미국 방위산업체 록히드 마틴, 상업은행인 씨티그룹, 공영방송 PBS, 일본 전자업체 소니, 한국과 미국 관료들의 구글 지메일과 야후 메일…. 지난 3~4주 사이 잇따라 해커들의 공격을 받은 곳이다. 급기야 국제금융기구인 국제통화기금(IMF) 전산망까지 뚫렸다. 각국의 주요 시설과 정부 요인들을 대상으로 한 해킹 사례가 부쩍 늘어나면서 지구촌이 온라인을 전장으로 한 사이버 세계대전에 빠져들고 있다. 기존의 전쟁과 달리 사이버전에서는 ‘적’의 정체를 파악하기 어렵고 소수정예 요원의 활동만으로도 강대국의 전산망에 타격을 입힐 수 있다. 때문에 전통적 군사강국인 ‘G2’(미국과 중국)를 비롯해 러시아, 이스라엘, 영국 등은 경쟁적으로 사이버부대를 창설하는 등 ‘제5 전장’(육·해·공·우주에 이은 새로운 전장)을 지배하기 위해 숨가쁘게 움직이고 있다. 미국은 최악의 상황을 가정한 대응법을 마련하고 있다. 미 의회는 보고서에서 “통신망 및 컴퓨터 네트워크에 대한 외부 공격이 현저히 높아졌다.”며 금융시설과 대중교통, 제조업, 의료, 교육, 정부기관 등의 네트워크가 무차별 공격을 당할 수 있다고 지적했다. 신미국안보센터(CNAS)가 이달 초 내놓은 보고서에 따르면 미 의회와 연방정부기관 전산망이 매월 받는 사이버공격은 18억회에 이른다. 이에 따라 미 의회는 비상상황 때 국가가 인터넷을 강제 차단할 수 있도록 하는 내용을 담은 ‘사이버보안과 인터넷 자유법’을 발의했고 국방부는 적성국이 기간시설에 사이버 공격을 가하면 이를 ‘전쟁 행위’로 간주해 미사일 등 무력을 동원해 대응한다는 방침을 세웠다. 지난해 5월에는 미 국방부가 4만명 규모의 사이버 사령부를 설립했다. 현재 미 정부 당국자들은 ‘중국’을 사이버공간의 ‘주적’으로 삼고 있다. 미 의회 고문단은 중국을 “미국 기술의 안보를 위협하는 가장 위험한 대상”이라고 규정했다. 중국은 지난달 25일 광저우에 30명 규모의 사이버전 부대를 창설하고 1000만 위안(약 16억원)의 예산을 배정했다고 밝혔다. 자국 사이버 부대의 존재를 처음 인정한 것이다. 그러나 실제로는 이미 수천~수만명의 사이버 전사가 있을 것으로 추정된다. 미국은 자국 정부 관리의 구글 메일을 해킹한 해커가 중국 청두의 인민해방군 기술정찰국에 속한 것으로 의심하고 있다. 그러나 중국은 자신도 사이버전의 피해자라고 주장하고 있다. 무엇보다 중국은 해킹에 의한 기밀 유출만큼이나 ‘인터넷 심리전’을 우려한다. ‘온라인 만리장성’으로 불리는 중국 인터넷 방화벽 설립을 주도한 팡빙신 중국공정원 원사는 “미국이 인터넷(심리전)을 통해 타국에 내정간섭을 벌이고 있다.”고 비난했다. 러시아는 연방보안국(FSB)의 지원을 받는 해커를 육성하며 타국에 대한 사이버 공격과 인터넷 블로그를 통한 흑색선전, 사이버 반정부 인사에 대한 해킹을 벌이는 것으로 추정된다. 특히 러시아는 에스토니아와 그루지야, 아제르바이잔 등 이웃 국가의 금융·언론 전산망을 대상으로 2007~2008년 ‘분산 서비스 거부’(DDoS·특정서버에 처리할 수 없을 양의 접속 신호를 한 번에 보내 해당 서버를 마비시키는 해킹 기법) 공격을 벌인 것으로 의심받고 있다. 유대근기자 dynamic@seoul.co.kr

사이버전쟁은 비단 국가 간 문제만이 아니다. 오히려 산업 측면에서 보면 민간 부문의 해킹이 더 큰 혼란과 비용을 낳고 있다. 신흥 악동 해커그룹 ‘룰즈섹’(LulzSec)의 ‘활약상’이 대표적이다. 미국의 보안업체 ‘블랙앤베리’는 최근 해커들을 상대로 이색적인 대회를 개최했다. 자신들의 홈페이지를 해킹, 배경화면 사진을 바꿔놓으면 1만 달러(약 1083만원)의 상금과 특채하겠다는 파격적인 조건을 내걸었다. 우승은 룰즈섹에게 돌아갔다. 하지만 이들은 혜택을 거부하고, 홈페이지에 이런 쿨(?)한 답글만을 남겼다. “우린 해냈다. 참 쉽게 (해킹이) 되더라. 돈은 넣어 둬라. 우린 룰즈섹을 위해 이 일을 했을 뿐이다.” 룰즈섹은 최근 가장 주목받고 있는 악동 해커그룹이다. 미국의 공영방송 PBS, 소니, 연방수사국(FBI) 등 굵직한 기관·기업들이 이들의 재물이 됐다. 이름부터 장난끼가 넘친다. 웃음을 뜻하는 온라인 용어 ‘LOL’(Laughing out Loud)과 ‘보안’을 뜻하는 ‘시큐리티’(Security)의 합성어다. 보안을 비웃는다는 의미다. ‘블랙앤베리’의 사례는 이들의 목적이 ‘돈’과는 거리를 둔다는 점을 방증한다. 룰즈섹은 최근 포브스와의 채팅 인터뷰에서 “우리는 즐거움을 위해 해킹한다.”고 강조했다. PBS를 해킹해 거짓기사를 올린 것도 “원래 버락 오바마가 마시멜로를 먹다 목에 걸려 죽었다는 기사를 올리려 했다.”고 농을 건넸다. 이들의 ‘해킹 축제’는 트위터에서 탄력을 받는다. 룰즈섹 트위터의 팔로어들은 이들의 해킹 소식에 환호하고, 룰즈섹은 야욕을 더욱 불태운다. 심지어 룰즈섹이 서버 비용을 기부 받겠다고 하자 7500달러가 모이기도 했다. 그렇다고 마냥 장난만은 아니다. PBS에 대한 해킹도 위키리크스에 비판적 다큐멘터리를 제작한 것에서 비롯됐다. 이들은 트위터에 “당신들의 다큐, 정말 인상적이지 않았다.”는 글을 남겼다. FBI를 공격한 것도 미 국방부가 사이버 공격을 전쟁으로 간주하겠다고 밝힌 것에 대한 반감이 컸다. 소니에 대한 공격은 대표적이다. 소니는 지적 재산권을 중시해 ‘인터넷 자유’를 추구하는 해커들에겐 ‘공공의 적’이나 다름없다. 이들의 해킹건수 37건 가운데 14건이 소니와 관련된 것들이다. 팔로어들이 이들을 ‘수호자’(Guardian)로 부르는 이유다. 방법이 과격할 뿐, 인터넷의 자유를 주장하는 유럽의 정치세력 ‘해적당’과 철학적 유사점도 발견된다. 역설적이게도 보안의식을 강화시켜 준다는 지적도 있다. 룰즈섹은 소니를 해킹하면서 “기본적인 해킹 공격인 ‘SQL 인젝션’(로그인 창에 데이터베이스 하부언어를 넣는 방법)에도 뚫렸다.”면서 허술한 보안의식을 질타했다. 하지만 여전히 비난의 대상임은 분명하다. 뉴욕타임스는 “룰즈섹이 벌인 소니 웹사이트의 해킹 복구에만 몇 년이 걸릴 수도 있다.”면서 “기업의 피해는 차치하더라도, 사생활 피해는 돌이킬 수 없다.”고 밝혔다. 이경원기자 leekw@seoul.co.kr

애플이 개인용 클라우드 서비스인 ‘아이클라우드’(iCloud)를 공개하면서 국내 개인용 클라우드 시장의 선점 경쟁이 치열해질 전망이다. 국내 주요 포털과 통신사가 제공하는 개인용 클라우드 서비스 사용자는 1000만명을 돌파하는 등 클라우드 시장이 순항하고 있다. 저장 공간이 부족한 모바일 단말기에서도 인터넷을 통해 언제 어디서나 원하는 콘텐츠를 꺼내 쓸 수 있는 클라우드 서비스가 인기를 끌고 있다. 국내에서는 10기가바이트(GB)에서 50GB까지 무료로 저장 공간을 제공해 개인이 사용하기에는 충분하다는 설명이다. 10일 업계에 따르면 국내 개인용 클라우드 가운데 최다 가입자를 확보한 서비스는 네이버의 N드라이브이다. 가입자만 750만명이다. 2009년 7월부터 5GB의 무료 저장 공간을 제공하기 시작한 N드라이브는 2년 사이에 30GB로 확대됐다. ●네이버 N드라이브, 모든 앱과 호환 N드라이브는 다양한 운영체제의 스마트폰 애플리케이션을 제공한다. 애플 운영체제인 iOS부터 안드로이드, 윈도모바일, 바다와 모두 호환된다. 이달 안에 네이버 워드와 연동해 MS 워드 문서를 편집할 수 있는 동기화 기능도 제공할 예정이다. ●‘50GB 무료제공’ 다음 클라우드 N드라이브를 뒤쫓는 서비스는 지난 2월 출시한 다음의 다음클라우드. 무료 저장 공간은 50GB로 더 많다. 안드로이드용 앱에서는 음악이나 동영상을 실시간 감상할 수 있고 암호를 설정하는 보안 기능이 제공된다. 또 파일도 폴더 단위로 공유할 수 있다. N드라이브와 다음클라우드의 1회 업로드 및 다운로드 용량은 무제한이다. 통신사들도 개인용 클라우드 서비스 시장을 공략하고 있다. KT는 지난해 유클라우드홈 서비스를 내놓고 자사 가입자에게 무료로 50GB를 제공하고 있다. LG유플러스도 자사 가입자에 한해 15GB를 무료로 제공하고 월 3000원에 100GB를 제공한다. ●SKT·LGU+도 가입자에 서비스 SK텔레콤은 지난달 T백 플러스로 개인용 클라우드 시장에 뛰어들었다. 무료 개인 콘텐츠 보관함으로 저장 용량은 10GB이다. 스마트폰 앱인 심플싱크와 연동하면 단말기 간 콘텐츠 전송도 가능하다. 클라우드 서비스의 장점은 보안성이 높다는 점이다. 개인이 데이터를 직접 관리하는 방식이 아닌, 통신사나 포털의 외부 서버에 보관하기 때문에 해킹이나 정보 유출의 가능성은 낮다. 애플 아이클라우드와 국내 클라우드의 서비스 차이점은 무엇일까. 애플은 e메일 저장 공간만 5GB로 제한하고 구매한 음원이나 앱, 동영상에 대해서는 무제한 저장 공간을 제공할 계획이다. 아이클라우드는 곳간(저장 공간)은 크지만 아이폰, 아이패드, 아이팟 등 애플 제품에만 적용되는 폐쇄적 서비스로 운영된다. 안동환기자 ipsofacto@seoul.co.kr

코스닥지수 종가가 장 마감 이후 50분 가까이 나오지 않는 초유의 사고가 발생했다. 올 들어 현대캐피탈 고객 정보 해킹과 농협 전산 장애의 악몽이 채 가시지 않은 상황이어서 금융권 전산 시스템에 대한 우려가 커지고 있다. 7일 한국거래소에 따르면 코스닥 종가는 장 마감 시간을 49분 넘긴 오후 3시 49분에야 전날보다 3.29포인트(0.69%) 내린 472.80으로 산출됐다. 통상 장 마감이 되면 종가가 곧바로 나오지만 이날은 3시 이후에도 지수가 계속 오르내렸다. 거래소는 종가 지수 산출을 위해 마감 작업을 하던 중 23개 종목의 데이터베이스(DB)에 대기(lock) 현상이 발생해 동시호가 주문체결이 지연되면서 지수 산출도 늦어졌다고 밝혔다. 유가증권시장의 코스피는 문제 없이 마감됐다. 해킹 가능성에 대해 거래소는 방화벽과 서버 및 네트워크에 접근한 기록(로그)이 전혀 없어 분산서비스거부(디도스) 공격이나 해킹 등과 관련이 없다고 설명했다. 황성윤 금융감독원 증권시장팀장도 “종종 발생하는 전산 장애가 빚어진 것으로 보인다.”면서 “해킹은 아니다.”라고 말했다. 거래소는 이번 사고로 투자자가 금전적 손실을 입지는 않았을 것으로 보고 있다. 김성일 증권IT관리팀장은 “종가 체결만 늦어졌을 뿐 체결 지연으로 가격이 달라진 것이 아니어서 금전적 피해는 없다.”면서 “매매 프로그램을 제공하는 보안솔루션 업체에 정확한 사고 원인을 파악하라고 요청한 상태”라고 말했다. 안동환·오달란기자 dallan@seoul.co.kr

리딩투자증권과 한국전자금융의 개인정보 유출 사건을 수사 중인 경찰은 19일 두 금융기관 홈페이지를 해킹한 용의자가 동일 인물임을 확인하고 소재 파악에 수사력을 모으고 있다. 경찰은 리딩투자증권이 갖고 있던 개인정보가 관리자 인증을 비정상적으로 통과한 뒤 데이터베이스에 접근하는 수법으로 유출된 것으로 분석하고 있고 한국전자금융 입사지원자의 정보 역시 유사한 수법으로 해킹당한 것으로 추정했다. 또 두 기관의 개인정보 데이터베이스에 접근한 해킹 용의자의 이메일 계정과 IP주소가 동일한데다 해킹한 개인정보를 엑셀 파일 형태로 저장해 이메일에 첨부한 점으로 미뤄 두 사건이 동일범의 소행일 공산이 크다고 보고 있다. 특히, 경찰은 수년 전부터 태국에 거주하는 40대 한국인 남자가 국내외 IP를 번갈아 사용하며 해킹한 것으로 보고 인터폴에 공조 수사를 요청하는 한편 맥(mac)주소 추적을 통해 공범이 있는지도 확인키로 했다. 경찰은 또 전문기관과 함께 두 업체의 컴퓨터 서버 접속기록을 분석해 해킹에 사용된 것으로 의심되는 IP를 추적, 대조하고 PC에 장착된 랜카드의 고유번호인 맥주소를 추적해 동일범의 소행으로 최종 확인되면 사건을 병합해 수사할 방침이다. 한편, 리딩투자증권이 해커의 공격을 받은 사실을 알고도 제때 대응하지 않아 정보 유출을 방기했다는 비판이 일고 있다. 코스콤 등에 따르면 이 회사는 지난 8일 해킹 시도가 있다는 연락을 코스콤에서 받고도 아무런 조치를 하지 않다가 11일 해커에게 협박 메일을 받고 나서야 진위 조사에 나선 것으로 알려졌다. 이에 대해 금융감독원은 이날 리딩투자증권이 홈페이지 관리 서버의 DB 관리를 소홀히 해 해킹에 노출된 것으로 조사됐다고 밝혔다. 이 회사가 해커들이 정보 유출에 자주 사용하는 구조화질의어(SQL) 입력을 차단하지 않아 고객의 개인정보가 무더기로 빠져나갔다는 것. SQL은 DB에 접근해 원하는 정보를 얻을 때까지 질문을 반복하는 프로그램 언어다. 리딩투자증권은 전날 홈페이지에 회원으로 가입한 고객의 이름, 주소, 주민등록번호, 휴대전화번호 등 개인정보 1만 2000여건(중복자 포함 시 2만 6000여건)과 증권계좌번호 5000여건이 유출됐다며 경찰에 수사를 의뢰했다. 금감원은 대부분의 금융회사가 홈페이지를 개방형 시스템으로 운영하기 때문에 전체 금융회사에 SQL 입력을 차단하도록 지시했다. 오달란·이영준·김양진기자 apple@seoul.co.kr

서울 마포경찰서는 현금인출기 운영업체인 한국전자금융(NICE)의 홈페이지가 해킹돼 입사 지원자 수천명의 개인정보가 유출됐다는 신고를 접수해 수사 중이라고 18일 밝혔다. 경찰 등에 따르면 한국전자금융 홈페이지를 해킹한 용의자는 최근 ‘홈페이지에 접수된 입사지원 정보를 해킹했는데, 정보 유출 사실을 알리지 않을 테니 그 대가로 500만원을 달라.’는 협박성 이메일을 회사 측에 보냈다. 한국전자금융은 자체 조사를 통해 홈페이지에 접수된 입사지원자 8000여명의 이름, 주민등록번호 등 개인정보가 해킹된 정황을 발견하고 지난 6일 경찰에 신고했다. 경찰은 해킹 용의자가 해킹프로그램을 이용해 정보를 빼낸 사실을 확인했으며, 협박 이메일이 발송된 인터넷 프로토콜(IP)과 서버 접속기록(로그기록) 등을 추적, 용의자가 태국에 있는 것으로 파악하고 구체적인 경위를 캐고 있다. 경찰은 또 해킹 용의자가 비슷한 시기에 같은 수법으로 인터넷방송사와 채권추심업체 등 두 곳을 해킹한 뒤 동일한 내용의 협박 이메일을 보내 돈을 요구한 사실을 확인하고 수사 중이다. 이에 대해 한국전자금융은 지난 17일 홈페이지를 통해 이 같은 사실을 알리고 “회사 고객이 개인이 아니라 은행 등 법인이기 때문에 입사지원 정보 외에 다른 개인정보 유출은 없다.”고 밝혔다. 한편, 이날 리딩투자증권 서버에도 해커가 침입해 고객정보 2만 6600여건이 유출된 사실이 확인돼 경찰이 수사에 나섰다. 서울 강남경찰서는 리딩투자증권의 고객정보 2만 6600여건이 유출됐다는 신고를 접수하고 수사중이라고 밝혔다. 홍지민·이영준·김양진기자 ky0295@seoul.co.kr

현대캐피탈 해킹 사고로 개인 정보가 유출된 고객은 거래가 종료된 경우까지 포함해 175만명인 것으로 확인됐다. 금융감독원은 정태영 사장을 비롯한 현대캐피탈 임직원의 징계를 검토하고 있다. 금감원은 17일 현대캐피탈 해킹 사고 검사 결과 중간 발표를 통해 이같이 밝혔다. 당초 현대캐피탈의 개인 정보 유출 규모는 거래를 유지하고 있는 유효 고객 180만명 가운데 42만~43만명 선으로 알려진 바 있다. 금감원 관계자는 “3월 6일~4월 7일 해커가 퇴직직원의 아이디와 패스워드로 보조 서버인 광고 메일 발송 서버와 정비 내역 조회 서버에 침입해 약 175만명의 고객 정보를 해킹했다.”면서 “이는 거래 유지 고객과 종료 고객 등을 모두 합한 수치의 22~23%에 해당한다.”고 밝혔다. 현대캐피탈은 거래 유지 고객 67만명, 거래 종료 고객 81만명, 웹 회원 27만명의 정보가 해킹됐다고 설명했다. 처음 정보가 유출된 42만명 외에 추가로 해킹된 133만명의 정보는 수사 당국이 회수한 것으로 알려졌다. 금감원은 지난달 11일부터 29일까지 현대캐피탈에 대한 검사를 실시한 결과, 해킹 사고의 주요 원인은 전자금융거래법 등 관련 법규에서 정한 사고 예방 대책 이행을 소홀히 했기 때문이라고 분석했다. 현대캐피탈이 ▲업무 성격상 불필요한 아이디와 패스워드를 부여하는 한편, 담당 직원이 퇴직한 뒤에도 해당 아이디와 패스워드를 삭제하지 않았고 ▲해킹 침입 방지 및 차단 시스템 관리를 철저하게 하지 않았으며 ▲해킹 프로그램 업로드 차단 등 대응 조치가 미흡했고 ▲해킹 사고 발생 시 정보 유출을 최소화할 수 있는 고객 비밀번호 암호화 및 업무 관리자 화면 조회 시 주민번호 뒷자리 숨김 표시를 하지 않았다고 설명했다. 금감원은 현대캐피탈 임직원이 예방 대책 이행을 소홀히 해 고객 정보가 대량 유출되었고, 이것이 국민 불안을 초래하고 사회 문제가 됐다고 판단, 조만간 제재심의위원회 심의를 거쳐 제재 조치를 취할 방침이다. 홍지민기자 icarus@seoul.co.kr

현대캐피탈 서버 해킹을 통해 유출된 고객 정보가 뒷거래를 통해 국내 대출중개업체의 영업에 이용된 사실이 경찰 수사에서 확인됐다.<서울신문 4월 12일자 1, 8면> 서울지방경찰청 사이버범죄수사대는 16일 현대캐피탈 서버에 침입해 개인정보를 빼낸 A대출중개업체 팀장 윤모(35)씨를 정보통신망법 위반 혐의로 구속했다. 윤씨는 지난 3월 10일 필리핀에 머물고 있는 이 사건의 주범 정모(36·미검)씨에게서 현대캐피탈 서버에 침입할 수 있는 주소(URL)를 받아 고객 휴대전화 번호 1만 9300여건을 입수, 대출중개 영업에 이용한 혐의를 받고 있다. 경찰 조사 결과 윤씨는 예전에 다니던 직장 동료로부터 지난해 3월쯤 정씨를 소개받았으며, 지난 2월 정씨가 “내가 아는 해커가 현대캐피탈 서버에 침입했는데 작업비를 주면 URL을 알려주겠다.”고 제의하자 2200만원을 보낸 것으로 드러났다. 윤씨는 지난 3월 10일 서울 서초구의 한 PC방에서 정씨로부터 메신저로 URL을 넘겨받은 뒤 현대캐피탈 서버에 침입했다. 이어 11일까지 두 차례에 걸쳐 외장하드에 고객정보를 내려받아 보관한 것으로 조사됐다. 경찰은 국내 PC방에서 현대캐피탈 서버 접속 기록 흔적을 발견, 추적한 끝에 윤씨가 해당 시간대에 정씨와 국제통화를 한 사실을 확인해 검거했다. 윤씨는 지난해에도 정씨에게 1200만원을 보내고 개인정보를 사들였다는 진술을 확보한 바 있다. 김동현기자 moses@seoul.co.kr

북한의 소행으로 추정되는 해킹으로 사상 초유의 서비스 중지사태를 낳았던 농협중앙회 전산망이 또다시 장애를 일으켰다. 농협 관계자는 13일 “오후 1시26분부터 14분간 일부 지역에서 자동입출금기(ATM) 작동이 멈췄다.”면서 “과부하에 따른 단순한 국지적 서버 장애”라고 밝혔다. 이어 “지난번 사고처럼 해킹은 아니다.”라고 덧붙였다. 농협 지점을 찾은 고객들은 전산장애에 민감한 반응을 보였다. 서울 광화문지점에서 현금을 인출하려던 한 회사원은 “자라보고 놀란 가슴 솥뚜껑보고 놀란다고, 대형사고인줄 알았다.”면서 “자꾸 사고가 이어지니 농협에 대한 신뢰가 깨지는 느낌”이라고 말했다. 인터넷서울신문 event@seoul.co.kr

하루가 다르게 발전하는 정보통신기술(ICT)은 사용자들에게 무한한 사용 편의성을 제공하고 있지만 개인정보의 유출 가능성도 높여 ‘양날의 칼’로 다가오고 있다. 특히 우리처럼 보안 의식이 기술발전 속도를 따라오지 못하는 상황에서는 개인정보 유출이 사회적으로 문제가 되곤 한다. 6일 관련 업계에 따르면 우리나라의 개인정보보호 수준은 꾸준히 개선되고 있다. 최근 세계경제포럼(WEF)이 발표한 세계 보안서버 보급률 순위 조사에서 우리나라는 조사대상 137개국 가운데 12위로 지난해보다 2계단 상승했다. 2008년과 2009년 순위는 각각 51위, 16위였다. 보안서버는 인터넷상에서 주민등록번호와 아이디 등 개인정보를 암호화해 전송, 해킹 등으로부터 개인정보를 보호하는 기본적인 수단이다. 개인정보보호를 위한 꾸준한 개선이 이뤄지고 있다는 뜻이다. 그러나 세계 최고 수준의 ICT를 감안하면 여전히 정보보호 수준은 걸음마 단계다. 특히 공공 부문일수록 문제가 심각하다. 행정안전부가 지난 2월 100개 공공기관의 개인정보 보호 수준을 현장 진단한 결과 중앙부처 및 시·도 등 56개 기관은 전년 대비 3.0점 상승한 94.3점으로 개선됐다. 반면 공사와 공단, 교육청 및 대학 등 44개 기관은 71.7점을 받아 개인정보 암호화 분야와 개인정보처리시스템의 접근·이용 분야의 개선이 필요한 것으로 나타났다고 밝혔다. 스마트폰과 무선랜(와이파이) 이용자가 크게 늘고 있다는 점은 개인 차원의 정보보호 측면에서는 악재다. 와이파이는 누구나 자유롭게 사용할 수 있는 ‘개방형’으로 설계된 만큼 태생적으로 보안에 취약하다. 이용자의 개인 정보를 수집하기 위해 위장 설치된 AP에 접속하면 개인 정보가 줄줄 새 나가는 것은 시간문제다. 최근 애플과 구글이 스마트폰의 위치 정보를 수집한 것도 와이파이 망을 통해서다. 이에 따라 개인정보 보호를 위한 관련 법 제정 움직임도 활발하다. 특히 오는 9월부터 시행되는 개인정보보호법은 국내 보안 수준을 크게 끌어올릴 것으로 기대되고 있다. 이두걸기자 douzirl@seoul.co.kr

대니얼 해밀턴 ‘빅 브러더 워치’ 총괄이사는 6일 서울신문과의 이메일 인터뷰를 통해 “기업이 수집하는 개인정보들이 정부 기관에 넘어가는 경우 ‘인권의 악몽’과 같은 상황이 벌어질 것”이라며 “시민사회가 기업의 정보 수집 및 활용을 감시하고 법적·윤리적 책임을 요구해야 한다.”고 제안했다. 빅 브러더 워치는 2009년 영국 런던에 설립된 비정부기구다. →글로벌 정보통신기술(ICT) 기업들이 왜 위치정보를 수집하나. -애플·구글과 같은 기업들은 사용자의 위치정보와 같은 데이터를 미래 광고 플랫폼의 가장 중요한 자산으로 인식한다. 스마트폰 등 모바일 기기 사용자들에 대한 타깃 마케팅 정보를 이용하기를 원한다. 기업으로서는 다양한 광고 수익을 창출할 수 있어 위치정보를 통한 타깃 마케팅에 대한 유혹이 크다. 정부가 기업이 축적한 개인정보를 감시에 활용한다면 ‘인권의 악몽’이 초래된다. 영국 사회에서도 애플과 구글의 고객 정보 수집에 대한 의문이 커지고 있다. →어떤 관점에서 개인정보 유출 문제를 인식해야 하는가. -개인정보 침해는 자유 국가의 시민 권리가 훼손된다는 의미다. 일상생활을 정당한 이유 없이 정부나 기업이 염탐하거나 감시하는 건 끔찍하다. 네덜란드 내비게이션 제조사인 톰톰(TomTom)사가 자사 단말기 사용자들의 GPS 정보를 정보기관에 판매했다. 익명 정보라고 해명하지만 누가 믿겠는가. 톰톰은 고객 데이터베이스(DB)를 팔아 700만 파운드가 넘는 수익을 올렸다. 돈이 된다면 고객 정보도 유출할 수 있다는 점을 알려준 사례이다. →스마트 기기의 그림자도 적지 않은데 무엇이 문제인가. -스마트폰의 확산으로 정보 유출의 위험성이 커지고 있다. 일반 전화와 달리 스마트폰은 이메일 계정, 개인 스케줄, 대화 내용, 신용카드 등의 금융정보 등 방대한 정보가 들어 있다. 스마트폰을 분실하거나 해킹을 당할 경우를 상정하면 잠재적 위험은 더 크다. 개인 피해도 적지 않을 것이다. 일본 소니의 해킹 사고는 거대 기업도 얼마나 보안에 취약한지를 상징적으로 보여 줬다. →기업의 위치정보 수집 등을 근본적으로 차단할 방법은 없나. -사용자가 스마트폰에서 위치정보 기능을 해제하는 것만으로도 일차적인 방지는 할 수 있다. 하지만 애플이나 구글 등의 기업이 서버에 저장하는 정보들에 대해 알기 어렵고 마땅한 대응책이 없다. 자발적인 감시 노력이 필요하다. 우리는 영국에서 개인정보 보호 캠페인을 통해 기업이 가진 우리에 대한 정보를 감시하고 파기하도록 노력하고 있다. 결국 시민사회가 감시하고 행동해야 한다. →기업이 정보 수집을 통해 데이터 마이닝에 나서는 이유는. -기업들이 고객으로부터 얻은 정보를 가공하고 추출하는 ‘데이터 마이닝’(data mining)은 비즈니스에서 더욱더 중요한 기법으로 활용될 것이다. 기업들은 마케팅부터 이익을 침해할 위협을 감시하고 사기 행위를 탐지하는 기법에 이르기까지 데이터 마이닝을 다양하게 활용한다. 고객 정보에 대한 데이터 마이닝은 더욱 늘어날 것이다. →영국 사회에서 가장 개인정보 침해 이슈는 무엇인가. -현재 가장 중요한 빅브러더 이슈는 무차별적인 폐쇄회로(CC)TV 확산이다. 런던 등 대부분 도시의 거리와 화장실에 CCTV가 설치돼 있다. 런던 시민이 하루 300번 이상 CCTV에 노출된다는 조사도 있다. 안동환기자 ipsofacto@seoul.co.kr

농협 전산망 마비 사태를 북한 정찰총국의 치밀한 사이버 테러로 결론 내린 검찰이 해외 IP의 실제 이용자와 경로를 규명하는 것이 필수적이라고 보고 관련 국과의 공조수사에 착수했다. 서울중앙지검 첨단범죄수사2부(부장 김영대)는 농협 서버운영 시스템 삭제 명령의 발원지인 한국IBM 직원 노트북에 접속 흔적을 남긴 해외 IP 27개가 소재한 국가에 수사 협조를 요청했다고 4일 밝혔다. 문제의 노트북에서 나온 IP의 소재지는 중국과 타이완, 브라질, 우크라이나, 이탈리아, 미국 등 모두 13개국이다. 검찰은 사이버 범죄에 대한 효과적 대응과 국제공조 수사를 위해 대검찰청 첨단범죄수사과에 설치된 ‘24시간 네트워크’를 통해 해당 국가에 IP의 실소재지를 파악해 줄 것을 요청한 상태다. 검찰은 이들 IP가 실제 그 나라에 근거지를 둔 것으로 확인되면 관련 전산자료를 넘겨받아 분석할 방침이다. 향후 검찰의 수사 방향은 해당 IP가 이번 사태에서 어떤 역할을 했는지, 실사용자의 신원은 무엇인지 등을 파악하는 데 집중될 것으로 전망된다. 강병철기자 bckang@seoul.co.kr

지난달 발생한 사상 초유의 농협 금융전산망 마비 사태는 북한의 소행으로 결론이 났다. 북한 정찰총국 소속 해커들이 장기간 치밀하게 준비한 뒤 실행한 ‘사이버테러’라는 것이 검찰이 내린 결론이다. 서울중앙지검 첨단범죄수사2부(부장 김영대)는 3일 이 사건이 2009년 7·7디도스(DDoS·분산서비스거부) 및 지난 3·4디도스 공격 주체와 같은 집단의 소행으로 ‘북한이 관여한 사이버테러’라고 밝혔다. 검찰에 따르면 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북은 지난해 9월 4일쯤 악성코드에 감염돼 ‘좀비PC’(해커가 원격제어하는 PC)가 됐으며, 해커들은 7개월 가까이 이 노트북을 집중 모니터링했다. 그러다 지난달 12일 오전 8시 20분쯤 공격명령 파일이 설치됐고, 같은 날 오후 4시 50분쯤 원격제어 방식으로 삭제 명령이 실행됐다. 특히 악성코드 중에는 도청 프로그램도 포함돼 있어 해커들은 삭제 명령 실행 당일에 농협 측의 반응과 피해 규모까지 모두 도청했던 것으로 조사됐다. 또 이들은 정보 유출용 해킹 프로그램인 ‘백도어’(backdoor)와 ‘키로깅’(key logging)을 통해 최고관리자 비밀번호까지 빼냈다. 검찰은 해당 노트북 ‘맥 주소’(MAC Address·랜카드 고유 식별 번호)를 북한 측이 관리하고 있었고, 악성코드 유포 경로와 작동 방식이 과거 사건과 비슷하며, 공격에 사용된 IP주소 한 개가 3·4디도스 때와 동일하다는 점 등을 근거로 이 사건을 북한의 소행으로 보고 있다. 하지만 검찰은 중국에서 암약하는 해커들이 농협 서버를 해킹했을 수도 있다고 보고 IP 추적 등 관련 수사를 계속할 계획이다. 김승훈·강병철기자 bckang@seoul.co.kr

농협 전산망 마비 사태를 3주 동안 수사한 검찰은 이 사건을 ‘북한 정찰총국이 주체가 돼 치밀하게 준비한 사이버 테러’라고 결론지었다. 과거 7·7 디도스(DDoS·분산 서비스 거부), 3·4 디도스 공격 대란 때와 같은 결론이다. 검찰은 국가정보원이 축적한 자료를 바탕으로 이와 같이 판단했다. 하지만 여기에는 농협의 허술한 보안도 한몫한 것으로 드러났다. 3일 검찰 등에 따르면 농협 사태를 북한 소행으로 보는 가장 주요한 근거는 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북의 ‘맥 주소’(MAC Address·랜카드 고유 번호)가 북한 측에서 관리하는 ‘좀비PC’ 맥 주소 목록에 포함돼 있다는 사실이다. 국정원은 지난해 9월쯤 북한이 국내에 대대적으로 악성코드를 유포하고, 여기에 감염된 좀비PC들의 맥 주소를 목록으로 정리·관리해 왔다는 사실을 포착했다. 국정원은 해당 목록을 입수해 보관해 왔는데, 이번 사건에 활용된 노트북 맥 주소가 이 목록에 포함돼 있었던 것이다. 또 동일 집단이 아니고서는 불가능할 정도로 비슷한 수법으로 같은 프로그램이 활용됐다는 것도 중요한 정황 증거다. 검찰 관계자는 이를 두고 “수법이 같다는 건 사람의 필적이 같은 것과 비슷한 이치”라고 표현했다. 우선 악성코드를 ‘A로 시작하는 45자의 암호키’를 사용해 숨겨둔 수법이 이전과 똑같았고, 공격에 활용한 인터넷 프로토콜(IP) 주소 1개는 3·4 디도스 때와 완전히 일치하는 것으로 조사됐다. 여기다 일부 악성코드는 3·4 디도스 때와 이름이 같았고, 삭제 명령 대상이 된 30여 개 파일 확장자도 7·7 디도스 때와는 93%, 3·4 디도스 때와는 100% 일치했다. 이번 공격이 상당한 규모의 인적·물적 지원 없이는 불가능한 범죄라는 점도 검찰이 북한의 소행이라고 추정하는 간접적인 이유다. 그러나 검찰은 이번 사건을 북한이 주도했다는 ‘확실한 증거’는 제시하지 못했다. 검찰은 한국IBM 직원의 노트북에서 27개 해외 IP를 발견했으나, 어느 IP를 통해 삭제 명령이 내려졌는지는 특정하지 못했다. 또 7·7 디도스, 3·4 디도스 사건 당시 “북한 개입으로 추정한다.”는 결론을 내리고서는 이번에 다시 그 사건들과의 공통점을 근거로 북한 소행으로 결론내리는 것에 대해 논리성이 떨어진다는 비판을 피할 수 없을 것으로 보인다. 또 국정원이 해당 악성코드 유포 사실을 지난해 9월 확인해 치료 작업에 들어갔는데도 주요 금융기관인 농협의 서버 관리 컴퓨터가 반년 넘게 치료되지 않았다는 점도 의문이다. 검찰은 향후 추가 범죄가 발생할 가능성도 있다고 보고 있다. 검찰은 이와 함께 이번 사건에서는 농협의 허술한 보안 정책도 한 원인이 됐다고 밝혔다. 농협 직원의 컴퓨터라면 반드시 깔려 있어야 하는 보안 프로그램이 한국IBM 직원의 노트북에는 깔려 있지 않았고, 해당 직원은 서버 관리용 노트북으로 자유롭게 인터넷 서핑이나 웹하드 자료 다운로드를 즐겼다. 강병철기자 bckang@seoul.co.kr

“난, 스마트폰 집에 두고 왔어.” 어느 주말, 골프장으로 가는 길에 카풀을 하려고 서울시내 모처에 모였을 때 어느 고위 공무원이 들려 준 말이다. 의아해하는 동반자 3명에게 이 공무원은 “스마트폰이 편리하긴 하지만 위치 추적을 당한다는 말이 있어서….”라고 설명했다. 스마트폰을 가진 다른 공무원의 표정이 묘하게 일그러졌다. 이를 반영하듯 국내 모 정보기관은 직원들에게 ‘보안성’을 이유로 아예 스마트폰을 지급하지 않는다. 모바일시대를 맞아 통신기기에 의한 개인정보 누출이 국내외에서 현실화되고 있다. 국내의 한 광고대행사는 스마트폰 사용자 80여만명의 정보를 불법으로 확보, 영업에 활용했다. 소니의 플레이스테이션 네트워크(PSN)도 해킹당해 7700만명의 고객 정보가 유출됐다. 국내 PSN 이용자 23만명이 피해를 당한 것으로 추정된다. 그런가 하면 네덜란드에서는 일반화된 자동차 내비게이션을 통해서도 차량 운행 정보가 줄줄 새는 것으로 확인됐다. 실제로 국내 스마트폰 사용자의 위치 정보 2억 1000만여건을 무단으로 수집한 광고 대행업체 E사 등 3곳과 김모(39)씨 등 업체 대표 3명이 경찰에 입건됐다. 서울경찰청 사이버범죄수사대는 27일 스마트폰 애플리케이션을 통해 개인정보를 불법으로 확보한 김씨 등을 위치정보의 보호 및 이용 등에 관한 법률 위반 혐의로 불구속 입건했다. 이들은 이런 개인정보를 이용해 맞춤형 광고를 제공하는 방식으로 6억 5000만원을 챙겼다. 김씨 등은 버스노선 안내서비스, 택시요금 사기 방지, 오목, 음악감상 등 스마트폰 앱 1451개를 제작해 무료로 배포했다. 스마트폰 사용자들이 이런 앱을 T스토어와 안드로이드 마켓, 애플 앱스토어 등에서 내려받아 설치했다. 스마트폰에 설치된 앱을 실행하면 사용자의 각종 개인정보가 자사의 서버에 자동으로 전송된다. 스마트폰을 꺼 놓아도 정보는 계속 전송된다. 이런 수법으로 스마트폰 사용자 80여만명에게서 수집한 위치정보는 2억 1000여만건에 이르는 방대한 분량이다. 누출된 정보는 위성항법장치(GPS)와 휴대전화의 고유 식별번호(MAC)인 주소, 신호를 주고받는 와이파이(WiFi)와 기지국의 아이피(IP), 이동 경로 등이 망라돼 있다. 경찰 관계자는 “포털사이트 등의 지도서비스를 통하면 언제든 누가 어디에 있는지 1m 오차 범위 안에서 확인이 가능하다.”고 말했다. PSN과 큐리오시티 온라인 서비스의 고객정보 누출 가능성이 제기됐다. 소니 대변인 패트릭 세이볼드는 27일(현지시간) 회사 블로그를 통해 “외부 침입자가 고객의 이름과 주소, 국가, 이메일 주소, 생일, PSN·큐리오시티 비밀번호 등 정보를 획득한 것으로 보인다.”고 밝혔다. 방통위 관계자는 “PSN과 큐리오시티 온라인 서비스를 이용하는 회원들은 2차 피해를 막기 위해 같은 비밀번호를 사용하는 다른 웹사이트에서도 비밀번호를 바꿔야 한다.”고 말했다. 안동환·백민경기자 white@seoul.co.kr

지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

‘문화대통령’ 서태지와 배우 이지아의 14년에 걸친 만남과 이별, 법정 송사가 인터넷 세상을 점령한 한 주였다. 서태지와 이지아가 50억원대의 위자료 및 재산 분할 소송을 진행 중이라는 사실이 21일 알려졌다. 이날 밤 이지아는 소속사를 통해 공식 보도자료를 내고 대부분의 사실을 인정했다. 불과 오전까지만 해도 정우성과의 데이트 장면이 화제였지만 반나절 만에 대반전이 일어난 셈. 오리무중에 빠진 농협 사이버테러 사태가 2위에 올랐다. 검찰이 지난 19일 농협 서버에 삭제 명령을 내린 노트북 컴퓨터를 분석한 결과, 적어도 한달 전 이 명령이 예약 실행되도록 프로그램된 사실을 확인했다. 검찰은 농협 내부 시스템과 운영구조를 잘 아는 내부 직원 소행이거나 내부자가 외부 해커와 공모했을 개연성을 조사하고 있다. 소녀시대의 ‘가창력’을 담당하고 있는 태연이 지난 17일 공연에서 한 남성 관객에게 납치될 뻔한 사연은 3위에 올랐다. 평범한 대학생으로 밝혀진 이 남성은 잘못을 반성해 별다른 처벌을 받지 않고 귀가했다. 4위는 축구대표팀 공격수 박주영의 결혼 소식이 차지했다. 프랑스 프로축구 AS 모나코에서 활약 중인 박주영은 오는 6월 프랑스리그를 마친 뒤 한살 연상의 정유정씨와 결혼식을 올릴 계획이다. 이들은 2005년부터 캠퍼스 커플로 만나 6년째 공개 연애를 했다. 5위는 고학력 백수 300만명. 통계청에 따르면 1분기 비경제활동 인구 가운데 전문대와 4년제 대학교 이상을 졸업한 ‘고학력 백수’가 300만명에 이르는 것으로 조사됐다. 6위는 BBK 수사팀 패소였다. 이명박 대통령의 BBK 의혹을 담당한 수사팀이 김경준씨를 회유한 의혹이 있다고 보도한 언론사를 상대로 검찰이 낸 손해배상 청구 소송에서 원심을 깨고 원고 패소 판결이 났다. 가수 윤복희가 MBC ‘무릎팍도사’에서 가수 남진과의 결혼은 첫 남편 유주용에게 보여주기 위한 것이라고 고백한 것이 7위에 올랐다. 8위는 지난 23일 분당선 죽전역 부근에서 일어난 전동차 탈선사고 소식이었다. 만 16세 미만의 청소년들이 밤 12시부터 오전 6시까지 온라인 게임에 접속하지 못하도록 하는 셧다운제가 국회 법제사법위원회 법안심사소위를 통과했다는 소식이 9위, SBS ‘생활의 발견’ 방송 사고가 10위에 올랐다. 임일영기자 argus@seoul.co.kr

스마트폰의 위치 정보가 사용자 몰래 저장되고 있다는 논란이 확산되면서 1000만명을 웃도는 국내 스마트폰 사용자 사이에 공포감이 고조되고 있다. 특히 국내 스마트폰 운영체제(OS) 점유율 1위와 2위를 달리는 구글의 안드로이드와 애플의 iOS 모두 사용자 위치를 저장·전송해 온 것으로 알려져 사생활 침해 논란은 전방위로 확산될 듯하다. 하지만 전문가들은 안드로이드폰과 아이폰 사이에는 사용자 위치 정보를 수집·저장하는 방식에 있어 다소 차이가 있다고 설명한다. 안드로이드폰의 보안 체계가 아이폰보다 좀 더 낫다는 설명이다. ‘위치 정보 수집 논란’에 휩싸인 안드로이드폰과 아이폰의 가장 큰 차이는 사용자 이동 경로를 어떤 방식으로 저장하느냐에 있다. 미국 정보기술(IT) 개발자인 마이크 캐스텔먼은 “아이폰은 위치 정보를 로그방식으로 저장하지만 안드로이드폰은 캐시 방식으로 저장한 것으로 보인다.”고 말했다고 미 IT 전문지인 ‘ARS 테크니카’가 보도했다. 아이폰의 로그 저장 방식은 OS 설치 이후 위치 정보를 매초 저장·축적하는 데다 일반 사용자가 접근해 지우기 어렵다. 반면 안드로이드가 채택한 캐시 방식은 일정시간이 지나면 저장된 정보가 자동으로 삭제된다. 미국의 IT 전문 뉴스사이트인 와이어드닷컴도 “아이폰에 1년치가 넘는 위치 정보를 남기도록 한 건 시스템상의 결함”이라며 “만약 절도범이 제3자의 아이폰을 손에 넣는다면 타인의 생활을 속속들이 알 수 있게 된다.”고 지적했다. 하지만 캐스텔먼은 “스마트폰에 저장된 기록이 범죄 수사 때 사용자에게 불리한 증거로 활용될 수 있다는 점 등에서 아이폰과 안드로이드폰의 위치 정보 저장 기능은 같은 문제점이 있다.”고 말했다. 미국 일간지인 새너제이 머큐리뉴스는 “스마트폰만 들여다보면 당신이 주고받은 문자와 사진, 트위터와 페이스북, 병원 예약 기록까지 확인할 수 있어 ‘디지털 지문’으로까지 불린다.”고 전했다. 아이폰과 안드로이드폰은 정보를 보호하는 보안 시스템상에도 차이가 있다. 아이폰 사용자의 위치 정보 파일은 암호화하지 않은 채 스마트폰 안에 저장된다. 누구나 손쉽게 사용자의 이동경로를 확인해 볼 수 있다는 얘기다. 또 위치 정보를 휴대전화 내에 저장할지를 묻는 사용자 동의 과정도 없다. 이 때문에 휴대전화를 분실한다면 사용자는 자신도 모르는 이동 정보를 유출당해 사생활 침해 논란이 일 수 있다. 안드로이드폰 보안 체계는 아이폰에 비해 그나마 낫다. 구글은 24일 “안드로이드 기기는 위치정보 공유 여부를 전적으로 사용자들에게 맡기는 옵트인(opt-in) 형식을 택하고 있다.”면서 “구글은 위치정보 수집, 공유 및 사용에 대해서 사용자들에게 공지하고 통제권을 가질 수 있도록 하고 있다.”고 밝혔다. 또 아이폰과는 달리 사용자 위치정보를 암호화한 뒤 저장해 스마트폰을 잃어버리거나 해킹당했을 때의 사생활 침해 가능성을 낮췄다. 전문가들은 개인 이동 정보의 유출을 막으려면 스마트폰의 위치 정보 수집 기능을 사용하지 않으면 된다고 조언한다. 하지만 아이폰은 위치 정보 서비스를 사용하지 않는다면 지도 등 일부 애플리케이션을 사용할 수 없다. 이럴 경우 ‘스마트폰’의 기본적 기능을 상실하는 것과 마찬가지가 된다. 반면 안드로이드폰은 위치 정보 서비스를 꺼놓아도 앱 기능의 정확도가 떨어질 뿐 계속 사용할 수 있다. 유대근기자 dynamic@seoul.co.kr [용어 클릭] ●아이폰 로그·안드로이드 캐시 방식 애플 운영체제(OS)의 로그 방식과 안드로이드 OS의 캐시 방식은 사용자의 위치 정보를 계속 저장하느냐의 여부에 따라 구분된다. 로그 방식은 위치정보가 담긴 로그 파일을 하드나 서버 등에 지우지 않고 계속 쌓아두는 방식이다. 반면 캐시 방식은 빠른 데이터 전송을 위해 별도 서버에 임시로 데이터를 전송해 놓는다. 이런 이유로 일정 시간이 지나면 자동으로 삭제되고, 사용자가 원할 때도 쉽게 기록을 지울 수 있다.

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

미국이나 영국 등 외국의 유수한 금융기관과 기업들도 ‘나는’ 해커들에게는 속수무책이다. 21일(현지시간) 버라이즌 비즈니스에 따르면 지난해 미국에서 개인 정보를 해킹한 사건은 모두 760건으로 2009년 140건의 5배가 넘는다. 가장 최근에 발생한 대규모 해킹 사건으로는 지난달 31일 미국과 영국 등의 50개 대기업 고객들의 이메일 주소가 유출된 사건을 꼽을 수 있다. 전 세계 2500개 기업의 이메일 마케팅을 담당해 온 미국의 엡실론사의 전산망이 해커들에게 뚫려 JP모건체이스, 시티뱅크, 바클레이스, 유에스뱅크코프, 디즈니, 매리엇, 베스트바이, 막스앤드스펜서 등 50개 주요 기업의 고객 명단과 이메일 주소를 도난당하는 사고가 발생했다. 앞서 2007년 미국의 유명 해커 앨버트 곤잘레스 일당은 카드 결제업체 허트랜드 페이먼트를 해킹해 미국의 소매유통업체에서 쇼핑한 고객 4000여만명의 카드 계좌 1억 3000만여개의 정보를 빼내 범죄 조직 등이 운영하고 있는 세계 각지의 서버로 전송했다. 개인 계좌에서 실제 현금을 빼내는 해킹도 발생했다. 지난해 10월 한 범죄 조직은 해커를 모집해 JP모건 등 투자은행 고객들의 계좌 비밀번호를 빼내 고객들의 계좌에서 돈을 훔쳤다. 피해액은 영국에서 950만 달러, 미국에서 300만 달러에 이르는 것으로 알려졌다. 지난해 6월에는 말레이시아계 해커 린먼푸가 미국 연방준비제도이사회(FRB) 홈페이지를 해킹해 40만건 이상의 신용카드 계좌 정보를 빼내고 네트워크 전산망에 악성코드를 심은 혐의로 기소돼 10년형을 선고받았다. 나스닥의 전산망도 지난해 해킹을 당했으나 보안검사에서 악성소프트웨어가 발견돼 피해를 막았다. 한편 버라이즌의 분석 결과에 따르면 최근 들어 해킹 건수는 급증한 반면 의외로 유출된 개인 정보량은 2010년 400만건으로 2008년 3억 6100만건, 2009년 1억 4400만건보다 크게 줄었다. 김균미기자 kmkim@seoul.co.kr