출국한 퇴직자 2명 수사의뢰 뒷북한국형 무기체계 및 핵심기술 개발의 산실이라고 할 수 있는 국방과학연구소(ADD)에서 국방기밀 자료가 대량 유출된 정황이 사실로 드러났다. 방사청은 2016년 1월부터 올해 4월까지 ADD 퇴직자 1079명 및 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과, 전직 수석연구원 2명이 퇴직 전 대량의 자료를 휴대용 저장매체(USB)로 전송한 뒤 외국으로 출국한 정황이 확인됐다. 해당 연구원 2명에 대해서는 경찰에 정식 수사를 의뢰했다. 그러나 이미 해외로 출국한 상황이어서 수사에 난항이 예상된다. 이들은 ADD 정보유출방지시스템(DLP)에 35만건과 8만건의 접속 흔적을 남겼다. 출국자 중에는 아랍에미리트(UAE)의 한 대학 연구소에 취업한 사람도 있는데, 유출한 기밀자료가 ‘취업 보증수표’가 됐을 가능성을 의심받고 있다. 방위사업청이 지난 5월 4일부터 6월 12일까지 실시한 감사 결과를 보면 ADD 내부 보안체계는 곳곳에서 허술했다. 공공기관 건물에서 필수적으로 갖춰야 할 청사 출입구의 보안검색대가 없고, 검색요원도 두지 않았다고 방사청은 25일 밝혔다. 이런 과정을 거쳐도 기밀이 누설되는 사례가 적발되는데 ADD는 이런 기초적인 보안 대책도 갖추지 않았다. 군사 기밀을 다루는 국방부와 합참, 방사청 청사만 보더라도 출입구에 보안검색대가 있다. 이 검색대에 가방 등 소지품을 넣으면 컴퓨터와 저장매체가 들어 있을 경우 경고음이 나고, 검색요원이 소지품을 꺼내 일일이 확인한다. 심지어 출입증 사진과 출입자의 얼굴이 맞는지를 확인하는 시스템도 없었다. 의도적으로 출입증을 복제하거나 변조해도 아무런 제지를 받지 않고 출입할 수 있는 등 구조적인 취약점이 드러났다. 대량의 기밀자료를 휴대용 저장매체로 빼돌리는 것을 막는 체계도 구축되지 않았다. 보안 기관에서는 내부 컴퓨터에 휴대용 저장매체를 연결할 경우 보안통제센터에서 즉각 이를 감지하게 되어 있다. 특히 퇴직 예정자에 대해 보안점검을 하도록 규정돼 있지만, ADD 내 보안관리 총괄부서는 지난 3년간 단 한 차례도 실시하지 않았다. 재직자 중에도 자료를 무단 복사하거나 휴대용 저장매체 사용 흔적 삭제, 불법 소프트웨어 사용자도 다수 적발됐고, 이 가운데 23명이 수사 대상에 올랐다.아울러 ADD는 통합전산망에서 분리되고, 정보자산으로 등록하지도 않은 연구시험용 PC를 2416대나 사용하는 것으로 적발됐다. 이는 ADD 전체 PC의 35% 규모이다. 연구시험용 PC 중 62%에 달하는 4278대에는 보안프로그램(DLP)도 깔려 있지 않았다. DLP는 PC에서 자료를 다운하거나 복사할 때 기록이 남거나 사용자의 이름 또는 사번이 기록된다. 이런 프로그램이 설치되지 않은 PC에서 작업하면 사용자를 찾아낼 수가 없다. 여기에다 보안 기능이 없는 일반용 저장매체 3635개를 아무나 사용할 수 있도록 방치했다. 이 저장매체는 연구소 밖의 외부 PC에서 접속이 가능해 기밀자료를 담아 와서 외부 PC로 옮겨도 막을 수 없는 구조다. ADD가 기밀자료 무단 반출을 막고자 2006년 9월 구축한 문서암호화체계(DRM)도 제구실을 못한 것으로 나타났다. DRM은 기밀자료 무단 반출을 위해 전자파일을 자동으로 암호화하는 체계인데, 한글문서(HWP)와 파워포인트(PPT), 워드(DOC) 문서만 적용되는 것으로 밝혀졌다. 정작 중요한 파일인 엑셀, 도면, 소스코드(핵심문서 접속코드), 실험데이터 등은 암호화되지 않아 빼돌려도 걸러내지 못한다는 지적이 나온다. ADD 관계자는 “한 퇴직자가 퇴직 전 정보유출방지시스템에 접속한 흔적이 68만여건”이라며 “현재 유출된 자료가 몇 건인지는 제대로 파악하지 못하고 있다”고 말했다. ADD를 감독하는 방사청 관계자는 “ADD 내부에서 자료 유출 의혹이 4월에 제기됐는데, 방사청은 그전까지 모르고 있었다”고 전했다. ADD는 ‘자주국방의 초석’을 기치로 1970년 8월 창설됐다. 일부 퇴직자들의 일탈 행위로 올해 창설 50주년의 ADD 역사에 최대 기밀 유출 의혹이란 오명의 기록을 남기게 됐다. 정현용 기자 junghy77@seoul.co.kr

보안 프로그램 미설치·PC 정보자산 미등록퇴직 예정자 보안조사도 누락 최근 잇따른 군사 기밀 유출에는 낮은 수준의 보안 시스템과 직원들의 안일한 보안의식이 원인인 것으로 나타났다. 방위사업청은 25일 국방부 청사에서 최근 산하 기관 국방과학연구소(ADD) 퇴직 연구원의 기술자료 유출로 지난달 4일부터 지난 12일까지 실시한 ADD의 방위산업기술보호실태 전반에 대한 감사 중간 결과를 발표했다. 방사청의 감사 결과에 따르면 전반적인 보안 시스템과 직원들의 보안의식이 ‘총체적 난국’으로 나타났다. ADD는 출입자 기술자료 유출 방지를 위한 보안검색대 및 보안요원을 운용하고 있지 않아 휴대용 저장매체 및 출력물의 무단 반출이 쉬운 것으로 파악됐다. 전자파일을 자동으로 암호화하는 DRM 체계도 업데이트가 되지 않아 기밀이 유출될 가능성이 큰 것으로 분석됐다. 또 ADD가 보유한 연구시험용 PC 중 절반이 넘는 4278대(62%)가 정보유출방지시스템(DLP) 보안 프로그램이 설치되어 있지 않았다. 정보자산으로 등록조차 되지 않고 운영하는 연구시험용 PC도 감사과정에서 무려 2416대(35%)가 발견돼 보안 취약성을 드러냈다.또한 보안규정에 휴대용 저장매체는 비밀 용도로만 사용하고 부득이한 경우에만 일반 용도로 사용할 수 있도록 규정하고 있으나, ADD는 비밀용 외에 보안 기능이 없는 일반용 저장매체 3635개를 과다 운용하면서 외부 PC에서도 접속이 가능해 자료 유출 위험성에 노출된 상황이었다. 직원들의 안일한 보안의식도 문제였다. ADD의 국방기술보호 업무를 총괄하는 부서에서는 퇴직자의 자료 유출 사실을 알고서도 멋대로 종결 처리했다. ADD 보안규정상 보안관리 총괄부서에서는 퇴직 예정자에 대해 보안점검을 하도록 명시돼 있으나 최근 3년간 이를 이행하지 않은 것으로 확인됐다. 방사청은 2016년 1월부터 지난 4월까지 ADD 퇴직자 1079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과 퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 자료 유출 정황이 있는 해외 출국자 2명에 대해서는 경찰청에 수사를 의뢰했다. 방사청은 “그 외 대량의 자료를 휴대용 저장매체로 전송한 퇴직자 중에 조사를 꺼리거나 혐의가 의심되는 인원에 대해서는 추가 조사 과정을 거쳐 수사를 의뢰할 예정”이라고 밝혔다. 국가정보원과 경찰, 군사안보지원사령부는 지난해 말부터 일부 퇴직 연구원들이 ADD 근무 시절 자신이 개발을 맡았던 분야의 방산업체 등으로 취업하면서 기밀을 빼갔다는 첩보에 따라 내사를 진행하고 있다. ADD는 퇴근 차량에 대한 불시 보안점검 및 출입구 보안검색대에 안면인식 시스템을 도입해 물리적 방지대첵을 마련한다는 계획이다. 또 기술보호 관리조직을 통합해 관리 감독 기능을 강화하고, 퇴직자들의 해외취업 사전 허가 제도 신설을 검토하는 등 특단의 대책을 수립했다고 설명했다. 강은호 방사청 차장은 “국민 여러분께 심려를 끼쳐 드려 대단히 송구스럽다”고 말했다. 이주원 기자 starjuwon@seoul.co.kr

2010년 아이슬란드에서 큰 화산 폭발이 있었다. 온 하늘이 화산재로 덮여 유럽의 모든 비행기가 수일 동안 운항이 중지됐다. 비행기로 2시간 정도 걸리는 세르비아의 노비사드라는 도시에서 공연이 잡혀 있었다. 모든 비행이 취소됐으니 기차를 타고 가는 방법 외에는 다른 수가 없었다. 편도로만 24시간에 걸친 기차 여행은 그리 순탄하지 않았다. 여러 이유로 비행기를 탔어야만 하는 모든 북유럽인들이 기차를 타고 동쪽으로 남쪽으로 내려오고 있었다. 열차 밖에 사람만 매달리지 않았을 뿐이지 피난열차를 방불케 했다. 현대판 게르만족 대이동이라 이름붙일 만했다. 화산이 터진 초기에는 이처럼 어떻게든 공연을 취소시키지 않기 위해 무리해서 장거리 기차로라도 이동을 했지만, 며칠 지나면서 현실적인 비상대책이 자연스레 나오기 시작했다. 유럽 내의 모든 공연계 아티스트들은 이동이 불가능한 채로 어딘가에 체류하고 있을 텐데, 그럼 각각의 도시에 갇혀 있는 아티스트를 서로 스와프하면 되지 않을까. 내가 내일 파리에서 연주해야 하는데 현재 베를린에 있다면, 내일 베를린에 와서 연주해야 할 다른 어떤 아티스트를 대신해 베를린에서 연주해 주고, 파리에서 해야 할 연주는 그곳에 머물고 있는 다른 아티스트가 대신하는, 그런 방식 말이다. 우스갯소리처럼 들릴지 몰라도 하늘길이 막혀 버린 그 비상시국에 나온 아티스트 스와프는 절묘하면서도 현실 가능한 아이디어였다. 비슷한 예로 일본 후쿠시마 원전사고 직후에 모든 아티스트들이 일본에 가기를 꺼려해서 일본 투어를 취소하는 상황이 발생하기도 했다. 일본 투어를 앞두고 몸을 사릴 수밖에 없는 상황에 공연을 취소한 대가들을 대신해 젊은 아티스트들을 일본으로 보내는 경우가 생기게 됐다. 젊은 아티스트들은 방사능 유출이 얼마나 위험하고 어떤 영향을 끼칠 것인지 이렇다 할 정확한 정보가 없는 채로, 몸을 사리며 공연을 취소한 대가들의 빈 자리를 기회로 잡을 것인지 말 것인지 고민해야 했다. 아이슬란드 화산 재해는 일주일 정도 지나 일상으로 돌아올 수 있었고, 일본 원전사고는 국지적으로 일어났던 현상이니 이번 코로나 팬데믹(세계적 대유행)의 여파나 피해 규모와는 비교할 수가 없다. 하지만 개인 간이나 국가 간의 여행과 교류의 제한, 그리고 폐쇄적·방어적·고립적인 태세로의 전환은 그 양상이 비슷하다. 앞으로 더이상 일어나지 말아야 할 재해와 사고들이지만 우리가 어찌 자연을 거스를 수 있겠는가. 겸손히 받아들이고 대처하는 방법을 기억하고, 유연하면서도 강해지는 것만이 우리가 할 수 있는 작은 노력이다. 전 세계 방방곡곡에서 활발한 활동을 벌이고 있던 우리나라의 젊은 아티스트들이 국내에 들어와 있다. 의료진과 정부, 모든 국민이 함께한 모범적인 대처로 일상생활과 사회활동이 재개되고 있다. 안전한 나라라는 인식이 생기면서 국가의 위상이 높아져 다른 해외 아티스트들도 우리나라에 들어와 활동하기를 원한다. 나라 밖에서 국위선양을 하던 아티스트들이 내수 문화를 다지고, 예술적 외화보유고도 늘어나고 있는, 전에 없던 새로운 시기이다. 역사는 반복되는 과정을 거치며 발전한다. 흑사병이 창궐하던 시절 역시 지금과 마찬가지로 극장이 폐쇄됐지만, 암흑 같은 시기에 셰익스피어라는 희곡작가가 탄생했고, 중세봉건주의의 막을 내리고 르네상스가 꽃을 피우게 된다. 이번 코로나 팬데믹 이후에 오게 될 새로운 르네상스와 인본주의를 염원한다. 과학자와 예술가들이 모일 수 있는 장을 이탈리아 피렌체의 메디치 가문이 마련해 주었듯이 우리나라가 그 역할을 할 절호의 타이밍이라 생각한다.

‘라임 사태’(라임자산운용 환매 중단 사태)의 핵심 인물 김봉현(46·구속기소) 전 스타모빌리티 회장으로부터 뇌물을 수수한 혐의 등으로 구속기소된 금융감독원 직원이 법정에서 “잘못을 인정하고 매우 반성하고 있다”고 밝혔다. 서울남부지법 형사합의12부(부장 오상용)는 특정범죄가중처벌법상 뇌물수수, 제3자 뇌물수수, 금융위원회법(금융위원회의 설치 등에 관한 법률) 위반 등 혐의로 구속기소된 김모(46) 전 청와대 행정관의 첫 공판기일을 24일 열었다. 2001년 금감원에 입사한 김 전 행정관은 지난해 2월부터 약 1년 동안 청와대 경제수석실에 파견돼 행정관으로 근무했다. 그는 라임 사태와 관련해 라임자산운용 및 관련 회사들의 정보를 수집하고 금감원의 업무를 파악해 보고하는 일을 담당했다. 김 전 행정관은 지난해 5월 김봉현 전 회장에게 금융기관 동향 등의 정보를 알려주는 대가로 김 전 회장이 실사주로 있는 코스닥 상장사 스타모빌리티 법인카드를 받고 2700만원 상당의 돈을 사용한 혐의를 받고 있다. 김 전 행정관과 김 전 회장은 같은 고등학교 친구 사이다. 이후에도 김 전 행정관은 지난해 6월 김 전 회장 등과 골프를 친 후 김 전 회장에게 골프 비용 약 260만원을 부담하게 하고 지난해 8월에는 술값 약 650만원을 내도록 하는 등 총 3600만원이 넘는 뇌물을 수수한 혐의를 받고 있다. 김 전 행정관은 또 지난해 7월 라임에 대한 금감원 검사 관련 정보를 알려달라는 청탁을 받고 김 전 회장으로 하여금 자신의 동생을 스타모빌리티 사외이사로 선임하도록 해 동생에게 1900만원 상당의 사외이사 급여를 지급하게 한 혐의도 받고 있다. 이외에도 김 전 행정관은 지난해 8월 라임에 대한 검사를 진행 중이던 금감원의 내부 문서를 김 전 회장에게 열람하도록 한 혐의도 받고 있다. 이날 김 전 행정관의 변호인은 뇌물수수와 제3자 뇌물수수 혐의와 관련한 공소사실을 모두 인정한다고 밝혔다. 변호인은 “사업이 잘 되는 친구로부터 금품 등을 받은 일, 이를 거절하지 못한 일을 피고인은 매우 반성하고 있고 지금까지도 계속 반성하고 있다”고 말했다. 김 전 행정관도 직접 재판부에 “잘못을 인정하고 많이 반성하고 있다”고 말했다. 다만 변호인은 김 전 행정관이 김 전 회장에게 제공한 정보가 ‘직무상 알게 된 정보’에 해당하지 않는다는 취지의 의견을 밝혔다. 변호인은 “(김 전 회장에게 제공한 정보는) 김 전 행정관이 직무 집행 과정에서 알게 된 정보는 아니고, 친분이 있는 금감원 직원한테 개인적으로 요청해서 받은 정보를 김 전 회장에게 열람하게 한 것”이라면서 개인적으로 취득한 정보이지 직무상 취득한 정보에 해당하지 않는다고 설명했다. 그러나 검찰은 “청와대에 파견된 금감원 직원 신분으로 다른 금감원 직원들에게 라임에 대한 금감원 검사 관련 정보를 제공할 것을 요청했고, 그 정보를 취득한 이후에 김 전 회장에게 유출한 이상 이 정보가 직무상 알게 된 정보가 아니라고 보기 어렵다”고 맞섰다. 재판부는 변호인과 검찰의 입증계획 관련 의견을 종합해 다음달 20일 서증조사와 증인신문을 하고, 오는 8월 17일 결심공판을 열기로 했다. 오세진 기자 5sjin@seoul.co.kr

이통사 본인 인증 앱 ‘패스’ 24일 서비스 모바일 운전면허증 증명… 보안성 높아 ‘아이티센’ 모바일 공무원증 사업자 선정 ‘라온시큐어’도 전자 도민증 연내 상용화 블록체인 기반 ‘탈중앙화 신원증명’ 발전 개인기기에 분산 관리해 해킹 위험 적어5년 내 30조원 규모로 커질 것으로 보이는 ‘디지털 신분증’ 시대가 열리면서 관련 업체들의 발걸음이 빨라졌다. 21일 업계에 따르면 국내 이동통신 3사의 본인인증 애플리케이션(앱)인 ‘패스’는 오는 24일부터 경찰청의 운전면허정보검증 시스템과 연동된 ‘모바일 운전면허증’ 서비스를 시작한다. 패스 앱에 사진이나 2차원 바코드(QR코드) 등이 표시되는데 이를 통해 운전면허증을 증명할 수 있다. 패스 앱의 서비스 중 유일하게 ‘블록체인’(분산저장 기술)에 기반해 보안성이 높다. 앞으로는 편의점에서 술이나 담배를 살 때도 모바일 운전면허증으로 신원인증이 가능하다. 중견업체들도 정부와 손잡고 디지털 신분증 사업에 뛰어들었다. ‘아이티센’은 최근 블록체인 기반의 모바일 공무원증 구축 사업의 우선협상대상자로 선정됐다. 오는 12월까지 시스템 구축이 완료되면 중앙부처 공무원들은 내년부터 모바일 공무원증을 발급받아 스마트폰만으로 청사를 드나들 수 있다. 보안업체인 ‘라온시큐어’도 지난달 경남 지역의 ‘모바일 도민증’ 사업을 수주해 이르면 연내 상용화를 목표로 하고 있다. 디지털 신분증의 상용화가 가능해진 것은 블록체인 기술을 기반으로 하는 ‘탈중앙화 신원증명(DID) 서비스’의 발전 덕이다. 개인정보를 제3기관의 중앙 서버에 저장하면 외부 해킹에 의해 대량 유출될 위험성이 있는데 DID에서는 스마트폰과 같은 개인 기기에 분산 관리하기 때문에 보안성이 높다. 사용자가 인증이 필요할 때만 제출하면 되기 때문에 개인이 자신의 정보 통제권을 가지게 된다. DID 기술은 ‘자율주행차량의 차량 및 이용자 정보 인증’이나 ‘디지털 화물 운송장 정보 시스템’ 등 적용될 수 있는 곳이 많아 여러 기업이 시장에 눈독을 들이고 있다. 현재 국내에서는 각자 조금씩 다른 기술을 지닌 DID 기업들이 3곳의 연합체(DID얼라이언스·마이아이디 얼라이언스·이니셜 DID 연합)를 만들어 시장 주도권을 잡기 위한 경쟁을 벌이고 있다. LG CNS는 지난 5월 캐나다 업체인 ‘에버님’과 글로벌 DID 표준 수립을 위한 업무협약을 체결하기도 했다. 라온시큐어가 취합한 자료에 따르면 블록체인 기반 신원인증 전 세계 시장 규모는 2021년 101억 달러(약 12조원) 규모에서 2025년에는 252억 달러(약 30조원)로 급성장할 것으로 추정된다. 업계 관계자는 “향후 장애인등록증이나 학생증, 주민등록증 등이 모두 디지털 신분증으로 바뀌게 될 것”이라며 “이제 막 시장이 태동하는 시기이기 때문에 앞으로 발전 가능성이 무궁무진하다. 업체별 주도권 싸움이 더 치열해질 것”이라고 말했다. 한재희 기자 jh@seoul.co.kr

“암호화폐 거래소가 해킹됐다고 하는 말을 믿는 업계 사람들은 아무도 없어요.” 암호화폐 거래소 해킹 사고는 매년 반복적으로 일어나고 있다. 2017년 암호화폐 투자 광풍 이후 외부로 알려진 대형 해킹 피해액만 1800억원에 달한다. 그럼에도 범인에 대한 처벌이나 피해자 보상 문제는 은근슬쩍 덮였다. 암호화폐 브로커 출신인 A씨는 21일 서울신문과의 인터뷰에서 “거래소 해킹 사고가 다 외부에서 침입해 발생한 것이라는 건 사실이 아니다”라고 주장했다. 그는 “거래소 직원이나 대표가 고객들의 암호화폐를 탈취한 후 해외 거래소로 옮겨 세탁하면 수사기관이 추적할 방법이 없다”며 “내부 금전 사고조차도 고객들에게는 ‘해킹 당했다’고 알리는 경우가 많다”고 했다. 업계에 따르면 2017년부터 현재까지 국내 주요 거래소에서 발생한 해킹사건 피해액은 1800억원에 달한다. 이 중 빗썸과 업비트의 해킹 피해액이 가장 크다. 빗썸은 2017년 4월 70억원, 2018년 6월 350억원, 2019년 3월 150억원에 해당하는 암호화폐 해킹으로 총 570억원의 피해를 입었고, 업비트는 지난해 11월 580억원 규모의 해킹 피해를 입었다. 이들은 모두 업체 자산으로 피해 보상을 한다고 밝혔다. 하지만 개인정보 유출에 따른 간접 해킹(고객의 계정 정보를 이용한 암호화폐 탈취)이었던 빗썸의 2017년 6월 사건을 제외한 나머지는 아직까지 범인 추적도 하지 못했다. 2017년 12월 해킹 피해로 파산한 거래소 코인빈은 225억원의 피해금액 보상을 하지 못했고, 각각 21억원, 400억원의 해킹 피해가 발생한 코인이즈와 코인레일은 자체 쿠폰이나 새로운 암호화폐로 보상을 대신하는 땜질식 해결에 그쳤다. 2017년 4월과 12월 두 번의 해킹 피해가 발생한 코인빈은 야피존과 유빗으로 거래소 명칭을 바꿔가며 운영을 이어갔지만 결국 파산했다. 코인빈 전 대표 박찬규씨는 유빗 대표와 코인빈 본부장을 지낸 이모씨가 내부 횡령을 했다는 의혹을 제기, 현재 검찰 수사가 진행 중이다. 박씨는 서울신문과의 통화에서 “거래소를 운영한 사람이 직접 고객 돈을 빼돌린 정황에도 검찰은 수사 인력 부족을 이유로 내세워 제대로 수사하지 않고 있다”고 제기했다. 암호화폐 업계조차 해킹 사고에 대한 진위 여부를 의심하는 건 그만큼 법·제도적 규제가 없기 때문이다. 김대규 온세 법률사무소 변호사는 “암호화폐 거래소가 해킹 등에 따른 손실 책임을 강제할 수 있도록 하는 법·제도적 정비가 필요하다”고 지적했다. 박재홍 기자 maeno@seoul.co.kr이태권 기자 rights@seoul.co.kr

“암호화폐 거래소가 해킹됐다고 하는 말을 믿는 업계 사람들은 아무도 없어요.” 암호화폐 거래소 해킹 사고는 매년 반복적으로 일어나고 있다. 2017년 암호화폐 투자 광풍 이후 외부로 알려진 대형 해킹 피해액만 1800억원에 달한다. 그럼에도 범인에 대한 처벌이나 피해자 보상 문제는 은근슬쩍 덮였다. 암호화폐 브로커 출신인 A씨는 21일 서울신문과의 인터뷰에서 “거래소 해킹 사고가 다 외부에서 침입해 발생한 것이라는 건 사실이 아니다”라고 주장했다. 그는 “거래소 직원이나 대표가 고객들의 암호화폐를 탈취한 후 해외 거래소로 옮겨 세탁하면 수사기관이 추적할 방법이 없다”며 “내부 금전 사고조차도 고객들에게는 ‘해킹 당했다’고 알리는 경우가 많다”고 했다. 업계에 따르면 2017년부터 현재까지 국내 주요 거래소에서 발생한 해킹사건 피해액은 1800억원에 달한다. 이 중 빗썸과 업비트의 해킹 피해액이 가장 크다. 빗썸은 2017년 4월 70억원, 2018년 6월 350억원, 2019년 3월 150억원에 해당하는 암호화폐 해킹으로 총 570억원의 피해를 입었고, 업비트는 지난해 11월 580억원 규모의 해킹 피해를 입었다. 이들은 모두 업체 자산으로 피해 보상을 한다고 밝혔다. 하지만 개인정보 유출에 따른 간접 해킹(고객의 계정 정보를 이용한 암호화폐 탈취)이었던 빗썸의 2017년 6월 사건을 제외한 나머지는 아직까지 범인 추적도 하지 못했다. 2017년 12월 해킹 피해로 파산한 거래소 코인빈은 225억원의 피해금액 보상을 하지 못했고, 각각 21억원, 400억원의 해킹 피해가 발생한 코인이즈와 코인레일은 자체 쿠폰이나 새로운 암호화폐로 보상을 대신하는 땜질식 해결에 그쳤다. 2017년 4월과 12월 두 번의 해킹 피해가 발생한 코인빈은 야피존과 유빗으로 거래소 명칭을 바꿔가며 운영을 이어갔지만 결국 파산했다. 코인빈 전 대표 박찬규씨는 유빗 대표와 코인빈 본부장을 지낸 이모씨가 내부 횡령을 했다는 의혹을 제기, 현재 검찰 수사가 진행 중이다. 박씨는 서울신문과의 통화에서 “거래소를 운영한 사람이 직접 고객 돈을 빼돌린 정황에도 검찰은 수사 인력 부족을 이유로 내세워 제대로 수사하지 않고 있다”고 제기했다. 암호화폐 업계조차 해킹 사고에 대한 진위 여부를 의심하는 건 그만큼 법·제도적 규제가 없기 때문이다. 김대규 온세 법률사무소 변호사는 “암호화폐 거래소가 해킹 등에 따른 손실 책임을 강제할 수 있도록 하는 법·제도적 정비가 필요하다”고 지적했다. 박재홍 기자 maeno@seoul.co.kr이태권 기자 rights@seoul.co.kr

30조원 시장 노리는 DID 기술 업계 5년 내 30조원 규모로 커질 것으로 보이는 ‘디지털 신분증’ 시대가 열리면서 관련 업체들의 발걸음이 빨라졌다. 21일 업계에 따르면 국내 이동통신 3사의 본인인증 애플리케이션(앱)인 ‘패스’는 오는 24일부터 경찰청의 운전면허정보검증 시스템과 연동된 ‘모바일 운전면허증’ 서비스를 시작한다. 패스 앱에 사진이나 2차원 바코드(QR코드) 등이 표시되는데 이를 통해 운전면허증을 증명할 수 있다. 패스 앱의 서비스 중 유일하게 ‘블록체인’(분산저장 기술)에 기반해 보안성이 높다. 앞으로는 편의점에서 술이나 담배를 살 때도 모바일 운전면허증으로 신원인증이 가능하다. 중견업체들도 정부와 손잡고 디지털 신분증 사업에 뛰어들었다. ‘아이티센’은 최근 블록체인 기반의 모바일 공무원증 구축 사업의 우선협상대상자로 선정됐다. 오는 12월까지 시스템 구축이 완료되면 중앙부처 공무원들은 내년부터 모바일 공무원증을 발급받아 스마트폰만으로 청사를 드나들 수 있다. 보안업체인 ‘라온시큐어’도 지난달 경남 지역의 ‘모바일 도민증’ 사업을 수주해 이르면 연내 상용화를 목표로 하고 있다. 디지털 신분증의 상용화가 가능해진 것은 블록체인 기술을 기반으로 하는 ‘탈중앙화 신원증명(DID) 서비스’의 발전 덕이다. 개인정보를 제3기관의 중앙 서버에 저장하면 외부 해킹에 의해 대량 유출될 위험성이 있는데 DID에서는 스마트폰과 같은 개인 기기에 분산 관리하기 때문에 보안성이 높다. 사용자가 인증이 필요할 때만 제출하면 되기 때문에 개인이 자신의 정보 통제권을 가지게 된다. DID 기술은 ‘자율주행차량의 차량 및 이용자 정보 인증’이나 ‘디지털 화물 운송장 정보 시스템’ 등 적용될 수 있는 곳이 많아 여러 기업이 시장에 눈독을 들이고 있다. 현재 국내에서는 각자 조금씩 다른 기술을 지닌 DID 기업들이 3곳의 연합체(DID얼라이언스·마이아이디 얼라이언스·이니셜 DID 연합)를 만들어 시장 주도권을 잡기 위한 경쟁을 벌이고 있다. LG CNS는 지난 5월 캐나다 업체인 ‘에버님’과 글로벌 DID 표준 수립을 위한 업무협약을 체결하기도 했다. 라온시큐어가 취합한 자료에 따르면 블록체인 기반 신원인증 전 세계 시장 규모는 2021년 101억 달러(약 12조원) 규모에서 2025년에는 252억 달러(약 30조원)로 급성장할 것으로 추정된다. 업계 관계자는 “향후 장애인등록증이나 학생증, 주민등록증 등이 모두 디지털 신분증으로 바뀌게 될 것”이라며 “이제 막 시장이 태동하는 시기이기 때문에 앞으로 발전 가능성이 무궁무진하다. 업체별 주도권 싸움이 더 치열해질 것”이라고 말했다. 한재희 기자 jh@seoul.co.kr

-새로 태어난 별의 X-선이 비춰준 태양계 초기 태양과 같은 별이 항성 진화의 초기 단계에서 방출한 X-선을 최초로 발견한 새 연구가 발표되었다. 이 발견은 우리 태양계 생성 초기를 연구하는 데 도움을 줄지도 모르며, 나아가 태양계의 역사를 다시 써야 할지도 모른다고 연구자들은 밝혔다. 2017년, 미 항공우주국(NASA)의 찬드라 X-선 우주망원경은 우리 태양과 같은 유형의 아주 젊은 별 HOPS 383에서 방출된 X-선을 탐지했다. 이 별은 지구로부터 1,400광년 거리에 있는 항성진화의 초기 단계에 있는 원시 별로서, 항성으로서 완전히 성장한다면 태양 질량의 반 정도의 별이 될 것으로 예측되고 있다. 3시간 20분 동안 지속되는 X-선 대량 방출을 연구하고 있는 과학자들은 새 연구에서 고에너지의 복사를 우주공간으로 방출하는 우리 태양과 같은 별에 대해 더욱 잘 알 수 있는 통찰을 얻었다. "우리는 태양이 탄생했을 순간을 직접 관측할 수 있는 타임머신이 없지만, 태양과 비슷한 별, 곧 HOPS 383 같은 별을 관측하면 태양의 기원을 연구할 수 있다"고 프랑스 엑스마르세이유 대학 천체물리학 연구소 소속 니콜라스 그로소 대표저자가 밝혔다. 그는 또 "이 연구로 우리는 태양계 생성의 역사 중 중요한 부분을 메꿀 수 있다"고 덧붙였다. 젊은 별이 늙은 별보다 X-선 방출을 더욱 활발히 한다는 사실을 알고 있지만, 별이 X-선 방출을 언제부터 시작하는지 그 정확한 시점은 알져지지 않고 있다. 따라서 새 연구는 "태양과 같은 별이 X-선 방출을 시작하는 시점을 재설정하고 있는 중"이라고 연구자들은 밝혔다. 연구자들은 HOPS 383 별이 X-선 대량 방출 주기가 아닐 때 방출되는 X-선을 관측한 적은 없으며, 그럴 경우 이 별은 X-선 방출이 극대일 때에 비해 밝기가 10배나 떨어진다는 사실을 발견했다. 그들은 또 이 별이 방출하는 X-선이 별의 생애 중 절반을 지나고 있는 우리 태양에 비해 무려 2000 배나 강력하다는 사실도 밝혀냈다. 이에 덧붙여, HOPS 383 같은 젊은 별은 종종 가스와 먼지로 이루어진 껍데기 같은 것을 두르고 있는데, 이 물질이 중심의 별을 둘러싸고 있는 디스크에 강착하는 한편, 별에서 유출된 물질이 쌓이기도 한다. 연구들은 HOPS 383에서 다량의 물질이 유출되는 것을 관측했으며, 이 별에서 방출되는 X-선이 유출된 물질의 원자에서 전자를 떼어낼 정도로 강력한 것으로 생각하고 있다. 그들은 또 이 같은 유출 과정이 별의 자기력을 통해 이루어지는 것으로 보고 있다. "만약 X-선 방출과 별의 물질 유출 사이에 이 같은 관계가 성립되는 것이 맞다면 우리 태양에서도 이와 비슷하게 X-선 방출이 중요한 역할을 하는 것으로 보여진다"고 NASA 고다드 우주비행센터의 겐지 하마구치 공동저자가 같은 성명에서 밝혔다.별의 물질유출과 X-선 방출과의 관계에 대해 연구자들은 HOPS 383 별이 X-선 방출을 시작할 때 이것이 입자의 강력한 흐름을 촉발하고, 이 입자들의 흐름이 별의 디스크 안쪽 가장자리의 먼지 알갱이들과 충돌하는 것으로 생각한다. 만약 태양계 생성 초기에 태양에서 이와 비슷한 일이 일어났다면, 이 같은 입자들 간의 상호작용이 운석이나 지구에서 발견되는 풍부한 특정 물질의 존재를 설명해줄 수 있을 것으로 연구자들은 생각하고 있다. 45억 년 전 태양에서 이 같은 과정이 진행됨으로써 태양계 초기 물질들이 지구를 비롯해 태양계의 모든 것들을 생성하기에 이르렀다"고 밝힌 MIT의 데이비드 프린시페 공동저자는 "갓 태어난 태양의 X-선이 이러한 구성물질을 생성하는 데 지대한 역할을 한 것"이라고 덧붙였다. 새 연구는 '천문학과 천체물리학' 저널에 게재됐으며, 6월 4일자 출판전 논문·자료 저장소인 ‘아카이브(arXiv, arxiv.org)’에서 찾아볼 수 있다. 이광식 칼럼니스트 joand999@naver.com

기업과 기관을 막론하고 정보자산의 안전한 보호가 중시되고 있다. ㈜테트라(Tetra, 대표 신용욱)는 해킹으로부터 정보자산을 안전하게 지킬 수 있는 망분리 미니 PC와 KVM 스위치로 업계를 이끌고 있다. 테트라는 2010년 설립 이래 도전과 개척의 정신을 이어오며 사업 확장을 지속하고 있는 기업이다. 세계 최초로 듀얼 망분리 모니터를 개발하고, 국내 독자 기술로 개발 및 제조하는 ‘망분리PC’와 ‘KVM 스위치’를 통해 중기청 및 조달청으로부터 우수제품 신기술 지정을 앞두고 있다. 근래 해킹으로부터 정보자산을 지키기 위한 노력이 대두되면서, 테트라는 물리적 망분리 미니 PC와 KVM 스위치 등을 개발, 제조하며 미래지향적 IoT 기업으로 거듭나기 위한 노력을 이어가고 있다. 먼저 순수 국내기술을 적용해 개발된 망분리용 KVM 스위치인 ‘KVM시리즈(KV-310/320/330/340)’는 국내 유일하게 한국정보보안기술원의 보안 테스트를 통과했으며 다양한 기능으로 호평을 얻고 있다. 특히 KV-320 제품은 2020년도 서울어워드 수상제품이기도 하다. 윈도우 상에서 펌웨어를 업데이트할 수 있고, 최신 비디오 기술을 채택해 WQHD의 해상도를 보증한다. 또한 망전환 핫키를 지원하고 싱글&듀얼 모니터 간 자유로운 전환 기능을 탑재했다. 특허받은 좌우화면 교차 기능이 적용됐으며 통합케이블을 사용함으로써 별도의 전원이 필요 없고 케이블을 단순화하여 업무환경을 개선할 수 있다. KVM 보드와 미니 PC의 결합제품인 ‘KMDT’는 일체형 망분리 미니 데스크탑 PC로, 물리적 망 분리 시 구축이 편리하다. 업무망과 인터넷 망을 분리해 해킹과 내부정보의 유출을 원천적으로 차단, 보안성이 뛰어나다. 테트라가 독자 개발한 KVM 보드를 사용하여 KVM 스위치의 모든 특장점을 탑재하였으며, 마찬가지로 한국정보보안기술원의 보안 테스트를 통과했다.2차 인증 시장의 요구에 맞춰 출시된 테트라 사의 생체인증 보안 마우스는 간편하고 빠른 보안인증 마우스로 지문 인식 기술이 적용돼 있다. 0.05초의 빠른 지문인식 시간을 자랑하며 99.5%의 높은 인식률을 확보했다. 모든 컴퓨터, KVM과 호환되며 플래그쉽 지문인식 특허 기술 탑재로 마우스의 지문인식센서에 터치하면 안전하고 손쉽게 로그인을 할 수 있다. 3200 dpi의 정확도와 손바닥 곡선을 맞춘 인체공학적 디자인으로 사용자의 피로도를 낮춰준다. 테트라 관계자는 “앞으로도 세계적인 IoT 제품 개발회사로 성장하기 위한 기술 및 제품 개발을 이어갈 방침이며, 특히 친환경 및 절전형 제품개발에 박차를 가하겠다”고 전했다. 한편 테트라는 지난 2016년 서울시와 SBA(서울산업진흥원)가 지원하는 서울시 우수기업 ‘하이서울기업’으로 선정된 바 있다. 온라인뉴스부 iseoul@seoul.co.kr

존 볼턴 전 백악관 국가안보보좌관이 내려던 회고록에 대해 미국 법무부가 출판 7주일을 앞둔 16일(현지시간) 출간금지 소송을 냈다. 볼턴 전 보좌관은 도널드 트럼프 대통령의 바로 직전 안보보좌관이어서 그의 회고록에는 현직 대통령의 외교·안보의 내밀한 이야기가 얼마나 담겨 있을지 주목받고 있다. 미 법무부가 법원에 낸 27쪽 분량의 소장에 따르면 볼턴 전 보좌관의 529쪽짜리 회고록 ‘그것이 일어난 방’을 출간하는 것은 그가 서명했던 비밀 준수서약을 위반하는 것이라고 공영 라디오방송 NPR이 전했다. 소장은 또 “원고에 포함된 정보는 보안, 기밀, 최고 기밀 수준으로 분류돼 있다”며 “회고록이 출간되면 미국의 국가안보에 돌이킬 수 없는 피해가 발생할 수 있다”고 주장했다. 볼턴 전 보좌관은 트럼프 대통령과 불화로 백악관을 떠나기 사흘 전에 “연방정부 직원으로서 획득한 어떤 기밀이나 비밀 정보의 폭로를 금지한다’는 서류에 서명했다고 NPR이 전했다. 볼턴 전 보좌관은 사전 출판 검토 요건 위반, 기밀정보 유출 금지 의무 위반, 법무부가 주장하는 200만 달러(24억원 상당)로 알려진 부당 이득 등 3가지를 위반한 것으로 피소됐다. 회고록이 출판되면 볼턴 전 보좌관의 경제적 이득은 모두 몰수될 수도 있다. 이와 관련해 그의 변호사 찰스 쿠퍼는 “우리는 정부의 소장을 검토하고 있으며, 적당한 시기에 대응할 것”이라고 말했다. 앞서 지난 10일 출판사는 “우리는 볼턴 전 보좌관이 트럼프 행정부 시절의 이야기를 말할 헌법적 권리를 완전히 지지한다”고 밝혔다. 원고 초안의 수정 검토 수준을 놓고 양측이 갈린다. 출판사는 “볼턴은 국가안보회의(NSC)와 협력했고, NSC가 우려를 표한 문자는 수정했다”고 밝혔다. 반면 법무부는 소장에서는 “볼턴 전 보좌관은 NSC의 검토 수준에 불만스러워했다”며 “사전 검토가 끝나기 전에 볼턴이 직접 결정했다”고 맞섰다. 볼턴이 차후에 수정한 부분은 NSC가 그 내용을 모른다는 의미다. 출판사가 낸 책의 광고문에는 “적을 껴안고, 동맹을 배척하고, 자신의 정부를 의심한 혼란에 집착한 대통령을 보여준다”고 되어 있다. 그의 회고록은 이미 인쇄되었고, 배포 중이다. 이기철 선임기자 chuli@seoul.co.kr

코로나19 사태 이후 온라인에서 남녀 만남을 주선하는 데이팅앱에 대한 관심이 한층 높아진 가운데 이를 잘못 이용했다가 사기, 성범죄 등 피해를 당하는 사람이 일본에서 늘고 있다고 요미우리신문이 보도했다. 16일 요미우리에 따르면 얼마 전 도쿄도에 사는 30대 여성 A씨는 지난해 고수입 남성 회원이 많이 가입해 있다는 데이팅앱을 통해 한 남성을 만났다. 그는 ‘37세의 연봉 1000만엔(1억 1200만원) 이상의 정보기술 회사 사장’이라고 했다. 실제 나이 47세의 사기꾼이었지만, A씨로서는 알 방도가 없었다. A씨는 그 남자와 결혼을 전제로 데이트를 했으나 이 과정에서 신용카드 정보를 유출당했고 그에 의해 카드대금 30만엔이 무단결제되는 피해를 봤다. 경찰이 남자를 체포해 조사한 결과 A씨와 같은 피해여성이 수십명에 이르는 것으로 드러났다. 사기 피해뿐 아니라 데이팅앱을 통해 만난 남성으로부터 성폭행을 당했다는 신고도 잇따르고 있다. 일본에서 데이팅앱은 2012년 첫선을 보였다. 통상 나이, 직업 등 등록된 신상정보에 따라 마음에 드는 상대를 구하는 방식으로, 원칙적으로 18세 이상만 이용할 수 있다. 관련 시장은 지난해 기준 510억엔 규모로 4년 전인 2015년 대비 4배로 성장했다. 부작용이 이어지면서 데이팅앱 운영사들도 자구책을 마련하고 있다. 한 회사는 신원을 속이지 못하도록 회원 등록시 졸업장과 소득증명서 등 제출을 의무화하고 있다. 요미우리는 “코로나19 공포가 본격화된 3월 이후 외출 자제로 집에 머무는 시간이 늘어나면서 데이팅앱을 통한 메시지 교환이 활발해지고 있다”며 “이에 따른 피해도 커질 수있다고 보고 경찰 당국이 경계를 강화하고 있다”고 전했다. 경찰 관계자는 “처음 보는 사람과 만나면 범죄 피해를 당할 위험성이 높다는 것을 확실히 인식할 필요가 있다”고 주의를 당부했다. 도쿄 김태균 특파원 windsea@seoul.co.kr

민갑룡 “확인과정서 엇갈린 부분 있었다” 피해 파악·소비자 보호조치 등 취하기로 참여연대 등 8개 시민단체들, 강력 비판 “사태 미룬 정부 책임… 피해 빨리 알려야”사상 최대 규모의 금융·개인 정보가 유출됐는데도 3개월째 핑퐁 게임만 하며 소비자 피해 예방 조치를 하지 않는다는 지적<서울신문 6월 15일자 1·8면>과 관련해 수사·금융 당국이 15일 협업을 통해 신속히 피해 규모를 파악하고 소비자 보호 조치를 취하기로 했다. 민갑룡 경찰청장은 유출 정보를 확인하는 과정에서 금융감독원과 “엇갈리는 부분이 있었다”고 인정했다. 시민단체들은 뒤늦게 협조 체제를 꾸린 것에 대해 경찰과 금감원을 강도 높게 비판했다. 금융위원회와 경찰청, 금융감독원은 이날 오후 2시 금융위 대회의실에서 수사 공조를 위한 회의를 갖고 “관계기관 간 적극 협력을 통해 필요한 소비자 보호 조치 등을 신속하게 진행할 계획”이라고 밝혔다. 금감원이 수사 협조를 하지 않는다고 비판한 경찰은 “금감원을 비롯한 관계기관 간 적극적인 협력과 공조를 통해 수사를 진행하고 있다”며 진화에 나섰고, 수사물을 분석할 권한이 없다던 금감원도 “경찰청의 압수물 분석 등에 인력 파견 등을 통해 적극 협력할 예정”이라고 했다. 참여연대, 경제정의실천연대, 민주사회를 위한 변호사모임, 민주노총, 한국소비자연맹 등 8개 시민단체는 이날 공동 논평을 통해 “개인정보 유출이 발생하면 가능한 한 빨리 소비자 보호 조치를 취해야 하는데 수사기관과 금융 당국은 조사가 시작된 지 3개월이 돼 감에도 서로 책임을 미룬 채 아직도 정확한 피해 사실조차 파악하지 못하고 있다”며 “이미 개인정보가 유출된 지 많은 시간이 지났기에 수사·금융 당국은 정확한 유출 경위와 내용, 예상되는 위험 등을 파악해 해당 정보주체에게 고지해 주는 게 급선무”라고 질타했다. 금융정의연대도 성명을 통해 “이번 사태의 큰 책임은 정부에 있다”면서 “범정부 차원의 태스크포스(TF)를 꾸려 유출 피해 규모를 파악하고 코로나19처럼 공공문자로 피해 예방을 위한 소비자 유의 사항을 알려주는 등 시급한 조치를 취해야 한다”고 목소리를 높였다. 민 청장은 이날 기자간담회에서 경찰과 금감원의 ‘네 탓 공방’으로 소비자 피해 조치가 늦어진 데 대해 “여러 금융 정보와 관련돼 있고 피해자 회복 조치 과정에서 (유출 정보) 분류 작업을 해야 해 금감원의 협조가 필요했다”며 “협의 과정에서 자료가 워낙 방대하고 다양한 자료들이 있다 보니 서로 얘기가 엇갈리는 부분이 있었다”고 말했다. 강윤혁 기자 yes@seoul.co.kr이성원 기자 lsw1469@seoul.co.kr

신한카드·LG CNS ‘페이스페이’ 국내 최초이자 中 이어 세계 2번째 상용화 3D·적외선카메라로 100여개 점 찍어 인지 1회 등록하면 가맹점 어디서나 결제 가능 보안 철저… 타인 사진으로 ‘도둑결제’ 불가 비접촉 방식으로 코로나19 예방 효과는 덤 신한금융그룹, 170여개 디지털 제휴 ‘주목’요즘 서울 성동구 한양대 안에 있는 편의점은 부쩍 ‘계산줄’이 줄었다. 코로나19 탓도 있지만 결정적 이유는 편의점 한켠에 설치된 ‘셀프계산대’ 덕이다. 이 키오스크를 통해 스스로 결제할 수 있는 방식이 여러 가지 있는데 그중 ‘페이스페이’가 가장 빠르다. 지난 12일 한양대 편의점을 방문해 ‘셀프계산대’에서 립밤(입술보습제)을 바코드에 찍으니 결제 방식을 고르는 화면이 나왔다. 그중에 페이스페이를 택하고 카메라를 쳐다보자마자 2초도 안 돼 결제가 끝났다. 지갑에서 신용카드나 현금을 꺼낼 필요도 없었다. ‘내 얼굴’이 신용카드의 역할을 했다. 너무 빨리 끝나서 마치 결제도 안 하고 물건을 훔친 것 같은 기분마저 들었지만 스마트폰으로 날아온 ‘립밤 결제 완료’ 문자를 확인하고서야 찜찜했던 기분이 사그라들었다. 신현보 CU 한양사이버점장은 “셀프계산대가 설치되고 나서 사람이 해야 하는 일이 많이 줄었다. 남는 시간에 청소와 물품 정리를 할 수 있어서 좋다”고 말했다.페이스페이가 외부에 상용화된 것은 한양대가 국내 최초이지만 서울 중구에 위치한 신한카드 본사 구내식당과 카페에서는 지난해 8월부터 이미 사전테스트를 진행 중이었다. 점심 시간 때마다 식사를 기다리는 줄이 길게 늘어서곤 했는데 페이스페이가 설치되면서 처리 속도가 빨라졌다. 코로나19 탓에 신용카드를 주고받는 것마저 불안해하는 이들도 있었는데 키오스크를 만질 필요도 없이 결제가 되니 감염증 예방 효과도 함께 누릴 수 있다. 신한카드는 LG CNS, 한양대, CU 등과 이종(異種) 협업을 통해 페이스페이를 국내 최초이자 중국에 이어 세계 두 번째로 상용화했다. 요즘은 사용자들이 전체 결제량의 약 20%가량을 ‘삼성페이’나 ‘카카오페이’와 같은 온라인결제를 통해 진행하다 보니 플라스틱 카드 위주로만 하다가는 뒤처질 수 있다고 판단한 것이다.페이스페이는 얼굴을 인식하는 방식이라 자칫 잘못하면 개인정보 유출에 대한 문제를 겪을 수 있는데 LG CNS는 대법원 등기시스템을 구축할 정도로 보안 문제를 안정적으로 관리하고 있다고 판단해 손을 잡게 됐다. 국내 업체와 협력하다 보니 ‘보안 이슈’에 대한 공감대가 더 빨리 형성됐고 필요할 때마다 수시로 만나니 일의 진행이 빨랐다. 여러 회사가 공동 프로젝트를 진행하면 이익을 어떻게 나눌지로 갈등이 벌어질 수도 있는데 이번 협력에서는 결제가 발생할 때마다 LG CNS에서 일정 부분 수수료를 가져가는 방식으로 정리됐다. 페이스페이는 3차원(3D)·적외선 카메라로 사람 얼굴에 100여개의 보이지 않는 점을 찍어 그 특징을 기억해 놓는 방식이다. 이 정보를 두개로 쪼개 따로 암호화하기 때문에 보안성이 높다. 이용자의 사진을 찍어 보관하는 방식이 아니다 보니 남의 얼굴 사진을 가지고 와 ‘도둑 결제’를 할 수도 없다. 카드나 스마트폰이 없이 맨몸으로 집밖에 나와도 얼굴만 인식하면 물건을 살 수 있는 세상이 열리는 것이다. 한양대 신한은행 점포의 키오스크에서 한번 얼굴을 등록해 놓으면 캠퍼스 내 편의점이나 식당에서 페이스페이를 이용할 수 있다. 본인인증을 한 뒤 카드를 등록하고 마지막으로 사진까지 찍으면 완료된다. 박재욱 신한카드 페이먼트이노베이션(PI) 셀장은 “일단 한양대에서 몇 달 운영한 뒤 문제점이 없다면 정부와의 협의를 통해 페이스페이의 사용처를 넓혀 나갈 계획”이라며 “페이스페이는 지난해 10월 금융위원회로부터 ‘혁신금융’으로 선정돼 국내에서 2년간 배타적 사업 권리를 얻었다”고 말했다. 2년 동안 빠르게 생태계를 구축해 낸다면 페이스페이는 신한카드의 ‘미래 먹거리’가 될 수 있다.요즘 신한금융그룹에서는 이와 같은 이종협업에 힘을 쏟고 있다. 카드, 금융투자, 생명 등 주요 그룹사가 170개가 넘는 디지털 제휴를 통해 생태계를 만들어 가는 중이다. 유태현 신한카드 디지털퍼스트 본부장은 “각 그룹사가 상호 부족한 부분을 보완해 협력하는 ‘코피티션’(협력+경쟁의 합성어)을 통해 더 큰 가치를 창출하려 한다”고 말했다. 실제로 신한생명은 핀테크 기업인 ‘투비콘’과 제휴를 맺은 기술로 이용자의 신체·혈관·신장 등 기능별 생체 나이에 따라 보혐료를 할인해 주는 서비스를 내놨고, 신한은행은 네이버와의 협력을 통한 인공지능(AI) 광학문자인식(OCR) 기술 덕분에 무역거래 송장을 스캔하고 저장할 때 발생하는 오류를 줄이고 있다. 조영서 신한DS 부사장은 “지금은 생소할 수도 있지만 몇 년 안에 얼굴이 지갑이 되는 시대가 활짝 열릴 것”이라면서 “이렇게 빠르게 변하는 시대에는 합종연횡이 큰 흐름이다”고 말했다. 이어 “특히 결제 사업에는 경계가 없다. 신한금융에서 모든 디지털 기술을 보유할 수는 없으니 앞으로 합종연횡을 더 해내 가야 한다”면서 “다른 기업들과 어떤 우호적인 생태계를 만드느냐의 게임이 될 것”이라고 말했다. 글 사진 한재희 기자 jh@seoul.co.kr

전자문서 전문 기업 (주)디지털존이 지난 8일부터 경상대학교병원 ‘의료증명서 인터넷 보안 발급 서비스’를 오픈했다고 밝혔다. ‘의료증명서 인터넷 보안 발급 서비스’는 이용자가 의료증명서를 필요시 시간과 장소에 제약받지 않고 병원 증명발급 포털인 메드서티 또는 의료기관 홈페이지를 통해 발급받을 수 있는 서비스이다. 해당 서비스를 통해 발급 가능한 경상대학교병원의 의료증명서는 진단서, 영수증, 세부내역서 등 총 11종으로, 공인인증서 또는 아이핀을 통해 본인인증 후 의료증명서를 즉시 발급받을 수 있다. 발급된 증명서는 즉시 출력해 사용할 수 있으며, 이메일 및 팩스 전송 기능을 통해 손쉽게 실손의료보험을 청구할 수 있어 이용자의 편익이 더욱 높아질 것으로 기대된다.인터넷을 통해 발급된 의료증명서의 경우 16자리 문서 확인 번호를 제공해 발급 홈페이지를 통해 진위여부 확인이 가능하도록 했으며, 환자 개인정보 및 증명서 위변조를 방지하기 위해 문서 보안기술을 적용해 보안성을 강화했다. (주)디지털존은 연세대학교 세브란스병원, 강북삼성병원, 서울성모병원 등 주요병원 중심으로 의료증명서 인터넷 보안 발급 서비스를 제공하고 있으며, 보건복지부가 지정한 2018년~2020년 상급종합병원 기준 시장 점유율 70%를 달성했다. 또한 (주)디지털존의 의료증명서 인터넷 보안발급 서비스는 중소형 병원까지 빠르게 확산되고 있어, 의료증명서 발급 서비스에 탄탄한 입지를 다지며 의료기관의 전자문서 시장을 선도하고 있다는 평을 받고 있다. 한편 (주)디지털존 관계자는 “2011년 서울성모병원을 시작으로 현재 200여개의 병원에서 의료증명서 보안 발급 서비스를 이용 중이며 민감한 의료정보에 대한 외부 유출 없이 안전한 서비스를 제공하고 있다”며 “향후 보험사 연계를 통해 발급된 의료증명서를 기반으로 실손의료보험 청구가 가능하도록 서비스를 확대할 예정이다”라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

포스단말기·ATM에 악성코드 심어 이용 때마다 카드 비번·개인정보 빼내 멤버십가맹점 서버도 뚫려 정보 숭숭 금감원 아직 해킹 진원지조차 파악 못해 공범 검거 안돼 게임사이트 등 결제 우려 범정부 TF 꾸려 소비자 피해 예방 나서야현금자동입출금기(ATM)와 카드가맹점 포스단말기, 멤버십가맹점 등 불특정 다수의 전산기기가 해킹돼 사상 최대의 금융·개인 정보가 유출되는 사건이 발생했다. 특정업체 한 곳이 아니라 카드사·금융사·기업 등 경제 근간을 이루는 곳들이 두루 연계돼 있어 범정부 차원의 태스크포스(TF)를 꾸려 유출 실태를 파악하고, 서둘러 소비자 피해 예방 조치에 나서야 한다는 지적이 나온다. 이번 유출 사건은 시중은행 해킹 혐의로 지난해 6월 구속된 이모(42)씨의 추가 범행과 공범 수사 과정에서 1.5테라바이트(TB) 분량의 외장하드를 확보하면서 불거졌다. 은행 보안 관련 일을 하는 이씨는 2012년 커피숍·중소형 슈퍼·생활잡화점·음식점 등 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심었다. 악성코드는 이메일로 유포돼 가맹점 사업주나 종업원들이 포스단말기에서 메일을 확인하는 순간 자동으로 깔렸다. 고객이 카드를 사용할 때마다 이씨가 설정해 놓은 메일로 카드 트랙 정보가 실시간으로 빠져나갔다. 이씨는 2014년 4월 경찰에 적발돼 복역하고 2016년 초 출소했지만 당시 악성코드를 심어놓은 포스단말기에선 지금도 정보가 빠져나가고 있다. 1.5TB 내 카드 정보도 그때 심어놓은 악성코드를 통해 유출된 정보들이다. 복수의 금융권 관계자는 “금융감독원은 아직도 포스단말기 해킹 진원지조차 파악하지 못하고 있다”고 지적했다. 유출 카드 정보는 카드 트랙 정보를 뜻한다. 카드 트랙엔 카드 번호, 유효 기간, 비밀번호 암호화값 등이 담겨 있다. 이 정보만 있으면 복제카드를 만들 수 있다. 카드 한 장에 들어가는 트랙 정보는 40줄로, 40바이트(Byte) 용량이다. 1.5TB는 1조 6492억 6744만 5000바이트로, 카드 정보 기준으로 412억 3168만 6125건이 들어간다. 최근 싱가포르 사설 보안업체에서 다크웹을 통해 불법 거래되는 국내 카드 정보를 파악해 우리 금융당국에 통보한 90만건은 35킬로바이트(KB) 수준으로, 비교 자체가 되지 않는다. 출소한 이씨는 은행 ATM에도 악성코드를 깔았다. 고객이 ATM을 이용할 때마다 실시간으로 카드 비밀번호, 은행계좌번호, 주민등록번호, 이름 등이 유출됐다. 1.5TB 분석 결과가 나오면 국내 어느 금융사의 ATM이 해킹됐는지, 계좌 유출과 피해 규모가 얼마나 되는지 파악할 수 있다. 멤버십가맹점 서버도 뚫렸다. 1.5TB 안엔 멤버십 회원번호와 주소, 휴대전화번호 등도 담겨 있다. 경찰은 서버 자체가 해킹된 것으로 보고 유출 경위를 확인하고 있다. 문제는 공범이 아직 검거되지 않았다는 점이다. 이씨와 해킹을 함께한 범인들이 1.5TB 분량의 금융·개인 정보를 갖고 있다면 휴대전화 간편결제 서비스와 도난 카드정보가 흔히 사용되는 게임사이트 등에서 악용할 수 있다. 김득의 금융정의연대 상임대표는 “2014년 카드 3사의 1억건 정보 유출보다 규모가 크다면 검찰까지 포함해 범정부 차원의 TF를 구성해 서둘러 수사하고 소비자 피해 예방 조치를 해야 한다”며 “정보 유출에 따른 피해와 관련해선 징벌적 손해배상이나 집단소송 등을 통해 소비자 피해 보상이 제대로 이뤄져야 한다”고 지적했다. 김승훈 기자 hunnam@seoul.co.kr 윤연정 기자 yj2gaze@seoul.co.kr

사상 최대의 금융·개인 정보가 유출된 사건이 발생했지만 소비자 피해 예방 조치가 수개월째 늦어지는 덴 경찰과 금융감독원 간 ‘네 탓 공방’이 자리잡고 있다. ●“수사물 관점 아닌 소비자 피해 예방 목적” 경찰 관계자는 14일 “수사를 통해 해킹이 됐다는 걸 알고 금감원에 카드사별 분류를 한 뒤 카드사들에 말해 소비자 피해가 발생하지 않도록 협조 요청을 했는데, 금감원에서 못하겠다며 계속 뭉개고 있다”며 “금감원이 당연히 해야 할 일을 하지 않고 몇 개월째 직무유기를 하고 있다”고 밝혔다. 그러면서 “궁여지책으로 금융보안원과 카드사에도 협조 요청을 했지만 다들 어렵다며 금감원을 통해 협조 요청을 해 달라고 해서 재차 금감원에 협조 요청을 하고 있다”고 덧붙였다. 이 관계자는 “이번 유출 정보는 수사물 관점에서 접근할 게 아니라 소비자 피해 예방 측면에서 접근해야 한다”며 “소비자 피해 조치를 하지 않는 금감원이 문제”라고 목소리를 높였다. ●“경찰, 사이버수사대와 협의 통해 해결 가능” 반면 금감원 관계자는 “경찰 쪽에서 압수한 압수물인데 권한이 없는 금감원에 분석을 해 달라고 하는 상황”이라며 “금감원이 할 수 있으면 상관이 없는데 금감원이 무슨 권한으로 수사물 내용을 보느냐”고 따졌다. 그러면서 “경찰에도 사이버수사대, 지능범죄수사대가 다 있다”며 “같은 기관 내 협의를 통해 해결하면 되지 다른 쪽에 해결해 달라고 하는 게 더 이상하다”고 비판했다. 다른 관계자도 “이번 건은 무턱대고 유출 정보를 가져가 분석한 뒤 알아서 조치하라고 하며 경찰에 계속 협조를 하지 않는다고 말하고 있다”고 반박했다. 또 “금감원은 카드사를 통해 소비자 보호를 위한 조치를 신속하게 취해 달라고 요청하는 부분밖에 없다”고 했다. 김승훈 기자 hunnam@seoul.co.kr 강윤혁 기자 yes@seoul.co.kr

ATM·가맹점 포스 단말기 해킹 통해 카드 정보·계좌·주민번호까지 새 나가현금자동입출금기(ATM)와 포스단말기, 멤버십가맹점 해킹을 통해 1.5테라바이트(TB) 분량의 신용·체크카드 각종 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 유출된 것으로 14일 확인됐다. 기존 킬로바이트(KB)나 메가바이트(MB) 수준과 비교하면 사상 최대 규모의 정보 유출 사건이다. 그러나 수사·금융 당국은 관련 조사를 둘러싸고 서로 ‘핑퐁 게임’만 되풀이하며 3개월째 소비자 피해 예방에 눈을 감고 있다. 경찰은 금융감독원이 수사 협조를 하지 않는다고 비판하고, 금감원은 경찰이 수사 기본도 모른 채 민감한 자료를 통째로 떠넘기려 한다고 반발한다. 서울지방경찰청 보안수사대는 지난해 11월부터 올 1월 사이 시중은행 해킹 혐의로 구속된 이모(42)씨의 추가 범행과 공범을 수사하는 과정에서 이씨가 국내 ATM과 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 빼낸 금융·개인 정보 1.5TB 분량의 외장하드를 확보했다. 1.5TB는 신용카드 정보 기준으로 약 412억건이 들어가는 용량이다. 경찰과 금융권은 1.5TB 안에 경제활동을 하는 전 국민의 금융·개인 정보가 총망라돼 있을 것으로 추정하고 있다. 경찰은 “(일부만 봤는데도) 엄청난 양의 카드 정보와 계좌, 개인 정보가 섞여 있었다”며 “금감원에서 분석을 해주지 않아 유출 규모가 수억건인지, 수백억건인지 파악조차 하지 못하고 있다”고 말했다. 경찰은 지난 3월 초 금감원에 관련 데이터를 줄 테니 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청했지만 금감원은 난색을 표했다. 경찰은 다시 3월 말 금융보안원에 카드사 관계자들을 불러 놓고 협조를 구했지만 카드사들도 어렵다고 했다. 경찰 관계자는 “금감원이 양이 너무 많은 데다 업무 범위도 아니고 금전적 피해 신고도 아직 없다며 협조하지 않고 있다. 하지만 해킹을 당한 것 자체가 피해여서 유사 사례가 발생하지 않도록 하는 게 (수사·금융 당국의) 책임이 아닌가”라고 지적했다. 경찰의 금융보안원 소집에 응했던 복수의 카드사는 “카드 정보 외에 다른 정보도 있고, 타사 개인 정보까지 담겨 있었다”며 “이런 것까지 보는 건 문제 될 소지가 있어 협조할 수 없었다”고 해명했다. 금감원 관계자는 “압수물은 경찰이 먼저 분석을 한 뒤 데이터를 넘겨주는 게 수순이지 금감원이 수사물을 들여다보고 분석할 권한은 없다”며 “경찰 측에 소비자 피해를 최대한 빨리 줄일 수 있도록 데이터를 분석해 넘겨 달라고 요청했다”고 말했다. 김승훈 기자 hunnam@seoul.co.kr 강윤혁 기자 yes@seoul.co.kr

ATM·가맹점 포스 단말기 해킹 통해 카드 정보·계좌·주민번호까지 탈탈 경찰·금감원 3개월째 ‘핑퐁 게임’만 현금자동입출금기(ATM)와 포스단말기, 멤버십가맹점 해킹을 통해 1.5테라바이트(TB) 분량의 신용·체크카드 각종 정보와 은행계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 유출된 것으로 14일 확인됐다. 기존 킬로바이트(KB) 수준과 비교하면 사상 최대 규모의 정보 유출 사건이다. 그러나 수사·금융 당국은 관련 조사를 둘러싸고 서로 ‘핑퐁 게임’만 되풀이하며 3개월째 소비자 피해 예방에 눈을 감고 있다. 경찰은 금융감독원이 수사 협조를 하지 않는다고 비판하고, 금감원은 경찰이 수사 기본도 모른 채 민감한 자료를 통째로 떠넘기려 한다고 반발한다. 서울지방경찰청 보안수사대는 지난해 11월부터 올 1월 사이 하나은행 해킹 혐의로 구속된 이모(42)씨의 추가 범행과 공범을 수사하는 과정에서 이씨가 국내 ATM과 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 빼낸 금융·개인 정보 1.5TB 분량의 외장하드를 확보했다. 1.5TB는 신용카드 정보 기준으로 약 412억건이 들어가는 용량이다. 경찰과 금융권은 1.5TB 안에 전 국민의 금융·개인 정보가 총망라돼 있을 것으로 추정하고 있다. 경찰은 “(일부만 봤는데도) 엄청난 양의 카드 정보와 계좌, 개인 정보가 섞여 있었다”며 “금감원에서 분석을 해주지 않아 얼마나 유출됐는지 파악조차 하지 못하고 있다”고 말했다. 경찰은 지난 3월 초 금감원에 관련 데이터를 줄 테니 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청했지만 금감원은 난색을 표했다. 경찰은 다시 3월 말 금융보안원에 카드사 관계자들을 불러 놓고 협조를 구했지만 카드사들도 어렵다고 했다. 경찰 관계자는 “금감원이 양이 너무 많은 데다 업무 범위도 아니고 금전적 피해 신고도 아직 없다며 협조하지 않고 있다. 하지만 해킹을 당한 것 자체가 피해여서 유사 사례가 발생하지 않도록 하는 게 (수사·금융 당국의) 책임이 아닌가”라고 지적했다. 경찰의 금융보안원 소집에 응했던 복수의 카드사는 “카드 정보 외에 다른 정보도 있고, 타사 개인 정보까지 담겨 있었다”며 “이런 것까지 보는 건 문제 될 소지가 있어 협조할 수 없었다”고 해명했다. 금감원 관계자는 “압수물은 경찰이 먼저 분석을 한 뒤 데이터를 넘겨주는 게 수순이지 금감원이 수사물을 들여다보고 분석할 권한은 없다”며 “경찰 측에 소비자 피해를 최대한 빨리 줄일 수 있도록 데이터를 분석해 넘겨 달라고 요청했다”고 말했다. 김승훈 기자 hunnam@seoul.co.kr강윤혁 기자 yes@seoul.co.kr

결제 내역과 접속 IP기록 등 압수수색금융당국, 간편결제 서비스 보안 점검 서울 노원경찰서는 11일 압수수색 영장을 받아 게임업체 블리자드엔터테인먼트에 모바일 금융서비스 ‘토스’로 부정 결제된 내역과 결제 회원 정보, 접속 IP기록 등의 자료를 요청했다고 밝혔다. 경찰은 이날 팩스로 영장을 블리자드에 보내 자료 제출을 요구하는 방식으로 압수수색을 진행했다. 경찰은 블리자드로부터 자료를 받는 대로 돈이 결제된 경위와 실제 결제자 등을 파악할 방침이다. 노원경찰서는 지난 4일 ‘모르는 사이 토스를 통해 계좌에서 돈이 빠져 나갔다’는 신고를 받고 수사에 착수했다. 피해자의 계좌에서는 지난 3일 오후 11시 13분부터 6분 동안 블리자드에서 4차례에 걸쳐 총 193만 6000원이 결제돼 빠져나간 것으로 조사됐다. 토스에 따르면 지난 3일 블리자드를 비롯해 온라인 가맹점 3곳에서 총 8명의 고객 명의로 총 938만원 상당의 부정 결제가 발생했다. 토스는 회사를 통한 정보 유출보다 개인정보 도용에 무게를 두고 있다. 노원경찰서는 블리자드로부터 관련 자료를 확보하면 사건을 경찰청 사이버수사대로 넘길 예정이다. 한편 금융당국은 간편결제 등 비대면금융 서비스의 보안에 대한 일제 점검에 나서기로 했다. 토스에서 발생한 부정 결제와 비슷한 사고가 재발하지 않도록 간편결제 금융시스템 전반의 허점을 찾겠다는 취지다. 토스나 카카오페이, 네이버페이 등 간편결제 서비스는 금융감독 당국의 감독·검사 영역에 있지만 은행과 카드 등 기존 금융사에 비해서는 감시가 소홀하다는 지적을 받아 왔다. 이번에 사고가 발생한 토스는 2015년 전자금융업자 등록 이후 금융감독원 검사를 한 번도 받지 않았다. 최선을 기자 csunell@seoul.co.kr