‘kt 고객정보 유출’ 6일 KT의 홈페이지가 해킹 돼 1200만 명의 개인정보가 유출된 사실이 경찰조사 결과 드러났다. KT 홈페이지 해킹 사건이 알려지자 KT를 향한 비난의 목소리가 높아지고 있다. 홈페이지 해킹 사실이 경찰수사가 모두 끝나고 난 뒤에 알려져 KT가 사실을 은폐하려 한 것 아니냐는 의견이 나오고 있는 것. 이에 KT는 사과문을 통해 “6일 경찰에서 발표한 고객정보 유출 사고와 관련 고객 피해 최소화를 위해 노력하겠다”며 “KT는 정보 유출경위에 대해 경찰조사에 적극 협조하여 사실관계를 확인할 계획”이라고 밝혔다. 하지만 경찰수사 결과 이용대금 명세서의 고유번호 9자리로도 고객 정보를 확인 할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러나 KT를 향한 국민들의 공분이 쉽게 가라앉을 것으로 보이지는 않는다. 경찰은 KT 보안담당자의 고객정보 관리 소홀 여부에 관해 추가 수사를 진행할 계획이다. 전문해커들은 KT뿐만 아니라 타이통사와 금융권 등의 홈페이지도 해킹을 시도한 것으로 보이며 현재까지 KT외의 다른 곳에서의 개인정보 유출은 없는 것으로 확인됐다. 경찰의 발표에 따르면 인천경잘청 광역수사대가 김모(29)씨와 정모(38)씨를 정보통신망이용촉진 및 정보 보호 등에 관한 법률위반 혐의로 구속했다. 이들은 전문해커로 텔러마케팅 업체 대표 박 모(37)시와 공모해 ‘파로스 프로그램’이라는 신종 해킹 프로그램을 개발해 지난 1년 동안 KT의 홈페이지서 가입자의 개인정보를 수시로 빼내 단말기 판매 등의 영업에 활용했다. kt 고객정보 유출 소식을 들은 네티즌은 “kt 고객정보 유출..이제 옮겨야할 때가 온 듯”, “kt 고객정보 유출..도대체 내 정보는 누가 보호해 주는 거냐” “kt 고객정보 유출, 이젠 지친다” “1200만 명 정보 유출, 다른 보안장치가 필요하다” “1200만 명 정보 유출, KT 제대로 해결하라” “kt 고객정보 유출..왜 또 이런 일이”등의 반응을 보였다. 사진 = 홈페이지, 방송 캡처 (kt 고객정보 유출) 온라인뉴스부 seoulen@seoul.co.kr

황창규 KT 회장 “정보유출 공식사과” 유출확인 어디서? 불만 폭발 황창규 KT 회장이 홈페이지 가입 고객 1200만명의 개인정보가 유출된 데 대해 공식 사과했다. 황 회장은 7일 서울 광화문 KT 사옥에서 연 ‘KT 고객정보 유출 관련 브리핑’에 참석해 “이번 해킹으로 인해 개인정보가 대규모로 유출된 사건에 대해 KT 전 임직원을 대표해 머리숙여 사죄드린다”고 말하고 고개를 숙여 인사했다. 황 회장은 “특히 지난 2012년 대규모 고객정보 유출 사건이 일어난 이후 보안 시스템 강화를 약속했음에도 또다시 유사한 사건이 발생한 점에 대해서는 변명의 여지가 없다”며 “고객정보가 두 차례에 걸쳐 유출됐다는 것은 IT전문기업인 KT로서는 너무나도 수치스러운 일”이라고 자평했다. 이어 고객 정보의 추가적인 유통이나 악용을 막기 위해 관련 부처와 협력하고 있으며 유출된 개인정보 내용도 파악되는 대로 고객들에게 공지하겠다고 밝혔다. 그는 “제가 새롭게 경영을 맡은 이상 과거의 잘못은 모두 새롭게 매듭지어 회사가 ‘1등 KT’가 될 수 있도록 바로잡고 관련 내용도 조속히 규명해 엄중히 조치하겠다”며 “이러한 일이 재발되지 않도록 하겠다”고 다짐했다. 당초 이날 브리핑에는 KT 최고기술책임자(IT부문장)인 김기철 부사장이 참석하기로 돼 있었으나 황 회장이 직접 참석해 사과했다. 이는 황 회장이 이번 사건의 중대성을 충분히 인식하고 있으며, 2012년에 이어 2년여만에 대규모 고객 정보 유출사건이 발생한데 따른 보안관리 문제 등 KT의 근본적인 문제들을 앞으로 대대적으로 개혁해 나가겠다는 의지 표시로 풀이된다. 김 부사장은 “회장님의 새로운 경영방침은 ‘1등 KT’로 고객에게 새로운 품질과 서비스를 제공해야 한다는 것인데 생명과 같은 중요 자산인 고객정보가 유출된 것은 잘못됐다고 판단했기 때문에 직접 사과하기로 결정했다”고 설명했다. 이어 “KT가 새로운 경영 체제가 출발하면서 악재가 터지고 있다”면서 “새 회장님은 이런 부분에 대해 앞서서 사죄할 것은 사죄하는 자세로 경영하는 것으로 이해하고 있다”고 말했다. 그러나 KT 측은 이날 브리핑에서 아직 수사기관으로부터 관련 정보를 넘겨받지 못했다며 유출 경로나 구체적으로 어떤 고객정보가 얼마나 유출됐는지 등에 대한 질문에는 답을 하지 못했다. 한편 KT 측은 고객들이 정보 유출을 확인할 수 있도록 사이트를 개설했지만, 7일 오후에도 해당 사이트는 접속이 되지 않자 고객들의 불만이 거세지고 있다. 현재 KT 고객정보유출 확인사이트는 ‘요청하신 페이지를 찾을 수 없습니다’ 라는 문구만 나오고 있는 상태다. 온라인뉴스부 iseoul@seoul.co.kr

KT 고객정보유출 확인사이트가 접속 장애로 이용자들의 불만을 사고 있다. 인천경찰청 광역수사대는 지난 6일 KT 홈페이지를 해킹해 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 전문해커 김모(29)씨와 정모(28)씨 등 2명을 구속했다고 밝혔다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발해 KT 홈페이지에 로그인한 뒤 1200만명의 개인정보를 빼내 휴대전화 개통 및 판매 영업에 활용한 혐의를 받고 있다. 이에 따라 7일 KT 홈페이지 가입자들은 개인정보 유출 여부를 확인하고자 KT 고객유출확인 사이트에 접속을 시도했지만 해당 사이트는 접속이 되지 않고 있어 답답함을 가중시켰다. 현재 KT 고객정보유출 확인사이트는 ‘요청하신 페이지를 찾을 수 없습니다’라는 문구만 나올 뿐이다. 1200만명 정보 유출 소식에 네티즌들은 “1200만명 정보 유출, 이젠 포기했다”, “1200만명 정보 유출, 어차피 개인정보 다 털린 지 오래야”, “1200만명 정보 유출, 대체 언제까지 같은 일들이 반복돼야 하지?” 등의 반응을 보였다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지의 고객 정보를 해킹한 해커는 인터넷에서 쉽게 구할 수 있는 해킹 도구로 1년 넘게 매일같이 제집 드나들듯 홈페이지에 접속해 1200만명의 고객 정보를 모조리 빼 갔다. 그러나 KT는 해커가 종횡무진 활보하고 있었는데도 경찰이 수사 결과를 발표할 때까지 유출 사실조차 모르고 있었다. 2012년 7월 전산망 해킹으로 873만명의 개인 정보 유출 사고가 일어난 지 7개월 만에 다시 뚫렸고, 이 같은 사실을 1년 동안 까맣게 몰랐다는 점에서 KT의 엉성한 보안의식에 대한 비난이 쏟아지고 있다. 2년 전 표현명 KT 개인고객부문 사장은 “세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다”고 약속했지만 결국 공염불이었다. 미래창조과학부가 ‘엄벌 의지’를 밝힌 것도 이런 도덕적 해이를 문제 삼은 것이다. 전문가들조차 이번 KT의 정보 유출 사고는 아무리 잘 봐주려고 해도 도저히 이해할 수 없는 사고라는 데 방점을 찍었다. 보안의식이 ‘빵점’이 아니고서는 도저히 있을 수 없는 사고라는 것이다. 먼저 KT 홈페이지 해킹에 사용된것으로 알려진 ‘파로스’는 PC와 서버 사이에 오가는 정보를 가로챌 수 있는 툴로 인터넷에서 누구나 공짜로 내려받을 수 있다. 해커는 이를 이용해 9자리 이용 대금 고객 정보 조회란에 000000000부터 999999999까지 9개의 숫자를 자동 입력하고 이와 일치하는 정보를 빼돌렸다. 업계의 한 전문가는 “잘못된 숫자가 수차례 입력되면 잠금 기능이 작동되는 기본적인 기능만 두었더라도 이번 사태를 막을 수 있었을 것”이라면서 “하루 20만~30만건의 정보가 유출됐다면 1년 동안 엄청난 트래픽 흐름이 있었을 텐데 이를 인지하지 못했다는 건 KT가 눈 감고 있었다는 것”이라고 지적했다. 또 다른 전문가는 “KT는 이용 대금 명세서에 적힌 9자리 고유번호만 입력해도 주민등록번호, 전화번호 등 민감한 개인 정보를 모두 확인할 수 있게 한 것으로 보인다”면서 “고객 정보를 너무 허술하게 관리한 것 같다”고 진단했다. 현재 KT 홈페이지의 보안은 자회사인 KT DS가 담당하고 있다. 미래부와 방송통신위원회도 발칵 뒤집혔다. 국민은행과 농협 등 금융기관 개인 정보 유출 사고가 발생한 게 엊그제인데 다른 곳도 아니고 이통사에서 이런 일이 발생했다는 데 경악을 금치 못하고 있다. 사고가 알려진 직후 보안업체 전문가 등 민관 합동 조사관 8명을 급파한 것도 이런 맥락이다. 전문성이 뛰어난 민간 조사관을 통해 철저히 이번 사고를 들여다보겠다는 취지다. 미래부 고위 관계자는 “유출 사실과 KT가 이를 알고도 묵과한 부분이 있는지 확인하고 사실로 드러날 경우 형사처벌도 마다하지 않겠다”고 강조했다. 방통위는 지난 유출 사고에도 KT가 정보통신망 이용 촉진 및 정보보호 등에 관한 법률상 개인정보보호의무 중 일부를 위반한 것으로 판단해 과징금 7억 5300만원을 부과한 바 있다. 김양진 기자 ky0295@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr

KT 홈페이지 해킹 “1200만명 탈탈 털렸다” 해킹범 수법은? KT 홈페이지가 해킹당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 KT 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이들은 이렇게 빼낸 고객정보를 휴대전화 개통·판매 영업에 활용했다. 이들은 KT 직원을 사칭한 뒤 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다고 현혹시켜 휴대전화를 판매했다. 또 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점 3곳에 팔아넘겼다. 경찰은 이들이 판매한 휴대전화 규모를 아직 파악하지 못했지만 휴대전화 1대 개통 때 기종에 따라 20만∼40만의 수익을 챙긴 것으로 보고 있다. 경찰은 이들이 차린 텔레마케팅 업체의 세무서 소득신고 내역으로 미뤄볼 때 1년간 115억원의 부당이득을 챙긴 것으로 추정하고 있다. 경찰은 이들이 KT 외 다른 주요 통신사와 증권사 등의 홈페이지에서도 해킹을 시도한 것으로 보이지만 현재로서는 다른 통신사 개인정보가 유출된 흔적은 발견되지 않았다고 덧붙였다. 경찰은 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러났다며 KT 보안담당자의 고객정보 관리 소홀 여부를 수사한 뒤 입건 여부를 결정할 방침이라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지가 해킹당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이들은 이렇게 빼낸 고객정보를 휴대폰 개통·판매 영업에 활용, 1년간 115억원의 부당이득을 챙긴 것으로 조사됐다. 온라인뉴스부 iseoul@seoul.co.kr

지난해에만 가격이 90배 이상 폭등했던 인터넷 가상 화폐 비트코인이 궁지에 몰렸다. 일본 도쿄에 기반을 둔 최대 거래소 마운트곡스가 지난달 28일 도쿄지방법원에 회생 신청을 내면서다. 그런데 이 과정에서 석연치 않은 점이 하나둘씩 지적되면서 일본 전체가 들썩이고 있다. 마운트곡스에 따르면 지난달 초 시스템 부정 접속으로 인해 이용자 보유분 75만 비트코인과 회사가 갖고 있던 10만 비트코인이 거의 모두 없어졌다. 없어진 코인의 가치는 약 465억엔(약 4878억원)에 달한다고 아사히신문이 2일 전했다. 그러나 안전성이 높은 비트코인과 은행에 예치했던 현금까지 도둑맞았다는 회사 측의 설명에는 납득하기 어려운 점이 많다고 신문은 지적했다. 보도에 따르면 전문가들은 어떤 거래소도 항상 해킹 위험에 노출돼 있지만 문제가 없었다면서 마운트곡스가 왜 해킹에 대처하지 못했는지 기본적인 의문을 표시했다. 또 마운트곡스가 비트코인이 부정 인출됐을 가능성이 있다고 설명한 데 대해서도 타인이 비트코인의 전자 데이터를 조작해 소유권을 옮기거나 하는 것은 불가능하다고 지적했다. 전문가들은 특히 마운트곡스가 코인과 함께 은행 계좌에 예치돼 있던 28억엔(약 294억원)의 현금도 인출당했다고 밝힌 데 대해 복수의 은행에 있던 돈까지 해킹당하기는 어렵다며 내부자 소행일 가능성을 거론했다. 이와 관련, 미국에 사는 한 고객은 자신이 2만 5000달러(약 2700만원) 상당의 비트코인을 예치하고 있었다면서 지난달 28일(현지시간) 마운트곡스와 이 회사의 미국 내 자회사 등을 상대로 한 손해배상 소송을 일리노이주 연방지법에 제기, ‘줄소송’의 신호탄을 쐈다. 비트코인은 2009년 나카모토 사토시라는 신원 미상의 프로그래머가 개발한 가상 화폐로 발행 기관의 통제 없이 P2P(다자간 파일공유) 기술을 통해 이용자들 사이에서 익명으로 거래돼 왔다. 도쿄 김민희 특파원 haru@seoul.co.kr

대통령의 말 한마디에 학교폭력과 성폭력부터 금융사기 보상까지 다양한 종류의 보험상품이 나올 예정이지만 제대로 된 수요 조사 없이 급속으로 만들어지고 있어 취지에 맞게 보상이 이뤄지기 어렵다는 지적이 나오고 있다. 26일 보험업계에 따르면 현대해상은 다음 달 말쯤 학교폭력, 성폭력, 가정폭력, 불량식품 등 박근혜 대통령이 취임 때부터 강조한 4대 악(惡)으로 인한 피해를 보상하는 보험상품을 세계 최초로 출시할 예정이다. 4대악 보상 보험은 생활보호대상자, 차상위계층, 다문화가정 자녀 등 19세 미만의 취약계층이 우선 가입 대상으로 10만명가량이 이 보험으로 혜택을 볼 것으로 추산된다. 또 지방자치단체나 학교 등이 단체로 가입하며 개인별 가입은 추후 검토된다. 보험료는 1인당 연간 1만~2만원이며 취약계층의 경우 지자체가 대부분의 보험료를 지원한다. 4대악 피해사고 발생 시 보상액은 사망의 경우 최대 8000만원이며 상해나 정신치료에 대한 진단금은 최대 100만원, 입원 시에는 1인당 3만원이다. 농협생명은 오는 4월 20일 장애인의 날을 맞아 유배당 장애인 연금보험을 출시하기로 하고 상품 개발을 준비 중이다. 또 동부화재 등 대형 손보사를 중심으로 다음 달 중 해킹 등 전자금융사기 피해 보상 상품이 출시될 전망이다. 금융감독원은 최근 업무보고에서 저출산 문제 해소와 불임여성의 의료비 부담을 덜어주기 위해 불임치료 보험 도입도 추진하기로 했다. 금감원 관계자는 “조만간 태스크포스(TF)를 만들어 올해 안에 출시할 수 있도록 준비할 계획”이라고 말했다. 그러나 업계에서는 취지에 공감하지만 대통령 한마디에 금융당국이 나서 상품개발을 추진할수록 금융사나 보험가입자의 모럴해저드(도덕적해이)와 보험사기를 더 키울 수 있다고 지적한다. 4대악 보상보험이 1년 만에 나오게 된 것은 4대악 척결이 대통령 공약인데다 최수현 금감원장도 취약계층 보호에 총력을 기울이라고 강력히 지시했기 때문이다. 불임치료 보험의 경우 불임 판정을 받은 사람이 가입 대상인지 혹은 가능성을 담보로 가입할 수 있을지에 따라 가입대상과 보상 폭이 크게 달라질 수 있다는 것이 업계의 지적이다. 보험업계 관계자는 “금융당국에서 상품을 만들라고 하는 바람에 수요조사 없이 상품을 개발한 상태”라면서 “실제로 잘 팔릴 수 있을지는 알 수 없고 회사의 손해만 키울 수 있다”고 말했다. 모럴헤저드에 따른 보험사기도 늘어날 수 있다. 금감원에 따르면 2012년 보험사기 적발금액은 4533억원으로 2011년보다 7%(296억원) 늘어났다. 김진아 기자 jin@seoul.co.kr

인천경찰청 사이버수사대가 26일 인터넷 사이트 225개를 해킹해 개인 정보 1700만건을 불법 취득한 김모(21)씨 등 2명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속하고 7명을 불구속 입건했다. 이들은 부정한 방법으로 취득한 주민등록번호, 계좌번호, 집 주소 등의 개인 정보 1700만건을 인터넷 광고를 통해 인터넷 가입 유치 업자나 대출 업자 등에게 판매해 3억 6000만원의 부당 이득을 취한 혐의를 받고 있다. 개인 정보가 유출된 사이트는 대부분 도박사이트지만 의료계 홈페이지, 부동산 사이트, 증권 정보 홈페이지도 포함됐다. 특히 의료계에서는 대한의사협회, 대한치과의사협회, 한의사협회 등 대표적인 3개 단체가 모두 포함됐다. 김씨 등은 지난 15∼16일 3개 협회 홈페이지를 ‘웹셸’ 방식으로 해킹했다. 이들의 해킹으로 의사 8만명, 치과의사 5만 6000명, 한의사 2만명의 개인 정보가 유출됐다. 유출된 개인 정보는 주로 이름, 주민등록번호, 휴대전화번호, 주소 등이다. 의사협회에서는 회원의 의사면허번호, 한의사협회에서는 근무지와 졸업학교 등의 정보도 유출됐다. 경찰은 최근 카드사 개인 정보 대량 유출 사건과 관련해 개인 정보 침해 사범에 대한 특별단속을 펴는 과정에서 이들을 검거했다. 김씨 등은 65개 스포츠토토 사이트에서는 해킹으로 관리자 권한을 확보해 게임에서 져도 이긴 것으로 승부를 조작했는가 하면 사이트 운영자에게 “각종 데이터를 삭제해 폐쇄시키겠다”고 협박해 금품을 갈취한 것으로 드러났다. 김학준 기자 kimhj@seoul.co.kr

감기가 공기를 통해 면역이 약한 사람을 감염시키듯 네트워크를 이동하며 보안에 취약한 와이파이망과 그에 접속한 컴퓨터 기기를 감염시키는 새로운 컴퓨터 바이러스가 나와 해외 언론들의 주목을 받고 있다. 26일(현지시간) 영국 BBC 뉴스 등 외신에 따르면 리버풀대학 연구팀이 와이파이로 감염되는 바이러스를 개발해 개별 와이파이의 보안에 대한 취약성을 입증했다. 코드네임 ‘카멜레온’으로 명명된 이 바이러스는 여러 와이파이망이 갖춰진 인구밀도가 높은 지역에서 망에서 망으로 스스로 이동하며 취약 지점을 찾아낸다. 일단 와이파이 AP(엑세스포인트·접근점)가 제어되면 그 네트워크에 접속하고 있는 컴퓨터를 매우 취약하게 만든다고 한다. 이번 입증을 위한 개발을 주도한 앨런 마샬 교수는 “카멜레온은 이런 공격을 막는 소프트웨어에 작동한다”면서 “사람들은 강력한 암호를 설정하기 보다 침입탐지시스템(IDS)에만 의존한다”고 말했다. 그는 실제 피해자에 사용되는 공격을 막기 위한 방법을 자세히 설명하지 않았지만 이런 사례를 증명한 공격이 리버풀대학에서 개발됐다고 밝혔다. 연구팀에 따르면 카멜레온 바이러스는 보통 많은 가정에서 사용하는 와이파이 전송 장치의 와이파이 AP 중 관리자 암호가 바뀌지 않은 것만을 찾아낸다. 일단 그런 AP가 해커의 제어하에 들어가게 되면 새로운 펌웨어가 설치될 수 있다. 마샬 교수는 “그런 원리로 (입증을 위해 공격해 바이러스에 걸린) 컴퓨터가 우리의 통제하에 놓인 것”이라면서 “암호를 복구해 원하는 어떤 데이터도 훔쳐낼 수 있다”고 말했다. 또한 카멜레온 바이러스는 그 다음 단계가 가장 획기적이라고 한다. 일단 하나의 AP에 설치된 바이러스는 해커의 제어 없이 스스로 다른 취약한 AP를 찾아 정복하고 찾기를 반복한다. 마샬 교수는 “이 바이러스는 향상된 보안 기능을 갖춘 대기업의 와이파이망에는 위협이 되지 않을 수 있다”면서도 “하지만 가정이나 커피숍 같은 작은 건물에 설치된 네트워크는 일반적으로 취약하다고 볼 수 있다”고 설명했다. 윤태희 기자 th20022@seoul.co.kr

불임여성의 의료비 부담을 덜어주는 불임치료 보험과 피싱·해킹 등의 금융 사기 보상 보험도 개발된다. 금융사의 부실을 끝까지 파헤치는 ‘진돗개식 끝장 검사’와 불시에 방문해 점검하는 ‘암행 검사’도 강화된다. 금융감독원은 24일 이런 내용을 담은 2014년 업무계획을 발표했다. 금감원은 저출산 문제 해소 대책의 하나로 불임치료 보험 도입을 추진하기로 했다. 간병·호스피스·치매돌봄 등 노후 건강 서비스를 제공하는 노후 보장 특화 상품도 활성화하기로 했다. 피싱 등 신종 금융사기 피해를 신속하게 보상할 수 있는 ‘피싱·해킹 금융사기 보상 보험’ 개발도 추진된다. 또 동양 사태와 카드 3사의 대규모 고객 정보 유출 사고에 늑장 대응했다는 지적과 관련해 올해는 현장 검사에 집중하기로 했다. 우선 금융사의 위법·부당 행위나 징후를 발견하면 검사 종료일과 무관하게 사실 관계를 파헤쳐 문제점을 뿌리 뽑는 ‘끝장’ 검사가 진행된다. 이와 함께 실제 금융 현장에서 각종 법규와 내부 통제가 지켜지고 있는지를 불시에 점검하는 암행 검사제도가 실시된다. 보험사기 의심 병원과 정비업소, 렌터카 업체 등에 대한 기획 조사도 이뤄진다. 김경두 기자 golders@seoul.co.kr

인터넷 뱅킹 금융사기 4월부터 원천 차단…어떻게? 인터넷뱅킹의 허점을 이용한 금융 사기가 오는 4월부터 원천 차단된다. 신종 전자금융사기인 메모리 해킹을 예방하기 위해 은행권이 일제히 추가 인증을 도입하기 때문이다. 24일 금융위원회와 금융감독원에 따르면 국내 17개 은행이 내달 말까지 메모리 해킹 예방을 위한 시스템을 구축해 4월부터 추가 인증 서비스를 제공한다. 해당 은행은 신한은행, 국민은행, 우리은행, 하나은행, 한국씨티은행, 한국스탠다드차타드은행, 부산은행, 광주은행, 기업은행, 경남은행, 전북은행이다. 금융당국 관계자는 “메모리 해킹의 경우 인터넷 뱅킹을 하면서 자기도 모르는 사이 당하는 최첨단 금융 사기여서 추가 인증이라는 대책을 세웠다”면서 “3월에 은행들이 내부 전산 작업을 마치고 4월부터 본격 시행에 들어간다”고 밝혔다. 메모리 해킹은 고객이 인터넷 뱅킹을 할 때 해커가 침입해 고객이 입력한 계좌와 금액을 무단으로 바꾼 뒤 자신의 계좌로 이체하는 신종 금융사기다. 이번에 구축되는 추가 인증 시스템은 은행이 메모리 해킹 시 생기는 이상 징후를 감지하면 곧바로 본인 인지 여부를 추가로 확인하는 시스템이다. 해커가 침입했을 때 인터넷 뱅킹 프로그램이 잠시 멈추는데, 은행이 이를 이상 징후로 판단해 문자서비스(SMS)나 전화(ARS)로 본인 확인을 하게 된다. 은행은 SMS 등을 통해 고객에게 인증번호를 보내고, 고객은 이를 입력해야 거래가 되기 때문에 해커가 인증번호를 모르면 거래가 되지 않는다. 이런 추가 인증 시스템 구축은 최근 들어 메모리 해킹 수법이 교묘해지고 증가하고 있기 때문이다. 지난해 발생한 메모리 해킹 사고만 450여건으로, 27억원의 피해가 발생했다. 지난달에는 고객 컴퓨터에 해킹 프로그램을 설치하고서 피해자가 인터넷뱅킹으로 돈을 이체할 때 입금계좌와 이체금액 등을 조작해 대포통장으로 돈이 송금되도록 하는 수법으로 81명으로부터 9천만원을 가로챈 일당이 경찰에 검거되기도 했다. 앞서 작년 연말에 금융사들은 키보드 보안프로그램의 미비사항을 보완한 ‘확장E2E(End to End)’ 기능도 추가했다. 이는 고객이 키보드로 비밀번호 등을 입력할 때 해커가 이 번호를 알아채지 못하도록 인터넷 뱅킹의 시작부터 끝까지 모든 과정을 암호화하는 기능이다. 금융당국 관계자는 “해커가 메모리 해킹을 시도한다고 해도 추가 인증번호까지 입력하지 않으면 거래를 할 수 없는 만큼 추가 인증 시스템 구축으로 메모리 해킹 사고가 차단되는 효과가 있다”고 덧붙였다. 네티즌들은 “인터넷 뱅킹 사기 원천 차단 정말 가능할까”, “인터넷 뱅킹 사기 원천 차단 실제로 가능하길 믿는다”, “인터넷 뱅킹 사기 원천 차단 기대된다”, “인터넷 뱅킹 사기 원천 차단, 또 새로운 범죄 기술이 나오지 않을까” 등 다양한 반응을 보이고 있다. 온라인뉴스부 iseoul@seoul.co.kr

농협은행은 계열사인 농협카드의 개인정보 유출 사고로 덩달아 홍역을 치렀다. 사고 초기, 은행의 고객정보도 빠져나갔다는 오해를 샀기 때문이다. 하지만 농협은 카드 전산망과 은행 전산망이 분리돼 있어 ‘동반 유출’을 피할 수 있었다. 그럼에도 농협에는 2011년 전산망 마비라는 대형 사고의 악몽이 남아 있다. 이로 인한 고객의 불안감과 불신감 해소가 급선무라고 보고 농협은 올해 전산시스템을 대대적으로 개혁할 방침이다. 핵심은 경기 의왕시에 짓는 통합 정보기술(IT)센터다. 지상 10층, 지하 2층 규모로 기존 서울 서초구 양재동 IT센터의 4배가 넘는다. 공사비만 3200억원이다. 자체 전력 보급이 가능한 무중단 유지보수 시스템, 첨단 다중보안시스템 등을 갖췄다. 국내 은행권 최대 규모이자 최첨단 시스템이다. 2016년 상반기 완공이 목표다. 은행과 상호금융(지역 농·축협) 전산시스템도 완전 분리할 작정이다. 김주하 행장은 “내년까지 모든 영업점의 내·외부망을 분리하고 영업점별 전산기기 복구체계와 해킹 공격 차단 목적의 접속 통제시스템을 구축할 방침”이라고 밝혔다. 김 행장은 농협의 강점인 시니어 고객층을 확고히 다지고 협동조합의 네트워크를 최대한 활용해 수익 기반도 강화하겠다고 덧붙였다. 안미현 기자 hyun@seoul.co.kr

장애인 연금보험이 4월에 출시되며 경쟁을 제한하는 금융 규제가 원점에서 재검토된다. 해운보증기구와 기술신용평가기관이 신설되고, 사모펀드 활성화와 서민금융 지원 확대도 추진된다. 금융위원회는 20일 이런 내용을 담은 올해 업무계획을 박근혜 대통령에게 보고했다. 4월에 출시되는 장애인 전용 연금보험 수령액은 일반 연금보다 10~25% 높고, 보험료는 상대적으로 적다. 개인 건강 상태를 고려해 연금액이 조정되는 ‘건강 연계 연금상품’도 도입된다. 연금 수령을 기본으로 하되 일부 인출이 가능한 ‘탄력적 연금 수급 상품’도 개발된다. 금융위는 매년 11~12월 주요 정책에 대한 국민 설문조사를 실시해 결과를 정책에 반영하기로 했다. 해킹 피해에 대해서도 신속한 지급 정지와 피해 환급이 가능하도록 ‘보이스피싱 특별법’이 개정된다. 또 금융감독원과 분리되는 금융소비자보호원을 연내에 설립하기로 했다. 금융위 측은 “금융보안전담기구 설립 TF가 국민 금융정보 보호를 위해 오는 6월 말까지 세부 설립 방안을 마련하고 내년 출범할 예정”이라면서 “여기에 이달 말 정보수집 범위 최소화 등을 포함한 개인 정보 보호 종합대책도 발표한다”고 밝혔다. 김경두 기자 golders@seoul.co.kr

KB국민, 롯데, NH농협 등 3개 카드사의 고객정보 유출사건의 충격이 가시지 않고 있는 가운데, 한국공인중개사협회의 홈페이지도 악성 프로그램에 의해 해킹당한 것으로 알려져 논란이 예상된다. 해당 홈페이지는 개인 신상 정보가 담긴 부동산 거래계약서 데이터베이스와 연결돼 있어 계약서까지 해킹됐을 경우 2차 피해가 발생할 수 있다는 지적이 일고 있다. 계속해서 개인정보유출, IT 정보보안 문제가 도마 위에 오르며 국민들의 불안감은 커지고 있다. 이러한 보안위기 상황 속에서 보안전문미디어 보안뉴스(www.boannews.com)는 최근 불거진 개인정보유출사태와 관련해 ‘긴급 7대 보안수칙’을 선정, 발표했다. 보안뉴스가 발표한 ‘긴급 7대 보안수칙’은 다음과 같다. ▲ 각 사이트별 아이디와 패스워드는 각각 다르게 설정한다 ▲ 아이디와 패스워드는 특수문자를 포함하여 복잡하게 만든다 ▲ PC와 휴대폰에 백신프로그램을 설치하고 ‘실시간 감시’로 설정해둔다 ▲ 금융계좌 거래 시 거래내역 ‘실시간 알림 서비스’를 활용한다 ▲공인인증서와 보안카드는 PC와 이메일에 보관하지 않고, 반드시 별도 보관한다 ▲이메일이나 문자메시지 수신 시 모르는 URL은 클릭하지 않는다 ▲ 파일은 백신검사로 악성코드 여부를 확인한 후에 실행한다. 보안뉴스 최정식 발행인은 “이번에 선정한 ‘긴급 7대 보안수칙’은 그동안 발표된 보안수칙과 가이드라인 중 가장 기본이 되면서 꼭 필요한 내용만 모아놓은 것”이라며 “PC와 스마트폰 등을 통해 업무 및 일상생활을 영위하는 대다수 국민들의 개인정보 유출과 바이러스, 악성코드 감염, 각종 피싱, 스미싱 피해를 최소화할 수 있는 가장 기본적인 원칙이기 때문에 이 7가지 수칙만큼은 반드시 준수해야 한다”고 강조했다. 온라인뉴스부 iseoul@seoul.co.kr

금융당국과 금융권은 이번 카드 3사의 고객 정보 유출 사고를 계기로 환골탈태를 약속했다. 금융당국은 개인 정보 보호 대책을 강화하고 징계 수위도 상향 조정하기로 했지만 그간 제재심의위원회의 폐쇄적인 구조와 그들만의 학연, 지연 등을 배경으로 솜방망이 처벌을 양산해 온 것이 사실이다. 금융권도 그동안 얼마나 날림으로 고객 정보를 관리했는지에 대한 반성엔 눈을 감는다. 서울신문은 이들의 감추고 싶은 ‘불편한 진실’을 상, 하 두 차례로 나눠 짚어 본다. 이번 ‘카드 사태’ 전까지 개인 정보 유출 사고에 대한 금융당국의 솜방망이 처벌이 줄기차게 나왔던 까닭은 징계를 하는 사람이든 징계를 받는 사람이든 결국 같은 집단에 있다는 의식이 작용한 탓이 크다고 분석된다. 이를 구조적으로 뒷받침하는 것이 제재 수위를 결정하는 금융감독원의 제재심의위원회다. 서울신문이 18일 국회 정무위 소속 정호준 민주당 의원에게서 제재심의위원 명단을 입수해 분석한 결과 제재 심의는 ▲학연, 지연으로 엮여 로비가 가능한 구조에 ▲감독자와 행위자를 분리해 징계하는 데다 ▲징계 과정을 외부에 알리지 않는 폐쇄적인 구조를 갖고 있는 것으로 드러났다. 금감원과 금융기관 검사 및 제재에 관한 규정에 따르면 제재심의위원 9명 중 6명은 민간 위원으로 구성돼 있다. 금감원은 로비를 방지한다면서 한 번도 명단을 외부에 공개하지 않고 있다. 외부 인원 6명은 금감원장 추천 3명, 금융위원장 추천 3명으로 구성된다. 현재 외부 인원 6명은 교수 3명, 변호사 2명, 금융계 인사 1명으로 이뤄져 있다. 이들은 징계 대상자와 학연, 지연으로 촘촘히 엮여 있다. 지난해 어윤대 전 KB금융 회장은 ISS(미국 주주총회 안건 분석 회사)에 경영 정보를 제공한 혐의로 금감원 은행검사국에서 중징계(문책경고)를 통보받았지만 이후 제재심의위원회에서 경징계(주의적 경고 상당)로 깎였다. 제재심의위원 중 A 교수는 어 전 회장과 비슷한 기간에 캐나다의 한 대학 방문교수를 지냈고 한국경영학회 임원을 맡았었다. 금융계 인사인 제재심의위원 B씨는 어 전 회장과 대학 선후배 사이이고 어 전 회장과 제재심의위원인 변호사 C씨도 고교 선후배 관계로 엮여 있다. 이에 대해 제재심의위원 D씨는 “대부분 제재 대상자와 심의위원이 학연, 지연으로 묶여 있지만 제재 수위 결정은 각자의 양심에 따라 하는 것”이라고 밝혔다. 그러나 정 의원실에 따르면 어 전 회장의 징계 수위를 토론하는 제재심의위원회에서 A 교수는 ‘징계 수위를 낮춰야 한다’고 변호한 것으로 알려졌다. 감독자와 행위자를 분리해 징계하는 것도 금융사 최고경영자(CEO)에 대한 솜방망이 처벌을 부르는 요인이다. 제재심의위원 E씨는 “CEO들은 감독자로, 행위자보다 수위를 최소 한 단계 이상 낮게 징계를 내리는 게 관례”라고 말했다. 이렇다 보니 금융 CEO가 금감원에서 징계를 받을 때 검사국에서 중징계를 통보해도 제재심의위원회에서 경징계로 수위가 낮춰진다. 이강태 비씨카드 사장도 하나SK카드 사장으로 재직하던 당시 카드 불법 모집과 관련해 중징계를 통보받았지만 실제로는 경징계(주의적 경고)를 받았다. 정태영 현대캐피탈 사장도 2011년 해킹 사고로 중징계(문책경고)를 통보받았지만 경징계(주의적 경고)로 낮아졌다. 또 징계 수위를 결정할 때도 과반수 이상의 찬성으로 의결하지만 거의 토의로만 결정한다. 제재심의위원 F씨는 “회의할 때마다 20~30건을 처리하기 때문에 한 건에 10초 정도만 논의하고 넘어갈 때도 많다”고 말했다. 징계 과정을 비공개로 처리해 의혹을 살 때도 있다. 징계 수위에 대한 이유나 과정을 알리지 않고 결과만 외부에 통보하는 식이다. 금융계 인사는 “금감원 제재심의위원회 권한이 세서 견제할 방법이 없다”면서 “투명한 구조를 갖추기 위해서는 심의위원 명단과 징계 결정 과정을 공개해야 한다”고 주장했다. 이민영 기자 min@seoul.co.kr 김진아 기자 jin@seoul.co.kr

온라인 화폐 비트코인이 해킹 당했다는 소식이 전해지면서 시세가 급격하게 폭락했다. 일본 비트코인 거래소 마운트곡스는 15일 비트코인 시세가 302.00달러로 폭락했다고 밝혔다. 지난해 11월 최고점(1038.16 달러)과 비교해 3개월 만에 71%나 하락한 것이다. 비트코인 시세 폭락은 비트코인 해킹과 관련된 것으로 분석된다. 앞서 13일 미국 온라인 암시장 ‘실크로드 2’ 운영자는 4474.27 비트코인을 해킹으로 도난당했다고 주장했다. 270만 달러에 이르는 비트코인이 해킹으로 인해 도난당하는 것이 ‘실크로드 2’의 주장이다. ‘실크로드 2’는 비트코인 해킹 사태에 대해 “거액의 비트코인 해킹으로 24시~48시간 서비스를 중단한다”면서 “초기 조사 결과 한 판매자가 ‘거래 유연성’이라는 비트코인 프로토콜의 약점을 이용해 우리 시스템에서 비트코인을 계속 인출했다”라고 설명했다. 하지만 ‘실크로드 2’의 운영자는 현재 사이트를 폐쇄하고 잠적했고 사이트 이용자들이 운영자의 자작극이라는 의혹을 제기하며 논란이 커지고 있다. 온라인뉴스부 iseoul@seoul.co.kr

금융회사들이 정보 보호 예산을 책정해 놓고도 제대로 집행하지 않은 것으로 나타났다. ‘예산 따로, 집행 따로’라는 비판이 나온다. 강기정 민주당 의원이 13일 금융감독원의 자료를 받아 분석한 결과에 따르면 2012년 은행과 카드, 보험, 증권 등 116개사의 정보 보호 예산 대비 집행 비율은 61.9%에 그쳤다. 정보보호 예산 100원 가운데 62원만 지출한 셈이다. 2010년 집행 비율은 79.6%, 2011년은 85.9%로 조사됐다. 금융사들은 2011년 농협 해킹과 현대캐피탈의 정보 유출 사고 등으로 2012년 정보 보호 예산을 대폭 늘렸지만, 사태가 잠잠해지자 집행 규모를 줄인 것으로 해석된다. 강 의원은 이른바 ‘면피용’으로, 말로만 대책을 추진한 것이라고 꼬집었다. 2012년 금융 116개사의 정보 보호 예산은 7469억원으로 전년(3805억원) 대비 크게 늘었지만, 실제 집행액은 4626억원(61.9%)에 그쳤다. 집행률은 2011년(85.9%) 대비 24% 포인트 가까이 떨어진 것이다. 업권별 2012년 집행 비율을 보면 은행이 75.1%, 카드 61.8%, 보험 46.2%, 증권이 53.8%로 조사됐다. 집행 비율이 가장 낮은 보험사 중에서도 외국계 보험사의 부진이 더 두드러진다. 푸르덴셜생명은 6.1%, ING생명 10.8%, 에이스생명 13.1%, 메트라이프생명 14.8% 등 외국계 보험사 4곳이 집행 비율 20%를 밑돌았다. 강 의원은 “해킹과 정보 유출 사고로 여론이 안 좋을 때에는 정보 보호에 적극적인 자세를 보였지만, 여론이 잠잠해지면 다시 소홀해지는 것으로 드러났다”고 지적했다. 김경두 기자 golders@seoul.co.kr

한·미 군 당국이 처음으로 사이버 테러 위협에 공동대처하기 위해 실무협의회를 열고 정보 공유를 본격화하기로 했다. 지난해 연이어 발생한 북한의 사이버전 수행 능력이 그만큼 심각하다는 인식을 반영한 조치로 풀이된다. 국방부는 7일 서울 용산 국방부 청사에서 제1차 국방 사이버정책실무협의회(CCWG)를 개최했다고 밝혔다. 이날 회의에는 장혁 국방부 정책기획관과 존 데이비스 미국 국방부 사이버정책부차관보 대리가 참석했다. 국방부 관계자는 “양국은 사이버 가상 공격 시나리오를 바탕으로 토의식 연습을 진행했고 위기 대응과 관련해 취약점이 무엇인지 분석했다”면서 “신종 기술 등 정보를 공유함으로써 대응을 강화하기로 했다”고 말했다. 북한은 사이버전을 비용 대비 효과면에서 가장 효율적인 공격 수단으로 보고 사이버전 인력과 조직을 적극적으로 양성해 왔다. 일명 ‘121국’이라고 불리는 정찰총국 산하 전자정찰국과 사이버전지도국은 3000여명의 정예 해킹 요원을 보유한 것으로 알려졌다. 이 기관은 지난해 6월 청와대 홈페이지와 국내 언론사 등 16개 기관 사이트를 마비시켰고 3월에는 KBS 등 언론사와 금융기관의 전산망을 동시다발적으로 해킹 공격한 것으로 추정된다. 북한은 2000년대 초반 미국 중앙정보국(CIA)과 국방부 등 미군 관련 홈페이지에 가장 많은 접속 기록을 남긴 것으로 알려졌다. 하종훈 기자 artg@seoul.co.kr

고객 정보 1억 400만건이 털린 이번 ‘카드 사태’는 세계 세 번째 규모의 개인 정보 유출 사고인 것으로 나타났다. 6일 금융당국에 따르면 카드 3사의 사고는 전 세계 정보 유출 사고 가운데 2012년 중국 상하이의 로드웨이 D&B(1억 5000만건)와 2009년 미국의 하틀랜드 페이먼트 시스템즈(1억 3000만건)에 이어 세 번째로 규모가 컸다. 2007년 미국 대형 소매유통업체 TJX가 9400만건의 정보 유출로 뒤따랐다. 기존에 국내에서 발생한 가장 큰 개인 정보 유출 사고는 네이트·사이월드의 해킹(3500만건) 사고였다. 2011년부터 지난해까지 세계에서 발생한 개인 정보 유출 사고는 4138건으로 이 가운데 59.3%가 미국에서 발생했다. 영국(6.5%)과 독일(2.4%) 등이 뒤따랐고, 한국은 0.3%에 그쳤다. 2008~2012년 세계 개인 정보 유출 사고는 해킹이 65%로 주류였으며 직원과 위탁업체 등 내부자에 의한 사고는 16%였다. 김경두 기자 golders@seoul.co.kr