최근 개인정보가 유출돼 자신도 모르는 사이에 돈이 빠져나갔다는 뉴스가 종종 나온다. 개인정보가 새 나가면 한 번에 수천만명까지도 털리곤 하니, 누구도 자신의 개인정보가 완벽히 보호되고 있다고 장담하기 어려울 것이다. 마지막 방어선은 개인 비밀번호인데, 개인정보를 악용하려는 범죄자들이 암호화된 정보는 뚫지 못하길 바랄 뿐이다. 하지만 컴퓨터 암호 체계에는 심각한 약점이 존재한다. 간첩이 들키지 않고 정보를 전달하기 위해 난수표를 사용하듯 컴퓨터도 암호를 만들기 위해 난수에 의존한다. 그러나 알고리즘에 따라 정해진 값을 내도록 만들어진 디지털 컴퓨터는 진정한 난수를 만들지 못한다. 이 때문에 자칫하면 수백년이 걸려야 해독할 수 있다는 암호도 순식간에 뚫릴 수 있다. 이 약점을 보완하기 위해 물리적인 현상을 이용해 진정한 난수를 만들려는 노력이 진행되고 있다. 현재 많이 연구되는 방법은 양자역학적 현상을 이용하는 것이다. 양자역학에 따르면 사건이 일어날 확률은 계산 가능하지만 그 확률 내에서 사건 자체는 무작위로 일어난다. 그 대표적인 사례가 방사성 동위원소다. 방사성 동위원소의 핵은 정해진 시간 동안 일정 확률로 붕괴하지만 실제로 붕괴할지는 철저히 무작위다. 이처럼 양자역학을 이용하는 진성 난수 발생기가 보편화되면 우리도 조금은 안심해도 좋을 것이다. 하지만 기껏 기억하기 어려운 비밀번호를 만들어 놓고 모니터 옆에 붙여 놓으면 ‘말짱 도루묵’이다. 박승일 한국원자력연구원 융복합양자과학연구소장

‘1q2w3e4r!’ 군대에 다녀온 사람이라면 익숙한 문자와 숫자의 조합이다. 우스갯소리로 ‘대한민국 1급 군사비밀’이라고 불리는 이 조합은 군대에서 사용하는 PC의 비밀번호로 널리 쓰인다. 군 PC 비밀번호는 통상 문자와 숫자, 특수문자를 결합해 10자 이상으로 사용하도록 한다. 군대를 비롯한 정부 기관에서는 PC 비밀번호에 “10자 이상일 것”, “특정 문자가 연속되지 않을 것”, “1개월 주기로 교체할 것” 등의 보안 지침을 정해 놓고 있다. 지침대로 한다면 비밀번호가 복잡하게 구성되고 자주 바뀌어 좀처럼 알아내기 어려울 것이다. 하지만 비밀번호를 복잡하게 해 보안성을 높이라고 했더니 오히려 이를 간단하게 만드는 방법을 고안했다. 우선 1q2w3e4r을 차례대로 중지와 검지를 이용해 빠르게 입력한 뒤 끝에 특수문자를 붙인다. 숙달되면 한 손가락으로만 칠 수도 있다. 끝에 붙는 특수문자는 처음에는 ‘!’를 시작으로 달이 바뀔 때마다 ‘@, #, $, %…’ 등 키보드 순서대로 설정한다. 1q2w3e4r이 지겨우면 부처별로 맞는 비밀번호를 설정하기도 한다. 인사과의 경우 ‘인사1!’, 작전과는 ‘작전1!’ 등 기억하기 쉬운 비밀번호를 사용한다.쉽기만 하다면 다행이다. 비밀번호를 잊어버릴까 봐 포스트잇에 크게 적어 PC에 붙여 둔 경우도 허다하다. 상급부대에서 보안점검을 올 때 떼 버리면 그만이다. 이쯤 되면 과연 비밀번호가 맞는지 의심스럽다. 비밀번호를 자주 교체하다 보니 바꾼 비밀번호를 잊어버리는 경우도 많다. 후임자에게 인계를 하려는데 비밀번호가 생각나지 않는다. 기밀 파일을 열어 보려고 했더니 비밀번호가 기억나지 않아 괜히 선임자를 탓하는 경우도 많다. 장병들도 이를 보며 오죽 답답했는지 군 기밀 사고를 다룬 기사에는 꼭 “1q2w3e4r이나 어떻게 좀 해 보라”는 댓글이 줄줄이 달린다. 최근 군 보안 의식에 대해 많은 논란이 일고 있다. 군 기밀의 산실로 불리는 국방과학연구소(ADD)에서 대규모 군 기밀 유출 사건이 발생하며 군 보안이 쉽게 뚫렸다는 지적이 나왔다. 더군다나 ADD에서는 보안을 위한 퇴직자 보안점검과 보안검색대 등 기초적인 보안 장치도 마련해 놓지 않았던 것으로 밝혀지면서 전반적인 군 기밀 의식이 전혀 없었다는 비판이 제기됐다. 장병들의 휴대전화 사용이 지난 1일부로 전면 시행되면서 보안 의식에 대한 우려도 커지고 있다. 지난 5월에는 육군 장병들이 3급 기밀에 해당하는 암구호를 소셜네트워크서비스(SNS) 단체 대화방에 공유해 논란이 됐다. 병사들만 보안 사고를 일으키는 것은 아니다. 간부들의 경우 비교적 휴대전화 사용이 자유로운 탓에 보안 사고가 더 극심하게 발생한다. 보통 부대 간부들은 SNS 대화방을 만들어 업무를 공유한다. 사소한 대화부터 업무 얘기까지 자유롭게 나눈다. 민감하게 다뤄야 할 지휘관의 동선도 군 전화가 아닌 SNS 대화방을 통해 공유한다. 심지어 훈련 때도 간부들이 카카오톡을 활용하는 경우가 있다. 이 때문에 일부 군인 사이에서는 “전쟁 때 카톡 안 터지면 어쩌냐”는 얘기도 나온다. 간부들의 ‘온나라’(공문서 결재 시스템) ID와 비밀번호를 병사들과 공유하는 것도 일반적이다. 인사계 병사가 간부 ID로 몰래 휴가 결재 공문을 올려 휴가를 가려다 적발된 경우도 있었다. 최근 사회복무요원이 관리자의 문서 접근 권한을 이용해 개인정보를 알아낸 다음 스토킹 범죄에 악용해 병무청이 대대적인 대책 마련에 나서기도 했다. 왜 이렇게 보안 의식이 허술한 것일까. 야전부대 간부들은 관리 편의성 때문에 어쩔 수 없는 측면이 있다고 말한다. 후방부대의 한 작전장교는 “내가 관리해야 하는 군 전자기기만 해도 3개가 넘는다”며 “모든 기기에 비밀번호를 다 다르게 설정하면 비밀번호를 잊어버리기 십상이라 편의적인 측면에서 어쩔 수 없다”고 호소했다. 군에서 보안은 기밀 유지의 핵심이다. 보안이 뚫리면 군이 무너지게 된다. 편리함에 익숙해져 보안 의식을 소홀히 한다면 군이 무너지는 건 순식간일 것이다. 어느 때보다 간부들 스스로 보안 의식에 더 민감해져야 할 순간이다.

금융감독원이 대규모 금융·개인 정보가 유출된 사건<서울신문 6월 15일자>과 관련해 61만 7000개의 카드정보가 유출된 것으로 분석됐다고 3일 밝혔다. 경찰과 금융 당국은 관련 조사를 둘러싸고 지난 3월부터 ‘핑퐁 게임’을 되풀이하며 3개월을 흘려보냈지만, 두 기관의 협조가 이뤄지자 불과 2주일 만에 유출 정보 분석을 완료한 것이다. 두 기관의 공조가 일찍 이뤄졌다면 피해 발생을 줄였을 수 있었다는 지적이 나온다. 금감원에 따르면 현재까지 확인된 정보 유출 건수는 중복, 유효기간 경과, 소비자 보호조치가 완료된 건을 제외하고 61만 7000건이다. 이는 2019년 7월 카드 정보 도난 사건(56만 8000건)보다 많은 양이다. 게다가 은행계좌번호, 주민등록번호, 휴대전화번호 등 다른 금융·개인 정보에 대해서는 수사가 진행 중이다. 유출된 정보는 더 늘어날 것으로 보인다. 앞서 서울지방경찰청 보안수사대는 시중은행 해킹 혐의로 구속된 이모(42)씨의 추가 범행과 공범을 수사하는 과정에서 이씨가 국내 현금자동입출금기(ATM), 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 금융·개인 정보를 빼낸 사실을 확인했다. 이씨로부터 확보한 외장하드는 1.5테라바이트(TB)에 달했다. 하지만 경찰은 금감원이 수사 협조를 하지 않는다고 비판하고, 금감원은 경찰이 수사 기본도 모른 채 민감한 자료를 통째로 떠넘기려 한다고 반발했다. 경찰은 지난 3월 초 금감원에 관련 데이터를 줄 테니 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청했지만 금감원은 난색을 표했다. 금감원 관계자는 “압수물은 경찰이 먼저 분석을 한 뒤 데이터를 넘겨주는 게 순서지 금감원이 수사물을 들여다보고 분석할 권한은 없다”며 “경찰 측에 소비자 피해를 최대한 빨리 줄일 수 있도록 데이터를 분석해 넘겨 달라고 요청했다”고 말했다. 카드사 관계자들은 “카드 정보 외에 다른 정보도 있고, 타사 개인 정보까지 담겨 있었다”며 “이런 것까지 보는 건 문제 될 소지가 있어 협조할 수 없었다”고 해명했다. 개인·금융 정보 유출 사실이 알려지고 나서야 경찰과 금융 당국은 회의를 열고 수사 공조 방안을 논의했다. 두 기관이 서로에게 책임을 떠넘기는 사이 유출된 카드 정보로 138건(1006만원)이 부정 사용됐다. 수사 공조가 이뤄지자 불과 2주일도 채 지나지 않아 금감원과 경찰은 유출된 개인·금융정보 중 카드 정보에 대한 분석을 완료했다. 홍인기 기자 ikik@seoul.co.kr

ATM·가맹점 포스 단말기 통해 해킹부정사용 138건, 피해금액 1006만원계좌, 주민번호 등 정보는 아직 분석중현금자동입출금기(ATM)와 포스단말기, 멤버십가맹점 해킹을 통해 1.5테라바이트(TB) 분량의 금융·개인 정보가 유출된 사건<서울신문 6월 15일자>과 관련해 금융감독원이 61만 7000개의 카드 정보가 유출됐다고 3일 밝혔다. 금감원이 경찰로부터 받은 카드번호 가운데 중복, 유효기간 경과, 소비자 보호조치가 완료된 건을 제외한 수치다. 현재까지 확인된 정보 유출 건수만 해도 2019년 7월 카드 정보 도난 사건(56만 8000건)보다 많다. 은행계좌번호, 주민등록번호, 휴대전화번호 등 다른 금융·개인 정보에 대해서는 수사가 진행되고 있어 실제 유출된 정보는 더 늘어날 것으로 보인다. 금감원에 따르면 유출된 카드 정보로 부정 사용이 일어난 건수는 138건으로, 피해 금액은 1006만원이다. 카드번호 유출 사고와 관련해서는 여신전문금융업법에 따라 해당 금융사가 전액 보상한다. 이번 사건으로 정보가 유출돼 부정 사용 등 피해를 입었다면 해당 카드사에서 보상받을 수 있다. 금감원은 유출된 카드정보를 받은 금융사들이 부정사용방지시스템(FDS)을 가동해 소비자 피해 여부를 밀착 감시 중이라고 설명했다. KB국민·신한·우리·KEB하나·비씨·삼성·현대·롯데카드와 NH농협·씨티·전북· 광주·수협·제주은행이 해당 금융사다. 금융사들은 카드번호 도난에 연관된 카드의 재발급 작업을 진행하고 있다. 금감원은 카드 부정 사용 예방을 위해 온라인 결제 비밀번호를 주기적으로 바꾸고, 금융사의 부정 사용 예방 서비스를 적극적으로 활용해달라고 말했다. 앞서 서울지방경찰청 보안수사대는 하나은행 해킹 혐의로 구속된 이모(42)씨로부터 국내 ATM과 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 빼낸 금융·개인 정보 1.5TB 분량의 외장하드를 확보해 수사를 진행 중이다. 홍인기 기자 ikik@seoul.co.kr

이달 초 모바일 금융서비스 토스에서 이용자가 모르는 사이 수백만 원이 결제되는 사고가 여러 건 발생했다. 현재로서는 개인정보가 도용됐을 가능성에 무게가 실린다. 30일 금융권에 따르면 금융감독원은 토스를 운영하는 비바리퍼블리카를 조사한 뒤 토스를 통한 개인정보 유출은 없었다고 잠정 판단했다. 즉, 토스 자체가 해킹당했다기보다 특수 브라우저로 접속하는 다크웹을 통해 고객의 개인정보를 확보했을 가능성이 더 크다고 보는 것이다. 금감원은 비바리퍼블리카로부터 부정 결제 관련 서류를 제출받아 검토한 뒤 지난 11∼12일 현장 점검을 벌이는 방식으로 경위를 파악했다. 토스 측도 “제3자가 사용자의 인적사항과 비밀번호 등을 이용해 웹 결제를 한 것으로 파악했다”면서 “토스를 통한 정보 유출이 아닌 도용된 개인정보를 활용한 부정 결제 이슈”라고 입장을 밝힌 바 있다. 다만 금감원은 보안이 허술하다는 비판을 받은 간편결제 시스템의 문제점을 파악하고자 간편결제 사업자 전체를 대상으로 토스와 유사한 사고가 있었는지 점검하고 있다. 지난 3일 토스 온라인 가맹점 3곳에서 총 8명의 토스 고객 명의로 938만원 상당의 부정 결제가 발생했다. 결제에는 고객의 전화번호와 생년월일, 비밀번호가 이용됐다. 경찰 역시 해당 사건에 대한 수사를 진행 중이다. 곽혜진 기자 demian@seoul.co.kr

#1. 2009년 8월 9일부터 9월 21일까지 국내 카드가맹점 ‘포스단말기’가 해킹돼 7개 카드사의 카드번호, 유효기간 등 고객 3000여명(건)의 신용카드 정보가 해외로 유출됐다. 이 중 6개 카드사(삼성카드는 미공개) 108건이 미국, 이탈리아, 그리스, 스페인 등지에서 불법 복제돼 3억여원이 부정 결제됐다.<2009년 11월 4일자 1·3면> #2. 2020년 6월 카드 정보와 카드 비밀번호, 은행 계좌번호, 주민등록번호, 휴대전화번호 등 금융·개인 정보가 담겨 있는 1.5테라바이트(TB) 분량의 외장하드가 수면 위로 떠올랐다. 이 외장하드는 경찰이 지난해 6월 시중은행 해킹 혐의로 구속된 피의자의 추가 범행과 공범을 수사하는 과정에서 확보했다. 카드 정보는 식당 등 전국 카드가맹점 포스단말기가 해킹돼 빠져나갔다.<2020년 6월 15일자 1·8면> 국내 카드가맹점 포스단말기 해킹을 통한 카드정보 유출은 2009년 11월 4일 본지 보도를 통해 세상에 처음 알려졌다. 당시 대다수 사람들은 포스단말기가 뭔지도 몰랐다. 생소했던 만큼 충격도 컸다. 11년이 지났다. 포스단말기 해킹을 통한 카드정보 유출은 아직도 ‘현재 진행형’이다. 포스단말기에 악성코드를 심어 카드정보를 실시간 빼내는 수법도 11년 전과 똑같다. 소비자 피해 예방 책임이 있는 금융감독원은 왜 11년간 눈뜬장님처럼 가만히 있는 걸까. 포스단말기 해킹을 통한 카드정보 유출은 2006년 11월 일부 가맹점에서 처음 발생했다. 이듬해 1월엔 대구·창원 등지의 식당 등 400여 가맹점에서 카드정보가 무더기로 빠져나갔다. 금감원과 카드사들은 이 사실을 극비에 부쳤다. 2009년 취재 때도 금감원과 카드사들은 유출 사실을 숨기려고 안간힘을 썼다. 금감원은 “현재 포스단말기엔 카드정보가 저장되지도 않고 저장되더라도 암호 등 보안 형태로 저장되기에 정보 유출 위험이 없다”고 큰소리까지 쳤다. 금감원은 얼토당토않은 이 말을 금융사고가 터질 때마다 내용만 조금씩 바꿔 가며 우려먹고 있다. 2007년 대규모 카드정보 유출 때부터 14년째 국민들을 호도하고 있다. 최근엔 ‘IC카드 단말기’를 이 말에 끼워 넣었다. 2018년 7월 시중 거의 모든 포스단말기를 정보 유출에 취약한 마그네틱카드 단말기에서 정보 보안이 탁월한 IC카드 단말기로 바꾼 이후엔 해킹을 통한 정보 유출이 없다는 주장이다. 싱가포르 보안업체가 다크웹에서 불법 거래되는 국내 고객의 카드정보를 통보했을 때도, 1.5TB 외장하드에서 유출된 카드정보가 대규모로 발견됐을 때도 금감원은 이 주장을 앵무새처럼 되풀이했다. 금감원은 2009년 11월 본지 보도 이후 IC카드 단말기 보급에 막대한 돈을 퍼부었다. IC카드는 마그네틱카드와 달리 카드정보가 암호화돼 칩에 저장되기에 해킹을 통한 정보 유출이 어렵다. 금감원은 이 점만 부각하며, 정보 유출은 옛말이라고 둘러대고 있다. 시중 포스단말기가 IC카드와 마그네틱카드 겸용이라는 사실은 한마디도 언급하지 않는다. 현재 발행되는 모든 카드의 뒷면엔 카드정보가 들어 있는 마그네틱이 붙어 있다. IC칩이 망가지거나 단말기가 IC칩을 인식하지 못하는 것에 대비해서다. 지금도 포스단말기 해킹을 통해 카드정보가 새나가는 이유다. 금감원이 14년간 동일 범죄를 막지 못하고, 궁색한 변명만 하는 건 내부에 카드 범죄 전문가가 전무한 탓이다. 금감원은 금융사고가 터지면 카드·은행 관계자들을 불러 닦달하는 것 외엔 하는 일이 없다는 말까지 나돈다. 서둘러 외부 수혈을 해 근본 대책을 마련해야 한다. 금감원이 제 역할을 해야 국민들 불안이 일소될 수 있다. hunnam@seoul.co.kr

불만 리뷰를 단 고객의 정보로 공갈 협박을 한 호텔 직원의 행각이 논란이다. 문제의 호텔 측은 해당 직원 4명을 해고 조치했다고 밝혔다. 중국 내 중대형 호텔 ‘비엔나 호텔’(维也纳酒店) 소속 일부 직원들이 해당 업체에서 숙박한 여성 고객의 신상정보를 유출, 위협한 사실이 드러났다. 현지 유력언론 ‘왕이신원’(网易新闻)의 보도에 따르면, 저장성(浙江) 항저우(杭州) 출신의 미 씨는 이달 중순 장쑤성(江苏) 쑤저우(苏州)로 출장 방문을 하며 인근에 소재한 중대형 숙박업체 ‘비엔나 호텔’을 이용했다. 미 씨는 당시 온라인 리뷰 전문 업체에 게재된 내용을 참고해 해당 호텔의 숙박 시설의 가성비가 비교적 훌륭하다는 점에서 숙박을 결정했다. 하지만 미 씨가 참고했던 리뷰 내용과 다르게 그가 숙박한 객실 상태는 기대 이하의 수준이었다. 그는 이튿날 퇴실 후 곧장 자신이 숙박한 객실의 상태에 불만족한 내용을 온라인 리뷰 업체에 게재했다. 문제의 사건은 미 씨의 호텔 이용 후기가 리뷰 전문 사이트에 게재된 이후 발생했다. 그는 해당 리뷰 사이트 이용 후기에 ‘3성급 호텔이라고 해서 큰 의심 없이 숙박을 결정했지만 객실에는 깨끗하게 정돈된 냅킨도 없었고 텔레비전과 전자 제품 등은 모두 오래되거나 고장난 것들로 이용하기에 불편했다’는 등의 불만 사항을 적었다. 또, 미 씨는 이용 후기에 ‘호텔 조식 서비스도 기대한 것 이하의 수준이었는데 숙박한 이튿날 오전 식당에서 제공한 만두 속이 익지 않은 채 제공됐다’는 등의 내용을 게재했다. 이후 호텔 소속 직원들은 차례로 미 씨의 개인 휴대전화에 총 28통에 달하는 협박성 전화, 문자 메시지를 전송했다. 자신들을 해당 호텔의 홍보 마케팅 부서 소속 직원이라고 밝힌 4명은 미 씨에게 전송한 문자 메시지를 통해 ‘당신이 호텔에서 다른 남자와 숙박한 것을 남편도 알고 있느냐’, ‘우리가 당신이 살고 있는 항저우에 갈 예정이다. 밥이나 한 끼 같이 먹자’는 등의 공갈 협박 내용이 포함돼 있었다. 피해자 미 씨는 이후 해당 호텔 전화번호를 차단한 상태이지만 심리적인 불안을 호소하고 있는 것으로 알려졌다. 시건 직후 미 씨는 사건을 언론에 제보, “숙박업소 투숙 시 반드시 제공해야 하는 신분증 사본과 전화번호, 나이, 이름 등을 무단으로 유출해 협박하는 업체가 아직도 존재하느냐”면서 “더욱이 남편에게 숙박 사실을 알리겠다는 등의 내용은 지극히 개인적인 정보를 이용해 심리적인 압박을 가하려는 의도”라고 목소리를 높였다. 그러면서 그는 “특히 (나는) 아직 미혼인데, 대체 숙박한 사실을 알릴 수 있는 남편이 어디에 있느냐”면서 리뷰 내용을 삭제하고 조작할 것을 강요, 협박한 호텔 직원들의 행위에 분개했다. 논란이 되자, 해당 호텔 측은 자사 공식 웨이보 계정을 통해 문제를 일으킨 직원 4명을 전원 해고 조치했다고 24일 밝혔다. 문제의 직원들이 사건 피해자 미 씨에게 협박성 전화와 문자 메시지를 전송 사건이 지난 23일 최초로 현지 언론에 제보, 보도된 지 하루 만의 조치다. 호텔의 사과문에는 ‘자사 직원들의 부적절한 행동과 발언으로 투숙 고객에게 불편을 드려 죄송하다. 자사 직원 교육과 관리를 더욱 엄격하게 진행할 것이며 이번과 같은 사건이 재발하지 않도록 최선을 다할 것이다. 다시 한 번 머리 숙여 사죄한다’는 내용이 포함됐다. 반면, 사건에 대한 논란이 계속되면서 현지 유력 언론들의 취재가 이어지자 해당 호텔 관계자는 “지금껏 고객의 신상 정보 보안을 유지하는 것에 최선을 다해 왔다”고 투숙객의 개인 정보를 유출한 사건에 대한 입장을 밝혔다. 실명을 공개하길 거부한 이 관계자는 “이번 단 한 차례의 소란으로 인해 전국에 소재한 모든 호텔 지점과 수 백 명에 달하는 직원들의 노고에 대한 비판적 시선을 거둬 달라”면서 “그렇지만 향후 전국 모든 매장 직원에 대한 직업윤리와 인격 수양 교육 등을 강화할 것을 약속한다”고 덧붙였다. 한편, 이번 사건으로 논란이 된 호텔은 중국 전역 326곳의 중대형 도시를 중심으로 총 2600개의 지점을 운영 중이다. 특히 지난 2018년에는 중국 국내 프랜차이즈 호텔 가운데 가장 많은 수의 지점을 운영 중인 숙박업체로 선정된 바 있다. 　

방위사업청, USB 사용기록 전수 조사 수석연구원 2명 퇴직 전 자료 대량 복사 보안관리 총괄부서 3년간 보안 점검 ‘0’ 기술 보호 부서는 유출 알고도 눈 감아 핵심 군사 기밀을 다루는 국방과학연구소(ADD)에서 기밀 자료가 대량으로 유출된 것으로 25일 확인됐다. 퇴직 예정자들이 이동식저장장치(USB)에 대량의 기밀 자료를 내려받았지만, ADD는 관련 사실을 파악조차 못해 보안 시스템이 “동네 구멍가게보다 못하다”는 지적이 나온다. ADD 감독 기관인 방위사업청은 이날 2016년 1월부터 지난 4월까지 ADD 퇴직자 1079명과 재직자에 대한 USB 사용기록을 전수조사한 결과 전직 수석연구원 2명이 퇴직 전 대량의 기밀자료를 USB나 외장하드 등에 옮긴 뒤 출국한 것으로 확인돼 경찰에 수사를 의뢰했다고 밝혔다. 이들이 쉽게 기밀을 외부로 가져갈 수 있었던 것은 ADD 보안 시스템이 심각한 허점을 가지고 있었기 때문이다. 방사청 감사 결과 전체 연구시험용 PC의 62%에 해당하는 4287대에 ‘정보유출방지시스템’이 설치되지 않았다. PC에 USB나 외장하드를 연결하면 이를 감지하는 시스템이 거의 먹통이었던 셈이다. 이들은 무단 반입되거나 관리가 허술해 시스템 설치가 되지 않은 PC로 자료를 내려받았다. 2006년 도입한 ‘문서암호화체계’도 한글 문서(HWP) 등 일부 형식에만 적용돼 엑셀, 실험 데이터 등의 문서는 암호화 처리가 되지 않아 USB에 복사 및 열람이 가능했다. 이 밖에 연구소는 보안검색대와 보안요원을 운용하지 않았다. 또 퇴직 예정자에 대한 보안점검 규정이 있었음에도 ADD 내 보안관리 총괄부서는 지난 3년간 단 한 차례도 보안점검을 하지 않았다. 국방기술 보호 업무를 총괄하는 부서는 퇴직자의 자료 유출 사실을 알고도 눈을 감아줬다. 이번 감사가 ‘맹탕 감사’라는 지적도 나온다. ADD는 퇴직자들이 빼돌린 기밀이 구체적으로 어떤 것인지 식별하지 못하고 있다. 지난 4월 이미 기밀 유출 혐의로 경찰 수사가 진행 중인 퇴직 연구원까지 합하면 약 100만건의 로그 기록(파일을 열람하거나 저장할 때 남는 기록)이 발견됐다. 한편 ADD가 방산 비리를 척결한다며 퇴직자 취업제한책을 내놨지만 오히려 방산업체 등에 재취업할 수 있는 ‘꼼수’로 활용된 것으로 드러났다. 감사원이 이날 공개한 ‘국방과학연구소 기관운영감사 보고서’에 따르면 ADD는 취업제한 대상을 본부장 이상에서 팀장급 이상으로 확대했지만 취업제한 기간(3년) ‘무보직자’는 유관 기관 취업제한 대상에서 제외한 것으로 확인됐다. 감사 결과 2014∼2019년 ADD 본부장급 퇴직자 12명 중 8명은 특정 직위에서 물러난 뒤 3년 이상 무보직 연구원 등으로 재직하다 퇴직한 후 5명이 방산업체 등 업무 연관성이 있는 곳에 취업했다. 팀장급 이상 퇴직자 156명 가운데 83.3%인 130명이 ‘무보직 근무’를 통해 취업제한 대상에서 벗어났다. 이주원 기자 starjuwon@seoul.co.kr최광숙 선임기자 bori@seoul.co.kr

출국한 퇴직자 2명 수사의뢰 뒷북한국형 무기체계 및 핵심기술 개발의 산실이라고 할 수 있는 국방과학연구소(ADD)에서 국방기밀 자료가 대량 유출된 정황이 사실로 드러났다. 방사청은 2016년 1월부터 올해 4월까지 ADD 퇴직자 1079명 및 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과, 전직 수석연구원 2명이 퇴직 전 대량의 자료를 휴대용 저장매체(USB)로 전송한 뒤 외국으로 출국한 정황이 확인됐다. 해당 연구원 2명에 대해서는 경찰에 정식 수사를 의뢰했다. 그러나 이미 해외로 출국한 상황이어서 수사에 난항이 예상된다. 이들은 ADD 정보유출방지시스템(DLP)에 35만건과 8만건의 접속 흔적을 남겼다. 출국자 중에는 아랍에미리트(UAE)의 한 대학 연구소에 취업한 사람도 있는데, 유출한 기밀자료가 ‘취업 보증수표’가 됐을 가능성을 의심받고 있다. 방위사업청이 지난 5월 4일부터 6월 12일까지 실시한 감사 결과를 보면 ADD 내부 보안체계는 곳곳에서 허술했다. 공공기관 건물에서 필수적으로 갖춰야 할 청사 출입구의 보안검색대가 없고, 검색요원도 두지 않았다고 방사청은 25일 밝혔다. 이런 과정을 거쳐도 기밀이 누설되는 사례가 적발되는데 ADD는 이런 기초적인 보안 대책도 갖추지 않았다. 군사 기밀을 다루는 국방부와 합참, 방사청 청사만 보더라도 출입구에 보안검색대가 있다. 이 검색대에 가방 등 소지품을 넣으면 컴퓨터와 저장매체가 들어 있을 경우 경고음이 나고, 검색요원이 소지품을 꺼내 일일이 확인한다. 심지어 출입증 사진과 출입자의 얼굴이 맞는지를 확인하는 시스템도 없었다. 의도적으로 출입증을 복제하거나 변조해도 아무런 제지를 받지 않고 출입할 수 있는 등 구조적인 취약점이 드러났다. 대량의 기밀자료를 휴대용 저장매체로 빼돌리는 것을 막는 체계도 구축되지 않았다. 보안 기관에서는 내부 컴퓨터에 휴대용 저장매체를 연결할 경우 보안통제센터에서 즉각 이를 감지하게 되어 있다. 특히 퇴직 예정자에 대해 보안점검을 하도록 규정돼 있지만, ADD 내 보안관리 총괄부서는 지난 3년간 단 한 차례도 실시하지 않았다. 재직자 중에도 자료를 무단 복사하거나 휴대용 저장매체 사용 흔적 삭제, 불법 소프트웨어 사용자도 다수 적발됐고, 이 가운데 23명이 수사 대상에 올랐다.아울러 ADD는 통합전산망에서 분리되고, 정보자산으로 등록하지도 않은 연구시험용 PC를 2416대나 사용하는 것으로 적발됐다. 이는 ADD 전체 PC의 35% 규모이다. 연구시험용 PC 중 62%에 달하는 4278대에는 보안프로그램(DLP)도 깔려 있지 않았다. DLP는 PC에서 자료를 다운하거나 복사할 때 기록이 남거나 사용자의 이름 또는 사번이 기록된다. 이런 프로그램이 설치되지 않은 PC에서 작업하면 사용자를 찾아낼 수가 없다. 여기에다 보안 기능이 없는 일반용 저장매체 3635개를 아무나 사용할 수 있도록 방치했다. 이 저장매체는 연구소 밖의 외부 PC에서 접속이 가능해 기밀자료를 담아 와서 외부 PC로 옮겨도 막을 수 없는 구조다. ADD가 기밀자료 무단 반출을 막고자 2006년 9월 구축한 문서암호화체계(DRM)도 제구실을 못한 것으로 나타났다. DRM은 기밀자료 무단 반출을 위해 전자파일을 자동으로 암호화하는 체계인데, 한글문서(HWP)와 파워포인트(PPT), 워드(DOC) 문서만 적용되는 것으로 밝혀졌다. 정작 중요한 파일인 엑셀, 도면, 소스코드(핵심문서 접속코드), 실험데이터 등은 암호화되지 않아 빼돌려도 걸러내지 못한다는 지적이 나온다. ADD 관계자는 “한 퇴직자가 퇴직 전 정보유출방지시스템에 접속한 흔적이 68만여건”이라며 “현재 유출된 자료가 몇 건인지는 제대로 파악하지 못하고 있다”고 말했다. ADD를 감독하는 방사청 관계자는 “ADD 내부에서 자료 유출 의혹이 4월에 제기됐는데, 방사청은 그전까지 모르고 있었다”고 전했다. ADD는 ‘자주국방의 초석’을 기치로 1970년 8월 창설됐다. 일부 퇴직자들의 일탈 행위로 올해 창설 50주년의 ADD 역사에 최대 기밀 유출 의혹이란 오명의 기록을 남기게 됐다. 정현용 기자 junghy77@seoul.co.kr

보안 프로그램 미설치·PC 정보자산 미등록퇴직 예정자 보안조사도 누락 최근 잇따른 군사 기밀 유출에는 낮은 수준의 보안 시스템과 직원들의 안일한 보안의식이 원인인 것으로 나타났다. 방위사업청은 25일 국방부 청사에서 최근 산하 기관 국방과학연구소(ADD) 퇴직 연구원의 기술자료 유출로 지난달 4일부터 지난 12일까지 실시한 ADD의 방위산업기술보호실태 전반에 대한 감사 중간 결과를 발표했다. 방사청의 감사 결과에 따르면 전반적인 보안 시스템과 직원들의 보안의식이 ‘총체적 난국’으로 나타났다. ADD는 출입자 기술자료 유출 방지를 위한 보안검색대 및 보안요원을 운용하고 있지 않아 휴대용 저장매체 및 출력물의 무단 반출이 쉬운 것으로 파악됐다. 전자파일을 자동으로 암호화하는 DRM 체계도 업데이트가 되지 않아 기밀이 유출될 가능성이 큰 것으로 분석됐다. 또 ADD가 보유한 연구시험용 PC 중 절반이 넘는 4278대(62%)가 정보유출방지시스템(DLP) 보안 프로그램이 설치되어 있지 않았다. 정보자산으로 등록조차 되지 않고 운영하는 연구시험용 PC도 감사과정에서 무려 2416대(35%)가 발견돼 보안 취약성을 드러냈다.또한 보안규정에 휴대용 저장매체는 비밀 용도로만 사용하고 부득이한 경우에만 일반 용도로 사용할 수 있도록 규정하고 있으나, ADD는 비밀용 외에 보안 기능이 없는 일반용 저장매체 3635개를 과다 운용하면서 외부 PC에서도 접속이 가능해 자료 유출 위험성에 노출된 상황이었다. 직원들의 안일한 보안의식도 문제였다. ADD의 국방기술보호 업무를 총괄하는 부서에서는 퇴직자의 자료 유출 사실을 알고서도 멋대로 종결 처리했다. ADD 보안규정상 보안관리 총괄부서에서는 퇴직 예정자에 대해 보안점검을 하도록 명시돼 있으나 최근 3년간 이를 이행하지 않은 것으로 확인됐다. 방사청은 2016년 1월부터 지난 4월까지 ADD 퇴직자 1079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과 퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 자료 유출 정황이 있는 해외 출국자 2명에 대해서는 경찰청에 수사를 의뢰했다. 방사청은 “그 외 대량의 자료를 휴대용 저장매체로 전송한 퇴직자 중에 조사를 꺼리거나 혐의가 의심되는 인원에 대해서는 추가 조사 과정을 거쳐 수사를 의뢰할 예정”이라고 밝혔다. 국가정보원과 경찰, 군사안보지원사령부는 지난해 말부터 일부 퇴직 연구원들이 ADD 근무 시절 자신이 개발을 맡았던 분야의 방산업체 등으로 취업하면서 기밀을 빼갔다는 첩보에 따라 내사를 진행하고 있다. ADD는 퇴근 차량에 대한 불시 보안점검 및 출입구 보안검색대에 안면인식 시스템을 도입해 물리적 방지대첵을 마련한다는 계획이다. 또 기술보호 관리조직을 통합해 관리 감독 기능을 강화하고, 퇴직자들의 해외취업 사전 허가 제도 신설을 검토하는 등 특단의 대책을 수립했다고 설명했다. 강은호 방사청 차장은 “국민 여러분께 심려를 끼쳐 드려 대단히 송구스럽다”고 말했다. 이주원 기자 starjuwon@seoul.co.kr

2010년 아이슬란드에서 큰 화산 폭발이 있었다. 온 하늘이 화산재로 덮여 유럽의 모든 비행기가 수일 동안 운항이 중지됐다. 비행기로 2시간 정도 걸리는 세르비아의 노비사드라는 도시에서 공연이 잡혀 있었다. 모든 비행이 취소됐으니 기차를 타고 가는 방법 외에는 다른 수가 없었다. 편도로만 24시간에 걸친 기차 여행은 그리 순탄하지 않았다. 여러 이유로 비행기를 탔어야만 하는 모든 북유럽인들이 기차를 타고 동쪽으로 남쪽으로 내려오고 있었다. 열차 밖에 사람만 매달리지 않았을 뿐이지 피난열차를 방불케 했다. 현대판 게르만족 대이동이라 이름붙일 만했다. 화산이 터진 초기에는 이처럼 어떻게든 공연을 취소시키지 않기 위해 무리해서 장거리 기차로라도 이동을 했지만, 며칠 지나면서 현실적인 비상대책이 자연스레 나오기 시작했다. 유럽 내의 모든 공연계 아티스트들은 이동이 불가능한 채로 어딘가에 체류하고 있을 텐데, 그럼 각각의 도시에 갇혀 있는 아티스트를 서로 스와프하면 되지 않을까. 내가 내일 파리에서 연주해야 하는데 현재 베를린에 있다면, 내일 베를린에 와서 연주해야 할 다른 어떤 아티스트를 대신해 베를린에서 연주해 주고, 파리에서 해야 할 연주는 그곳에 머물고 있는 다른 아티스트가 대신하는, 그런 방식 말이다. 우스갯소리처럼 들릴지 몰라도 하늘길이 막혀 버린 그 비상시국에 나온 아티스트 스와프는 절묘하면서도 현실 가능한 아이디어였다. 비슷한 예로 일본 후쿠시마 원전사고 직후에 모든 아티스트들이 일본에 가기를 꺼려해서 일본 투어를 취소하는 상황이 발생하기도 했다. 일본 투어를 앞두고 몸을 사릴 수밖에 없는 상황에 공연을 취소한 대가들을 대신해 젊은 아티스트들을 일본으로 보내는 경우가 생기게 됐다. 젊은 아티스트들은 방사능 유출이 얼마나 위험하고 어떤 영향을 끼칠 것인지 이렇다 할 정확한 정보가 없는 채로, 몸을 사리며 공연을 취소한 대가들의 빈 자리를 기회로 잡을 것인지 말 것인지 고민해야 했다. 아이슬란드 화산 재해는 일주일 정도 지나 일상으로 돌아올 수 있었고, 일본 원전사고는 국지적으로 일어났던 현상이니 이번 코로나 팬데믹(세계적 대유행)의 여파나 피해 규모와는 비교할 수가 없다. 하지만 개인 간이나 국가 간의 여행과 교류의 제한, 그리고 폐쇄적·방어적·고립적인 태세로의 전환은 그 양상이 비슷하다. 앞으로 더이상 일어나지 말아야 할 재해와 사고들이지만 우리가 어찌 자연을 거스를 수 있겠는가. 겸손히 받아들이고 대처하는 방법을 기억하고, 유연하면서도 강해지는 것만이 우리가 할 수 있는 작은 노력이다. 전 세계 방방곡곡에서 활발한 활동을 벌이고 있던 우리나라의 젊은 아티스트들이 국내에 들어와 있다. 의료진과 정부, 모든 국민이 함께한 모범적인 대처로 일상생활과 사회활동이 재개되고 있다. 안전한 나라라는 인식이 생기면서 국가의 위상이 높아져 다른 해외 아티스트들도 우리나라에 들어와 활동하기를 원한다. 나라 밖에서 국위선양을 하던 아티스트들이 내수 문화를 다지고, 예술적 외화보유고도 늘어나고 있는, 전에 없던 새로운 시기이다. 역사는 반복되는 과정을 거치며 발전한다. 흑사병이 창궐하던 시절 역시 지금과 마찬가지로 극장이 폐쇄됐지만, 암흑 같은 시기에 셰익스피어라는 희곡작가가 탄생했고, 중세봉건주의의 막을 내리고 르네상스가 꽃을 피우게 된다. 이번 코로나 팬데믹 이후에 오게 될 새로운 르네상스와 인본주의를 염원한다. 과학자와 예술가들이 모일 수 있는 장을 이탈리아 피렌체의 메디치 가문이 마련해 주었듯이 우리나라가 그 역할을 할 절호의 타이밍이라 생각한다.

‘라임 사태’(라임자산운용 환매 중단 사태)의 핵심 인물 김봉현(46·구속기소) 전 스타모빌리티 회장으로부터 뇌물을 수수한 혐의 등으로 구속기소된 금융감독원 직원이 법정에서 “잘못을 인정하고 매우 반성하고 있다”고 밝혔다. 서울남부지법 형사합의12부(부장 오상용)는 특정범죄가중처벌법상 뇌물수수, 제3자 뇌물수수, 금융위원회법(금융위원회의 설치 등에 관한 법률) 위반 등 혐의로 구속기소된 김모(46) 전 청와대 행정관의 첫 공판기일을 24일 열었다. 2001년 금감원에 입사한 김 전 행정관은 지난해 2월부터 약 1년 동안 청와대 경제수석실에 파견돼 행정관으로 근무했다. 그는 라임 사태와 관련해 라임자산운용 및 관련 회사들의 정보를 수집하고 금감원의 업무를 파악해 보고하는 일을 담당했다. 김 전 행정관은 지난해 5월 김봉현 전 회장에게 금융기관 동향 등의 정보를 알려주는 대가로 김 전 회장이 실사주로 있는 코스닥 상장사 스타모빌리티 법인카드를 받고 2700만원 상당의 돈을 사용한 혐의를 받고 있다. 김 전 행정관과 김 전 회장은 같은 고등학교 친구 사이다. 이후에도 김 전 행정관은 지난해 6월 김 전 회장 등과 골프를 친 후 김 전 회장에게 골프 비용 약 260만원을 부담하게 하고 지난해 8월에는 술값 약 650만원을 내도록 하는 등 총 3600만원이 넘는 뇌물을 수수한 혐의를 받고 있다. 김 전 행정관은 또 지난해 7월 라임에 대한 금감원 검사 관련 정보를 알려달라는 청탁을 받고 김 전 회장으로 하여금 자신의 동생을 스타모빌리티 사외이사로 선임하도록 해 동생에게 1900만원 상당의 사외이사 급여를 지급하게 한 혐의도 받고 있다. 이외에도 김 전 행정관은 지난해 8월 라임에 대한 검사를 진행 중이던 금감원의 내부 문서를 김 전 회장에게 열람하도록 한 혐의도 받고 있다. 이날 김 전 행정관의 변호인은 뇌물수수와 제3자 뇌물수수 혐의와 관련한 공소사실을 모두 인정한다고 밝혔다. 변호인은 “사업이 잘 되는 친구로부터 금품 등을 받은 일, 이를 거절하지 못한 일을 피고인은 매우 반성하고 있고 지금까지도 계속 반성하고 있다”고 말했다. 김 전 행정관도 직접 재판부에 “잘못을 인정하고 많이 반성하고 있다”고 말했다. 다만 변호인은 김 전 행정관이 김 전 회장에게 제공한 정보가 ‘직무상 알게 된 정보’에 해당하지 않는다는 취지의 의견을 밝혔다. 변호인은 “(김 전 회장에게 제공한 정보는) 김 전 행정관이 직무 집행 과정에서 알게 된 정보는 아니고, 친분이 있는 금감원 직원한테 개인적으로 요청해서 받은 정보를 김 전 회장에게 열람하게 한 것”이라면서 개인적으로 취득한 정보이지 직무상 취득한 정보에 해당하지 않는다고 설명했다. 그러나 검찰은 “청와대에 파견된 금감원 직원 신분으로 다른 금감원 직원들에게 라임에 대한 금감원 검사 관련 정보를 제공할 것을 요청했고, 그 정보를 취득한 이후에 김 전 회장에게 유출한 이상 이 정보가 직무상 알게 된 정보가 아니라고 보기 어렵다”고 맞섰다. 재판부는 변호인과 검찰의 입증계획 관련 의견을 종합해 다음달 20일 서증조사와 증인신문을 하고, 오는 8월 17일 결심공판을 열기로 했다. 오세진 기자 5sjin@seoul.co.kr

이통사 본인 인증 앱 ‘패스’ 24일 서비스 모바일 운전면허증 증명… 보안성 높아 ‘아이티센’ 모바일 공무원증 사업자 선정 ‘라온시큐어’도 전자 도민증 연내 상용화 블록체인 기반 ‘탈중앙화 신원증명’ 발전 개인기기에 분산 관리해 해킹 위험 적어5년 내 30조원 규모로 커질 것으로 보이는 ‘디지털 신분증’ 시대가 열리면서 관련 업체들의 발걸음이 빨라졌다. 21일 업계에 따르면 국내 이동통신 3사의 본인인증 애플리케이션(앱)인 ‘패스’는 오는 24일부터 경찰청의 운전면허정보검증 시스템과 연동된 ‘모바일 운전면허증’ 서비스를 시작한다. 패스 앱에 사진이나 2차원 바코드(QR코드) 등이 표시되는데 이를 통해 운전면허증을 증명할 수 있다. 패스 앱의 서비스 중 유일하게 ‘블록체인’(분산저장 기술)에 기반해 보안성이 높다. 앞으로는 편의점에서 술이나 담배를 살 때도 모바일 운전면허증으로 신원인증이 가능하다. 중견업체들도 정부와 손잡고 디지털 신분증 사업에 뛰어들었다. ‘아이티센’은 최근 블록체인 기반의 모바일 공무원증 구축 사업의 우선협상대상자로 선정됐다. 오는 12월까지 시스템 구축이 완료되면 중앙부처 공무원들은 내년부터 모바일 공무원증을 발급받아 스마트폰만으로 청사를 드나들 수 있다. 보안업체인 ‘라온시큐어’도 지난달 경남 지역의 ‘모바일 도민증’ 사업을 수주해 이르면 연내 상용화를 목표로 하고 있다. 디지털 신분증의 상용화가 가능해진 것은 블록체인 기술을 기반으로 하는 ‘탈중앙화 신원증명(DID) 서비스’의 발전 덕이다. 개인정보를 제3기관의 중앙 서버에 저장하면 외부 해킹에 의해 대량 유출될 위험성이 있는데 DID에서는 스마트폰과 같은 개인 기기에 분산 관리하기 때문에 보안성이 높다. 사용자가 인증이 필요할 때만 제출하면 되기 때문에 개인이 자신의 정보 통제권을 가지게 된다. DID 기술은 ‘자율주행차량의 차량 및 이용자 정보 인증’이나 ‘디지털 화물 운송장 정보 시스템’ 등 적용될 수 있는 곳이 많아 여러 기업이 시장에 눈독을 들이고 있다. 현재 국내에서는 각자 조금씩 다른 기술을 지닌 DID 기업들이 3곳의 연합체(DID얼라이언스·마이아이디 얼라이언스·이니셜 DID 연합)를 만들어 시장 주도권을 잡기 위한 경쟁을 벌이고 있다. LG CNS는 지난 5월 캐나다 업체인 ‘에버님’과 글로벌 DID 표준 수립을 위한 업무협약을 체결하기도 했다. 라온시큐어가 취합한 자료에 따르면 블록체인 기반 신원인증 전 세계 시장 규모는 2021년 101억 달러(약 12조원) 규모에서 2025년에는 252억 달러(약 30조원)로 급성장할 것으로 추정된다. 업계 관계자는 “향후 장애인등록증이나 학생증, 주민등록증 등이 모두 디지털 신분증으로 바뀌게 될 것”이라며 “이제 막 시장이 태동하는 시기이기 때문에 앞으로 발전 가능성이 무궁무진하다. 업체별 주도권 싸움이 더 치열해질 것”이라고 말했다. 한재희 기자 jh@seoul.co.kr

“암호화폐 거래소가 해킹됐다고 하는 말을 믿는 업계 사람들은 아무도 없어요.” 암호화폐 거래소 해킹 사고는 매년 반복적으로 일어나고 있다. 2017년 암호화폐 투자 광풍 이후 외부로 알려진 대형 해킹 피해액만 1800억원에 달한다. 그럼에도 범인에 대한 처벌이나 피해자 보상 문제는 은근슬쩍 덮였다. 암호화폐 브로커 출신인 A씨는 21일 서울신문과의 인터뷰에서 “거래소 해킹 사고가 다 외부에서 침입해 발생한 것이라는 건 사실이 아니다”라고 주장했다. 그는 “거래소 직원이나 대표가 고객들의 암호화폐를 탈취한 후 해외 거래소로 옮겨 세탁하면 수사기관이 추적할 방법이 없다”며 “내부 금전 사고조차도 고객들에게는 ‘해킹 당했다’고 알리는 경우가 많다”고 했다. 업계에 따르면 2017년부터 현재까지 국내 주요 거래소에서 발생한 해킹사건 피해액은 1800억원에 달한다. 이 중 빗썸과 업비트의 해킹 피해액이 가장 크다. 빗썸은 2017년 4월 70억원, 2018년 6월 350억원, 2019년 3월 150억원에 해당하는 암호화폐 해킹으로 총 570억원의 피해를 입었고, 업비트는 지난해 11월 580억원 규모의 해킹 피해를 입었다. 이들은 모두 업체 자산으로 피해 보상을 한다고 밝혔다. 하지만 개인정보 유출에 따른 간접 해킹(고객의 계정 정보를 이용한 암호화폐 탈취)이었던 빗썸의 2017년 6월 사건을 제외한 나머지는 아직까지 범인 추적도 하지 못했다. 2017년 12월 해킹 피해로 파산한 거래소 코인빈은 225억원의 피해금액 보상을 하지 못했고, 각각 21억원, 400억원의 해킹 피해가 발생한 코인이즈와 코인레일은 자체 쿠폰이나 새로운 암호화폐로 보상을 대신하는 땜질식 해결에 그쳤다. 2017년 4월과 12월 두 번의 해킹 피해가 발생한 코인빈은 야피존과 유빗으로 거래소 명칭을 바꿔가며 운영을 이어갔지만 결국 파산했다. 코인빈 전 대표 박찬규씨는 유빗 대표와 코인빈 본부장을 지낸 이모씨가 내부 횡령을 했다는 의혹을 제기, 현재 검찰 수사가 진행 중이다. 박씨는 서울신문과의 통화에서 “거래소를 운영한 사람이 직접 고객 돈을 빼돌린 정황에도 검찰은 수사 인력 부족을 이유로 내세워 제대로 수사하지 않고 있다”고 제기했다. 암호화폐 업계조차 해킹 사고에 대한 진위 여부를 의심하는 건 그만큼 법·제도적 규제가 없기 때문이다. 김대규 온세 법률사무소 변호사는 “암호화폐 거래소가 해킹 등에 따른 손실 책임을 강제할 수 있도록 하는 법·제도적 정비가 필요하다”고 지적했다. 박재홍 기자 maeno@seoul.co.kr이태권 기자 rights@seoul.co.kr

“암호화폐 거래소가 해킹됐다고 하는 말을 믿는 업계 사람들은 아무도 없어요.” 암호화폐 거래소 해킹 사고는 매년 반복적으로 일어나고 있다. 2017년 암호화폐 투자 광풍 이후 외부로 알려진 대형 해킹 피해액만 1800억원에 달한다. 그럼에도 범인에 대한 처벌이나 피해자 보상 문제는 은근슬쩍 덮였다. 암호화폐 브로커 출신인 A씨는 21일 서울신문과의 인터뷰에서 “거래소 해킹 사고가 다 외부에서 침입해 발생한 것이라는 건 사실이 아니다”라고 주장했다. 그는 “거래소 직원이나 대표가 고객들의 암호화폐를 탈취한 후 해외 거래소로 옮겨 세탁하면 수사기관이 추적할 방법이 없다”며 “내부 금전 사고조차도 고객들에게는 ‘해킹 당했다’고 알리는 경우가 많다”고 했다. 업계에 따르면 2017년부터 현재까지 국내 주요 거래소에서 발생한 해킹사건 피해액은 1800억원에 달한다. 이 중 빗썸과 업비트의 해킹 피해액이 가장 크다. 빗썸은 2017년 4월 70억원, 2018년 6월 350억원, 2019년 3월 150억원에 해당하는 암호화폐 해킹으로 총 570억원의 피해를 입었고, 업비트는 지난해 11월 580억원 규모의 해킹 피해를 입었다. 이들은 모두 업체 자산으로 피해 보상을 한다고 밝혔다. 하지만 개인정보 유출에 따른 간접 해킹(고객의 계정 정보를 이용한 암호화폐 탈취)이었던 빗썸의 2017년 6월 사건을 제외한 나머지는 아직까지 범인 추적도 하지 못했다. 2017년 12월 해킹 피해로 파산한 거래소 코인빈은 225억원의 피해금액 보상을 하지 못했고, 각각 21억원, 400억원의 해킹 피해가 발생한 코인이즈와 코인레일은 자체 쿠폰이나 새로운 암호화폐로 보상을 대신하는 땜질식 해결에 그쳤다. 2017년 4월과 12월 두 번의 해킹 피해가 발생한 코인빈은 야피존과 유빗으로 거래소 명칭을 바꿔가며 운영을 이어갔지만 결국 파산했다. 코인빈 전 대표 박찬규씨는 유빗 대표와 코인빈 본부장을 지낸 이모씨가 내부 횡령을 했다는 의혹을 제기, 현재 검찰 수사가 진행 중이다. 박씨는 서울신문과의 통화에서 “거래소를 운영한 사람이 직접 고객 돈을 빼돌린 정황에도 검찰은 수사 인력 부족을 이유로 내세워 제대로 수사하지 않고 있다”고 제기했다. 암호화폐 업계조차 해킹 사고에 대한 진위 여부를 의심하는 건 그만큼 법·제도적 규제가 없기 때문이다. 김대규 온세 법률사무소 변호사는 “암호화폐 거래소가 해킹 등에 따른 손실 책임을 강제할 수 있도록 하는 법·제도적 정비가 필요하다”고 지적했다. 박재홍 기자 maeno@seoul.co.kr이태권 기자 rights@seoul.co.kr

30조원 시장 노리는 DID 기술 업계 5년 내 30조원 규모로 커질 것으로 보이는 ‘디지털 신분증’ 시대가 열리면서 관련 업체들의 발걸음이 빨라졌다. 21일 업계에 따르면 국내 이동통신 3사의 본인인증 애플리케이션(앱)인 ‘패스’는 오는 24일부터 경찰청의 운전면허정보검증 시스템과 연동된 ‘모바일 운전면허증’ 서비스를 시작한다. 패스 앱에 사진이나 2차원 바코드(QR코드) 등이 표시되는데 이를 통해 운전면허증을 증명할 수 있다. 패스 앱의 서비스 중 유일하게 ‘블록체인’(분산저장 기술)에 기반해 보안성이 높다. 앞으로는 편의점에서 술이나 담배를 살 때도 모바일 운전면허증으로 신원인증이 가능하다. 중견업체들도 정부와 손잡고 디지털 신분증 사업에 뛰어들었다. ‘아이티센’은 최근 블록체인 기반의 모바일 공무원증 구축 사업의 우선협상대상자로 선정됐다. 오는 12월까지 시스템 구축이 완료되면 중앙부처 공무원들은 내년부터 모바일 공무원증을 발급받아 스마트폰만으로 청사를 드나들 수 있다. 보안업체인 ‘라온시큐어’도 지난달 경남 지역의 ‘모바일 도민증’ 사업을 수주해 이르면 연내 상용화를 목표로 하고 있다. 디지털 신분증의 상용화가 가능해진 것은 블록체인 기술을 기반으로 하는 ‘탈중앙화 신원증명(DID) 서비스’의 발전 덕이다. 개인정보를 제3기관의 중앙 서버에 저장하면 외부 해킹에 의해 대량 유출될 위험성이 있는데 DID에서는 스마트폰과 같은 개인 기기에 분산 관리하기 때문에 보안성이 높다. 사용자가 인증이 필요할 때만 제출하면 되기 때문에 개인이 자신의 정보 통제권을 가지게 된다. DID 기술은 ‘자율주행차량의 차량 및 이용자 정보 인증’이나 ‘디지털 화물 운송장 정보 시스템’ 등 적용될 수 있는 곳이 많아 여러 기업이 시장에 눈독을 들이고 있다. 현재 국내에서는 각자 조금씩 다른 기술을 지닌 DID 기업들이 3곳의 연합체(DID얼라이언스·마이아이디 얼라이언스·이니셜 DID 연합)를 만들어 시장 주도권을 잡기 위한 경쟁을 벌이고 있다. LG CNS는 지난 5월 캐나다 업체인 ‘에버님’과 글로벌 DID 표준 수립을 위한 업무협약을 체결하기도 했다. 라온시큐어가 취합한 자료에 따르면 블록체인 기반 신원인증 전 세계 시장 규모는 2021년 101억 달러(약 12조원) 규모에서 2025년에는 252억 달러(약 30조원)로 급성장할 것으로 추정된다. 업계 관계자는 “향후 장애인등록증이나 학생증, 주민등록증 등이 모두 디지털 신분증으로 바뀌게 될 것”이라며 “이제 막 시장이 태동하는 시기이기 때문에 앞으로 발전 가능성이 무궁무진하다. 업체별 주도권 싸움이 더 치열해질 것”이라고 말했다. 한재희 기자 jh@seoul.co.kr

-새로 태어난 별의 X-선이 비춰준 태양계 초기 태양과 같은 별이 항성 진화의 초기 단계에서 방출한 X-선을 최초로 발견한 새 연구가 발표되었다. 이 발견은 우리 태양계 생성 초기를 연구하는 데 도움을 줄지도 모르며, 나아가 태양계의 역사를 다시 써야 할지도 모른다고 연구자들은 밝혔다. 2017년, 미 항공우주국(NASA)의 찬드라 X-선 우주망원경은 우리 태양과 같은 유형의 아주 젊은 별 HOPS 383에서 방출된 X-선을 탐지했다. 이 별은 지구로부터 1,400광년 거리에 있는 항성진화의 초기 단계에 있는 원시 별로서, 항성으로서 완전히 성장한다면 태양 질량의 반 정도의 별이 될 것으로 예측되고 있다. 3시간 20분 동안 지속되는 X-선 대량 방출을 연구하고 있는 과학자들은 새 연구에서 고에너지의 복사를 우주공간으로 방출하는 우리 태양과 같은 별에 대해 더욱 잘 알 수 있는 통찰을 얻었다. "우리는 태양이 탄생했을 순간을 직접 관측할 수 있는 타임머신이 없지만, 태양과 비슷한 별, 곧 HOPS 383 같은 별을 관측하면 태양의 기원을 연구할 수 있다"고 프랑스 엑스마르세이유 대학 천체물리학 연구소 소속 니콜라스 그로소 대표저자가 밝혔다. 그는 또 "이 연구로 우리는 태양계 생성의 역사 중 중요한 부분을 메꿀 수 있다"고 덧붙였다. 젊은 별이 늙은 별보다 X-선 방출을 더욱 활발히 한다는 사실을 알고 있지만, 별이 X-선 방출을 언제부터 시작하는지 그 정확한 시점은 알져지지 않고 있다. 따라서 새 연구는 "태양과 같은 별이 X-선 방출을 시작하는 시점을 재설정하고 있는 중"이라고 연구자들은 밝혔다. 연구자들은 HOPS 383 별이 X-선 대량 방출 주기가 아닐 때 방출되는 X-선을 관측한 적은 없으며, 그럴 경우 이 별은 X-선 방출이 극대일 때에 비해 밝기가 10배나 떨어진다는 사실을 발견했다. 그들은 또 이 별이 방출하는 X-선이 별의 생애 중 절반을 지나고 있는 우리 태양에 비해 무려 2000 배나 강력하다는 사실도 밝혀냈다. 이에 덧붙여, HOPS 383 같은 젊은 별은 종종 가스와 먼지로 이루어진 껍데기 같은 것을 두르고 있는데, 이 물질이 중심의 별을 둘러싸고 있는 디스크에 강착하는 한편, 별에서 유출된 물질이 쌓이기도 한다. 연구들은 HOPS 383에서 다량의 물질이 유출되는 것을 관측했으며, 이 별에서 방출되는 X-선이 유출된 물질의 원자에서 전자를 떼어낼 정도로 강력한 것으로 생각하고 있다. 그들은 또 이 같은 유출 과정이 별의 자기력을 통해 이루어지는 것으로 보고 있다. "만약 X-선 방출과 별의 물질 유출 사이에 이 같은 관계가 성립되는 것이 맞다면 우리 태양에서도 이와 비슷하게 X-선 방출이 중요한 역할을 하는 것으로 보여진다"고 NASA 고다드 우주비행센터의 겐지 하마구치 공동저자가 같은 성명에서 밝혔다.별의 물질유출과 X-선 방출과의 관계에 대해 연구자들은 HOPS 383 별이 X-선 방출을 시작할 때 이것이 입자의 강력한 흐름을 촉발하고, 이 입자들의 흐름이 별의 디스크 안쪽 가장자리의 먼지 알갱이들과 충돌하는 것으로 생각한다. 만약 태양계 생성 초기에 태양에서 이와 비슷한 일이 일어났다면, 이 같은 입자들 간의 상호작용이 운석이나 지구에서 발견되는 풍부한 특정 물질의 존재를 설명해줄 수 있을 것으로 연구자들은 생각하고 있다. 45억 년 전 태양에서 이 같은 과정이 진행됨으로써 태양계 초기 물질들이 지구를 비롯해 태양계의 모든 것들을 생성하기에 이르렀다"고 밝힌 MIT의 데이비드 프린시페 공동저자는 "갓 태어난 태양의 X-선이 이러한 구성물질을 생성하는 데 지대한 역할을 한 것"이라고 덧붙였다. 새 연구는 '천문학과 천체물리학' 저널에 게재됐으며, 6월 4일자 출판전 논문·자료 저장소인 ‘아카이브(arXiv, arxiv.org)’에서 찾아볼 수 있다. 이광식 칼럼니스트 joand999@naver.com

기업과 기관을 막론하고 정보자산의 안전한 보호가 중시되고 있다. ㈜테트라(Tetra, 대표 신용욱)는 해킹으로부터 정보자산을 안전하게 지킬 수 있는 망분리 미니 PC와 KVM 스위치로 업계를 이끌고 있다. 테트라는 2010년 설립 이래 도전과 개척의 정신을 이어오며 사업 확장을 지속하고 있는 기업이다. 세계 최초로 듀얼 망분리 모니터를 개발하고, 국내 독자 기술로 개발 및 제조하는 ‘망분리PC’와 ‘KVM 스위치’를 통해 중기청 및 조달청으로부터 우수제품 신기술 지정을 앞두고 있다. 근래 해킹으로부터 정보자산을 지키기 위한 노력이 대두되면서, 테트라는 물리적 망분리 미니 PC와 KVM 스위치 등을 개발, 제조하며 미래지향적 IoT 기업으로 거듭나기 위한 노력을 이어가고 있다. 먼저 순수 국내기술을 적용해 개발된 망분리용 KVM 스위치인 ‘KVM시리즈(KV-310/320/330/340)’는 국내 유일하게 한국정보보안기술원의 보안 테스트를 통과했으며 다양한 기능으로 호평을 얻고 있다. 특히 KV-320 제품은 2020년도 서울어워드 수상제품이기도 하다. 윈도우 상에서 펌웨어를 업데이트할 수 있고, 최신 비디오 기술을 채택해 WQHD의 해상도를 보증한다. 또한 망전환 핫키를 지원하고 싱글&듀얼 모니터 간 자유로운 전환 기능을 탑재했다. 특허받은 좌우화면 교차 기능이 적용됐으며 통합케이블을 사용함으로써 별도의 전원이 필요 없고 케이블을 단순화하여 업무환경을 개선할 수 있다. KVM 보드와 미니 PC의 결합제품인 ‘KMDT’는 일체형 망분리 미니 데스크탑 PC로, 물리적 망 분리 시 구축이 편리하다. 업무망과 인터넷 망을 분리해 해킹과 내부정보의 유출을 원천적으로 차단, 보안성이 뛰어나다. 테트라가 독자 개발한 KVM 보드를 사용하여 KVM 스위치의 모든 특장점을 탑재하였으며, 마찬가지로 한국정보보안기술원의 보안 테스트를 통과했다.2차 인증 시장의 요구에 맞춰 출시된 테트라 사의 생체인증 보안 마우스는 간편하고 빠른 보안인증 마우스로 지문 인식 기술이 적용돼 있다. 0.05초의 빠른 지문인식 시간을 자랑하며 99.5%의 높은 인식률을 확보했다. 모든 컴퓨터, KVM과 호환되며 플래그쉽 지문인식 특허 기술 탑재로 마우스의 지문인식센서에 터치하면 안전하고 손쉽게 로그인을 할 수 있다. 3200 dpi의 정확도와 손바닥 곡선을 맞춘 인체공학적 디자인으로 사용자의 피로도를 낮춰준다. 테트라 관계자는 “앞으로도 세계적인 IoT 제품 개발회사로 성장하기 위한 기술 및 제품 개발을 이어갈 방침이며, 특히 친환경 및 절전형 제품개발에 박차를 가하겠다”고 전했다. 한편 테트라는 지난 2016년 서울시와 SBA(서울산업진흥원)가 지원하는 서울시 우수기업 ‘하이서울기업’으로 선정된 바 있다. 온라인뉴스부 iseoul@seoul.co.kr

존 볼턴 전 백악관 국가안보보좌관이 내려던 회고록에 대해 미국 법무부가 출판 7주일을 앞둔 16일(현지시간) 출간금지 소송을 냈다. 볼턴 전 보좌관은 도널드 트럼프 대통령의 바로 직전 안보보좌관이어서 그의 회고록에는 현직 대통령의 외교·안보의 내밀한 이야기가 얼마나 담겨 있을지 주목받고 있다. 미 법무부가 법원에 낸 27쪽 분량의 소장에 따르면 볼턴 전 보좌관의 529쪽짜리 회고록 ‘그것이 일어난 방’을 출간하는 것은 그가 서명했던 비밀 준수서약을 위반하는 것이라고 공영 라디오방송 NPR이 전했다. 소장은 또 “원고에 포함된 정보는 보안, 기밀, 최고 기밀 수준으로 분류돼 있다”며 “회고록이 출간되면 미국의 국가안보에 돌이킬 수 없는 피해가 발생할 수 있다”고 주장했다. 볼턴 전 보좌관은 트럼프 대통령과 불화로 백악관을 떠나기 사흘 전에 “연방정부 직원으로서 획득한 어떤 기밀이나 비밀 정보의 폭로를 금지한다’는 서류에 서명했다고 NPR이 전했다. 볼턴 전 보좌관은 사전 출판 검토 요건 위반, 기밀정보 유출 금지 의무 위반, 법무부가 주장하는 200만 달러(24억원 상당)로 알려진 부당 이득 등 3가지를 위반한 것으로 피소됐다. 회고록이 출판되면 볼턴 전 보좌관의 경제적 이득은 모두 몰수될 수도 있다. 이와 관련해 그의 변호사 찰스 쿠퍼는 “우리는 정부의 소장을 검토하고 있으며, 적당한 시기에 대응할 것”이라고 말했다. 앞서 지난 10일 출판사는 “우리는 볼턴 전 보좌관이 트럼프 행정부 시절의 이야기를 말할 헌법적 권리를 완전히 지지한다”고 밝혔다. 원고 초안의 수정 검토 수준을 놓고 양측이 갈린다. 출판사는 “볼턴은 국가안보회의(NSC)와 협력했고, NSC가 우려를 표한 문자는 수정했다”고 밝혔다. 반면 법무부는 소장에서는 “볼턴 전 보좌관은 NSC의 검토 수준에 불만스러워했다”며 “사전 검토가 끝나기 전에 볼턴이 직접 결정했다”고 맞섰다. 볼턴이 차후에 수정한 부분은 NSC가 그 내용을 모른다는 의미다. 출판사가 낸 책의 광고문에는 “적을 껴안고, 동맹을 배척하고, 자신의 정부를 의심한 혼란에 집착한 대통령을 보여준다”고 되어 있다. 그의 회고록은 이미 인쇄되었고, 배포 중이다. 이기철 선임기자 chuli@seoul.co.kr

코로나19 사태 이후 온라인에서 남녀 만남을 주선하는 데이팅앱에 대한 관심이 한층 높아진 가운데 이를 잘못 이용했다가 사기, 성범죄 등 피해를 당하는 사람이 일본에서 늘고 있다고 요미우리신문이 보도했다. 16일 요미우리에 따르면 얼마 전 도쿄도에 사는 30대 여성 A씨는 지난해 고수입 남성 회원이 많이 가입해 있다는 데이팅앱을 통해 한 남성을 만났다. 그는 ‘37세의 연봉 1000만엔(1억 1200만원) 이상의 정보기술 회사 사장’이라고 했다. 실제 나이 47세의 사기꾼이었지만, A씨로서는 알 방도가 없었다. A씨는 그 남자와 결혼을 전제로 데이트를 했으나 이 과정에서 신용카드 정보를 유출당했고 그에 의해 카드대금 30만엔이 무단결제되는 피해를 봤다. 경찰이 남자를 체포해 조사한 결과 A씨와 같은 피해여성이 수십명에 이르는 것으로 드러났다. 사기 피해뿐 아니라 데이팅앱을 통해 만난 남성으로부터 성폭행을 당했다는 신고도 잇따르고 있다. 일본에서 데이팅앱은 2012년 첫선을 보였다. 통상 나이, 직업 등 등록된 신상정보에 따라 마음에 드는 상대를 구하는 방식으로, 원칙적으로 18세 이상만 이용할 수 있다. 관련 시장은 지난해 기준 510억엔 규모로 4년 전인 2015년 대비 4배로 성장했다. 부작용이 이어지면서 데이팅앱 운영사들도 자구책을 마련하고 있다. 한 회사는 신원을 속이지 못하도록 회원 등록시 졸업장과 소득증명서 등 제출을 의무화하고 있다. 요미우리는 “코로나19 공포가 본격화된 3월 이후 외출 자제로 집에 머무는 시간이 늘어나면서 데이팅앱을 통한 메시지 교환이 활발해지고 있다”며 “이에 따른 피해도 커질 수있다고 보고 경찰 당국이 경계를 강화하고 있다”고 전했다. 경찰 관계자는 “처음 보는 사람과 만나면 범죄 피해를 당할 위험성이 높다는 것을 확실히 인식할 필요가 있다”고 주의를 당부했다. 도쿄 김태균 특파원 windsea@seoul.co.kr