현대캐피탈 해킹 사고로 개인 정보가 유출된 고객은 거래가 종료된 경우까지 포함해 175만명인 것으로 확인됐다. 금융감독원은 정태영 사장을 비롯한 현대캐피탈 임직원의 징계를 검토하고 있다. 금감원은 17일 현대캐피탈 해킹 사고 검사 결과 중간 발표를 통해 이같이 밝혔다. 당초 현대캐피탈의 개인 정보 유출 규모는 거래를 유지하고 있는 유효 고객 180만명 가운데 42만~43만명 선으로 알려진 바 있다. 금감원 관계자는 “3월 6일~4월 7일 해커가 퇴직직원의 아이디와 패스워드로 보조 서버인 광고 메일 발송 서버와 정비 내역 조회 서버에 침입해 약 175만명의 고객 정보를 해킹했다.”면서 “이는 거래 유지 고객과 종료 고객 등을 모두 합한 수치의 22~23%에 해당한다.”고 밝혔다. 현대캐피탈은 거래 유지 고객 67만명, 거래 종료 고객 81만명, 웹 회원 27만명의 정보가 해킹됐다고 설명했다. 처음 정보가 유출된 42만명 외에 추가로 해킹된 133만명의 정보는 수사 당국이 회수한 것으로 알려졌다. 금감원은 지난달 11일부터 29일까지 현대캐피탈에 대한 검사를 실시한 결과, 해킹 사고의 주요 원인은 전자금융거래법 등 관련 법규에서 정한 사고 예방 대책 이행을 소홀히 했기 때문이라고 분석했다. 현대캐피탈이 ▲업무 성격상 불필요한 아이디와 패스워드를 부여하는 한편, 담당 직원이 퇴직한 뒤에도 해당 아이디와 패스워드를 삭제하지 않았고 ▲해킹 침입 방지 및 차단 시스템 관리를 철저하게 하지 않았으며 ▲해킹 프로그램 업로드 차단 등 대응 조치가 미흡했고 ▲해킹 사고 발생 시 정보 유출을 최소화할 수 있는 고객 비밀번호 암호화 및 업무 관리자 화면 조회 시 주민번호 뒷자리 숨김 표시를 하지 않았다고 설명했다. 금감원은 현대캐피탈 임직원이 예방 대책 이행을 소홀히 해 고객 정보가 대량 유출되었고, 이것이 국민 불안을 초래하고 사회 문제가 됐다고 판단, 조만간 제재심의위원회 심의를 거쳐 제재 조치를 취할 방침이다. 홍지민기자 icarus@seoul.co.kr

현대캐피탈 서버 해킹을 통해 유출된 고객 정보가 뒷거래를 통해 국내 대출중개업체의 영업에 이용된 사실이 경찰 수사에서 확인됐다.<서울신문 4월 12일자 1, 8면> 서울지방경찰청 사이버범죄수사대는 16일 현대캐피탈 서버에 침입해 개인정보를 빼낸 A대출중개업체 팀장 윤모(35)씨를 정보통신망법 위반 혐의로 구속했다. 윤씨는 지난 3월 10일 필리핀에 머물고 있는 이 사건의 주범 정모(36·미검)씨에게서 현대캐피탈 서버에 침입할 수 있는 주소(URL)를 받아 고객 휴대전화 번호 1만 9300여건을 입수, 대출중개 영업에 이용한 혐의를 받고 있다. 경찰 조사 결과 윤씨는 예전에 다니던 직장 동료로부터 지난해 3월쯤 정씨를 소개받았으며, 지난 2월 정씨가 “내가 아는 해커가 현대캐피탈 서버에 침입했는데 작업비를 주면 URL을 알려주겠다.”고 제의하자 2200만원을 보낸 것으로 드러났다. 윤씨는 지난 3월 10일 서울 서초구의 한 PC방에서 정씨로부터 메신저로 URL을 넘겨받은 뒤 현대캐피탈 서버에 침입했다. 이어 11일까지 두 차례에 걸쳐 외장하드에 고객정보를 내려받아 보관한 것으로 조사됐다. 경찰은 국내 PC방에서 현대캐피탈 서버 접속 기록 흔적을 발견, 추적한 끝에 윤씨가 해당 시간대에 정씨와 국제통화를 한 사실을 확인해 검거했다. 윤씨는 지난해에도 정씨에게 1200만원을 보내고 개인정보를 사들였다는 진술을 확보한 바 있다. 김동현기자 moses@seoul.co.kr

최근 사이버공격이 빈발하면서 일반적으로 사용하는 ‘단어’로 된 패스워드 대신 ‘문장’을 활용한 패스워드가 최선의 방어책이라고 전문가의 말을 인용해 CNN인터넷판이 8일 보도했다. 소프트웨어보안회사인 ‘소포스’(Sophpos)의 선임 기술컨설턴트인 그래햄 크루얼리는 CNN에 “우리 연구소에만 매일 무려 9만건의 악성코드 공격이 발생한다’며 “그들은 이메일 패스워드를 노리고 있으며, 이를 통해 개인정보를 알아내 은행계좌에서 돈을 빼내가려고 한다”고 지적했다. 그는 이와 관련해 “해커들이 사전에 있는 단어를 이용자 계정의 패스워드에 자동으로 대입해 맞는 단어를 찾아내는 방식을 주로 이용하는 만큼 ‘패스워드’, ‘식탁보’ 등 사전에서 쉽게 찾을 수 있는 일반적인 용어를 패스워드로 사용해서는 안된다”고 지적했다. 크루얼리는 대신 문장을 축약한 형태의 패스워드가 보안에 적합하다고 설명했다. 예를 들어 ‘프레드와 윌마는 저녁으로 햄과 애그를 좋아한다’(Fred And Wilma Like To Have Ham And Eggs For Dinner)의 말을 뜻하는 ‘F&WL2HH&E4D’를 패스워드로 사용한다면 해커들이 이를 알아내기 쉽지 않을 것이라는 게 그의 설명이다. 크루얼리는 또 로그인을 요구하는 사이트마다 다른 패스워드를 사용하는 것과 각종 백신프로그램을 업데이트하는 것도 중요하다고 강조했다. 크루얼리는 이와 함께 해커들이 일반적으로 유명 뉴스 주제와 관련된 감염된 사진이나 웹사이트를 이용하는 점도 유의해야한다고 지적했다. 실제로 최근 오사마 빈 라덴과 관련된 사이버 공격이 빈발했다는 것이다. 쿠루얼리는 “전세계가 빈 라덴의 죽음에 관심을 보이면서 그의 죽음과 관련된 사진과 비디오를 찾는데 열중하고 있을 때 해커들은 가짜 영상과 사진으로 유혹해 컴퓨터를 감염시키고 있다”고 전했다. 연합뉴스

　MBC 송지선 아나운서가 자살을 암시하는 글과 함께 인터넷 커뮤니티를 달궜던 임태훈과의 열애설에 대해 7일 자신의 심경을 밝혔다. 　송 아나운서는 이날 오후 자신의 트위터에 “소란을 일으켜 죄송합니다. 죽을 마음을 먹었던 건 제 잘못입니다.”라며 하루종일 인터넷을 떠들썩하게 했던 소동에 대해 사과했다. 　송 아나운서는 미니홈피에 올려졌던 프로야구 선수와의 연애설 글과 관련해서는 “제가 올린 글이 아니에요. 친구들 전화로 바로 그 글을 지웠지만 충격이긴 했어요.”라며 아이디 탈취로 인한 해프닝임을 강조했다. 이어 “태훈이와 저는 친한 누나 동생이에요.”라며 임태훈에 대한 비난을 자제해달라고 당부했다. 　송 아나운서는 7일 새벽 자신의 트위터에 “너무 고통스럽습니다. 수면제 3알 째”, “뛰어내리려니 너무 무섭고 목을 매니 너무 아파요. 비 오는 창밖을 향해 작별인사 다 했어요”라는 글로 자살을 암시해 119 구조대가 출동하는 등 소동이 벌어진 바 있다. 　이 글은 처음엔 해커의 소행이라는 소문이 돌았지만 본인이 직접 쓴 글로 밝혀졌다. 　인터넷서울신문 event@seoul.co.kr

　가수 겸 탤런트 김현중의 홈페이지가 해킹을 당했다. 　그의 소속사인 키이스트는 7일 “공식 홈페이지가 해킹 공격을 당해 팬클럽 가입 입금계좌가 바뀌었다.”면서 “변경 공지된 계좌는 키이스트의 계좌가 아니며 팬분들의 개인 휴대폰과 메일로 입금 계좌를 명시한 공지 역시 사실이 아니다. 제주도 팬미팅도 허위로 공지된 것으로 키이스트와는 전혀 무관하다.”고 밝혔다. 　소속사는 이어 “공식 팬클럽인 ‘헤네시아’의 가입신청 및 입금을 잠시 중단하고, 철저한 조사를 위해 경찰 사이버 수사대에 수사를 요청했다.”고 덧붙였다. 　김현중은 첫 솔로 앨범 발매를 앞두고 공식 팬클럽인 ‘헤네치아’ 1기 모집을 시작했다. 헤네치아의 가입금은 1만원이지만 해커는 3만5000원으로 변경했고, 입금계좌도 바꿨다. 또 ‘10만원을 입금하면 김현중과 제주도에서 팬미팅을 할 수 있으며, 별도로 김현중과의 1대 1 식사를 하고 싶으면 80만원을 입금하라’고 거짓 공지를 띄웠다. 　인터넷서울신문 event@seoul.co.kr

송지선 MBC 스포츠플러스 아나운서의 트위터에 남겨진 자살암시 글은 당초 해커의 소행인 것으로 알려졌으나 본인이 직접 작성했던 것으로 밝혀졌다. 서울 서초경찰서 관계자는 7일 ”트위터가 해킹을 당한 것이 아니고 본인이 직접 글을 써 올린 것”이라고 말했다. 서초경찰서에 따르면 송 아나운서는 최근 우울증이 심해져 자신의 심정을 전하기 위해 트위터에 직접 글을 올렸다. 이날 새벽 4시50분쯤 송 아나운서의 트위터에 “저를 데려가 주실 수 없다면, 힘을 주세요. 너무 고통스럽습니다. 수면제 3알 째”란 글이 올라와 네티즌들을 깜짝 놀라게 했다. 이어 “하느님 저 좀 도와주세요. 뛰어내리려니 너무 무섭고. 목을 매니 너무 아파요. 나는 비 오는 창밖을 향해 작별인사 다 했어요. 이제 그만 편안해지게 해 주세요 제발”이라는 자살 암시글이 올라왔다. 이 글을 본 트위터리안들이 경찰에 신고, 이날 오전 5시19분쯤 119구조대가 송 아나운서의 집에 긴급 출동했다. 송 아나운서는 집에서 잠을 자고 있었다. 송 아나운서는 이날 오전 6시 50분쯤 “저 무사해요. 심려를 끼쳐 드려 죄송하다.”는 글을 올렸지만 그녀를 둘러싼 글들이 인터넷 커뮤니티를 후끈 달구고 있다. 일부 네티즌들은 송 아나운서의 자살 암시글이 올라온 시점보다 3시간 가량 앞선 오전 2시 8분 송 아나운서가 자신의 미니홈피에 스포츠 스타 A와의 관계에 대해 언급했다는 주장을 제기했다. 인터넷을 통해 퍼지고 있는 ‘송지선 다이어리’이라는 제목의 캡처사진과 글은 현재 송 아나운서의 미니홈피 배경과 일치한다. 송 아나운서는 MBC 스포츠플러스 야구전문 아나운서로 ‘베이스볼투나잇 야(野)’를 진행하고 있다. 인터넷서울신문 event@seoul.co.kr

기자라는 직업을 갖고 있다 보니 주변에서 이런저런 질문을 많이 받는다. 질문의 유형은 대략 세 가지다. 하나는 ‘A양 염문설’과 같은 호사가들의 궁금증이다. 다른 하나는 유망한 주식·부동산 정보 등 재테크 목적의 질문이다. 보통 들은 대로, 아는 대로 “그건 사실과 다르대.” “대박주를 알면 내가 샀지.”라는 식으로 웃고 넘기고 만다. 하지만 어떤 사건이나 의혹의 실체적 진실이 질문의 대상이 되면 사정이 달라진다. 그냥 웃고 넘어갈 수가 없다. 정확히 모르거나 답변이 곤란하면 당혹스러워진다. ‘내가 명색이 기자인데….’하는 생각에 일종의 자책감마저 밀려온다. 최근에 그런 경험을 했다. “농협 전산망 해킹이 진짜로 북한이 한 짓이냐.”고 친구가 물어왔다. 지금은 그쪽 취재를 담당하지 않고 있어 안면 있는 보안 전문가에게 오랜만에 전화를 돌렸다. 하지만 들려오는 답은 수사당국의 얘기와 다르다. “검찰 발표만 믿고 북한으로 단정하기 어렵다.”는 것이다. 검찰이 두 차례 디도스 공격의 범인이 북한이고, 그 범인과 이번 범인이 같다고 했는데 증거도 공개하지 않은 채 그렇게 몰아가는 것은 ‘추론의 추론’일 뿐이라고 했다. 한 해커는 “IP는 DNA와 다르다.”고 했다. IP는 DNA와 달리 얼마든지 복제가 가능한 만큼 같은 IP가 발견됐다고 범인까지 같다는 논리는 성립하지 않는다고 했다. 문제는 이런 생각이 일부의 의견이 아니라 전문가들 사이에 일반화돼 있다는 것이다. 검찰로서는 억울할 수도 있다. 실제로 검찰의 말대로 보안기밀 때문에 속 시원히 공개하지 못하는 것을 외부에서 불신하고 매도하는 것일 수도 있다. 하지만 이는 그동안 권력의 의도에 따라 움직여 온 검찰의 원죄다. 검찰의 발표는 현 정권에 대한 ‘믿음의 눈’을 가진 사람들에게만 진실로 보여서는 안 된다. 국민들을 부활한 예수를 믿지 못해 상처에 손을 넣어봤던 예수의 제자 도마와 같은 사람들로 만들고 싶지 않다면 말이다. whoami@seoul.co.kr

전대미문의 농협 전산장애가 북한의 소행이라는 검찰 발표를 두고 말들이 많다. “북한이 했다고 도저히 못 믿겠다.”는 반응이 있고, “북한이 이렇게 위협적이니 걱정된다.”는 의견도 있다. 엇갈리는 반응 때문에 농협 사태를 천안함 사건에 비교하는 시선도 있다. 어쩌면 영구미제로 남을 것이라는 관측도 나온다. 검찰 수사가 여론의 도마 위에 오른 것은 어찌 보면 당연한 수순이다. 검찰의 발표문 하나하나가 검증대상이 되고 있는 분위기다. 요약하자면 “결국 북한이 했다는 직접증거는 없다.”는 게 북한소행론을 반박하는 쪽의 얘기고, “그럼 북한 말고 누가 하겠느냐.”는 게 옹호하는 쪽의 얘기다. 검찰 입장에서는 억울할 수 있겠지만, 논란의 단초를 제공한 것은 검찰 스스로이다. 수사 초기 내부자 공모 가능성을 배제한 검찰은 결국 수사발표에서 ‘누군지 특정할 수 없는 해커’가 어떻게 악성코드를 심었는지 눈에 그리듯 설명했다. 정작 노트북 주인이 어떻게 악성코드를 내려받게 됐는지 정황 설명은 빠졌고, 주어가 빠진 발표는 “소설 같다.”는 반응을 불렀다. 과거 디도스 공격 당시 사용된 아이피(IP)가 2년 만에 다시 농협 전산망 공격용으로 탈바꿈했다고 발표했지만, 대체 이 IP가 그동안 왜 차단되지 않았는지 예상질문에 대한 답변은 준비하지 않았다. 더욱이 검찰은 북한과의 관련을 나타내는 결정적 증거에 대해서 ‘보안’을 이유로 함구로 일관함으로써 되레 의혹을 증폭시킨 측면도 있다. 지금까지도 진실 공방의 대상이 되고 있는 황우석 논문조작 사건을 수사할 때 검찰은 몇달씩 결과발표를 미루며 조사를 이어갔다. 단행본 책 한 권 분량으로 나온 수사결과 발표문은 곳곳에서 제기한 의혹을 총망라했다. 당시 “강제력을 동원할 수 있는 수사기관의 발표이기에 한 치의 의혹도 남기지 않겠다.”던 검찰이 쫓기듯 수사발표를 한 이유를 모르겠다. 속시원하게 의혹을 해소하지 못한 검찰의 발표가 되레 국론을 분열시키고 있다는 소리에 귀를 기울여야 할 것이다. saloo@seoul.co.kr

지난달 발생한 사상 초유의 농협 금융전산망 마비 사태는 북한의 소행으로 결론이 났다. 북한 정찰총국 소속 해커들이 장기간 치밀하게 준비한 뒤 실행한 ‘사이버테러’라는 것이 검찰이 내린 결론이다. 서울중앙지검 첨단범죄수사2부(부장 김영대)는 3일 이 사건이 2009년 7·7디도스(DDoS·분산서비스거부) 및 지난 3·4디도스 공격 주체와 같은 집단의 소행으로 ‘북한이 관여한 사이버테러’라고 밝혔다. 검찰에 따르면 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북은 지난해 9월 4일쯤 악성코드에 감염돼 ‘좀비PC’(해커가 원격제어하는 PC)가 됐으며, 해커들은 7개월 가까이 이 노트북을 집중 모니터링했다. 그러다 지난달 12일 오전 8시 20분쯤 공격명령 파일이 설치됐고, 같은 날 오후 4시 50분쯤 원격제어 방식으로 삭제 명령이 실행됐다. 특히 악성코드 중에는 도청 프로그램도 포함돼 있어 해커들은 삭제 명령 실행 당일에 농협 측의 반응과 피해 규모까지 모두 도청했던 것으로 조사됐다. 또 이들은 정보 유출용 해킹 프로그램인 ‘백도어’(backdoor)와 ‘키로깅’(key logging)을 통해 최고관리자 비밀번호까지 빼냈다. 검찰은 해당 노트북 ‘맥 주소’(MAC Address·랜카드 고유 식별 번호)를 북한 측이 관리하고 있었고, 악성코드 유포 경로와 작동 방식이 과거 사건과 비슷하며, 공격에 사용된 IP주소 한 개가 3·4디도스 때와 동일하다는 점 등을 근거로 이 사건을 북한의 소행으로 보고 있다. 하지만 검찰은 중국에서 암약하는 해커들이 농협 서버를 해킹했을 수도 있다고 보고 IP 추적 등 관련 수사를 계속할 계획이다. 김승훈·강병철기자 bckang@seoul.co.kr

북한이 이른바 ‘정보전’에 눈을 돌린 것은 1990년대 초반부터다. 당시 김정일 국방위원장이 “20세기 전쟁이 알탄(탄환)전쟁이라면 21세기 전쟁은 정보전쟁”이라고 선언하면서 네트워크 전쟁 대비를 본격화했다. 해커를 뜻하는 ‘정보전사’의 중요성이 부각된 것도 이때부터다. 소학교 졸업생 중 지능지수가 높은 아이들을 중학교 컴퓨터 영재반에 편입시키고 나중에는 이들을 컴퓨터 전문학교에 진학시켰다. 조선컴퓨터센터(KCC), 지휘자동화대학(옛 미림대학)과 모란대학 등 정보전을 위한 맞춤형 대학이 줄줄이 생겨난 것은 이 때문이다. 최근 북한은 정보전을 위한 조직개편을 마무리했다. 현재 북한 전자전 부대 중 가장 핵심적인 역할을 하는 곳은 총참모부 내 정보통제센터다. 정보전에 필요한 전법을 만들고, 정보전 부대 간 조율을 담당하는 한편 북한군 전체의 디지털 정보작전 능력을 강화하는 기능을 맡고 있다. 북한 사이버전의 베이스캠프는 단둥지역으로 알려져 있다. 정보당국 관계자는 “단둥에서 조선족 교포가 운영하는 A호텔, 4성 호텔인 B호텔, C오피스텔 등은 365일 북한의 정보전이 준비되고 수행되는 기지”라고 전했다. 북한 공산대학 컴퓨터강좌장 출신인 김홍광(51) NK지식인연대 대표는 “북한의 사이버테러 능력은 세계 최고 수준”이라면서 “미국 보안전문가들도 북한 미림대학에서 한해 100명씩 양성하는 정보 전사들의 능력을 인정한 바 있다.”고 말했다. 유영규기자 whoami@seoul.co.kr

농협 전산 장애를 촉발한 원인으로 북측의 사이버 테러 도발이 지목된 가운데 주대준 한국과학기술원(카이스트) 부총장은 3일 “청와대를 중심으로 국가 전체를 컨트롤하는 사이버 보안시스템 구축이 시급하다.”고 지적했다. 주 부총장은 “농협 전산망을 공격한 주체가 누구인지에 관계없이 우리가 사이버 테러를 당했다는 것은 명백한 사실”이라면서 “수력·전력·교통 등 국가 기반 시설망이 사이버 테러에 노출될 경우 상상할 수 없는 피해가 올 것”이라고 경고했다. 주 부총장은 6공화국 시절부터 현 정부까지 20여년간 청와대 경호실에서 사이버 보안 체제를 구축했다. 지난 2008년 대통령실 경호처 경호차장으로 정년 퇴직한 뒤 카이스트 사이버보안연구소장으로 사이버 해킹 탐지 원천 기술 개발과 후학 양성에 전념하고 있다. →2009년 7·7디도스 공격 뒤 사이버 테러가 고도화되고 있다. -삼풍백화점이나 성수대교 붕괴는 세월이 지나도 생생하다. 눈에 보이기 때문이다. 디도스 공격과 같은 사이버 테러는 실감하기 어렵다. 사이버 테러가 동시다발적으로 국가 기간산업망까지 무력화시킬 수 있는 파괴력을 갖고 있음에도 경각심이 일어나지 않는 이유다. 해킹을 당하고도 모르는 경우도 많다. 전문가들이 ‘폴스 네거티브 에러’(False Negative Error)라고 하는 상황이다. 최근 해커들은 특정 사이트를 관찰하다가 특정 시간대에 악성코드를 유포한다. 그 순간 사이트에 접속한 모든 개인용컴퓨터(PC)는 좀비PC가 된다. 사이트에 접속만 해도 좀비PC가 양산되는 것이다. →국내 PC가 유독 악성코드 공격에 취약한 이유가 있는가. -역설적으로 우리나라만큼 정보기술(IT) 분야가 활성화된 곳이 없기 때문이다. 고속 인터넷망이 전국에 퍼져 있으니 해커의 먹잇감이 되는 것이다. 이탈리아에 가면 관광객이 몰리니 지갑을 훔치기 쉬운 것처럼, 사이버환경이 발달되어 있으니 해커가 노릴 수밖에 없다. 최근 민간 부문의 2000여개 사이트를 조사한 결과 10% 이상의 홈페이지에 악성코드가 숨겨져 있었다. 내로라하는 대기업 홈페이지도 포함됐다. 해커의 공격이 갈수록 거세지는 것도 사실이다. 20여년 전 청와대 재직 시절에 이미 보안을 위해 내부망과 외부망을 분리했다. PC 한 대를 인터넷과 인트라넷으로 분리하는 것인데, 이 방법은 이제 큰 의미가 없다. 인터넷을 사용할 때 침투한 악성코드가 인트라넷으로 침투되기 때문이다. 물리적으로 PC를 분리해서 사용할 수 있는데, 최근 유럽에서는 인트라넷만 연결되는 PC에 유지보수업체가 꽂은 USB에서 악성코드가 묻어 들어간 사례가 발견됐다. →대책은 없는가. -지난해 주요 20개국(G20) 정상회의 당시 모니터링 시스템이 좋은 예가 될 수 있다. 당시 카이스트 사이버보안연구센터와 서울경찰청이 공조해 악성코드를 실시간으로 분석하고 바로 삭제하는 모니터링 시스템을 가동해 효과를 봤다. 악성코드가 발견되면 백신을 투입해 치료하는 현재 방식으로는 나날이 발전하는 해커의 공격을 당해내기 어렵다. 안철수연구소의 V3 백신이 국내를 벗어나면 힘을 못 쓰는 현실을 인정하고, 연구개발과 투자에 만전을 기해야 한다. →개인과 기관의 방어만으로는 한계가 있어 보인다. -대부분의 조직이 자신의 시스템을 잘 만들면 보안 문제가 해결된다고 생각한다. 하지만 금융시스템만 해도 인증 시스템이 따로 있고, 고객 서비스가 따로 있다. 모두 연결되어 있으니 정문만 막아서 될 문제가 아니다. 쪽문·옆문·뒷문 모두 지켜야 한다. 하청업체나 아웃소싱 업체와 인력 관리에 만전을 기해야 한다. 장기적인 대책 마련을 위해서는 국가 사이버보안수준 자체를 높여야 한다. 그러려면 컨트롤타워 구축이 시급하다. 백악관에는 오바마 정부 들어서 국가사이버안보조정관이 신설됐다. 청와대에는 이를 담당할 인력이 없는데, 담당 비서관 등을 만들어야 한다. 정부 조직 내에도 산업기밀과 금융기밀을 총괄할 수 있는 기관 신설이 시급하다. 사이버 테러에 따른 사회적 비용을 생각해 보라. 관공서나 금융업체가 공격당했을 때도 위험하지만 수력·원자력·전력·교통시스템 등 국가 기간망이 공격을 받을 경우 추산할 수 없을 정도의 혼란과 재난이 닥칠 수 있다. 홍희경기자 saloo@seoul.co.kr

소니의 플레이스테이션 네트워크(PSN)에서 7700만건의 개인정보가 유출된 지 1주일도 지나지 않아 이번에는 소니의 미국 게임 자회사 시스템이 해킹을 당해 약 2460만건의 고객정보가 유출된 것으로 나타났다. 전 세계 1억명의 정보가 유출될 가능성이 제기되고 있는 실정이다. PC용 온라인게임을 제공하는 소니의 미국 게임 자회사인 소니 온라인 엔터테인먼트(SOE)는 “지난달 16~17일 해커의 불법 침입을 받아 약 2460만건의 고객 정보가 유출됐을 가능성이 있다.”고 발표했다고 니혼게이자이신문이 3일 보도했다. 더욱이 이번에 유출된 고객 정보에는 약 1만 2700개의 신용카드와 직불카드 번호가 포함된 것으로 알려져 심각성을 더했다. 소니는 지난 1일 오후(현지시간)에 시스템 오류를 발견했으나 하루 지난 2일에야 사고 사실을 밝혔다. 유출 우려가 있는 신용카드 정보 중 약 4300건이 일본 카드 정보로 알려졌다. 신용카드 정보는 지난 2007년에 저장해 놓은 데이터베이스에서 유출됐을 가능성이 있다고 소니 측은 설명했다. SOE는 온라인 게임 서비스와 페이스북용 게임을 일시적으로 중단하기로 했다. SOE 관계자는 “이번에 발견된 시스템 이상이 ‘해커의 또 다른 공격’ 때문이 아니라 지난달에 벌어진 공격과 관련된 것”이라고 설명했다. 니혼게이자이신문은 소니가 지난달 7700만건의 개인정보 유출 사고를 조사하느라 미국 자회사에서 발생한 해킹 공격을 막지 못했을 가능성이 높은 것으로 보고 있다고 전했다. 소니는 지난달 26일 게임과 영화, 음악 등을 인터넷으로 전송하는 PSN과 ‘큐리오시티’가 해커로부터 공격을 받아 총 7700만건의 개인 정보가 유출됐을 가능성이 있다고 발표했다. 회원들의 이름과 주소, 생년월일, 암호 등이 노출됐을 가능성이 높은 것으로 알려졌다. 도쿄 이종락특파원 jrlee@seoul.co.kr

3·4디도스, 현대캐피탈 정보유출, 농협 전산망 해킹 등 줄지어 일어나는 보안사고로 사이버 대한민국의 체면이 말이 아니다. 초고속망과 스마트폰으로 정보화가 가속화되고, 소셜네트워킹으로 개인정보의 노출이 심각해지고 있는 터에, 믿었던 금융권마저도 어이없게 구멍을 드러내 더는 방치할 수 없는 수준에 이르고 있다. 정부는 금융권 특별감사를 실시하고 보안을 강화하겠다고 공언하지만, 한번 잃은 신뢰를 회복하기는 쉬울 것 같지 않다. 오히려 공격의 진원지와 배경도 정확히 분석하지 못하고 있어 불안만 증폭되고 있다. 범죄 조직이 연루된 해킹이 우려되고, 언제 어떤 사건이 터질지 조마조마하다. “범죄 조직이 해커와 손잡고 사건을 일으키기 시작했다.”라는, 상하이에서 만난 중국 해커의 이야기가 생각난다. 그러나 정보보호가 족쇄가 되어 정보화의 발목을 죌 수는 없다. 이제라도 상황을 정확히 분석하고 해결책을 찾아야 한다. 이를 위해 연이어 발생하는 해킹 사건들을 거울삼아 우리나라의 정보보호 환경을 점검해 보는 일이 급선무일 것이다. 우선 기업의 정보보호 환경이 열악하다. 많은 기업은 고객의 정보를 다룰 자격조차 갖추고 있지 않다. 정보보호에 관심조차 없는 기업이 많고, 대부분은 ‘설마병’에 걸려 있어 이웃은 당해도 ‘나’는 당하지 않을 것이라는 막연한 기대 심리를 갖고 있다. 현대캐피탈은 정보보호 인프라를 갖추고도 보안 관리의 부실로 호되게 당했다. 설마병의 결과다. 설마병이 치유된다 해도, 대부분 기업에서 보안 조직의 위상이 지나치게 낮아 문제가 된다. 주기적으로 비밀번호를 바꾸려면 ‘지시’보다는 ‘부탁’을 해야 할 지경이기 때문이다. 한 사람의 실수와 취약점이 전체를 흔드는 보안의 특성상 이는 적절치 않다. 정보보호 업무는 최고경영자(CEO)의 직속 부서에서 담당하거나 감사실에서 추진할 때 실효성이 있다는 주장이 설득력이 있어 보인다. 정부도 해킹 사건이 나면 특별 보안 점검을 하는 등 법석을 떠는 뒷북치기보다는 예방정책을 시행해야 한다. 국민의 재산권을 보호하고 사회 질서를 유지하는 차원에서 정보보호가 다뤄져야 한다. 특히, 해킹 탓에 경제생활과 직결된 금융권의 신뢰와 질서가 무너진다면 이는 단순히 금융권만의 문제가 아니라는 사실을 간과하지 말아야 한다. 그럼에도, 최근 몇 년 동안에 정부는 정보보호 인력을 양성하는 대학 연구센터의 수를 줄이고 한국전자통신연구원의 정보보호 기술본부를 해체했다. 우리의 정보보호 기술이 이미 수준급이어서 민간 기업의 개발력만으로도 충분하다는 것인지, 아니면 정보보호 기술을 포기하겠다는 것인지 진의를 판단할 수 없다. 문제는 정부가 정보보호 인력 양성과 연구 개발에서 후퇴하고 있다는 점이다. 정보보호의 가장 큰 문제는 소비자 자신이다. 정보 유출의 최종 피해자가 자신임에도 이를 심각하게 여기지 않는 소비자 정서가 문제가 된다. 지금까지 대규모 개인정보의 유출이나, 상당한 해킹 피해가 다수 있었음에도 해당 기업은 꿋꿋하게 존재한다. 기업은 해킹으로 입은 손실과 정보보호를 위한 투자 규모를 견주고 있다는 사실을 소비자는 기억해야 한다. 해킹이라는 시한폭탄을 안은 기관은 비단 금융권만은 아니다. 의료·국방·에너지 분야 등 거의 모든 분야에서 해킹은 심각한 결과를 초래할 수 있다. 의료정보의 대량 유출에 의한 사회 혼란, 스턱스넷에 의한 국가 기간 시설의 파괴, 해커에 의한 국가 기밀의 유출 등은 걷잡을 수 없는 피해를 일으킬 수 있다. 정보보호가 결여된 정보화는 지뢰밭을 걸어가는 것과 다름없다. 이제라도 각 기업의 정보보호 환경을 재정비하고 해킹과 맞서는 것이 절실한 과제다. 성장을 위해 마케팅에 투자한다면, 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다. 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다.

소니의 플레이스테이션 네트워크(PSN) 가입자 7700만명의 정보가 해킹으로 대량 유출되면서 2006년 PSN 서비스가 시작된 이래 최악의 피해를 낳고 있다. 업계 전문가들은 27일(현지시간) 지난 수년간 발생한 해킹 가운데 최악의 사건 가운데 하나인 이번 해킹으로 소니가 수십억 달러에 이르는 손실을 볼 수 있다고 지적했다. 소니의 PSN과 큐리오시티가 해커의 침입을 받은 것은 지난 17~19일로, 소니는 해킹 직후 두 서비스 모두 폐쇄했다. 해킹으로 장기간 접속장애가 발생한 것도 전례 없는 일이다. 이번에 해킹당한 사용자는 세계 59개국에 분포해 있으며, 미주 지역 3600만명, 유럽 3200만명 등이며 나머지 900만명은 아시아에 있는 것으로 나타났다. 데이터 보안업체 등은 지난해 해킹 사건에서 데이터 건당 피해액이 318달러였던 점을 감안하면 소니의 피해액이 240억 달러(약 26조원)를 웃돌 수 있다고 보고 있다. 소니컴퓨터엔터테인먼트코리아에 따르면 소니의 PSN으로 게임을 즐기는 국내 이용자는 하루 평균 5만~8만명에 이른다. 특히 한국 방송통신위원회는 플레이스테이션 네트워크와 큐리오시티의 국내 이용자 가운데 대다수가 청소년으로, 게임 구매에 사용한 신용카드 정보 등 금융정보가 유출됐을 가능성을 우려하고 있다. 방통위 관계자는 “소니사에 대해 개인정보 유출 경위 및 유출된 정보, 암호화 저장 여부 등 관리 실태를 확인할 계획”이라고 밝혔다. 해커들이 실제로 신용카드 정보를 빼내 갔다면, 이번 사건은 사상 최대 금융정보 절도 사건으로 기록될 전망이다. 소니를 공격한 해커의 정체는 정확히 밝혀지지 않았다. 지난 4월 소니에 선전포고를 한 해커집단 ‘어노니머스’(Anonymous)가 용의자로 유력하게 거론됐지만 이들은 사이트를 통해 “이번 사고와 어노니머스는 무관하다.”고 일축했다. PSN은 비디오 게임기인 플레이스테이션 사용자가 영화나 음악, 게임을 내려받거나 운영체제(OS)를 업데이트할 수 있게 해 주는 전산망이다. 큐리오시티는 영화·음악 콘텐츠를 웹으로 연결해 소니 TV인 브라비아TV나 블루레이 재생기를 통해 이용할 수 있는 서비스를 말한다. 소니는 최근 PSN 고객 정보를 큐리오시티와 통합했다. 박찬구·안동환기자 ckpark@seoul.co.kr

농협 전산망 마비 사태를 수사 중인 검찰은 해커들이 사용한 것으로 의심되는 중국발 아이피(IP) 주소 3~4개를 압축해 역추적 중인 것으로 파악됐다. 이 IP 주소들은 중국에서 가상사설망(VPN) 서비스를 통해 농협 서버에 접속한 것으로 드러났다. 26일 검찰 등에 따르면 서울중앙지검 첨단범죄수사2부(부장 김영대)는 농협 서버 삭제 명령이 내려진 한국IBM 직원 한모 과장의 노트북에 접속 흔적이 남은 IP 주소 수백개를 역추적하는 과정에서 이 같은 사실을 확인했다. 윤갑근 중앙지검 3차장검사는 “IP 주소 분석 작업을 벌이는 중”이라면서 “2~3주 뒤면 결론이 날 것”이라고 말했다. 특히 검찰은 이들 IP가 중국에서 VPN 서비스를 통해 국내에 접속했다는 점에 주목하고 있다. VPN은 중국 등 접속이 차단된 해외지역 사용자가 국내 사이트에 접속하기 위해 국내 사업자에게서 IP주소를 빌려쓰는 네트워크 방식으로 유학생 등 일반인들도 폭넓게 사용하고 있다. 검찰 관계자는 “VPN은 중국 거주자들이 가장 많이 사용하는 서비스”라고 설명했다. VPN은 일부 보안이 취약해 개인정보 유출이나 분산서비스(DDoS) 공격 같은 사이버테러에 노출될 위험이 크다는 지적이 있어 왔다. 한편 이번 사건에 북한이 연관됐다는 지적과 관련, 윤 차장검사는 “여러 가능성 중 하나일 뿐 확인된 사실은 없다.”고 말했다. 강병철기자 bckang@seoul.co.kr

지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

현대캐피탈 고객정보 해킹 사건을 수사 중인 서울지방경찰청 사이버범죄수사대가 “대부업체와의 연관성을 수사하고 있다.”고 25일 밝혔다. 경찰은 그동안 ‘대부업체 연루’와 관련된 서울신문 보도<4월 12일자 1, 8면>를 부인하다 14일 만에 이를 공식 인정했다. 경찰은 또 필리핀에 체류 중인 것으로 알려진 해커 신모(37·미검)씨와 주범 정모(36·미검)씨에 대해 현지 경찰에 사법공조와 범죄인 인도를, 중국으로 출국한 국내 인출책 조모(47·미검)씨에 대해서는 인터폴에 공조수사를 요청하기로 했다. 서울청이 대부업체 수사에 나선 이유는 크게 두 가지. 우선 정씨의 전과 기록 등에 나타난 범행 수법과 과거 전력 때문이다. 정씨는 전문 해커 신씨를 끌어들여 이번 사건을 계획한 것으로 알려진 실질적인 주범이다. 조사결과 정씨는 현대캐피탈 사건처럼 과거에도 개인정보를 빼돌려 대부업체에 팔아넘긴 유사 전과가 있는 것으로 확인됐다. 경찰에 따르면 정씨는 2005년 미등록 대부업체를 운영하면서 인터넷 팝업창을 통해 고객정보 1만 3000여건을 입수, 이를 대부 중개업체에 팔아넘겨 6억원을 챙긴 전력이 있다. 경찰은 “정씨는 이 때문에 2006년 4월에 신용정보법 위반으로 처벌까지 받았다.”면서 “정씨와 신씨가 관련된 계좌의 입출금 내역을 확인하는 등 대부업체와의 연계 파악에 수사력을 모으고 있다.”고 덧붙였다. 공범의 진술도 이를 뒷받침한다. 검거된 국내 총책 허모(40)씨도 정씨와 대부업체가 연루됐을 개연성에 관해 진술한 것으로 알려졌다. 경찰 관계자는 “정씨 등이 대부업체의 의뢰를 받고 현대캐피탈을 해킹, 개인정보를 빼내 ‘협박용’과 ‘DB 장사용’으로 이용한 것이라고 추정하고 있다.”면서 “신씨나 정씨가 잡히면 구체적인 전모가 드러날 것으로 보고 검거에 총력을 기울이고 있다.”고 말했다. 이와 함께 경찰은 정씨가 검거된 허씨를 필리핀 클라크 등지에서 만나 범행을 모의한 정황을 포착, 구체적인 경위를 캐는 데 수사력을 집중하고 있다. 경찰 조사 결과 허씨와 조씨는 지난해 말부터 지난달까지 세 차례에 걸쳐 필리핀에서 정씨를 만나 역할을 분담하는 등 범행을 모의한 것으로 드러났다. 경찰은 “신씨가 현대캐피탈을 협박해 돈을 뜯어내고, 정씨는 신씨와 국내 인출책을 연결하는 역할을 맡았으며, 허씨는 국내 인출책으로 조씨 등 3명을 지휘했다.”면서 “이후 허씨는 해킹 발생 후 현대캐피탈이 범인 계좌로 입금한 1억원 가운데 3500여만원을 국내에서 인출, 이 가운데 1700만원을 정씨 여동생 계좌를 통해 필리핀에 있는 정씨에게 전달한 것으로 조사됐다.”고 설명했다. 백민경·김양진기자 white@seoul.co.kr

미국 뉴욕주 버펄로에 거주하는 한 시민의 집에 총으로 무장한 연방요원들이 들이닥쳤다. 연방요원들이 “이 소아성애자야!”라고 소리를 지르는 바람에 잠에서 깬 집주인은 영문도 모른 채 체포됐다. 그들은 집주인이 전날 밤 인터넷으로 아동음란물 사진 수천장을 내려받았다고 몰아붙였다. 집주인은 결백을 주장했지만 되돌아온 건 욕설과 수갑뿐이었다. 연방요원들이 번지수를 잘못 찾았다는 사실은 사흘 뒤에야 드러났다. 이웃집 청년이 아동음란물 배급 혐의로 쇠고랑을 찼다. AP통신은 와이파이 무선인터넷 라우터(네트워크 중계기)가 버펄로 집주인이 겪은 황당한 사례의 발단이었다면서 유사한 사례가 최근 빈발하고 있다고 24일(현지시간) 보도했다. 꼭 범죄에 이용되는 게 아니더라도 다른 사람의 무선인터넷 계정을 도용해 음악·영화 파일을 불법 다운로드받는 바람에 고소장이 날아온 사례도 있었다. 관련 업계에 따르면 현재 전 세계에서 2억 가구 이상이 와이파이 무선인터넷을 사용한다. 하지만 비밀번호 등을 제대로 관리하지 않으면 치명적인 피해를 입을 수 있다. 미국 성인 1054명을 대상으로 한 최근 연구에 따르면 와이파이를 설치한 사람들은 대체로 인터넷망을 개방해 이웃들도 인터넷 접속을 자유롭게 할 수 있도록 한다. 32%는 자기 소유가 아닌 와이파이에 접속하려고 시도해 본 적이 있다. 전문가들은 정통한 해커라면 목표한 사람의 인터넷에 침투해 접속내역을 살피거나 비밀번호를 훔치는 등 민감한 정보를 빼내는 건 식은 죽 먹기라고 경고한다. 미 정부 산하 컴퓨터비상준비팀 관계자는 가정에서 와이파이를 사용할 경우 반드시 타인이 식별할 수 없도록 환경설정을 하고, 아이디와 비밀번호를 복잡하게 변경하며, 보안패치를 설치하도록 권고했다. 독일 형사법원은 지난해 인터넷 사용자들이 타인이 불법적으로 이용하지 못하도록 환경설정을 해야 할 의무가 있으며 이를 위반하면 최대 126달러의 벌금형을 받을 수 있다고 판결하기도 했다. 강국진기자 betulo@seoul.co.kr

애플이 단말기에 축적하고 있다는 사용자 위치정보가 가장 심각한 논란을 일으키는 대목은 이 모든 민감한 정보가 사용자들이 모르는 상태에서 암호화되지 않은 채 저장돼 있다는 점이다. 문제의 위치정보는 데이터베이스 파일 형태로 돼 있으며, 1초 단위로 저장돼 있다. 아이폰 운영체계인 iOS4를 내놓을 때부터 위치정보를 단말기에 축적하기 시작했기 때문에 10개월 동안 어느 곳을 언제 얼마나 방문했는지 모조리 확인 가능하다는 것을 뜻한다. 구매자 입장에서는 아이폰4를 구입하는 순간부터 지금까지의 움직임이 1초 단위로 고스란히 자신의 아이폰4에 저장돼 있고, 분실할 경우 타인에게 언제 어디를 갔었는지 고스란히 노출될 수 있다는 말이 된다. 아이폰 사용자들이 개인용컴퓨터(PC)와 동기화를 통해 애플 전용 온라인장터인 아이튠즈 등을 이용한다는 점을 감안하면 사용자들의 컴퓨터에도 위치정보가 고스란히 담겨 있을 가능성이 농후하다. 아이폰이 단말기 위치정보를 수집해 본사에 전송한다는 것 자체는 아이폰 사용설명서에도 나오는 것으로 전혀 새로울 것이 없다. 하지만 위치정보가 단말기나 동기화된 PC에 암호화되지도 않은 채 저장돼 있다면 얘기가 달라진다. 해커가 PC를 해킹함으로써 결과적으로 아이폰에 저장된 위치정보를 악용할 가능성이 있으며 자칫 걷잡을 수 없는 사생활 침해로 이어질 수 있다. 단말기를 분실하거나 도둑맞았을 경우에도 동일한 문제가 발생할 수 있다. 애플이 말 그대로 ‘의도적’으로 위치정보를 수집했는지는 첨예한 관심사지만 아직 애플이 별다른 답변을 내놓지 않으면서 논란은 계속되고 있다. 크리스천 사이언스 모니터(CSM)는 위치정보 축적 문제를 처음 제기했던 컴퓨터 전문가 앨러스데어 앨런과 피트 워든은 “우리는 왜 애플이 그 데이터를 수집했는지 모르지만 그것은 확실히 의도적이었다.”고 밝혔다고 지난 22일 보도했다. 보도에 따르면 업체들이 사용자 위치정보에 눈독을 들이는 것은 행태기반 맞춤형 서비스 등 상업적 활용 가능성 때문이다. 특정 거리를 자주 지나가는 사용자에게 그 거리에 있는 레스토랑 광고를 보내는 방식처럼, 위치정보는 그 자체로 ‘돈’이 된다는 것이다. 강국진기자 betulo@seoul.co.kr

‘문화대통령’ 서태지와 배우 이지아의 14년에 걸친 만남과 이별, 법정 송사가 인터넷 세상을 점령한 한 주였다. 서태지와 이지아가 50억원대의 위자료 및 재산 분할 소송을 진행 중이라는 사실이 21일 알려졌다. 이날 밤 이지아는 소속사를 통해 공식 보도자료를 내고 대부분의 사실을 인정했다. 불과 오전까지만 해도 정우성과의 데이트 장면이 화제였지만 반나절 만에 대반전이 일어난 셈. 오리무중에 빠진 농협 사이버테러 사태가 2위에 올랐다. 검찰이 지난 19일 농협 서버에 삭제 명령을 내린 노트북 컴퓨터를 분석한 결과, 적어도 한달 전 이 명령이 예약 실행되도록 프로그램된 사실을 확인했다. 검찰은 농협 내부 시스템과 운영구조를 잘 아는 내부 직원 소행이거나 내부자가 외부 해커와 공모했을 개연성을 조사하고 있다. 소녀시대의 ‘가창력’을 담당하고 있는 태연이 지난 17일 공연에서 한 남성 관객에게 납치될 뻔한 사연은 3위에 올랐다. 평범한 대학생으로 밝혀진 이 남성은 잘못을 반성해 별다른 처벌을 받지 않고 귀가했다. 4위는 축구대표팀 공격수 박주영의 결혼 소식이 차지했다. 프랑스 프로축구 AS 모나코에서 활약 중인 박주영은 오는 6월 프랑스리그를 마친 뒤 한살 연상의 정유정씨와 결혼식을 올릴 계획이다. 이들은 2005년부터 캠퍼스 커플로 만나 6년째 공개 연애를 했다. 5위는 고학력 백수 300만명. 통계청에 따르면 1분기 비경제활동 인구 가운데 전문대와 4년제 대학교 이상을 졸업한 ‘고학력 백수’가 300만명에 이르는 것으로 조사됐다. 6위는 BBK 수사팀 패소였다. 이명박 대통령의 BBK 의혹을 담당한 수사팀이 김경준씨를 회유한 의혹이 있다고 보도한 언론사를 상대로 검찰이 낸 손해배상 청구 소송에서 원심을 깨고 원고 패소 판결이 났다. 가수 윤복희가 MBC ‘무릎팍도사’에서 가수 남진과의 결혼은 첫 남편 유주용에게 보여주기 위한 것이라고 고백한 것이 7위에 올랐다. 8위는 지난 23일 분당선 죽전역 부근에서 일어난 전동차 탈선사고 소식이었다. 만 16세 미만의 청소년들이 밤 12시부터 오전 6시까지 온라인 게임에 접속하지 못하도록 하는 셧다운제가 국회 법제사법위원회 법안심사소위를 통과했다는 소식이 9위, SBS ‘생활의 발견’ 방송 사고가 10위에 올랐다. 임일영기자 argus@seoul.co.kr