KT 휴대전화 가입자 800여만명의 개인정보가 해킹된 사건에 대해 한 법무법인이 집단 소송을 준비, 5일 만에 소송인단 2만 5000명을 모집했다. 법무법인 평강은 3일 “피해자들에게 100원씩만 받고 KT를 상대로 집단 공익 소송을 진행하겠다.”고 밝혔다. 돈을 받지 않을 경우 의뢰인이 인감증명서를 직접 제출해야 하는 등 번거로움이 있어 소송비용 100원을 받는다는 설명이다. 인지대 2500원을 합쳐 총 2600원만 내면 소송에 참여할 수 있다. 평강은 현재 인터넷 카페(cafe.naver.com/shalomlaw)를 개설해 소송인단을 모집 중이다. 카페 개설 5일 만에 가입자는 2만 7000명을 넘어섰고, 이 중 2만 5000명이 소송에 참여했다. 저렴한 가격으로 소송에 참여할 수 있기 때문에 법조계에서는 ‘옥션 해킹’ 소송에 참여했던 14만명과 맞먹는 규모의 소송이 가능할 것으로 보고 있다. 최득신(46·사법연수원 25기) 대표변호사는 “나를 포함해 평강 소속 변호사 4명의 개인정보가 유출돼 대응 방안을 검토하다 집단소송을 추진하게 됐다.”면서 “개인정보를 함부로 취급하는 대기업에 경각심을 일깨워주고 싶다.”고 말했다. 최 변호사는 대구지검 부장검사 출신으로 ‘아이러브스쿨’ 해킹사건을 수사하기도 했다. 평강 측은 KT에 손해배상 금액으로 1인당 50만원을 청구할 계획이다. 일체의 착수금이나 성공보수금을 받지 않는다는 계획이다. 경찰 내사 상황 등 사실관계를 파악해 8월 중으로 소장을 접수할 예정이다. 최 변호사는 “형사에서 무혐의가 나오더라도 민사에서는 기업의 책임을 물을 수 있다.”면서 “피해사례 등을 수집해 일부 승소라도 할 수 있도록 최선을 다하겠다.”고 말했다. 2008년 1863만명의 개인정보가 유출된 ‘옥션 해킹’ 사건의 경우 처음엔 14만여명이 소송에 참가했지만 1심 패소 후 3만 5000여명만 항소해 현재 항소심이 진행 중이다. 이민영기자 min@seoul.co.kr

이른바 ‘올레’ KT가 뚫렸다. 870만명의 휴대전화 가입자 개인정보가 해킹당해 통신판매(텔레마케팅)에 활용됐다. 이동통신업계 역대 최대 규모의 해킹 피해다. 더욱이 KT는 무려 5개월에 걸쳐 이뤄진 개인정보유출 사실을 파악하지 못한 것으로 밝혀져 미흡한 안전대책과 보안 의식이 도마에 올랐다. 특히 개인정보 유출이 기존의 사건과 달리 폭이 넓고 목적이 텔레마케팅으로 특정된 까닭에 소비자의 집단 소송도 잇따를 전망이다. 경찰청 사이버테러대응센터는 KT 휴대전화 고객정보를 빼내 외부에 판매한 해커 최모(40)씨와 황모(35)씨를 정보통신망 이용촉진 및 정보보호법 위반 혐의로 구속했다고 29일 밝혔다. 최씨 등으로부터 개인정보를 사들인 우모(36)씨 등 텔레마케팅 업자 7명도 불구속 입건했다. 최씨 등은 KT 고객정보를 몰래 조회할 수 있는 해킹 프로그램을 제작, 지난 2월부터 최근까지 5개월간 가입자 870만명가량의 개인정보를 무단으로 빼냈다. KT 휴대전화 전체 가입자 1600만여명의 절반이 넘는 정보가 새나간 것이다. 정보통신업체에서 10년간 프로그램 개발을 담당하는 등 베테랑 프로그래머였던 최씨는 영업대리점이 고객정보를 조회하는 것처럼 꾸며 한두 건씩 개인정보를 교묘하게 빼내 모았다. 때문에 KT는 5개월 동안이나 고객정보가 유출당한 사실을 알아차리지 못하다 뒤늦게 내부 보안점검을 통해 해킹 피해를 확인, 경찰에 수사를 의뢰했다. 경찰은 “해킹프로그램 개발에만 7개월이 소요됐을 정도로 치밀하게 준비했고, 해킹 방식도 상당히 높은 수준”이라면서 “빼돌린 고객 정보로 번 수익이 최소 10억 1000만원에 달한다.”고 설명했다. 조사 결과 최씨 등은 KT 본사의 고객정보 데이터베이스(DB)를 직접 해킹하는 대신 영업대리점이 KT 고객정보시스템을 조회하는 것처럼 위장하는 수법을 썼다. 유출된 개인정보에는 이름과 주민등록번호, 휴대전화 번호 및 모델명, 기본요금과 사용요금제, 요금합계액, 기기변경일 등 핵심정보가 대부분 포함돼 있다. 개인정보를 구입한 텔레마케팅 업자 우씨 등은 약정 만료일이 다가오거나 요금제 변경이 필요한 고객들만 골라 기기변경이나 요금제 상향조정 등을 권유하는 등 영업을 했다. 때문에 가입자들은 이유를 모른 채 자신의 휴대전화 가입정보를 정확히 알고 있는 텔레마케터들의 스펨 전화에 시달려야 했다. 경찰은 KT의 정보관리체계가 허술했다고 판단, KT가 고객정보를 보관·관리하는 과정에서 정보통신망법상의 의무를 충실히 이행했는지 등을 조사하기로 했다. KT는 개인정보유출과 관련, “불법 수집한 개인정보는 전량 회수했고, 추가적인 정보 유출도 차단했다.”면서 “내부 보안시스템을 강화해 앞으로 고객 피해가 발생하지 않도록 노력하겠다.”고 사과했다. KT 이용자의 개인정보 침해 정보는 올레닷컴(www.olleh.com) 홈페이지나 고객센터(국번 없이 1588-0010)를 통해 확인할 수 있다. 백민경·홍혜정기자 white@seoul.co.kr

교육과학기술부가 올해 전국의 초·중·고교생 702만여명을 대상으로 실시한 ‘학생 정서·행동 발달검사’의 검사지 분류 작업을 일선 학교들이 사설 용역업체에 맡긴 것으로 드러났다. 학생들의 정서 및 행동발달 사항 등 민감한 개인정보가 담긴 검사지가 학교 밖으로 나돌아 심각한 인권침해가 우려된다. 23일 일선 학교와 학교업무 전산화 업체 등에 따르면 지난 4월 이후 발달검사를 실시한 전국 초·중·고교 중 1000여곳이 넘는 학교가 사설 전산업체에 학생들의 검사지를 넘겨 통계 처리를 맡긴 것으로 드러났다. 학생 정서·행동 발달검사는 교과부가 학교폭력 예방대책의 일환으로 올해부터 전국의 모든 초·중·고교 및 특수학교 학생을 대상으로 시행하는 것으로, 심리적으로 어려움을 겪고 있는 학생을 파악해 상담·치료 등 적절한 조치를 취하기 위해 실시하고 있다. 교과부는 본격적인 발달검사 시행에 앞서 지난 2월 일선 학교에 내려보낸 ‘학생 정서·행동발달검사 관리 매뉴얼’을 통해 “학생의 개인정보와 심리상태가 담긴 조사이니만큼 정보 보안을 위해 1, 2차 검사는 모두 학교 내에서 처리”하도록 지시했다. 이에 따라 각급 학교들은 전체 학생들을 대상으로 1차 검사를 실시해 기준점을 넘은 학생을 관심군으로 분류, 이들을 대상으로 2차 검사를 실시했다. 문제는 이 과정에서 ‘학교 내에서 처리하라.’는 교과부의 지침을 어긴 채 사설 용역업체에 분석을 맡긴 학교가 상당수라는 점. B용역업체의 경우 전국의 1000여개 학교로부터 택배로 전교생 검사지를 전달받아 학생별 마킹 현황, 요인별 점수, 정상 관심판단, 학교통계 등을 산출, 제공하고 있다. B사는 계약을 맺은 학교에 ‘개인정보보호법에 따라 학생의 이름은 일절 데이터화하지 않고 정보를 수집하지 않는다.’는 보안각서까지 제출했다. 그만큼 민감한 자료가 학교 밖으로 나돌고 있는 것이다. 해당 학교 측은 “학생 이름 대신 학년과 반, 번호 등을 통해 엑셀작업을 하기 때문에 어느 학생이 관심군인지는 공개되지 않는다.”는 말만 되풀이하고 있다. 그런가 하면 일부 업체는 저렴한 비용으로 계약을 맺은 뒤 검사지를 다시 소규모 하청업체 여러 곳에 나눠줘 통계처리를 하는 곳도 있는 것으로 알려졌다. 사실상 학생의 개인정보 유출을 방치하고 있는 셈이다. B사 관계자는 “답변에 대한 판단이 아니라 분류작업만 대신하기 때문에 문제가 없다고 생각하는 학교가 대부분”이라고 말했다. 윤샘이나기자 sam@seoul.co.kr

KB금융공익재단이 운영하는 일자리 정보사이트인 ‘KB굿잡’은 13일 자체 시스템 점검 결과 회원 자료 일부가 유출됐을 가능성이 있다며 관계당국에 보고하는 등 대응에 나섰다. 사이트 개선 과정에서 프로그램 오류가 발생해 문제가 생긴 것으로 알려졌다. 유출 가능성이 있는 정보는 최대 2만 7000명에 이르는 회원의 이름, 주소, 이메일 등이다. KB금융지주 관계자는 “KB금융지주 계열사와 KB굿잡 사이트는 별도 서버로 운영되므로 국민은행 등의 금융거래정보와는 무관하다.”고 말했다. 오달란기자 dallan@seoul.co.kr

스마트폰 메신저에 침투해 개인 정보를 빼가는 스팸 메시지의 폐해가 심각하다. 그러나 발송자가 따로 없어 추적이 쉽지 않다. 최근 회사원 한모(30)씨에게 마이피플로 ‘최신형 휴대전화 무료교체 행사 중’이라는 메시지와 함께 모바일 주소가 전달됐다. 한씨가 주소를 클릭하자 개인 정보를 입력하는 사이트가 나왔다. 이름, 통신사, 휴대전화 번호를 입력하면 휴대전화를 받는 이벤트에 참가할 수 있다고 돼 있었다. 한씨는 정보유출 사기 사이트가 아니냐는 의심이 들어 임의로 숫자만 넣고 신청을 했다. 확인 결과 한씨의 예상대로 해당 사이트는 개인 정보를 수집하는 사기 사이트였다. 업체명이 존재하지 않는 통신업체였고 홈페이지도 가짜였다. “개인 정보는 이벤트 마케팅 등에 활용된다.”는 말도 거짓이었다. 이영준기자 apple@seoul.co.kr

2013년부터 정부 중앙부처에서 정보 시스템을 새로 만들거나 교체할 때에는 클라우드 신기술이 전면 적용된다. 클라우드 기술을 적용하면 필요한 만큼만 정보통신 기술(IT)자원을 할당하고, 사용 후에 반납하는 구조로 개선돼 시스템 구축·운영비용이 최대 40%까지 줄어들 전망이다. ●정보시스템 ‘저비용·고효율’ 전환 행정안전부는 30일 이 같은 내용을 담은 ‘범정부 클라우드컴퓨팅 추진 정보화 전략 계획’을 수립하고 결과 보고회를 개최했다. 행안부는 이 계획을 바탕으로 내년부터 시작될 ‘제2단계 정보자원 통합’ 사업을 추진한다. 제2단계 사업은 2017년까지 진행된다. 행안부는 우선 부처별 정보 시스템을 단계적으로 저비용·고효율의 클라우드 인프라로 전환하고, 2017년까지 클라우드 컴퓨팅 비율을 60%까지 확대할 방침이다. 클라우드 컴퓨팅이란 하드웨어(HW)와 소프트웨어(SW) 등 각종 IT 자원을 대규모 데이터센터에 통합·집중시켜 통신망을 통해 어디서든 사용하는 기술이다. 여러 개별 장비에 각각 SW를 탑재하고 운영하는 대신 통합된 장비와 SW를 여러 기관이 수요량에 따라 공동 활용할 수 있다. 행안부는 이 기술 도입을 통해 스마트 사회에서 유통되는 대량의 정보를 효율적으로 저장·처리하고, 이동식 저장 장치(USB) 등을 통한 정보유출 방지 효과 등을 기대하고 있다. ●올해 660대 서버 추가로 통합 정부통합전산센터는 이 같은 환경 조성을 위해 2009년부터 47개 중앙부처의 IT자원 수요를 모아 고성능서버로 통합해 공동 활용하는 ‘제1단계 정보자원 통합사업’을 진행해 오고 있다. 지난해까지 개별 서버 1334대를 통합해 모두 1023억원의 비용을 절감했고, 올해 660대의 서버를 추가로 통합하면 510억원이 절감돼 올해 말까지 중앙부처 IT자원 구축·운영비를 30% 절감할 수 있을 것으로 예측하고 있다. ●업무관리 SW는 국산으로 대체 한편 정부는 정부부처와 지방자치단체 등 행정기관 업무관리시스템의 국외 SW를 국산으로 대체하기로 했다. 정부는 업무처리절차를 통합화·표준화하려고 2007년부터 각 행정기관에 ‘온나라시스템’을 개발·보급해왔지만, 주요 운영 SW가 오라클 등 외산이라 외화낭비 등이 지적됐다. 행안부는 이달 2일 충북 청주시와 서울 금천구를 시작으로 국산 SW를 사용한 온나라시스템을 도입한다고 밝혔다. 또 2014년까지 온나라시스템을 아직 도입하지 않은 199개 시·군·구에서 이 시스템을 사용할 수 있도록 하고, 이미 사용하고 있은 58개 중앙부처·위원회와 16개 시·도에도 교체시기가 되면 외산과 국산SW를 사용한 시스템을 자율적으로 선택할 수 있게 했다. 박성국·김양진기자 psk@seoul.co.kr

정부가 29일 인터넷 실명제(제한적 본인확인제)의 전면 재검토에 나선 것은 인터넷 기술 발전 등에 따른 소통 환경의 변화 때문이다. 인터넷 실명제는 2007년 인신공격과 비방 등 명예훼손이나 악성 댓글을 막기 위해 도입된 후 정상적인 소통까지 억압하는 ‘과잉 규제’ 논란이 끊이지 않았다. 개인이 인터넷 공간에서 의견을 표현하는 데 국가가 용기를 강요하고 ‘사전 자기검열’ 수단을 통해 침묵하게 만든다는 비판이 뒤따랐다. ●글로벌 SNS와의 형평성도 고려 방송통신위원회가 5년여 동안 유지해 온 제도의 폐지를 추진하는 배경에는 인터넷 기술 발전이 불러온 시대적 변화가 크게 작용했다. 페이스북, 트위터 등 글로벌 소셜네트워크서비스(SNS)가 확산되고 국내 스마트폰 가입자가 2000만명을 돌파하면서 ‘손안의 PC’인 스마트폰을 활용한 모바일 소통이 대중화됐다. 성별, 연령, 학연, 지연 등 전통적 관계망에서 벗어나 스마트폰과 SNS를 통해 언제 어디서나 표현할 수 있는 개방적 소통 환경이 조성된 게 작용했다. 산업 경쟁력 측면에서도 역차별 논란이 적지 않았다. 인터넷 실명제가 글로벌 SNS에는 적용되지 않고 국내 토종 포털에만 적용돼 사실상 공정 경쟁의 장벽으로 작용했다. 또 SNS와 연동해 인터넷 게시물을 올리는 ‘소셜 댓글’ 등 본인 확인을 무력화할 수 있는 새로운 서비스가 등장해 실효성도 크지 않았다. ●대규모 개인정보 유출사태도 작용 특히 올 들어 잇달아 터진 대규모 개인정보 유출 사태의 원인으로 인터넷 실명제가 지목됐다. 비록 가입 시 1회에 한해 주민등록번호나 공인인증서 등으로 본인을 확인하는 절차이지만 인터넷 업체들이 주민번호와 실명 등 개인정보를 수집하도록 하는 구실이 됐다. 이 때문에 대규모 정보유출의 위험에 노출될 수밖에 없었다. 지난 6월 SK커뮤니케이션즈가 해킹당해 주민등록번호 등 3500만명의 개인정보가 유출된 데 이어 11월에는 넥슨이 해킹돼 1320만명의 개인정보가 도둑맞는 등 피해가 현실화됐다. 방통위가 인터넷 실명제 폐지와 주민번호 수집·이용을 전면 제한하는 것은 급변하는 인터넷 환경을 옛날 규제로 묶어둘 수 없다고 인식했기 때문이다. 방통위는 법무부, 행정안전부와 합동으로 태스크포스(TF)를 구성해 인터넷 환경변화 등을 분석해 제도 개선과 보완책을 마련하기로 했다. 주민번호 수집 금지의 경우 내년부터 하루 방문자 1만명 이상인 웹사이트부터 적용하고 2013년에는 모든 웹사이트로 확대한다는 계획이다. 안동환기자 ipsofacto@seoul.co.kr

경찰청 사이버수사대는 27일 온라인게임 ‘메이플스토리’ 개인정보 유출 사건과 관련, ▲외부 침입 ▲내부자 소행 ▲내·외부 공모 등 모든 가능성을 염두에 두고 본격적인 수사에 나섰다. ‘메이플스토리’는 백업 서버가 해킹당하면서 전국에서 1320만명의 피해자가 발생했다. 경찰 관계자는 “메이플스토리를 운영하는 넥슨에서 수사 의뢰, 현재 전방위에 걸쳐 수사를 벌이고 있다.”면서 “일단 사건 경위와 피해 내역 등 사실관계를 확인하고 있다.”고 말했다. 경찰은 수사 초기인 만큼 외부침입, 내부자 소행 등을 팀별로 전담, 수사를 진행하고 있다. 경찰 관계자는 “해킹사건의 경우 여러가지 방법으로 접근이 가능하기 때문에 구체적인 윤곽이 나오는 데 통상 2주 정도가 걸린다.”면서 “분야별로 나눠 수사하다가 특이사항이 발견되면 그쪽에 맞춰 수사를 집중할 계획”이라고 설명했다. 앞서 방송통신위원회와 넥슨은 지난 25일 ‘메이플스토리’의 백업 서버가 해킹되면서 전체 회원 1800만명 중 1320만명의 아이디와 이름, 비밀번호 등이 유출됐다고 밝혔다. 김동현기자 moses@seoul.co.kr

국군기무사령부가 건강보험공단 직원을 통해 민간인 수십 명의 개인정보를 빼낸 사실이 드러나 논란이 일고 있다. 11일 행정법원에 따르면 기무사 요원에게 보험가입자의 개인정보를 알려주다 해고된 건보공단 전 직원 김모(37)씨가 중앙노동위원장을 상대로 부당해고구제 재심판정 취소소송을 냈다. 김씨가 법원에 제출한 서울지방노동위원회 판정서 등에 따르면 김씨는 기무사 측의 요청을 받고 2007년 2월부터 3년 6개월 동안 81차례에 걸쳐 민간인 62명의 개인정보를 유출했다. 이로 인해 김씨는 지난 3월 내부 감사에서 ‘불법 정보유출’ 혐의가 적발돼 공단에서 해고됐다. 김씨는 기무사 측이 요구한 민간인의 직장과 가족관계 등을 건보공단의 전산망에서 검색해 알려준 것으로 전해졌다. 김씨는 “업무상 절차를 무시한 점은 인정하나 개인적인 목적이나 금품 수수 같은 부당한 목적으로 정보를 제공하지 않았다.”며 지난 7월 서울지방노동위원회에 부당해고 구제신청을 냈다. 하지만 위원회가 “건보공단의 징계 결정은 합법하다.”며 신청을 기각하자 행정법원에 소송을 제기했다. 이에 대해 국방부는 “기무사가 간첩 원정화와 흑금성 사건을 수사하면서 이들과 접촉하거나 전화통화를 한 사람 중에 군이나 군 관련 기관에 근무한 사람이 있는지 확인하기 위해 직장 관련 정보자료를 요청한 것”이라면서 “정보 요청은 간첩 관련 수사를 위한 합법적인 활동이었다.”고 해명했다. 이어 “김씨는 상급자에게 보고한 후 답변을 해야 하는 건보공단 내부 규정을 지키지 않은 점 때문에 해임된 것으로 안다.”면서 “수사목적상 이뤄진 일이었기 때문에 김씨에게 선처를 부탁한다는 탄원서를 제출했다.”고 덧붙였다. 최재헌기자 goseoul@seoul.co.kr

일본 중의원(하원)이 사이버 공격을 받아 의원 컴퓨터 패스워드가 도난당하는 등의 피해를 입었다고 아사히신문이 25일 보도했다. 일본 국회 관련 서버가 사이버 공격을 받아 아이디와 패스워드가 유출된 것은 처음이다. 이 신문에 따르면 중의원의 의원 공용 컴퓨터와 서버가 지난 7월 이후 사이버 공격을 받아 컴퓨터가 바이러스에 감염되고 의원 등 중의원 네트워크 이용자의 아이디와 패스워드가 도난당했다. 중의원의 네트워크 서버에는 의원 480명과 공설비서, 사무국 직원 등 모두 2660명의 패스워드 등이 들어 있다. 문제의 바이러스는 ‘트로이 목마’로 중국 국내의 서버가 패스워드 등을 훔쳐내는 프로그램을 작동하도록 하는 역할을 한 것으로 알려졌다.바이러스는 중국 서버와 연결된 것으로 나타났으나 실제로 중국과 연결됐다고 단정짓기는 어렵다고 이 신문은 전했다. 도쿄 이종락특파원 jrlee@seoul.co.kr

하나SK카드 고객의 정보 유출건수가 당초 추정된 200건보다 훨씬 많은 9만 7000여건에 달하는 것으로 드러났다. 서울 남대문경찰서는 하나SK카드 신사업기획팀에서 텔레마케팅 지원 업무를 담당하며 고객정보를 빼낸 직원 박모(36)씨를 신용정보의 이용 및 보호에 관한 법률 위반 혐의로 입건했다고 23일 밝혔다. 박씨는 고객 이름과 연락처, 주민번호 등 9만 7000여건의 고객 정보를 자기 개인 이메일로 보내 외부로 유출시킨 혐의를 받고 있다. 앞서 카드사 측은 지난 19일 박씨가 개인정보 200여건을 유출했다며 경찰에 수사를 의뢰했다. 경찰은 지난 21일 서울 중구 다동 하나SK카드 본사와 박씨의 집을 압수수색해 노트북 컴퓨터와 하드디스크, USB 등 관련 자료를 확보해 유출 경로와 범위 등을 조사했다. 경찰은 박씨로부터 고객 개인정보 5만여건을 넘겨받은 뒤 이를 유출하겠다며 하나SK카드 측을 협박한 분양 대행업자 구모(55)씨와 직원 조모(37)씨를 협박 혐의로 입건, 추가 조사한 뒤 구속영장을 신청하기로 했다. 구씨는 지난 15일 하나SK카드 고객콜센터로 전화를 걸어 “회사 최고 경영진을 만나게 해주지 않으면 보유하고 있는 고객 신용정보 100만건을 유출하겠다.”고 협박한 혐의를 받고 있다. 구씨는 하나SK카드 콜센터 측에 고객 개인정보를 가지고 있다는 사실을 알리기 위해 6건을 전화로 불러 주기도 했다. 조사 결과 박씨와 구씨는 인터넷 증권 사이트에서 서로 알게 된 뒤 구씨는 박씨에게 투자 정보를 제공하는 대가로 하나SK카드 고객 개인정보를 넘겨받은 것으로 밝혀졌다. 백민경기자 white@seoul.co.kr

네이트와 싸이월드 회원 3500만명의 개인정보가 유출된 사태와 관련, SK커뮤니케이션즈를 상대로 손해배상 책임을 묻는 소송이 처음으로 제기됐다. 4일 서울중앙지법에 따르면 이모(40) 변호사는 지난달 29일 SK컴즈를 상대로 300만원의 손해배상 청구 소송을 냈다. 네이트 개인회원이라는 이 변호사는 소장에서 “SK케뮤니케이션즈의 과실로 개인정보유출 피해를 당했고, 보이스피싱 등 2차 피해가 우려된다.”면서 “대기업이 운영하는 정보통신망 제공자가 개인정보를 유출시키고도 배상하지 않는다면 기업의 책임을 다하지 않아도 된다는 모순된 결론이 되고, 회원을 보호할 대상이 아니라 단순히 돈벌이 수단으로만 보게 될 것”이라고 주장했다. 또 다른 회원인 정모(25)씨도 위자료 100만원의 지급명령을 신청했다. 이민영기자 min@seoul.co.kr

대한민국의 개인정보가 죄다 털렸다. A, B은행 등 제1금융권부터 저축은행, 대부업체와 같은 제2·3금융권, 통신사, 카드사, 정부부처까지 1900만건에 달하는 개인정보가 유출된 것으로 드러났다. 최고 수준의 보안을 자랑하던 시중은행의 고객 이름과 인터넷뱅킹 아이디·비밀번호, 대출일자·금액 등 1급 정보까지 노출됐다. 더욱이 20만여건에 달하는 전·현직 공무원들의 소속 기관, 주민등록번호, 연락처 등 개인신상까지 유통된 것으로 확인돼 파장이 예상된다. 이 엄청난 ‘대국민 개인정보 유출 사건’의 실체는 이동식 저장장치(USB) 하나에 고스란히 들어 있었다. 사건의 발단은 지난달 부천 오정경찰서가 개인정보 불법 유통 혐의로 구속한 김모(26)씨 등 일당 3명으로부터 압수한 USB를 분석하면서 시작됐다. 김씨 일당은 지난해 5월부터 1년여간 120여 차례에 걸쳐 개인정보를 판매하고, 5400여만원을 챙긴 혐의를 받고 있다. 23일 경찰에 따르면 USB 안에는 금융권, 카드사, 통신사, 공무원 등 집단별로 분류된 상태였다. 금융권 폴더는 아예 A은행, B캐피털 등 상호명으로 나뉘어져 있었다. 경찰이 이 가운데 제1금융권의 개인정보를 우선 확인한 결과 일부가 시중은행 고객의 개인정보인 것으로 확인됐다. 공무원과 통신사 명단 역시 대체로 정확했다. 이충섭(40) 부천 오정서 수사과장은 “은행 자료는 맞지 않는 것도 있기 때문에 은행 자체가 아닌 다른 루트를 통해 정보를 빼갔을 수도 있다.”면서 “그러나 스스로 검찰에 수사를 의뢰했던 농협 해킹사건과 달리 대다수 기관, 특히 1금융권이 보유한 개인정보가 시중에 유통되다 적발된 것은 처음”이라고 말했다. 더욱이 지방자치단체와 정부 부처 공무원들의 개인 신상이 타 국가나 범죄집단에 노출되면 그 피해는 상상을 초월할 것으로 보인다. ●SMS센터 등 1000만명 정보 해킹도 같은 날 서울에서는 대부업체뿐 아니라 문자메시지(SMS)콜센터, 채팅사이트 등에서도 1000만명의 개인정보가 새 나간 것으로 확인됐다. 서울 수서경찰서는 중국 해커에 의뢰해 국내 업체 102곳으로부터 1000만여건의 개인정보를 입수, 판매한 정모(26)씨 등 2명을 정보통신망법 위반 혐의로 이날 구속했다. 정보가 유출된 업체는 대부업계 1위인 R사를 비롯해 유명 채팅사이트인 J사 등이며, ‘방화벽’도 해커의 공격에는 속수무책이었던 것으로 드러났다. 오정경찰서 역시 해킹에 무게를 두고 수사 중이라 해커에 의한 침입으로 정보가 새 나간 것으로 드러나면, 그 파장은 현대캐피탈과 농협을 능가하는 초특급 정보유출 태풍으로 비화될 것으로 관측된다. 백민경·이영준기자 white@seoul.co.kr

대한민국의 개인정보가 죄다 털렸다. A, B은행 등 제1금융권부터 저축은행, 대부업체와 같은 제2·3금융권, 통신사, 카드사, 정부부처까지 1900만건에 달하는 개인정보가 유출된 것으로 드러났다. 최고 수준의 보안을 자랑하던 시중은행의 고객 이름과 인터넷 뱅킹 아이디·비밀번호, 대출일자·금액 등 1급 정보까지 노출됐다. 더욱이 전·현직 공무원들의 소속 기관, 주민등록번호, 연락처 등 개인신상까지 유통된 것으로 확인돼 파장이 예상된다. 이 엄청난 ‘대국민 개인정보 유출 사건’의 실체는 이동식 저장장치(USB) 하나에 고스란히 들어 있었다. 사건의 발단은 지난달 부천 오정경찰서가 개인정보 불법 유통 혐의로 구속한 김모(26)씨 등 일당 3명으로부터 압수한 USB를 분석하면서 시작됐다. 김씨 일당은 지난해 5월부터 지난달까지 1년여간 120여 차례에 걸쳐 개인정보를 판매하고, 5400여만원을 대포통장으로 입금받아 챙긴 혐의를 받고 있다. 23일 경찰에 따르면 USB안에는 금융권, 카드사, 통신사, 공무원 등 집단별로 데이터베이스가 분류된 상태였다. 금융권 폴더는 아예 A은행, B캐피탈 등 상호명으로 나뉘어져 있었다. 경찰이 이 가운데 제1금융권의 개인정보를 우선 확인한 결과 일부가 시중은행 고객의 개인정보인 것으로 확인됐다. 통신사는 대부분의 정보가 일치했다. 공무원 명단 역시 대체로 정확했다. 이충섭(40) 부천 오정서 수사과장은 “은행 자료는 맞지 않는 것도 있기 때문에 은행 자체가 아닌 다른 루트를 통해 정보를 빼갔을 수도 있다.”면서 “그러나 스스로 검찰에 수사를 의뢰했던 농협 해킹사건과 달리 대다수 기관, 특히 1금융권이 보유하던 개인정보가 시중에 유통되다 적발된 것은 처음”이라고 말했다. 통상 개인정보가 정확성과 구체성에 따라 수십~수만원까지 거래되는 점을 감안하면 범죄자들에게 이 USB는 엄청난 ‘보물창고’나 마찬가지다. 반대로 이 자료가 유출될 경우 대부업체 불법 영업행위를 비롯해 아이디 도용을 통한 스팸·광고메일 발송 등 각종 범죄행위에 무차별로 악용당할 가능성이 높아 개인·사회적으로는 ‘판도라의 상자’가 된다. 더욱이 지방자치단체와 정부 부처 공무원들의 개인 신상이 타 국가나 범죄집단에 노출되면 그 피해는 상상을 초월할 것으로 보인다. 같은 날 서울에서는 대부업체뿐 아니라 문자메시지(SMS)콜센터, 채팅사이트 등에서도 1000만명의 개인정보가 새 나간 것으로 확인됐다. 서울 수서경찰서는 중국 해커에 해킹을 의뢰해 국내 102곳 업체로부터 1000만여건의 개인정보를 입수, 판매한 정모(26)씨 등 2명을 정보통신망법 위반 혐의로 이날 구속했다. 정보가 유출된 업체는 대부업계 1위인 R사를 비롯해 유명 채팅사이트인 J사 등이며, 해킹 방지를 위한 ‘방화벽’도 해커의 공격에는 속수무책이었던 것으로 드러났다. 현재 오정서 역시 해킹에 무게를 두고 수사 중이라 만일 이 정보들이 모두 해커에 의한 침입으로 정보가 새 나간 것으로 확인되면, 그 파장은 현대캐피탈과 농협을 능가하는 초특급 정보유출 태풍으로 비화될 것으로 관측된다. 백민경·이영준기자 white@seoul.co.kr

검찰 수사관이 보해저축은행으로부터 돈을 받고 은행 측에 수사 정보를 흘린 혐의로 체포됐다. 광주지검 특수부(김호경 부장검사)는 지난 4일 보해저축은행으로부터 금품을 받고 수사 정보를 유출한 광주지검 목포지청 수사관 A씨를 뇌물 수수 혐의로 체포해 이틀째 조사하고 있다. A씨는 지난 4월 보해저축은행 오문철(구속 기소) 대표이사의 지인에게서 수천만원을 받은 혐의를 받고 있다. 검찰은 A씨가 당시 잠적 중이던 오 대표 측에 수사 정보를 제공하는 대가로 돈을 받은 것으로 보고 구속영장을 청구할 방침이다. A씨는 광주지검 목포지청이 광주지검 특수부에 수사를 모두 넘기기 전 보해저축은행 수사에 일부 관여한 것으로 전해졌다. A씨는 범행 사실을 강하게 부인하고 있는 것으로 알려졌다. 광주 최종필기자 choijp@seoul.co.kr

　KISA(한국인터넷진흥원)는 인터넷뱅킹 정보 유출과 관련, ‘맞춤형 전용백신’을 보호나라(www.boho.or.kr)에서 배포 중이다. 　인터넷뱅킹 이용자들은 해당 백신을 통해 감염 여부를 검사 및 치료하거나 사용 중인 백신의 업데이트를 통해 피해를 예방할 수 있다. 　KISA는 인터넷뱅킹 이용 전에 반드시 전용백신으로 검사해 치료하고, 감염이 의심되면 국번없이 118로 전화해 신고해 줄 것을 당부했다. 　정기홍 기자 hong@seoul.co.kr

3·4디도스, 현대캐피탈 정보유출, 농협 전산망 해킹 등 줄지어 일어나는 보안사고로 사이버 대한민국의 체면이 말이 아니다. 초고속망과 스마트폰으로 정보화가 가속화되고, 소셜네트워킹으로 개인정보의 노출이 심각해지고 있는 터에, 믿었던 금융권마저도 어이없게 구멍을 드러내 더는 방치할 수 없는 수준에 이르고 있다. 정부는 금융권 특별감사를 실시하고 보안을 강화하겠다고 공언하지만, 한번 잃은 신뢰를 회복하기는 쉬울 것 같지 않다. 오히려 공격의 진원지와 배경도 정확히 분석하지 못하고 있어 불안만 증폭되고 있다. 범죄 조직이 연루된 해킹이 우려되고, 언제 어떤 사건이 터질지 조마조마하다. “범죄 조직이 해커와 손잡고 사건을 일으키기 시작했다.”라는, 상하이에서 만난 중국 해커의 이야기가 생각난다. 그러나 정보보호가 족쇄가 되어 정보화의 발목을 죌 수는 없다. 이제라도 상황을 정확히 분석하고 해결책을 찾아야 한다. 이를 위해 연이어 발생하는 해킹 사건들을 거울삼아 우리나라의 정보보호 환경을 점검해 보는 일이 급선무일 것이다. 우선 기업의 정보보호 환경이 열악하다. 많은 기업은 고객의 정보를 다룰 자격조차 갖추고 있지 않다. 정보보호에 관심조차 없는 기업이 많고, 대부분은 ‘설마병’에 걸려 있어 이웃은 당해도 ‘나’는 당하지 않을 것이라는 막연한 기대 심리를 갖고 있다. 현대캐피탈은 정보보호 인프라를 갖추고도 보안 관리의 부실로 호되게 당했다. 설마병의 결과다. 설마병이 치유된다 해도, 대부분 기업에서 보안 조직의 위상이 지나치게 낮아 문제가 된다. 주기적으로 비밀번호를 바꾸려면 ‘지시’보다는 ‘부탁’을 해야 할 지경이기 때문이다. 한 사람의 실수와 취약점이 전체를 흔드는 보안의 특성상 이는 적절치 않다. 정보보호 업무는 최고경영자(CEO)의 직속 부서에서 담당하거나 감사실에서 추진할 때 실효성이 있다는 주장이 설득력이 있어 보인다. 정부도 해킹 사건이 나면 특별 보안 점검을 하는 등 법석을 떠는 뒷북치기보다는 예방정책을 시행해야 한다. 국민의 재산권을 보호하고 사회 질서를 유지하는 차원에서 정보보호가 다뤄져야 한다. 특히, 해킹 탓에 경제생활과 직결된 금융권의 신뢰와 질서가 무너진다면 이는 단순히 금융권만의 문제가 아니라는 사실을 간과하지 말아야 한다. 그럼에도, 최근 몇 년 동안에 정부는 정보보호 인력을 양성하는 대학 연구센터의 수를 줄이고 한국전자통신연구원의 정보보호 기술본부를 해체했다. 우리의 정보보호 기술이 이미 수준급이어서 민간 기업의 개발력만으로도 충분하다는 것인지, 아니면 정보보호 기술을 포기하겠다는 것인지 진의를 판단할 수 없다. 문제는 정부가 정보보호 인력 양성과 연구 개발에서 후퇴하고 있다는 점이다. 정보보호의 가장 큰 문제는 소비자 자신이다. 정보 유출의 최종 피해자가 자신임에도 이를 심각하게 여기지 않는 소비자 정서가 문제가 된다. 지금까지 대규모 개인정보의 유출이나, 상당한 해킹 피해가 다수 있었음에도 해당 기업은 꿋꿋하게 존재한다. 기업은 해킹으로 입은 손실과 정보보호를 위한 투자 규모를 견주고 있다는 사실을 소비자는 기억해야 한다. 해킹이라는 시한폭탄을 안은 기관은 비단 금융권만은 아니다. 의료·국방·에너지 분야 등 거의 모든 분야에서 해킹은 심각한 결과를 초래할 수 있다. 의료정보의 대량 유출에 의한 사회 혼란, 스턱스넷에 의한 국가 기간 시설의 파괴, 해커에 의한 국가 기밀의 유출 등은 걷잡을 수 없는 피해를 일으킬 수 있다. 정보보호가 결여된 정보화는 지뢰밭을 걸어가는 것과 다름없다. 이제라도 각 기업의 정보보호 환경을 재정비하고 해킹과 맞서는 것이 절실한 과제다. 성장을 위해 마케팅에 투자한다면, 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다. 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다.

서울대병원의 환자 개인정보 관리에 구멍이 뚫렸다. 그것도 전직 대통령 관련 의료정보가 아무런 제지도 없이 새나간 것이다. 환자의 X선 사진을 보호자 동의도 없이 유출해 현행법을 어겼음에도 병원 측은 특별한 조치를 취하지 않고 있다. 설령 유출자를 밝혀내도 관행상 내부적으로 처리할 공산이 크다는 견해가 지배적이다. 그만큼 개인 의료정보에 대한 서울대병원 의료진의 불감증이 심각하다는 것이다. 이와 관련해 서울대병원 고위 관계자는 29일 “전직 대통령의 개인 의료정보가 새나간 것은 맞다. 현재 유출자를 조사하고 있다.”고 밝혔다. 그는 “일반인도 아닌 전직 대통령의 개인 의료정보가 유출된 점을 매우 심각하게 받아들이고 있다.”면서 “조사를 진행 중”이라고 말했다. 앞서 서울대병원 측은 지난 18일 노태우 전 대통령이 처음 입원했을 때부터 줄곧 “병원 측은 환자 상태에 대해 확인해줄 수 없다.”는 입장을 유지해 왔다. 병원 측은 “환자와 보호자 동의 없이 개인 의료정보를 대외적으로 알리는 것은 명백한 실정법 위반”이라면서 “환자 측이 동의하지 않는 한 치료 상황, 환자 상태 등 어떤 점도 밝힐 수 없다.”고 말해 왔다. 이 같은 입장에도 불구하고 서울대병원 소속 의료진이 수시로 노 전 대통령 관련 정보를 흘려 혼선을 자초하더니 급기야 전직 대통령의 흉부 X선 영상까지 언론에 유출해 병원의 환자 정보 관리에 치명적인 허점을 노출한 것이다. 시민들은 “있을 수 없는 일”이라는 반응을 보였다. 서울의 한 대학병원 전문의는 “국가 기간병원으로서 있을 수 없는 일”이라면서 “서울대병원 일부 의료진의 자기중심적이고 안일한 행태를 보여 준 단적인 사례”라고 지적했다. 심재억 의학전문기자 jeshim@seoul.co.kr

소니의 플레이스테이션 네트워크(PSN) 가입자 7700만명의 정보가 해킹으로 대량 유출되면서 2006년 PSN 서비스가 시작된 이래 최악의 피해를 낳고 있다. 업계 전문가들은 27일(현지시간) 지난 수년간 발생한 해킹 가운데 최악의 사건 가운데 하나인 이번 해킹으로 소니가 수십억 달러에 이르는 손실을 볼 수 있다고 지적했다. 소니의 PSN과 큐리오시티가 해커의 침입을 받은 것은 지난 17~19일로, 소니는 해킹 직후 두 서비스 모두 폐쇄했다. 해킹으로 장기간 접속장애가 발생한 것도 전례 없는 일이다. 이번에 해킹당한 사용자는 세계 59개국에 분포해 있으며, 미주 지역 3600만명, 유럽 3200만명 등이며 나머지 900만명은 아시아에 있는 것으로 나타났다. 데이터 보안업체 등은 지난해 해킹 사건에서 데이터 건당 피해액이 318달러였던 점을 감안하면 소니의 피해액이 240억 달러(약 26조원)를 웃돌 수 있다고 보고 있다. 소니컴퓨터엔터테인먼트코리아에 따르면 소니의 PSN으로 게임을 즐기는 국내 이용자는 하루 평균 5만~8만명에 이른다. 특히 한국 방송통신위원회는 플레이스테이션 네트워크와 큐리오시티의 국내 이용자 가운데 대다수가 청소년으로, 게임 구매에 사용한 신용카드 정보 등 금융정보가 유출됐을 가능성을 우려하고 있다. 방통위 관계자는 “소니사에 대해 개인정보 유출 경위 및 유출된 정보, 암호화 저장 여부 등 관리 실태를 확인할 계획”이라고 밝혔다. 해커들이 실제로 신용카드 정보를 빼내 갔다면, 이번 사건은 사상 최대 금융정보 절도 사건으로 기록될 전망이다. 소니를 공격한 해커의 정체는 정확히 밝혀지지 않았다. 지난 4월 소니에 선전포고를 한 해커집단 ‘어노니머스’(Anonymous)가 용의자로 유력하게 거론됐지만 이들은 사이트를 통해 “이번 사고와 어노니머스는 무관하다.”고 일축했다. PSN은 비디오 게임기인 플레이스테이션 사용자가 영화나 음악, 게임을 내려받거나 운영체제(OS)를 업데이트할 수 있게 해 주는 전산망이다. 큐리오시티는 영화·음악 콘텐츠를 웹으로 연결해 소니 TV인 브라비아TV나 블루레이 재생기를 통해 이용할 수 있는 서비스를 말한다. 소니는 최근 PSN 고객 정보를 큐리오시티와 통합했다. 박찬구·안동환기자 ckpark@seoul.co.kr

스마트폰의 위치정보를 앱을 통해 불법으로 수집, 악용한 업체들이 경찰에 적발되자 스마트폰 사용자들이 불안스러워하고 있다. 이들은 애플 아이폰의 운영체제인 ‘iOS’뿐 아니라 구글의 ‘안드로이드’에 저장된 위치정보까지 마구잡이로 수집한 것으로 확인됐다. 스마트폰 사용자는 불법 정보취득업자들에게 무방비 상태의 ‘사냥감’으로 전락한 실정이다. 이런 이유로 스마트폰에 대한 불안감이 확산되고 있다. 회사원 최소영(28·여)씨는 “개인 정보가 남의 돈벌이에 이용된다는 것이 굉장히 찜찜하다.”면서 불쾌감을 감추지 못했다. 공무원 이현진(27·여)씨는 “스마트폰 위치정보 유출은 심각한 인권침해”라면서 “상업 목적으로 이용했으면 집단 손해배상이라도 해야 한다.”고 주장했다. 최근 스마트폰을 분실한 직장인 최정현(31)씨는 “사생활이 모두 털린 기분이 들었고, 스마트폰에 대한 거부감마저 들었다.”고 털어놓았다. 전문가들은 이 같은 정보유출 문제를 근본적으로 해결하려면 통신사가 아니라 스마트폰 제조업체가 직접 나서야 한다고 입을 모았다. 원동호 성균관대 정보통신공학부 교수는 “제조사와 통신사의 이해관계로 네트워크상으로 해결하는 것은 근본적인 대안이 될 수 없다.”면서 “제조사가 직접 나서 결자해지(結者解之)해야 한다.”고 지적했다. 김승주 고려대 정보보호대학원 교수도 “현재 모바일 환경을 바꾸기는 어렵고, 통신사가 영향력을 발휘하기 힘든 상황”이라고 분석했다. 그는 “KT는 개인 정보를 수집할 수 있다는 내용의 애플사의 약관을 그대로 가져왔을 뿐 힘이 없다.”면서 “애플이 직접 움직여야 한다.”는 의견을 냈다. 김 교수는 두 가지 해법을 제시했다. 첫 번째로 스마트폰 사용자가 구매시 하는 ‘일괄동의’를 항목마다 체크하는 ‘부분동의’로 전환하는 것이 시급하다고 강조했다. 또 스마트폰의 정보사용 동의 방식을 ‘옵트아웃’(opt-out·사용자의 동의와 관계없이 개인정보 제공)방식에서 ‘옵트인’(opt-in·사용자의 동의하에서만 개인정보 제공) 방식으로 전환해야 한다고 주장했다. ‘위치 정보를 수집해도 좋습니까’라는 질문에 동의를 한 순간부터 정보 수집이 시작되는데, 현재 아이폰은 의사표시 이전부터 정보수집이 이뤄지고 있다는 것이 문제라는 것이다. 서울경찰청 사이버범죄수사대 관계자는 “우선 개인위치 정보의 암호화가 필요하며, 위치정보 사업자 및 위치기반 서비스 사업자 등에 대한 규제를 강화하고 관리감독을 철저히 해야 한다.”고 지적했다. 한편 방송통신위원회는 스마트폰의 위치정보 보호 강화를 위해 GPS를 끄는 기능(On/Off)을 부여하고, 앱 개발자들이 위치정보보호법을 준수하도록 적극 홍보할 계획이라고 밝혔다. 방통위 관계자는 “국내 위치정보보호법은 전 세계적으로도 매우 강력한 규제를 담고 있어 추가적인 규제는 적절치 않다.”면서도 “위치정보 활용을 신고하지 않고 무단으로 서비스를 제공하는 사업자는 강력히 제재할 것”이라고 말했다. 안동환·이영준기자 apple@seoul.co.kr