이다. 전문가들조차 이번 KT의 정보 유출 사고는 아무리 잘 봐주려고 해도 도저히 이해할 수 없는 사고라는 데 방점을 찍었다. 보안의식이 ‘빵점’이 아니고서는 도저히 있을 수 없는 사고라는 것이다. 먼저 KT 홈페이지 해킹에 사용된것으로 알려진 ‘파로스’는 PC와 서버 사이에 오가는 정보를 가로챌 수 있는 툴로 인터넷에서 누구나 공짜로 내려받을 수 있다. 해커는 이를 이용해 9자리 이용 대금 고객 정보 조회란에 000000000부터 999999999까지 9개의 숫자를 자동 입력하고 이와 일치하는 정보를 빼돌렸다. 업계의 한 전문가는 “잘못된 숫자가 수차례 입력되면 잠금 기능이 작동되는 기본적인 기능만 두었더라도 이번 사태를 막을 수 있었을 것”이라면서 “하루 20만~30만건의 정보가 유출됐다면 1년 동안 엄청난 트래픽 흐름이 있었을 텐데 이를 인지하지 못했다는 건 KT가 눈 감고 있었다는 것”이라고 지적했다. 또 다른 전문가는 “KT는 이용 대금 명세서에 적힌 9자리 고유번호만 입력해도 주민등록번호, 전화번호 등 민감한 개인 정보를 모두 확인할 수 있게 한 것으로 보인다”면서 “고객 정보를 너무 허술하게 관리한 것 같다”고 진단했다. 현재 KT 홈페이지의 보안은 자회사인 KT DS가 담당하고 있다. 미래부와 방송통신위원회도 발칵 뒤집혔다. 국민은행과 농협 등 금융기관 개인 정보 유출 사고가 발생한 게 엊그제인데 다른 곳도 아니고 이통사에서 이런 일이 발생했다는 데 경악을 금치 못하고 있다. 사고가 알려진 직후 보안업체 전문가 등 민관 합동 조사관 8명을 급파한 것도 이런 맥락이다. 전문성이 뛰어난 민간 조사관을 통해 철저히 이번 사고를 들여다보겠다는 취지다. 미래부 고위 관계자는 “유출 사실과 KT가 이를 알고도 묵과한 부분이 있는지 확인하고 사실로 드러날 경우 형사처벌도 마다하지 않겠다”고 강조했다. 방통위는 지난 유출 사고에도 KT가 정보통신망 이용 촉진 및 정보보호 등에 관한 법률상 개인정보보호의무 중 일부를 위반한 것으로 판단해 과징금 7억 5300만원을 부과한 바 있다. 김양진 기자 ky0295@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr

국내 35개 증권사의 정보기술(IT) 시스템을 위탁관리하는 코스콤(옛 증권전산)의 보안망도 뚫린 것으로 뒤늦게 확인됐다. 개인 정보가 대거 유출된 카드업계뿐만 아니라 증권업계도 보안 및 개인정보 관리 실태에 대한 점검이 시급하다. 22일 금융투자업계에 따르면 2012년 12월 코스콤의 한 직원이 사내에서 쓰는 컴퓨터가 해킹당해 업무 자료 일부가 빠져나갔다. 유출된 자료는 다행히 코스콤의 전산실 설비와 관련된 내용이라 피해가 크지 않았다. 만약 이 자료가 고객 정보였다면 엄청난 파문이 일었을 것으로 업계 관계자들은 보고 있다. 코스콤은 2012년 9월 중순부터 사내 업무망과 인터넷망을 분리해 직원들이 두 대의 컴퓨터를 사용하도록 했다. 업무 전산망에 인터넷 접속을 못 하도록 해 해킹 공격 등에 대비하자는 취지였다. 그러나 해킹을 당한 직원이 업무 자료를 이동식저장장치(USB)에 담아 사내 업무용 컴퓨터에서 인터넷용 컴퓨터로 옮기는 과정에서 코스콤이 강조한 ‘철통 보안’은 쉽사리 무너졌다. 이 직원의 컴퓨터가 원격조종과 데이터 절취가 가능한 악성코드에 감염되면서 코스콤 업무 자료가 해킹 경유지 서버가 있는 일본으로까지 유출됐다. 코스콤 측은 “직원 1명의 인터넷용 컴퓨터 이외에 다른 컴퓨터에서는 악성코드 감염이나 피해가 일어나지 않았다”면서 “내부 업무망에는 해커가 침입하지 못해 고객 정보가 전혀 유출되지 않았다”고 설명했다. 당시 해킹 피해가 미미했지만 코스콤에서 발생한 사고라는 점에서 금융감독당국, 국정원 등도 초미의 관심을 두고 조사를 벌인 것으로 알려졌다. 코스콤은 국내 62개 증권사 중 35개사의 고객 정보를 관리하고 있다. 여기에는 계좌 정보, 거래 실적, 출납 관계, 투자 내역 등이 모두 포함된다. 한 증권사 관계자는 “시스템 안정성이 비교적 높은 코스콤의 인터넷망이 뚫렸다면 다른 곳은 말할 것도 없지 않으냐”면서 “증권업계 전반적으로 보안과 개인정보 관리 실태를 점검할 필요가 있다”고 말했다. 김진아 기자 jin@seoul.co.kr

인터넷 쇼핑몰의 보안상 허점을 이용해 수십억원어치의 사이버머니를 빼돌린 일당이 재판에 넘겨졌다. 서울중앙지검 첨단범죄수사2부(부장 조재연)는 인터넷 사이트 서버에 전송되는 데이터를 조작해 사이버머니 등을 가로챈 혐의로 김모(39)씨 등 2명을 구속 기소하고 유모(28)씨 등 3명을 불구속 기소했다고 13일 밝혔다. 이들은 10월 말부터 지난달까지 서울 강남구 PC방 등에서 ‘11번가’와 ‘아이템베이’ ‘지마켓’ 등의 사이트에 접속해 데이터를 조작하는 수법으로 43억 8000여만원 상당의 사이버머니를 챙긴 혐의를 받고 있다. 검찰에 따르면 김씨 등은 인터넷에서 무료로 구할 수 있는 웹 분석 프로그램을 이용해 데이터를 조작한 것으로 드러났다. 한 쇼핑몰의 경우 사이버머니를 인출할 때 요청 금액 데이터를 마이너스(-)로 조작하면 잔액이 오히려 늘어나는 허점을 드러냈다. 이 사이트가 사이버머니 인출 시 마이너스값은 고려하지 않고 있었기 때문이다. 이들은 데이터값을 마이너스로 조작해 40억원어치의 사이버머니를 얻었다. 또 다른 쇼핑몰에서 마일리지를 상품권으로 바꾸면서 서버에 전송되는 데이터를 변조해 가격을 부풀려 3억 8000여만원의 이득을 취했다. 예를 들어 웹 분석 프로그램을 이용해 1000원을 결제하면 최대 10만원으로 결제값이 바뀌게 하는 수법이다. 최지숙 기자 truth173@seoul.co.kr

반(反)북한 정권 운동에 참여한 탈북자 단체 대표가 북한 소행으로 추정되는 개인정보 빼가기 방식의 해킹 공격을 받아 탈북자 사회에 비상이 걸렸다. 경찰청 보안국은 11일 탈북자 단체인 ‘겨레얼통일연대’ 대표 장세율(44)씨가 이메일을 통해 컴퓨터에 저장된 정보를 빼내는 해킹의 하나인 ‘스피어 피싱’ 공격을 받았다고 밝혔다. 북한군 장교 출신으로 2008년 탈북한 장씨는 그동안 북한 민주화 운동 등에 참여해 왔다. 장씨는 지난 4월 26일과 5월 1일, 지난달 27일 세 차례에 걸쳐 한글(hwp) 파일이 첨부된 이메일을 받았다. 이메일의 발신자는 장씨와 친분이 없는 한용섭 국방대 교수 등의 명의로 돼 있었고 장씨가 이메일에 첨부된 ‘북한 핵 미사일 위험 대비 방향.hwp’ 등의 파일을 열어보는 순간 첨부파일에 숨겨진 악성코드가 장씨의 개인 컴퓨터로 옮겨졌다. 악성코드는 장씨가 작성한 북한 관련 연구 문서나 개인 파일 등 1200여건을 빼내고 장씨의 컴퓨터에 저장된 이 파일들을 삭제한 것으로 확인됐다. 분석 결과 해커가 접속한 인터넷 프로토콜(IP) 주소는 중국 베이징에 있고 미국의 서버를 경유지로 이용한 사실이 밝혀졌다. 장씨는 “탈북자 회원명부 등 민감한 문서는 해킹을 당하지 않았지만 북한 정권이 저와 탈북자들에게 협박 메시지를 주려 한 것으로 보인다”고 말했다. 경찰 관계자는 “아직 다른 탈북자에게서 유사한 피해 사례는 없었지만 수사를 확대하려고 한다”면서 “수상한 이메일이 오면 열어보지 말고 따로 저장한 뒤 백신프로그램으로 악성코드가 아닌지 확인해야 한다”고 당부했다. 하종훈 기자 artg@seoul.co.kr

이용 실적이 더딘 입금계좌지정제가 내년 중 일부 개선돼 미리 지정하지 않은 계좌로는 소액 이체만 허용될 방침이다. 해킹에 이용된 증권사, 저축은행 등 제2금융권의 계좌도 지급이 정지된다. 금융위원회 등 정부는 3일 이런 내용의 신·변종 전기통신 금융사기 피해방지 종합대책을 발표했다. 최근 메모리 해킹 등 날로 다양해지는 금융사기에 기존 대책으로는 피해를 막기 어렵다는 판단에서다. 지정된 계좌로만 이체할 수 있는 입금계좌지정제는 은행권에서 시행 중이지만 금융거래가 다소 불편해 10만여명만 가입한 상태다. 정부는 새로운 입금계좌지정제를 내년에 도입해 지정계좌는 기존 방식대로 거래하고 미지정계좌는 소액이체만 허용하도록 하는 방식이다. 고승범 금융위 사무처장은 “사기 피해는 주로 피해자가 이체한 적이 없는 대포통장으로 이체된다”며 도입 배경을 설명했다. 그동안 해킹은 현행법상 전기통신금융사기에 해당하지 않아 은행권에 대해서만 금융감독원의 지도에 따라 지급정지가 이뤄졌다. 금감원은 2금융권에 대해서도 행정지도 등을 통해 지급정지를 요청할 예정이며 금융권 전반의 지급정지에 대한 법적 근거를 마련할 방침이다. 한국인터넷진흥원(KISA)은 이달부터 이동통신사가 제공하는 스미싱(문자메시지사기) 의심 문자를 분석해 악성 애플리케이션(앱) 설치 등이 발견될 경우 이동통신사에 악성 앱 다운로드 서버 차단을 요청하게 된다. 돌잔치, 청첩장 사칭 문자 등 개인의 전화번호를 도용해 인터넷으로 대량 문자를 발송하는 금융사기를 막기 위한 대책도 마련됐다. 현재 공공·금융기관에만 번호도용 차단 서비스가 시행되지만 앞으로는 개인과 기업도 ‘번호도용 피싱 문자 차단 서비스’를 신청할 수 있다. 휴대전화 소액 결제 시 개인인증단계를 추가해 결제 금액 및 자동결제 여부 등을 명확히 알리는 표준결제창 적용도 의무화된다. 또 인터넷뱅킹 시 보안프로그램의 메모리 해킹 방지 기능을 보완해 거래정보 변경이 의심되는 경우 추가 인증을 하도록 했다. 김진아 기자 jin@seoul.co.kr

중국이 러시아에 수출한 가전제품에 스팸메일 및 컴퓨터를 파괴하는 소프트웨어를 와이파이 네트워크를 통해 배포하는 마이크로칩이 숨겨져 있었다는 주장이 제기돼 논란이 일고 있다. 러시아 인터넷 뉴스통신 로스발트(rosbalt.ru)가 익명의 세관화물 취급직원의 정보를 이용해 보도한 내용에 따르면 중국에서 수입한 가정용 주전자와 다리미 20~30개의 제품에서 악용될 소지가 다분한 마이크로칩이 발견됐다. 이 마이크로칩은 중국산 수입 제품 중 일부가 동일한 다른 제품들보다 무게가 더 나가 이를 조사하던 과정에 발견됐으며, 현재 상트페테르부르크 당국이 문제의 수입품들을 조사 중인 것으로 알려졌다. 현지 언론은 이 마이크로칩이 수집한 정보가 중국 서버로 넘어갈 수 있으며, 팸봇(인터넷상에서 다수의 뉴스그룹에 토론의 주제와 상관없는 부적절한 내용의 기사나 자료를 자동으로 게재하는 프로그램)처럼 악용될 가능성이 높다고 설명했다. 이 같은 주장은 러시아가 지난달 5~6일 열린 G20 정상회의가 끝날 때 각국 대표들에게 무료로 나눠준 USB와 휴대전화 충전기가 비밀정보 수집장치라는 주장이 제기된 직후 폭로된 것이어서 더욱 논란이 되고 있다. 이에 대해 중국 당국은 아직 공식 입장을 발표하지 않은 가운데, 마이크로칩이 이미 러시아로부터 특정 정보를 중국으로 전달했는지 여부는 밝혀지지 않았다. 한편 미국이 주요 우방국 정상을 도청한 사실이 알려지면서 전 세계의 첩보전이 가열되고 있는 가운데, 전문가들은 미국이 한국 대통령까지 도청했을 가능성이 있는 것으로 보고 있어 관심이 집중됐다. 사진=자료사진 송혜민 기자 huimin0217@seoul.co.kr

“내 이름은 NEIS. 나이스라고 읽지만, 네이스라고도 하지요.” 안녕, 신문에서 인사하는 게 참 오랜만이네. 10년 전인 2003년에는 365일 중 200일은 신문에 나왔던 것 같은데 말이지. 나는 1만여개 초·중·고·특수학교와 178개 교육지원청, 17개 시도교육청과 교육부가 모든 교육행정 정보를 전자적으로 연계 처리하고 있어. 내게는 2125만명의 학생들의 정보가 축적돼 있지. 그동안 안전행정부나 대법원 등 유관기관의 행정정보를 이용하는 ‘교육행정통합정보서비스’(NEIS)인 내가 구축된다고 하니 ‘정보혁명’이라며 반기는 이들도 많았지만, ‘빅브러더’라는 시선으로 나의 등장에 우려를 표하는 측도 많았어. 그래서 나를 반기던 보수적인 사람들은 내 영어 약자를 “좋아”(Nice·나이스)라는 말과 같은 발음으로 불러 줬지만, 나를 싫어한 진보적인 사람들은 발음기호대로 건조하게 ‘네이스’라고 불렀어. 당시 누군가를 만나서 보수인지, 진보인지 성향을 파악하기 위해 내 이름을 한 번 읽어 보라고 하면 3초 만에 성향을 짐작할 수 있을 정도였다니까. 각설하고, 서울 중구 쌍림동에서 대구 신서혁신도시로 이사 가. 내가 입주한 한국교육학술정보원(KERIS) 전산센터가 지난 10일부터 오는 29일까지 이전하는데, 선발대로 먼저 대구에 가게 됐어. 서버 181식, 통신·보안 105식, 데이터베이스(DB)·백업 54식, 기타 59식 등 전국 학생들의 학교생활기록부 10년치 자료를 옮겨야 하는 대작업이라 시간이 많이 걸려. 게다가 내 자료가 유실되기라도 하면 학창시절의 기록이 사라지는 것이니 문제가 커져. 외부충격으로 인해 사고가 날지 몰라 무진동차에 몸을 싣고 이사를 가게 됐어. 덕분에 평소 보기 어려운 5t 규모 무진동차를 11대나 한꺼번에 볼 수 있었어. 무진동차는 서울청사에서 중부고속도로를 주행하다 경부고속도로로 진입해 대구의 새 보금자리인 KERIS 신청사까지 335㎞의 거리를 시속 80㎞로 달릴 거야. 6시간 동안 무진동차 앞뒤로는 경찰 호송차량이 함께 가고. 그 시간 동안 이사를 하기 위해 투입된 KERIS 직원과 경찰 등 242명이 모두 초긴장상태가 되는 셈이지. 이사를 마치고 18일까지 시범운영이 끝나면 NEIS 제공 서비스는 예전처럼 활용할 수 있어. 사실 교육부 산하 기관 중에서 KERIS가 가장 먼저 공공기관 이전을 하게 됐는데, 9월 4일에 시작되는 2014학년도 대입 수시전형 원서접수를 차질 없이 하려면 내가 갖고 있는 학교생활기록부 자료를 안정적으로 대학에 제공할 수 있어야 해. 이래 보여도 내가 없으면 대입 전형이 불가능할 지경이라고. 과거에 원서철이 되면 대학 건물 앞이 북새통을 이루고, 건물을 감으며 줄 서던 풍경을 본 지 오래된 이유가 내 덕분이야. 지금은 수험생들이 인터넷으로 원서를 접수하고, 그러면 내가 학생부 기재내용을 대학에 입시 전형 목적으로 보내주고 있거든. 혹시 시범운영 중인 18일까지 급하게 졸업증명서, 성적증명서, 검정고시합격증명서 같은 게 필요하면 어떡하냐고? 걱정하지마. 전국 17개 시도교육청에 NEIS 서버가 구축되어 있기 때문에, 증명서가 필요한 경우에는 시도교육청과 지역교육청·학교·주민센터 민원실 등에서 발급받을 수 있어. 그간 학부모서비스 이용실적은 2011년 5423만건, 지난해 3740만건, 올해 상반기 707만건으로 이용이 아주 활발한 편은 아니야. 하지만 이용한 학부모들을 상대로 만족도 조사를 해보면 2011년 89.6%, 지난해 89.0%가 만족한다고 답했지. 올해 만족도가 90%가 넘도록 노력하고 있어. 2011년부터 시범서비스로 운영해 온 학생서비스도 올해 7월부터 정식서비스로 제공되고 있어. 학생서비스를 통해 학생부 열람뿐 아니라 정기시험 정오답표, 신체활동일지, 학습도움자료 등을 조회할 수 있어. 내가 가진 통계들을 분석해 제공하면 좋겠다는 의견도 있어. 10년간 축적된 방대한 자료를 토대로 다른 학생들에 비해 체력이 약한 이유를 분석해 적당한 운동을 권해준다면 좋지 않을까. 특정 학급 성적만 오르지 않는다면 원인을 분석해 공부법을 바꿔 보는 등 대책을 세워줄 수도 있겠지. 2008년 ‘나이스 운영 시범학교’였던 충남 부여정보고에서는 내가 가진 자료를 활용해 통계를 내서 취업 진로 자료를 학생들에게 제공했어. 몇 년 동안 축적된 자료를 활용해 성적별로 지원 가능한 기업을 추천할 수 있었고, 아주 좋은 반응을 얻었어. 하지만 이런 서비스를 전국적으로 실시하려면 ‘개인정보’를 활용해야 하기 때문에 조심스럽기도 해. 나를 ‘네이스’라고 부르는 사람들은 내가 해킹당할 가능성과 내가 갖고 있는 학생에 대한 방대한 개인정보가 유출될 경우 돌이킬 수 없는 피해가 생길 수 있다고 걱정했거든. 특히 지금처럼 내 서버를 시도교육청에서 관리하면서 보안 전문가들이 배치되기는 했지만, 만에 하나 정보가 유출될 경우 한꺼번에 엄청나게 많은 양의 정보가 새어나갈 수 있다는 얘기야. 노기호 군산대 법학과 교수는 지난해 ‘NEIS에 의한 교육정보 공개와 학생의 개인정보 보호’라는 논문에서 “오늘날 학교는 개인정보은행이라고 할 만큼 많은 양의 개인정보를 보유하고 있는 공공기관”이라면서 “학부모를 비롯한 학생 개인 정보가 영리업자에게 유출돼 사회문제가 되고 있다”고 걱정했어. 학생 개인의 신상카드와 학교성적이 사설학원이나 개인과외 브로커들에게 제공돼 악용되는 경우가 있고, 입시학원이 취업이나 진학 정보를 학교에 제공하는 조건으로 학생들의 희망대학이나 전공, 교과성적 등 진로 관련 정보를 대량으로 복사하거나 제공받는 경우가 종종 발생한다는 것이야. 또 학교나 학교 내 학생선도위원회가 경찰에 학생과 보호자의 명부와 사진을 포함해 성적과 성격에 대한 정보를 제공하는 경우도 있다고 해. 그래서 노 교수는 “학교와 행정당국에 의한 비공개 정보의 자의적 운용이나 기업체의 개인정보 보호에 대한 인식부족 및 비협력에 대한 개선이 시급하다”고 주장했어. 요즘 학교폭력 문제가 심각한 사회문제가 되면서 지난해 3월 학교폭력과 관련된 징계내용을 NEIS 중 학생부에 기재할지 여부를 놓고 “기재해야 한다”는 교육부와 “기재할 수 없다”고 버틴 일부 교육청 간 논란은 나를 둘러싼 논란이 ‘현재진행형’임을 보여준 사례야. 경기도교육청이 학교폭력 가해사실을 NEIS에 기록하되 심의를 거쳐 졸업 후 삭제하도록 한 교육부 방침을 받아들였지만, 논란 과정에서 “복제가 쉽고, 유출 가능성이 높으며 영구 저장되는 NEIS에 법적으로 기재를 금지한 징계사항을 기재하는 것은 입법 의도를 침해한 것”이라고 한 일부 교육청의 의견은 귀담아들어야 할 것 같아. 내가 가진 방대한 양의 정보는 교육행정을 효율화하고 학생들의 교육 편의를 도모하는 데 큰 도움이 되지만, 한편으로 집적된 정보가 잘못 쓰일 경우 부작용을 낳을 수 있기 때문이야. 내가 태어났을 때부터 나를 ‘나이스’라고 불러온 교육부는 학생과 학부모, 교사가 나를 쉽게 쓰는 방법을 가르쳐주기 위한 홍보캐릭터로 ‘나()씨 가족’을 선택했어. 모든 사람들에게 ‘나이스’한 선택이 되기 위해 나는 앞으로 보안에도 더 신경쓰고, 개인 프라이버시 보호와 학생 인권을 위해 노력해야 될 거야. 나를 ‘네이스’라고 부르는 사람들 역시 나를 완전히 폐기하는 방법을 포함해 여러 보완방안과 대안을 제시해 주기를 부탁할게. 홍희경 기자 saloo@seoul.co.kr

# 직장인 김모(35)씨는 점심시간이 되자 헐레벌떡 은행으로 뛰어갔다. 송금을 해야 하는데 인터넷뱅킹이 막혔기 때문이다. 얼마 전 보안율을 높이려고 10자리까지 늘린 공인인증서 비밀번호가 도통 생각나지 않은 게 문제의 발단. 몇 차례 엇비슷한 숫자를 반복해 입력했더니, 결국 ‘직접 창구로 와달라’는 메시지가 떴다. 김씨의 바빴던 점심시간이 그만의 일상일까. 현대인에게 비밀번호는 애물단지다. 보안율을 높이려 복잡하게 만들다 보면 본인이 만든 비밀번호를 기억하지 못하는 황망한 일이 생긴다. 그렇다고 보안을 포기하고 외우기 쉽도록 간단하게만 만들어 버릴 수도 없는 노릇이다. 복잡하지만 익숙해진 번호는 너무 오래 썼기에 불안하다. 우리가 쓰는 비밀번호는 어느 정도 안전한 수준일까. 안전성 여부를 테스트할 수 있는 미국의 인터넷사이트(www.howsecureismypassword.net)에서 확인할 수 있다. 해당 사이트에서 숫자 ‘1234’나 영문 ‘ABCD’를 치면 ‘즉시(Instantly)’라는 단어가 뜬다. 만약 누군가 비밀번호를 알아내려고 해킹 프로그램을 돌린다면 바로 뚫린다는 의미다. 집 전화번호(7자리 기준)를 넣어보니 0.025초, 휴대전화 번호(11자리 기준)는 25초 만에 뚫린다는 메시지가 뜬다. 8자리 생일이나 군번, 11자리 애인 휴대전화 번호 등의 비교적 긴 숫자로 비밀번호를 만들어 봐야 별 의미가 없다는 이야기다. 기존 숫자에 문자나 특수문자를 섞어 비밀번호 자수를 늘리니 해킹 예상시간은 다소 늘어났다. ‘영문자 한 자리+집전화 번호’는 11분, ‘영문자 두 자리+집 전화번호’는 7시간이 걸린다는 결과가 나왔다. 여전히 맘만 먹으면 얼마든지 뚫릴 수 있다는 이야기다. 하지만 A01012341234(문자 1개+휴대전화 번호)처럼 총 12자의 비밀번호를 설정하자 해킹 예상 시간은 37년이라는 답이 나왔다. 보안 전문가들은 해킹에 100년 정도 걸리는 번호를 택하라고 권한다. 그 눈높이에 맞추려면 최소 14자리 이상의 복잡한 비밀번호를 사용해야 한다는 이야기다. 복잡한 비밀번호를 대신하는 방법은 다양하다. 우리나라에만도 공인인증서, 보안카드, 휴대전화 인증 등 백화점식 인증체계가 존재한다. 하지만 역시 복잡하긴 마찬가지다. 최근엔 홍채나 지문처럼 생체인식 제품들도 나오지만, 비용이나 정보인권 등 문제도 걸려 실제 이용은 극히 한정돼 있다. 이 때문에 최근 보안업계에선 ‘외우기 쉽지만 해커가 뚫기 어려운 비밀번호’ 개발이 한창이다. 지난 2월 미국 IBM은 시간정보를 이용한 ‘리드믹 패스워드’(Rhythmic Password) 인증 시스템을 내놓았다. 접속자가 비밀번호 자판을 입력하는 시간을 판독해 전체의 리듬을 추출한 뒤, 인증 여부를 결정하는 방식이다. 예를 들어 우리에게 익숙한 응원구호 ‘대~한민국’의 박자에 맞춰 네 자리 비밀번호를 넣을 수 있다. 보안시스템은 단순히 비밀번호 네 자리 이외에도 4개 숫자에 입력되는 리듬을 읽어 개인을 식별한다. 국내 벤처기업인 다이나티브는 각각 비밀번호를 누르는 시간을 다르게 설정하는 ‘타임패스’ 방식으로 특허를 획득했다. 타임패스 방식은 비밀번호 중간에 아날로그적 시간 정보를 삽입하는 방식으로 리드믹 패스워드와 유사하면서도 다르다. 사용자는 비밀번호 ‘1234’를 누르는 과정에 여러 시간 차를 설정할 수 있다. 예를 들어 1과 2 사이에는 ‘0.2초 안에 아주 빠르게 누르기’라는 옵션을, 3과 4 사이에는 ‘5초 이후 아주 천천히 누르기’라는 옵션을 줄 수 있다. 사용자가 정확히 비밀번호를 누르려면 1과 2는 연달아, 마지막 4를 누를 때는 5초 이상 쉬었다가 자판을 눌러야 한다. 시간정보는 화면에 깜빡거리는 점을 통해 가늠할 수 있도록 했다. 개발사 측은 시간차를 두는 행위만으로 번호 4개로 12개 자리 비밀번호를 이용하는 효과를 낼 수 있다고 말한다. 즉시 뚫리던 네 자리 숫자가 뚫는 데 37년 이상 걸리는 고급 비밀번호로 바뀐다는 이야기다. 문규 다이나티브 대표는 “네 자리 번호를 모두 알려주는 방식으로 실험을 한 결과 시간 차를 모르면 아무런 소용이 없다는 결론에 이르렀다”면서 “시간정보인증을 하는 별도의 서버를 두는 방식을 택한다면 획기적인 안전성을 보장할 수 있다”라고 밝혔다. 유영규 기자 whoami@seoul.co.kr

검찰과 국가정보원이 북한 해커의 국내 전산망 침투를 도운 정보기술(IT)업체를 압수수색했다. 서울중앙지검 공안1부(부장 최성남)는 중국에 있는 북한 해커가 국내에 악성 바이러스를 유포하고 좀비PC(해커의 명령에 따라 움직이는 PC) 네트워크를 구축할 수 있도록 협력한 정황이 포착된 IT업체 A사를 조사했다고 31일 밝혔다. 검찰과 국정원은 A사 대표 김모씨의 자택과 서울 중구 을지로 소재의 A사 사무실, 신대방동과 서초동에 위치한 2곳의 서버업체 등을 압수수색했다. 이를 통해 김씨가 국내에서 대여받은 서버들을 압수하고 관련 서류 등을 확보했다. 김씨는 2년 전부터 서버를 빌려 접속 아이디와 비밀번호를 북한 해커에게 넘겨준 혐의(국가보안법 위반)를 받고 있는 것으로 알려졌다. 북한 해커는 김씨 회사의 인터넷 공유기 접속 권한까지 넘겨받아 국내 전산망에 침투해 좀비PC를 만들어내는 악성 바이러스를 유포한 것으로 전해졌다. 김씨를 통해 북한 해커가 감염시킨 국내 PC는 최대 10만여대에 이르는 것으로 추산된다. 검찰과 국정원은 김씨가 1990년대 말부터 중국에 있는 남북합작 IT 회사에서 근무 과정에서 북한 공작원들과 접촉했을 가능성이 있다고 보고 김씨를 곧 소환해 사실 관계를 확인할 방침이다. 한재희 기자 jh@seoul.co.kr

외교부와 재외공관을 표적으로 한 해킹 시도가 최근 4년 동안 2배 이상 급증한 것으로 나타났다. 외교부에 대한 해킹 시도에는 원천 공격지가 북한으로 의심되는 사례가 있는 것으로 파악됐다. 23일 외교부에 따르면 올해 3월까지 외교부 웹서버와 재외공관 홈페이지를 대상으로 한 사이버 공격 시도가 1027건에 달했다. 연도별로는 2009년 1309건이었던 사이버 공격 시도는 2010년 1941건, 2011년 2686건, 지난해 2381건으로 매년 늘고 있다. 올해 말까지 4000여건에 이를 것으로 추정된다. 외교부 직원들의 이메일 계정으로 수신되는 악성 메일도 크게 늘어난 것으로 확인됐다. 2009년 24건에 불과했던 악성 메일은 올해 1분기에는 144건으로, 정보 탈취를 위한 악성코드가 숨겨진 경우도 있었다. 사이버 공격의 대부분은 외교부 홈페이지와 웹서버에 대한 해킹 시도 등으로 파악됐다. 국내외 해커들이 웹서버나 홈페이지의 취약점을 탐색하는 ‘스캐닝’ 기법이 대부분이지만 일부 공격의 경우 외교문서를 훔치려는 의도가 있는 것으로 파악된다. 2008년에는 주미 한국대사관 홈페이지가 해킹으로 인해 변조되는 사건이 발생하기도 했다. 외교 기밀이 보관되는 외교정보망의 경우 인터넷망과 연결돼 있지 않기 때문에 해커들이 외교 기밀을 빼가는 건 불가능하다는 게 외교부의 설명이다. 국방부도 인터넷과 국방전산망을 분리해 운영하고 있다. 외교부는 원천 공격지가 북한으로 의심되는 일부 사례의 경우 국가정보원과 공동 대응했던 것으로 전해졌다. 외교부는 또 장관 주재의 실·국장회의에는 스마트폰을 활용한 원격 도청을 차단하기 위해 회의장에는 스마트폰을 갖고 들어갈 수 없도록 조치하고 있다. 안동환 기자 ipsofacto@seoul.co.kr

지난달 25일 청와대를 비롯해 정부기관, 언론사 등 69곳에서 동시에 발생한 ‘6·25사이버테러’의 주체가 북한인 것으로 결론났다. 2011년 3·4디도스 공격, 농협 금융망 해킹, 올해 3·20사이버테러 등에 이어 또다시 북한 공격에 뚫린 셈이다. 6·25사이버테러 사건의 분석을 맡은 민·관·군 합동대응팀은 16일 미래창조과학부에서 설명회를 열고 “이번 공격 수법이 기존 북한의 해킹 수법과 일치한다”고 밝혔다. 대응팀은 공격 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종, PC 접속기록(로그), 인터넷주소(IP) 등을 과거 북한의 대남 해킹 자료와 비교·분석해 이 같은 결론을 내렸다고 설명했다. 공격은 최소 5개월 전부터 준비됐던 것으로 분석됐다. 북한은 국내 파일 공유 사이트, 웹하드 서비스 등을 사전에 해킹해 공격 거점으로 삼았다. 특히 다수 기관을 일시에 공격하고, 해외로부터의 서비스 응답으로 공격을 위장하거나 IP를 숨기는 등 진화된 공격 수법을 사용했다. 북한의 IP는 2개가 발견됐다. 해커는 로그를 삭제하고 하드디스크를 파괴했으나 복구 과정을 통해 이를 확인했다. 전길수 한국인터넷진흥원 침해사고대응단장은 “정보기관에서 보유하고 있던 북한 IP 대역과 일치하는 주소”라며 “어떤 목적으로 사용됐는지, 북한 IP 외에 총 몇개 IP가 발견됐는지는 보안 문제 때문에 밝히기 어렵다”고 말했다. 공격에 사용된 IP 주소는 북한 외 다른 국가의 것도 상당수 있는 것으로 알려졌다. 서버를 다운시키기 위해 시스템 부팅영역(MBR)을 파괴, 시스템 파일 삭제, 공격 상황 모니터링을 한 수법, 사용한 악성코드 문자열의 특징도 3·20사이버테러와 같았다. 분산서비스거부(DDos) 공격에 사용한 악성코드도 3·20 때 발견된 악성코드의 변종 형태인 것으로 분석됐다. 대응팀은 그러나 개인정보 유출의 경우는 언제 일어난 것인지 파악하지 못했다. 전 단장은 “개인정보는 공격 때 유출된 것인지, 사전 준비 과정에서 유출된 것인지 확실치 않다”고 말했다. 이번 공격이 또 북한 소행이라는 결론이 나옴에 따라 정부의 향후 대응에 관심이 쏠리고 있다. 오승곤 미래부 정보보호정책과장은 “대응팀의 역할은 사고를 분석하고 그 결과를 밝히는 것뿐”이라며 “이를 바탕으로 정부가 어떻게 대응할지는 정확히 단정할 수 없다”고 못 박았다. 한편 대응팀에는 미래부, 국방부, 검찰, 국가정보원 등 18개 기관의 전문가들이 참여했다. 강병철 기자 bckang@seoul.co.kr