아이클라우드 유출, 제니퍼 로렌스 누드 사진 해외 유명 스타들의 은밀한 모습이 담긴 사진들과 동영상이 애플의 아이클라우드 서비스를 통해 유출돼 논란이 되고 있다. 1일 각종 SNS에는 제니퍼 로렌스, 케이트 업튼 등 할리우드 여배우들과 맥케일라 마루니, 호프 솔로 등 스포츠 스타들의 누드 사진이 유출됐다. 외신들은 “누드 사진들은 한 해커가 해당 배우들의 아이클라우드(iColud) 계정을 해킹해 유출한 것으로 추정된다”고 보도했다. 아이클라우드는 클라우드서비스의 일종으로 애플의 데이터 저장 서비스다. 사용자의 콘텐츠를 서버에 저장해 두고 스마트폰이나 PC 등 어느 기기에서든 다운로드 할 수 있게 편의성을 강화해 다수의 사용자들이 애용하고 있다. 아이클라우드 유출 당사자인 커스틴 던스트는 이 같은 상황에 심경을 표출했다. 커스틴 던스트는 자신의 트위터를 통해 “고마워. 아이클라우드”라는 글을 남겼다. 실제 아이클라우드를 통해 유출된 사진의 수위는 파격적이다. 그 대상이 할리우드 유명 스타라는 점에서 삽시간에 퍼지고 있다. 제니퍼 로렌스, 케이트 업튼 등이 옷을 벗고 은밀한 부위를 가린 채 포즈를 취하고 있다. 사진 뿐만 아니라 동영상도 있었다. 제시카 브라운 핀들리가 전신을 탈의한 채 실내를 이동하며 과감한 자세를 취하는 모습이 영상에 담겼다. 빅토리아 저스티스는 “미리 말해두는데 지금 떠도는 사진들 속 인물은 내가 아니다”며 해명했고, 마리 엘리자베스 윈스티드는 “그 사진들은 예전에 삭제된 것들인데 해커들이 기어코 복구해냈다. 정말 진저리가 난다”고 불쾌한 심경을 전했다. 온라인뉴스부 iseoul@seoul.co.kr

할리우드 배우 제니퍼 로렌스부터 ‘팝의 요정’ 아리아나 그란데, 모델 케이트 업톤 등 100명이 넘는 여성 유명인의 사적인 사진이 인터넷상에 유출됐다. 아이클라우드 계정에서 유출된 이미지는 공유 포럼인 포찬(4Chan)에 처음 공개됐고 이어 여기저기 확산된 것으로 알려졌다. 이번 대규모 해킹 사건에 원본이 저장돼 있던 아이클라우드의 안전성에 대한 우려가 커지고 있다. 애플은 이번 유출 원인에 대해 적극적으로 조사하고 있다고 발표해 아이클라우드가 원본의 출처임이 확실 시 되고 있다. 누구의 사진이 유출됐는지 걱정반 호기심반으로 주목받고 있는 것도 현실이지만, 이번 아이클라우드 유출 사건이 어떻게 일어나게 됐는지 또한 알아보는 것도 중요하다고 할 수 있다. 이는 당신이 스마트폰으로 아이클라우드나 다른 클라우드에 지극히 사적인 데이터를 저장하는 데 제한이 될 수도 있기 때문이다. 다음은 미국 IT전문 매체 테크크런치가 이번 유출 사건이 어떻게 일어나게 됐는지 보안적인 측면에서 분석하고 앞으로 사용자들이 이를 예방하는 방법을 1일 소개한 것이다. 인터넷 보안 전반을 다시 확인하는 기회로 연예인 사진 해킹이 어떻게 일어났는지 생각해보자. 아이클라우드는? 뜨거운 감자로 떠오른 애플의 아이클라우드는 사진과 이메일, 연락처, 기타 정보 등을 자동으로 클라우드라는 가상의 저장 공간에 백업하고 이를 사용자가 이용하는 아이폰이나 아이패드와 같은 애플 장치간에 동기화할 수 있는 서비스다. 해커의 행동 유출된 사진은 우선 포찬(4Chan)이라는 이미지 공유사이트에 게시됐다. 해커는 이번 사진을 아이클라우드 계정에서 빼온 것이라고 주장하고 있다. 그는 사진을 공개하는 댓가로 페이팔과 비트코인을 통해 기부금을 모집하고 있다. 비트코인에 지금까지 모인 돈은 0.257666BTC(비트코인)로, 이를 환산(preev.com 기준)하면 123.1달러(약 12만5000원)이다. 기부금은 다음의 주소에서 확인할 수 있다. 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa 언론 주류 언론은 “스마트폰이 해킹됐다”고 보도했다. 하지만 언론이 사용하는 ‘해킹’이라는 단어는 그 내용이 매우 모호하다. 로렌스는 이전 “내 아이클라우드가 ‘백업하라’고 알려줬지만, 어떻게하면 좋을지 모르겠다. 스스로해 준다면 좋을텐데”라고 말하고 있었으므로, 아이클라우드를 이용하고 있던 것은 확실한 것으로 알려졌다. 이미지의 메타 정보에서 유출 사진의 대부분은 애플 장치에서 촬영된 것으로 전해졌다. 해킹의 내용 애플이 유출 원인에 대해 적극적으로 조사하고있다고 발표했지만, 아이클라우드 자체의 보안이 깨졌을 가능성은 낮다. 하지만 해커가 특정 연예인 사용자를 대상으로 암호를 ‘크레킹’하거나, ‘사회 공학’적인 공격, ‘암호 분실 시’ 변경 과정 절차를 공격하는 등의 방법을 조합한 것으로 생각되고 있다. 이메일 주소와 암호 추측 제니퍼 로렌스는 타임지에서 “자신의 메일 주소에 키워드가 포함돼 있다”고 말했다. 이는 현명한 발언이 아니다. 어쨌든 이메일 주소를 알면 가짜 아이튠 스토어로 유인하는 피싱 메일을 보낼 수 있다. 피해자는 가짜 피싱 페이지에 암호를 입력할 수 있는 것이다. 영국의 가디언은 이런 피싱 공격이 유출의 원인이 아닐까 추측하고 있다. 타깃이 된 연예인의 생년월일과 ‘비밀 질문’의 답변을 알고 있는 경우 애플 시스템의 ‘암호를 잊어 버린 경우’를 사용해 새 암호를 설정할 수 있다. 연예인의 경우 개인 정보가 대량으로 나돌고 있으므로, ‘비밀 질문’의 대답을 추측할 가능성은 충분히 있다. 아이클라우드 보안 대책 하지만 아이클라우드에 접속하는 경우, 애플은 몇 가지 보안 대책을 시행하고 있다. 사용자가 새 애플 장치(OSX 또는 iOS)에서 아이클라우드에 접속하면 아이클라우드는 사용자의 이메일 주소로 새로운 장치에서 로그인이 됐다고 알려준다. 또한 아이클라우드 계정이 설정돼있는 모든 애플 장치(아이폰, 아이패드, 맥)에 같은 메시지가 보내진다. 만약 해커가 새 장치에서 로그인할 수 없다면 그 통지를 받은 사용자는 ‘해킹’되는 것을 알게 되는 것이다. 메시지는 새로운 로그인과 동시에 송신되므로, 만일 사용자가 즉시 암호를 변경했다면 해커가 대량의 사진을 내려받을 시간은 부족했을지도 모른다. 무작위 공격 또 암호를 얻는 방법은 임의로 비밀번호 입력을 반복하는 무작위 공격이다. 아이클라우드 계정에 대한 무작위 공격은 이론적으로 가능하다고 알려졌다. 미국 IT전문매체 더넥스트웹(The Next Web)에 따르면 최근 해커가 아이클라우드 계정을 해킹하기 위해 오픈 소스 개발자 커뮤니티인 ‘기트허브’(Github)에 게재된 파이선(Python) 스크립트를 사용했다. 이는 무작위 공격 방식으로 비밀번호를 빠르게 알아내기 위해 ‘내 아이폰 찾기’(Find my iPhone) 서비스의 취약점을 역이용했다. 하지만 애플은 이미 이 취약점을 수정한 것으로 나타났다. 따라서 이 스크립트가 이번 유출의 원인인지 여부는 전혀 알 수가 없다. 또 다른 가능성 이외에도 유출 원인은 여러 가지를 생각할 수 있다. 안드로이드에서 촬영된 사진도 있으므로 유출 출처는 모두 아이클라우드가 아닐지도 모른다. 연예인의 와이파이가 도청된 것이 아니냐는 주장도 있다. 유출은 종종 비서와 경호원 등 집안의 인물이 손을 빌릴 수 있다. 장치를 분실하거나 도난당하면 계정에 접속할 수 있다. 대책: 2단계 확인을 쓰자 가장 효과적인 대책은 아이클라우드의 2단계 확인(구글의 경우 ‘2단계 인증’)을 사용하는 것이다. 새 장치에서 로그인할 때 사용자는 암호와 동시에 지정한 모바일 장치로 전송된 인증코드를 입력해야 한다. 즉 해커가 암호를 알고도 확인 코드를 알아야만 로그인할 수 있다는 것이다. 애플, 구글 뿐만 아니라 대부분의 주요 서비스가 2단계 인증을 지원하고 있다. 또 비밀번호 재발급시 필요한 ‘비밀 질문’을 ‘애완 동물의 이름’ 같은 뻔한 것으로 설정하지 말아야 한다. ‘qwerty’라든지 ‘123456’처럼 바보 같은 암호도 마찬가지다. 여전히 걱정하고 있다면 설정을 열고 아이클라우드에 사진 자동 백업을 ‘끄기’로 두는 것이다. 처음이 아니다 연예인의 개인 사진이 유출 된 것은 이번이 처음은 아니다. 2011년에도 많은 연예인 사진이 유출됐다. 범인으로 알려진 크리스토퍼 채니는 단순한 추측으로 암호를 얻어 메일 계정에 침입했다. 채니는 재판에서 징역 10 년을 선고받았다. 그러나 이런 사건에서 해커가 체포되는 사례는 거의 없다. 사용자는 결국 스스로 자신을 보호할 수밖에 없는 것이다. 윤태희 기자 th20022@seoul.co.kr

‘제니퍼 로렌스, 케이트 업튼 누드 사진’ 지난 31일 해외 외신에 따르면 할리우드 배우 제니퍼 로렌스 누드사진이 해킹으로 유출됐다. 제니퍼 로렌스 누드사진은 개인 아이클라우드 계정이 해킹돼 유출된 것으로 알려졌고, 약 60장 정도로 추정된다. 외신은 제니퍼 로렌스와 더불어 모델 케이트 업튼의 누드사진도 해킹이 됐다고 전했다. 케이트 업튼은 앞서 파격적인 비키니 사진을 공개해 화제를 모은 바 있다. 케이트 업튼은 자신의 페이스북(업튼-데일리닷컴)에 과감한 비키니 사진을 게재했다. 사진 속 그녀는 형광색에 무늬가 들어간 비키니를 입은 채 물속에 누워 거꾸로 카메라를 바라보고 있는 포즈를 취하고 있었다. 사진 속 케이트 업튼은 물속에 누워 배영을 하는 듯한 포즈를 취하고 있다. 이에 물 위로 아슬아슬한 비키니만 입고 있는 케이트 업튼의 가슴이 드러나 시선을 사로잡는다. 사진 = 케이트 업튼 페이스북 연예팀 chkim@seoul.co.kr

’제니퍼 로렌스’ 할리우드 여배우 제니퍼 로렌스의 누드 사진을 유출시킨 해커가 유명 여배우들의 사진은 물론 비디오까지 갖고 있다고 말해 화제다. 지난 31일 해외 연예매체에 따르면 할리우드 여배우 제니퍼 로렌스의 누드사진이 해킹으로 인해 인터넷에 공개됐다고 한다. 보도에 따르면 해외 사이트인 ‘4chan’에서 한 유저가 해킹을 통해 유명 여배우들의 누드사진을 찾아내 유출했다. 제니퍼 로렌스의 누드사진은 개인 아이클라우드 계정을 해킹해 유출됐으며, 그 수는 약 60장 정도로 추정된다. 한편 해당 해커는 해킹에 성공해 사진을 유출한 스타에는 제니퍼 로렌스 뿐만 아니라 케이튼 업튼 등 여배우들이 다수 포함됐다고 주장한다. 미 연예매체 허핑턴 포스트 엔터테인먼트는 해당 해커가 “제니퍼 로렌스, 케이트 업튼 등 유명 여배우들의 사진은 물론 비디오도 갖고 있다”고 전해 왔으며 이미 여러 언론사를 통해 거래를 시도하는 중이라고 밝혔다. 제니퍼 로렌스 누드 사진 유출 소식을 접한 누리꾼들은 “제니퍼 로렌스, 이게 대체 무슨 일이야”, “제니퍼 로렌스, 비디오는 없겠지”, “제니퍼 로렌스, 케이트 업튼 지금 엄청 초조하겠다”, “제니퍼 로렌스, 해커 정말 나쁘다.. 꼭 잡아서 처벌하길”, “제니퍼 로렌스, 이제 완전 톱스타로 빛보기 시작했는데 이게 무슨 봉변이야”등 다양한 반응을 보였다. 사진=GQ(’제니퍼 로렌스) 연예팀 mingk@seoul.co.kr

제니퍼 로렌스 누드 사진이 해킹으로 유출돼 화제다. 지난 31일 해외 외신에 따르면 할리우드 배우 제니퍼 로렌스 누드사진이 해킹으로 유출됐다. 제니퍼 로렌스 누드사진은 개인 아이클라우드 계정이 해킹돼 유출된 것으로 알려졌고, 약 60장 정도로 추정된다. 제니퍼 로렌스는 최근 현지 매체들이 배우 크리스 마틴과 열애중인 사실을 보도하며 데이트를 즐기고 있다고 해 화제가 된 바 있다. 한편 지난 8월 1일 제니퍼 로렌스는 2011년 영화 ‘엑스맨 : 퍼스트 클래스’에 함께 출연하며 연인으로 발전한 니콜라스 홀트와 장거리 연애를 이유로 헤어졌다. 크리스 마틴은 기네스 펠트로와 결혼 11년 만에 파경을 맞은 뒤 이혼 후 약 5개월 만에 제니퍼 로렌스와 만남을 가졌다. 제니퍼 로렌스 역시 영화 ‘엑스맨:퍼스트클래스’에 동반출연하며 오랜 연인관계를 유지한 니콜라스 홀트와 결별했다고 밝혀 눈길을 끌었다. 제니퍼 로렌스 소식을 접한 네티즌들은 “제니퍼 로렌스..어떤 사진이길래”, “제니퍼 로렌스..몸매는 진짜 좋다”, “제니퍼 로렌스..잘 수습되길”, “제니퍼 로렌스..남자친구도 놀랐을 듯”, “제니퍼 로렌스..해외에서도 이런 일이?”등 반응을 보였다. 사진 = 서울신문DB (제니퍼 로렌스) 연예팀 chkim@seoul.co.kr

제니퍼 로렌스, 제니퍼 로렌스 누드 사진　　　 할리우드 배우 제니퍼 로렌스의 누드 사진이 유출됐다. 영국 일간지 데일리 메일은 지난달 31일(현지시간) “제니퍼 로렌스의 아이클라우드 계정이 해킹당하면서 누드 사진 60여 장이 온라인 상으로 유출됐다”고 보도했다. 유출된 사진들은 한 인터넷 메시지 보드에 처음 공개됐으며, 그 수위가 매우 높은 것으로 알려져 논란이 예상된다. 한편 제니퍼 로렌스는 ‘엑스맨’ 시리즈, ‘헝거게임’ 시리즈, ‘아메리칸 허슬’ 등에 출연했으며, 지난 2012년 ‘실버라이닝 플레이북’을 통해 아카데미 여우주연상을 수상한 바 있다. 최근 기네스 펠트로의 전 남편 크리스 마틴과 열애 중인 사실이 알려져 화제를 모으기도 했다. 온라인뉴스부 iseoul@seoul.co.kr

할리우드 가장 핫한 샛별로 꼽히는 배우 제니퍼 로런스와 팝스타 리애나의 누드 사진이 포함된 할리우드 배우와 가수, 모델 등 유명 여자 스타들의 개인적인 사진이 31일(현지시간) 대량 유출됐다. 인터넷 뉴스사이트 마셔블(Mashable) 등에 따르면 로런스와 리애나 외에도 캐나다 출신 팝스타 에이브릴 라빈, 배우 앰버 허드와 가브리엘 유니언, 가수 겸 모델 헤이든 패네티어, 스타 골키퍼 호프 솔로 등의 사진도 유출됐다. 가수이자 모델인 힐러리 더프와 케이트 업턴, 케이트 보스워스, 모델 제니 매카시, TV 스타 케일리 쿼코와 킴 사다시안, 가수 키키 파머 등도 피해자로 언급됐다. 로런스의 대리인은 “명백한 사생활 침해”라며 유출된 사진을 게시하는 사람에 대해 법적 대응을 하겠다고 밝혔다. 로런스의 사진은 이날 이른 오전부터 인터넷에 유포되기 시작했으며 로런스의 아이클라우드(애플의 데이터 저장 서비스) 계정이 해킹당한 것으로 보인다고 언론들은 보도했다. 가수 빅토리아 저스티스와 아리아나 그란데는 사진 속 인물이 자신이 아니라고 부인했다. 사진=왼쪽부터 시계반대방향으로 배우 제니퍼 로런스,킴 사다시안,셀레나 고메즈 나우뉴스부 nownews@seoul.co.kr

제니퍼 로렌스 누드 사진이 해킹으로 유출돼 화제다. 지난 31일 해외 외신에 따르면 할리우드 배우 제니퍼 로렌스 누드사진이 해킹으로 유출됐다고 보도했다. 연예팀 chkim@seoul.co.kr

정부가 내부적으로 공식입장도 정하지 못한 법안을 최경환 경제부총리의 대(對)국회 조속 입법 촉구 담화에 포함시킨 것으로 28일 서울신문 확인 결과 드러났다. 정작 야당이 아닌 정부 스스로가 발목을 잡은 꼴이다. 최경환 경제팀의 ‘경제·민생 드라이브’가 졸속으로 추진되고 있는 단면이 아니냐는 지적이 제기될 만하다. 올해 초 카드 3사의 개인정보 8500만건 유출 뒤 제출된 신용정보법 개정안은 국회 정무위원회에 계류돼 있다. 최 부총리는 지난 26일 담화에서 “여야 간 합의가 됐는데 처리되지 않는 것이 서글픈 현실”이라며 개정안 처리를 촉구했다. 그러나 일주일 전인 19일 국회 정무위 회의록(아래)에 따르면 입장을 정하지 못해 추가 검토를 하게 된 쪽은 금융위원회, 즉 정부였다. ●김기식 새정치민주연합 의원 방송통신위원회 동의하에 국회 본회의를 통과해 11월 29일부터 시행되는 정보통신망법에서는 ‘개인정보 분실, 도난, 누출 시 정보통신 제공자가 고의나 과실이 없음을 입증 못하면 이용자가 300만원 이내 손해액으로 배상을 청구할 수 있다’고 정했다. 이처럼 SK텔레콤, KT 등 통신사 고객들은 정보를 유출당하기만 하면 배상을 청구할 수 있게 제도를 설계했는데, 금융사 대상 신용정보법에서는 안 하겠다고 한다. 정부 부처마다 입장이 다를 수 있나. ●정찬우 금융위 부위원장 부처 간 이견이 있는 것처럼 비쳐 유감이다. 정보통신망법이 통과된 시기는 ‘범정부 태스크포스(TF)’의 최종안 발표(7월 31일) 이전이라 그렇다. ●정우택 정무위원장(새누리당) 그렇다면 정보통신망법과 범정부TF 최종안이 다른데 정부가 어떻게 대처할지, 정보통신망법 개정안을 낼 것인지 정부 나름대로 회의를 해 안을 마련해 오기 바란다. 정보통신망법과 범정부TF에 충실한 신용정보법이 양립하면, 온라인 해킹으로 인한 금융사 개인정보 유출 시에만 배상 청구가 수월해진다고 김 의원은 주장했다. 반면 USB 등을 활용한 유출 사고에서는 배상 청구에 어려움이 예상되는데, 이 같은 모순의 이유는 부처 간 조율이 덜 됐기 때문이란 설명이다. 최 부총리의 촉구 법안인 ‘송파 세 모녀법’에 대해서도 야당은 강한 비판을 내놓고 있다. 국회 보건복지위원회 소속 김성주, 인재근, 이목희 의원은 “전문가들은 비수급빈곤층을 500만명으로 보는데 정부는 40만명 추가분에 대한 예산 2300억원만 편성해 입법을 촉구하고 있다”면서 “최 부총리 주장대로 처리된다면 기초생활보호 수급 기준을 행정부 임의로 변경할 수 있는 악법이 탄생할 것”이라고 주장했다. 홍희경 기자 saloo@seoul.co.kr

“명백한 러시아의 기습이다.” 27일(현지시간) 우크라이나 친러시아 반군이 동남부 해안 도시 노보아조프스크로 진격해 오자 우크라이나와 미국은 “러시아가 직접 개입하고 있다”고 주장했다. 블라디미르 푸틴 러시아 대통령과 페트로 포로셴코 우크라이나 대통령이 처음으로 만나 외교적인 해결책을 모색한 지 단 하루 만이다. AP통신에 따르면 친러 반군은 이날 도시를 집중 포격한 끝에 탱크와 장갑차를 몰고 노보아조프스크로 진입했다. 뉴욕타임스(NYT)는 “친러 반군이 동부 도네츠크와 루간스크에 이어 동부에서 멀리 떨어진 해안의 요충지에 제3의 전선을 형성했다”면서 “전선이 분산되면서 우크라이군은 혼돈에 빠졌다”고 전했다. AP는 “반군이 도네츠크나 루간스크에서 노보아조프스크까지 내려오려면 정부군이 장악한 지역을 거쳐야 하는데 그러지 않았다”면서 “러시아 국경을 통해 진입했을 것”이라고 분석했다. 퇴각한 우크라이나 병사들도 “러시아군의 탱크를 직접 봤다”고 증언했다. 러시아군의 직접 개입 정황이 짙어지자 포로셴코 대통령은 터키 대통령 취임식 참석을 취소하고 긴급 안전보장회의를 소집했다. 북대서양조약기구(NATO)는 “러시아군 1000명 이상이 우크라이나 영토로 진입했다”고 발표했다. 친러 반군이 기존 전선에서 밀리자 러시아가 나서서 동남부에 새 혈로를 열어준 것으로 서방은 보고 있다. 아조프해 연안에 있는 노보아조프스크는 러시아 국경까지 불과 10㎞밖에 떨어지지 않았다. 러시아에서 크림반도로 이어지는 길목에 있어 아조프해 전역을 장악할 수 있는 전략적 요충지다. 러시아의 크림반도 합병으로 750㎞ 이상의 해안을 빼앗긴 우크라이나는 250㎞에 달하는 해안을 추가로 잃을 위기에 놓였다. 유럽 전역을 공포에 떨게 할 또 다른 ‘기습’이 이뤄질 가능성도 배제할 수 없다. 아르세니 야체뉴크 우크라이나 총리는 이날 국무회의에서 “러시아가 이번 겨울 유럽에 가스 공급을 중단할 계획”이라고 주장했다. 전체 가스 수요의 30%를 러시아에 의존하는 유럽으로서는 러시아가 가스관을 잠그면 최악의 겨울을 맞이할 수밖에 없다. 하지만 러시아는 야체뉴크 총리의 주장이 근거 없다고 반박했다. 한편 미 연방수사국(FBI)은 경제 제재에 불만을 품은 러시아 해커들이 미국의 은행 전산망을 기습 공격한 징후를 포착한 것으로 알려졌다. 블룸버그는 이날 “FBI가 이달 중순 JP모건과 또 다른 은행을 해킹한 것으로 추정되는 러시아 해커들을 추적하고 있다”고 보도했다. 두 은행은 해킹으로 수기가바이트(GB)의 민감한 데이터를 잃었다. 이창구 기자 window2@seoul.co.kr

‘KT 개인정보유출 보상’ KT 개인정보유출 보상 판결에 관심이 모아지고 있다 2012년 KT 개인정보 유출 사고로 피해를 본 가입자 2만 8000여명이 10만원씩 배상을 받게 됐다. 서울중앙지법 민사합의32부(이인규 부장판사)는 22일 피해자 2만 8715명이 KT를 상대로 낸 손해배상 청구 소송에서 “한 사람당 10만원씩 지급하라”며 원고 일부 승소로 판결했다. 판결 확정시 KT가 지급해야 할 총 금액은 28억 7000여만원에 이른다. 재판부는 KT가 고객의 정보를 보호하기 위한 노력을 게을리했다는 점을 인정했다. 재판부는 “KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다”며 “망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다”고 지적했다. 이어 “(이 같은) 해킹 당시 보안 조치의 내용, 해킹 방지 기술 도입을 위해 들인 경제적 비용 등을 고려하면 KT가 개인정보 누출 방지를 위해 관리자로서의 의무를 다하지 못했다고 판단된다”고 밝혔다. 재판부는 사고와 피해 사실 간 인과 관계가 명확히 입증되지는 않았지만 스팸 메시지 등으로 인한 피해 ‘개연성’을 위자료 액수를 정할 때 고려했다고 설명했다. 앞서 경찰청은 2012년 7월 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사실을 확인했다. 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 하지만 KT는 이러한 유출 사태를 5개월간 파악조차 하지 못했던 것으로 조사됐다. 원고들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원의 손해배상금을 지급하라는 내용의 소송을 제기했다. 이번 판결로 일부 피해 회복이 가능하게 된 가입자들은 전체 피해자의 0.33%다. 그 밖의 피해자들은 별도 소송을 제기해 승소해야 배상금을 받을 수 있다. KT는 즉각 항소 의사를 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

‘KT 개인정보유출 보상’ KT 개인정보유출 보상 판결에 관심이 모아지고 있다 2012년 KT 개인정보 유출 사고로 피해를 본 가입자 2만 8000여명이 10만원씩 배상을 받게 됐다. 서울중앙지법 민사합의32부(이인규 부장판사)는 22일 피해자 2만 8715명이 KT를 상대로 낸 손해배상 청구 소송에서 “한 사람당 10만원씩 지급하라”며 원고 일부 승소로 판결했다. 판결 확정시 KT가 지급해야 할 총 금액은 28억 7000여만원에 이른다. 재판부는 KT가 고객의 정보를 보호하기 위한 노력을 게을리했다는 점을 인정했다. 재판부는 “KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다”며 “망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다”고 지적했다. 이어 “(이 같은) 해킹 당시 보안 조치의 내용, 해킹 방지 기술 도입을 위해 들인 경제적 비용 등을 고려하면 KT가 개인정보 누출 방지를 위해 관리자로서의 의무를 다하지 못했다고 판단된다”고 밝혔다. 재판부는 사고와 피해 사실 간 인과 관계가 명확히 입증되지는 않았지만 스팸 메시지 등으로 인한 피해 ‘개연성’을 위자료 액수를 정할 때 고려했다고 설명했다. 앞서 경찰청은 2012년 7월 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사실을 확인했다. 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 하지만 KT는 이러한 유출 사태를 5개월간 파악조차 하지 못했던 것으로 조사됐다. 원고들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원의 손해배상금을 지급하라는 내용의 소송을 제기했다. 이번 판결로 일부 피해 회복이 가능하게 된 가입자들은 전체 피해자의 0.33%다. 그 밖의 피해자들은 별도 소송을 제기해 승소해야 배상금을 받을 수 있다. KT는 즉각 항소 의사를 밝혔다. KT는 판결 직후 입장자료를 내고 “법원이 KT의 책임을 인정한 것은 유감”이라며 “항소해 법령에서 정한 보안 사항을 준수한 상황에서 발생한 불가항력적인 사고였고, 회사 보안조치가 적법했음을 재소명하겠다”고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

금융위원회가 발표한 ‘전자상거래 결제 간편화 방안’에 따라 지난 3월부터 온라인에서 30만원 이상 결제 시에도 공인인증서를 사용하지 않아도 된다. 이처럼 공인인증서 의무사용 규정이 폐지됐지만 카드사들은 관행적으로 30만원 이상 결제 시 공인인증서를 요구해오고 있다. 공인인증서는 자동응답전화(ARS) 인증으로 대체할 수 있다. ARS 인증은 소비자가 걸려온 전화를 받는 ‘아웃바운드’와 소비자가 직접 전화를 거는 ‘인바운드’로 구분된다. ‘아웃바운드’는 ‘전자금융사기 예방 서비스’를 통해 보안성이 검증된 보편적인 방식으로, 현재 많은 은행들이 ARS 인증에 이 서비스를 채택하고 있다. 금융기관에서 고객이 사전에 지정한 전화번호로 전화를 걸어 본인확인을 하는 형태로, ARS시스템에 의해 자동으로 고객에게 전화가 걸리며, ARS 멘트로 거래 내역 사실이 고객에게 안내되면 확인 후, 최종적으로 고객이 승인하게 된다. 착신전환 서비스를 이용해 금융사기가 이뤄질 우려를 막기 위해 작년부터 착신전환차단서비스를 적용, 착신전환된 휴대폰으로 인증 요청되는 것을 차단하는 시스템을 시행함으로써 금융사고를 원천적으로 방지하고 안전성을 높였다. 지난 1월 금융위원회 역시 아웃바운드 방식의 ARS인증은 사기 피해 사례 없이 안전하게 사용 가능하다는 내용을 보도자료로 배포한 바 있다. ‘인바운드’는 텔레뱅킹이나 금융기관 콜센터에 전화하는 것처럼 고객이 직접 금융기관에 전화를 걸어 본인임을 증명하는 방식이다. 금융기관이 고객이 사전에 지정한 전화번호와 고객 발신번호가 일치하는지의 여부를 통해 본인 확인을 하게 되는데, 해킹 또는 사기의 위험에 노출될 우려가 있다. 이는 전화교환기 등을 이용해 발신번호 조작이 가능하기 때문인데 이에 금융감독원은 지난 2012년 발신번호 조작이 가능한 점에 대해 유의할 것을 주문한 바 있다. 이와 관련해 업계 관계자는 “전자상거래 공인인증서 사용 의무 폐지에 따른 대체인증 수단을 도입함에 있어, 금융사고가 발생하지 않도록 보안성과 안정성에 대해 사전에 철저한 검증이 이뤄져야 할 것”이라고 강조했다. 온라인뉴스부 iseoul@seoul.co.kr

2년 전 개인정보 유출 사고를 겪은 가입자들에게 KT가 10만원씩 배상해야 한다는 법원 판결이 나왔다. 서울중앙지법 민사합의32부(부장 이인규)는 22일 개인정보 유출 피해자 2만 8700여명이 KT를 상대로 제기한 손해배상 청구소송에서 “1인당 10만원씩 지급하라”며 원고 일부 승소 판결했다. 이번 판결이 확정되면 KT는 모두 28억 7000여만원을 물어 줘야 한다. 이번 판결의 원고는 전체 피해자의 0.33%에 불과해 나머지 피해자들이 별도 소송을 제기할 가능성도 높아졌다. 재판부는 KT가 정보통신 보안에 들인 경제적 비용 등을 고려하면 서비스 제공자로서 개인정보 누출 방지를 위한 주의 의무를 다하지 않았다고 판단했다. 재판부는 “2차 피해 우려가 높은 주민등록번호 등을 암호화해 보관하지 않았고 퇴직한 개인정보 취급자의 아이디를 말소하지 않아 해커들이 범죄에 이용했다”며 “해커가 1주일에 10만건 정도의 개인정보를 조회했는데 한 달에 1회 이상 정기적으로 개인정보 처리 내역을 감독했다면 정보 유출을 방지할 수 있었을 것”이라고 지적했다. 이어 “원고들의 2차 피해가 이 사건으로 발생했다는 점이 분명하게 입증되지는 않았지만 이를 밝히는 것은 사실상 불가능하고 스팸 메시지 등으로 피해를 입을 개연성이 충분해 위자료 산정에 참작했다”고 덧붙였다. 앞서 2012년 7월 KT 가입자 870만명의 개인정보가 대거 유출된 사건이 적발됐다. 해커 2명이 고객정보를 몰래 조회하는 해킹 프로그램을 통해 5개월에 걸쳐 개인정보를 빼냈는데 그사이 KT는 유출 사실을 파악조차 하지 못했던 것으로 조사됐다. 한편 KT는 “법원이 KT의 책임을 인정한 것은 유감”이라며 “법에서 정한 보안 사항을 준수한 상황에서 발생한 불가항력적인 사고였다”고 항소 의사를 밝혔다. 한재희 기자 jh@seoul.co.kr

전남경찰청 지능범죄수사대는 21일 인터넷 도박 사이트와 인터넷 설치 대행업체 등을 해킹, 2억 2450만건의 개인정보를 빼내 대출사기범 등에 판매한 총책 강모(24)씨와 전문 해커 한모(20)씨 등 6명을 개인정보보호법 위반 등의 혐의로 구속했다. 또 다른 해커 최모(21)씨와 대리점 직원 등 10명을 불구속 입건하고 나머지 7명을 쫓고 있다. 개인정보 판매로 얻은 부당 이익은 20여억원이다. 이들은 2011년 8월부터 지난 3월까지 중국 해커로부터 개인정보를 받아 게임 사이트에서 사이버머니와 게임아이템을 해킹한 뒤 현금화하는 수법으로 2억 7000만원을 챙긴 혐의를 받고 있다. 한씨는 직접 개발한 악성 프로그램을 파일 공유(P2P) 동영상 파일 등에 숨겨 PC를 감염시킨 뒤 강씨가 보관하던 2억 2000만건 가운데 1억 600만건을 다시 해킹하기도 했다. 최씨는 지난 3~5월 불법 도박 사이트 등을 해킹, 회원 정보 25만건을 빼내 건당 300원을 받고 1만여건(300만원 상당)의 개인 정보를 판매한 혐의를 받고 있다. 중복 피해를 뺀 피해자는 2700만여명이다. 15~65세 인구 3700여만명의 72%가 침해를 당한 셈이다. 유출된 개인정보는 이름, 주민번호, 전화번호, 주소, 아이디, 비밀번호, 금융 계좌번호, 이메일 주소 등이다. 고급 개인정보는 2만원, 단순한 성명과 주민번호는 1원에 팔렸다. 무안 최종필 기자 choijp@seoul.co.kr

인터넷 스포츠 도박사이트에서 도박을 한 군 초급간부가 군 수사당국에 적발됐다. 육군 관계자는 20일 “인터넷 스포츠 도박사이트에 가입해 도박을 한 혐의로 A(25) 중위와 B(24) 중사를 적발했다”면서 “중사는 구속됐고 중위는 불구속 상태로 수사를 받고 있다”고 밝혔다. 강원도 모 부대에서 같이 근무하던 이들은 2010년부터 이달 초까지 인터넷 스포츠 도박사이트에 가입해 도박을 한 혐의를 받고 있다. 군 관계자는 “인터넷 도박으로 3억원을 잃은 B 중사가 A 중위에게 사이트 가입을 권유했고, A 중위도 같은 사이트에서 2500만원을 잃은 것으로 조사됐다”고 밝혔다. B 중사가 “도박사이트가 해킹당해 아이디가 도용됐다”는 거짓말로 A 중위에게 소송비 대출을 요구해 4500만원을 받았지만 이를 갚지 않자 A 중위가 B 중사를 사기 혐의로 고소하는 과정에서 군 헌병대에 이 같은 사실이 적발됐다. 안석 기자 ccto@seoul.co.kr

공직 개혁을 주도하고 있는 안전행정부의 예산 낭비와 직원 비리 등 부조리 관행이 감사원 감사에서 적발됐다. 안행부는 사업 활용성 등을 고려하지 않은 채 사업을 추진하다 예산 21억원을 낭비하고 담당 공무원 2명은 민간업자에게 향응과 금품을 받은 것으로 드러났다. 감사원은 지난 2∼3월 안행부를 상대로 기관운영감사를 벌여 19건의 문제점을 적발, 장관에게 시정과 징계 등을 요구했다고 20일 밝혔다. 안행부는 2010년 ‘주민서비스 통합정보시스템 3단계 구축사업’을 추진해 3단계 버전을 만들었지만 활용도가 낮고 다른 시스템과 중복된다는 이유로 제대로 써보지도 못하고 지난해 폐기한 것으로 조사됐다. 이 서비스는 국민 생활에 관련된 민·관 서비스를 온라인으로 연계하기 위해 2007년 시작됐다. 하지만 1, 2단계 사업 결과에 대한 평가에서 숙박예약, 진료상담 등 일부 서비스가 한 번도 이용되지 않는 등 활용도가 낮다는 지적을 받았다. 안행부는 2009년 감사원에서도 이 같은 지적을 받았지만 기존 시스템 개선을 위한 대책도 없이 무작정 3단계 사업을 추진했다. 3단계 시스템 구축 후에도 서비스 이용 실적이 낮고 심지어 총 57개 서비스 중 37개는 다른 기관의 서비스와 중복되자 지난해 결국 3단계 시스템을 폐기하면서 예산 21억원을 고스란히 날렸다. 심지어 이 사업과 관련된 안행부 공무원 2명은 사업에 참여한 민간 업체로부터 룸살롱, 유흥주점 등의 접대를 받고 골프채와 피트니스센터 이용권을 요구해 받아냈다. 감사원은 업체로부터 각각 212만원과 125만원의 금품 및 향응을 수수한 안행부 공무원에 대해 국가공무원법 제82조의 규정에 따라 징계처분을 요구했다. 안행부는 또 ‘청렴·공정 공직사회 정착을 위한 심포지엄 사업’을 하는 비영리 민간단체에 국고보조금을 지원하면서 관리를 소홀히 해 해당 단체 간부가 1500만원을 횡령하기도 했다. 안행부가 국고보조금을 지원·정산하면서 특별한 사유 없이 반납고지서 발부를 지연하거나 반납 기한을 연장한 사이에 해당 간부가 보조금 집행 잔액을 횡령했다는 것이다. 감사원은 안행부가 행정기관 등이 구축·운영하는 모바일 애플리케이션(앱)에 대한 보안지침 등은 마련했으나 보안성 점검을 하지 않아 14개 기관 25개 앱에서 47개의 보안 취약성이 발견되기도 했다고 밝혔다. 이들 앱은 해킹 등 범죄의 위협에 취약한 상태였고 기능 오류 등으로 모바일 전자정부 서비스 이용자의 불편을 야기할 우려가 있는 것으로 밝혀졌다. 이 밖에 안행부는 충남도와 제주도 몫으로 할당된 장기 국외교육훈련과 재외공관 근무에 인사교류를 통해 안행부 공무원을 보내 감사원으로부터 인사교류를 제도에 맞게 운영하라는 주의를 받았다. 또 음주운전으로 면허가 취소된 공무원을 징계하지 않은 채 승진시킨 것으로 드러났다. 조현석 기자 hyun68@seoul.co.kr

추석에 선물 택배가 많아지는 점을 노리고 택배 알림 문자로 위장한 스미싱(전자결제 사기)이 기승을 부리고 있다. 19일 애플리케이션(앱) 개발 벤처 기업인 스윗트래커에 따르면 유명 택배 업체를 사칭한 문자를 보내 스마트폰에 악성 코드를 심는 방식의 스미싱이 추석을 앞두고 급증했다. ‘택배 주소지 변경’ 등을 요구하는 문자를 받고 첨부된 웹사이트 주소(URL)를 클릭하면 휴대전화에 가짜 앱이 설치돼 해킹당하는 방식이라고 회사는 설명했다. 가짜 앱은 스윗트래커가 개발한 ‘스마트택배’ 앱을 사칭한 악성 코드로, 이를 내려받으면 스마트폰에 임의로 비밀번호가 설정돼 스마트폰 사용이 차단된다. 스마트폰을 쓰려면 비밀번호를 알아야 하고 비밀번호를 알려면 돈을 내야 한다. 스미싱이 의심되는 문자를 받으면 URL을 클릭하지 않고 바로 삭제하는 게 좋고 실수로 가짜 앱을 다운로드한 경우 앱을 완전히 삭제해야 한다고 스윗트래커는 조언했다. 스윗트래커 관계자는 “‘스마트택배’는 인터넷 쇼핑몰이나 홈쇼핑 등으로 주문한 물품의 배송 과정을 한눈에 볼 수 있는 앱이어서 추석을 앞두고 내려받는 횟수가 많아졌다”면서 “이를 틈탄 스미싱 문자가 급증해 이용객의 주의가 요구된다”고 당부했다. 명희진 기자 mhj46@seoul.co.kr

LG유플러스가 복잡한 결제 단계를 간소화한 전자결제 서비스 ‘페이나우 플러스’를 내놨다. 이 서비스를 쓰면 번거롭게 액티브 엑스를 설치하거나, 공인인증서를 깔지 않고도 미리 카드 정보를 저장한 스마트폰에 비밀번호만 입력하면 돼 결제 시간이 대폭 준다. 회사는 13일 서울 광화문 세종문화회관에서 간담회를 열고 이 서비스가 국내 결제사업자 가운데 처음으로 금융감독원의 보안성 심의를 통과했다고 밝혔다. 페이나우플러스는 스마트폰에 애플리케이션을 설치하고 최초 1회만 카드 정보를 입력하면 모바일과 PC에서 결제 수단으로 선택할 수 있다. 기존에 모바일에서 결제하려면 이름, 전화번호, 카드번호, 비밀번호 등을 입력해야 해 시간이 오래 걸렸다. 페이나우플러스는 ‘상품 선택→페이나우 플러스 선택→ 비밀번호 입력’만 하면 된다. 비밀번호로는 네 가지 인증 수단을 마련했다. 매번 위치와 내용이 바뀌는 이미지를 조합한 ‘디멘터 그래픽’, 3×3 배열에 지정한 패턴을 입력해 본인을 확인하는 ‘안전패턴’, 미리 설정한 6자리 번호로 본인을 확인하는 ‘패스워드’, 결제를 요청할 때마다 1회용 비밀번호를 받아 쓰는 ‘mOTP’ 방식 등이다. 스마트폰을 잃어버리거나 해킹당해 정보가 유출되면 위험하지 않을까. 강문석 BS본부장(부사장)은 “카드 정보 자체는 암호화해 가상으로 저장한다”면서 “만약 정보가 절취당하더라도 최초 1회 정보를 입력할 때 ‘080 ARS 시스템’으로 실제 사용하는 휴대전화와 발신번호를 대조하게 돼 있기 때문에 안전하다”고 설명했다. 이 인증 방식은 LG유플러스만 갖고 있는 기술로, 현재 특허 출원 중이다. 페이나우 플러스는 현재 배달통, 반디앤루니스, 위메프 박스 등 10만여개 온라인 가맹점과 서비스 계약을 맺었고 올해 안으로 가맹점을 15만개까지 늘릴 예정이다. 신한, BC, 하나SK카드만 가능한 카드 종류도 연내 모든 신용카드로 확대한다. 이달 중에는 은행 계좌이체도 신규 결제수단으로 추가할 계획이다. 명희진 기자 mhj46@seoul.co.kr

수도권매립지관리공사 비리 의혹이 일파만파로 번지고 있다. 지난 6월 공사의 한 직원이 서울신문에 송재용 사장이 전 직원에게 ‘정보보안서약서’를 제출토록 하고 이메일추적시스템을 구축한 사실을 제보한 데 이어, 또 다른 직원이 ‘환피아’(환경부+마피아)를 둘러싼 이권 개입과 파워게임을 폭로했다. 12일 해당 직원은 “환경부 출신 간부들이 매립지 내 골프장을 민영화시킨 뒤 자신들이 운영권을 가져가기 위해 송 사장과 결탁해 민영화에 반대하는 직원들에 대한 환경부 감사를 유도했다”고 밝혔다. 이로 인해 실무진만 중징계를 받고 골프장 민영화 문제를 다룬 환경부 관계자들은 조사받지 않거나 무혐의 처리되는 이상한 감사가 진행됐다고 주장했다. 또 송 사장이 골프장을 연간 고정적으로 이용할 수 있는 300여개 단체팀 중 50%가량을 임의 선정했다는 의혹도 제기했다. 이 직원은 “송 사장이 환피아 결속 유지를 위해 환경부 퇴직 관료들에게 공사 예산을 과도하게 사용해 왔다”면서 “자신의 정치적 입지를 위해 정치인 후원금으로 불법 지출하기도 했다”고 지적했다. 매립지공사 간부급 24명 중 15명이 환경부 출신이고, 공사가 설립한 법인 4곳에는 7명의 환경부 출신이 고위직을 맡고 있다. 송 사장은 환경부 국·실장을 거쳐 지난해 5월 매립지공사 사장으로 부임했다. 매립지공사 내부 갈등은 특정 지역 출신과 환경부 출신 간의 반목 때문이라는 게 직원들의 공통된 의견이다. 이 와중에 한 직원이 자신의 메일을 해킹당했다며 공사 간부를 경찰에 고소하는 일까지 벌어졌다. 이모씨는 최근 공사의 전반적인 문제점을 고발하는 메일을 지역 국회의원 보좌관에게 보냈다. 그러나 이씨는 다음날 해당 메일이 간부에게 보고됐고 긴급 간부회의가 소집됐다는 것을 알게 됐다. 지난 3월 공사가 4800만원을 들여 이메일추적시스템을 구축했기에 해킹 개연성이 있다. 김학준 기자 kimhj@seoul.co.kr