천재 해커의 자살에 항의한 일단의 해커 그룹들이 미 사법 기관 웹사이트를 해킹해 충격을 주고 있다고 CNN 등 미국 언론들이 26일(이하 현지시각) 보도했다. 세계적인 유명 해커 그룹 ‘어나니머스’(Anonymous)를 자처한 해커들은 미국 법무부 산하 기관인 형선고 위원회(www.ussc.gov)의 웹사이트를 해킹하고 최근 자살한 천재 해커 애런 스워츠(26)의 죽음에 항의하는 메시지를 홈페이지 전면에 남겼다. 이들은 최근 스워츠의 자살은 미국 사법체계의 문제점 때문에 비롯되었다고 주장하면서 이를 개선하지 않을 경우 확보한 중요 정부 문서들을 언론 등에 공개하겠다고 밝혔다. 이에 따라 미 연방수사국(FBI)은 이를 중대한 범죄행위라며 즉각 수사에 나섰다고 밝혔다. 지난 11일 뉴욕의 아파트에서 목을 매 숨진 것으로 발견된 스워츠는 불과 14세에 대표적인 웹 피드 시스템인 RSS를 창안했으며 이후 인기 소셜 뉴스 사이트인 레딧(Reddit)도 공동 창업하는 등 천재 해커로서 명성을 날린 바 있다. 하지만 최근 미 매사추세츠 공과대학(MIT)의 학술 자료 사이트에 침입해 무단으로 논문 자료를 다운받은 혐의로 기소되었으며 다음 달 시작될 재판을 앞두고 자살한 채로 발견되어 충격을 준 바 있다. 사잔=해킹당한 미 정부 산하 기관 사이트 (미 CNN 캡처) 다니엘 김 미국 통신원 danielkim.ok@gmail.com

다음 달부터 자동화기기(ATM)에서 마그네틱(MS) 현금카드 사용이 제한된다. 복제 위험 등이 있어서다. 금융감독원은 지난해 5월 ‘예고’한 대로 2월 1일부터 시범적으로 MS카드 사용을 제한한다고 23일 밝혔다. 시범기간인 1년 동안은 일부 ATM에서 MS카드로 현금을 찾을 수 없고, 2014년 2월부터는 사용이 전면 금지된다. 2~7월엔 전체 ATM의 50%, 8월부터 내년 1월까지는 80%에서 사용할 수 없다. 집적회로(IC)카드로만 바꾸면 기존 서비스를 그대로 이용할 수 있다. 2011년 해킹 사고로 정보 유출 위험이 제기된 미국 보안업체 RSA사의 일회용 비밀번호(OTP·One Time Password) 생성기 1만 8700여개도 교체가 시급한 것으로 나타났다. 국내에 보급된 RSA사의 OTP 생성기는 농협은행 1만 5548개, 수협중앙회 466개, 우정사업본부 2717개 등이다. 백민경 기자 white@seoul.co.kr

가슴을 먹먹하게 만든 ‘좋지 않은 소식들’로 점철된 한 주간이었다. 20대 여성을 납치·살해한 중국인 ‘오원춘 무기징역 확정’이 1위였다. 대법원은 지난해 4월 경기 수원에서 살인을 저지른 뒤 시신까지 훼손한 오원춘에게 무기징역을 선고한 원심을 확정했다. 오원춘은 1심에서는 사형이 선고됐으나 항소심에서 무기징역으로 감형되면서 인면수심의 범죄자에 대한 감형 논란에 불을 붙였다. 성폭행 피의자인 ‘노영대 또 도주 시도’(6위), 여성 납치범 ‘김동현 법정구속’(9위)도 검색어 상위에 올랐다. 노영대는 지난해 경찰 조사를 받던 중 달아나 5일 만에 검거됐으나 최근 검찰청 구치감에서 다시 도주를 시도했다. 전 국가대표 축구선수인 김동현은 지난해 40대 여성을 위협해 외제차를 빼앗아 구속기소된 뒤 1심에서 집행유예를 선고 받았다. 하지만 항소심에선 실형을 선고받았다. ‘비(정지훈) 보직 변경 사실 무근’은 2위. 가수 비는 최근 여배우 김태희와의 열애 사실이 알려지면서 연예병사의 과도한 휴가일수 논란을 불러왔다. 이후 한 인터넷매체가 “비가 전방 근무 등 보직 변경을 신청했다”는 비측의 주장을 그대로 옮겼으나 국방부 관계자는 “정지훈 상병이 보직 변경을 신청한 적은 없다”고 잘라말했다. 3위는 ‘나로호 3차 발사’. 교육과학기술부는 나로호 3차 발사 관리위원회를 열어 발사 예정일을 30일, 예정 시간은 오후 3시 55분부터 7시 30분이라고 밝혔다. ‘인수위 기자실 해킹 해프닝’은 4위였다. 지난 17일 인수위 관계자는 정보당국의 보안 점검 결과 삼청동 인수위 기자실의 일부 컴퓨터가 북한에 해킹당한 정황이 포착됐다고 밝혔다. 그러나 이날 오후 브리핑을 통해 “일부 오해가 있었다”고 해명했다. 5위는 ‘대통령 택시법 거부권 시사’. 이명박 대통령은 지난 15일 국무회의에서 택시를 대중교통 수단으로 인정하는 ‘택시법’에 대해 재검토를 지시했다. 거부권 행사가 시사된 택시법의 운명은 22일 국무회의에서 결정된다. 7위는 ‘국보급 삼국유사 기증’. 고(故) 손보기 교수의 유족이 손교수가 소장하던 조선 초기 삼국유사 고판본을 연세대에 기증했다. 새로운 삼국유사에는 국보 306호인 ‘송은본 삼국유사’에는 없는 내용이 담겨 있다. 8위는 ‘정읍 UFO’. 지난 14일 전북 정읍 시내 상공에서 UFO가 카메라에 잡혀 화제가 됐으나 거짓으로 드러났다. 10위는 브로커가 취업준비생으로부터 돈을 받고 영어 시험을 대신 보거나 답을 알려 준 ‘토익 대리시험 기소’. 오상도 기자 sdoh@seoul.co.kr

어제 대통령직 인수위원회 기자실에서 인터넷 해킹 소동이 빚어졌다. 엊그제 중앙 언론사의 홈페이지 사이버 공격(해킹)이 북한 체신성 소속 ‘이즈원’의 소행으로 밝혀진 직후라 많은 국민을 놀라게 했지만, 인수위 측이 북한이 해킹한 흔적이 없다고 발을 빼면서 일단 해프닝으로 끝났다. 하지만 각종 사이버 테러에 대한 우리 정부의 취약성을 여실히 드러냈다는 게 우리의 판단이다. 인수위 공식발표로만 볼 때 북한의 해킹인지, 다른 해킹이 있었는지 알 수 없다. 5년 전 이명박 정부의 인수위에서도 400여대의 컴퓨터가 해킹을 당했고 북의 소행으로 드러난 전례가 있다. 이번에도 북한의 사이버 공격에 대한 의구심을 떨치기 힘든 이유다. 북한의 사이버 공격 전력은 상당한 수준이고, 증가 추세에 있다는 게 전문가들의 일치된 분석이다. 최근에는 사전에 공격 사실을 알리고, 해킹을 한 뒤에는 자신들의 행위라고 떠벌리기까지 하는 상황이다. 북의 이런 허세는 정찰총국 산하에 3000여명의 ‘사이버 전사’가 있다는 자신감에서 나온다고 짐작된다. 이는 북한이 전자전과 디도스 공격, 해킹, 심리전 등 다양한 유형의 사이버 공격을 구사할 능력을 갖췄다는 의미일 게다. 북한의 사이버전 능력은 미 중앙정보국(CIA)에 버금가는 수준에 이르렀다는 분석도 있지 않은가. 세계는 이미 국가 간 ‘사이버 정보전’ 시대에 접어든 상태다. 군사 및 경제 정보를 빼내려는 공격이 잦아지고, 앞으로 대상 및 루트도 다양화될 게 불 보듯 뻔하다. 주요 군사 강국들이 앞다퉈 사이버 공격과 대응 전문 기구를 만들고 있다는 데서 그 중차대함을 짐작할 수 있다. 미 국방부는 3년 전 사이버사령부를 만들었고 영국과 중국, 이스라엘도 비슷한 성격의 기구를 갖추고 있다. 한데 우리의 사이버 공격에 대한 준비 실태와 대응 수준은 어떠한가. 인수위의 인터넷 해킹 소동에서 보듯 사이버 공격에 대한 당국의 미숙한 대응 수준을 지적하지 않을 수 없다. 인수위는 “해킹 흔적이 포착됐고 북한의 소행으로 보인다”고 발표했다가 “전달 과정에서 내용이 잘못됐고, 보안 당국만 알고 있다”고 정정하는 등 한심한 아마추어리즘을 드러냈다. 우리의 사이버 공격 대응 조직은 국방부와 국가정보원, 경찰청, 한국인터넷진흥원 등이 있지만 대체로 사후 대응 위주로 운영되고 있다. 사이버 테러 전담 조직을 선제적 대응 체제로 바꿔나갈 필요가 있다.

세종시와 서울로 분산돼 있는 정부 부처 차관과 차관급들이 17일 첫 영상 회의를 했다. 정부가 청사 분산에 따른 행정 비효율을 해결하기 위한 대안으로 준비한 것으로, 영상회의가 열린 것은 처음이다. 정부세종청사에서는 차관회의 의장인 임종룡 국무총리실장과 지난해 말 이전을 완료한 기획재정부·농림수산식품부·환경부·국토해양부 차관 등 8명이 참석했고, 서울 세종로 정부서울청사에서는 나머지 부처 차관 등 22명이 나왔다. 회의가 시작되자 서울청사 대회의실 가운데 설치된 대형 화면에는 임 실장 등 세종청사 참석자들 모습과 서울청사 참석자들 모습이 각각 화면 한쪽에 나왔다. 회의의 주요 내용과 안건들도 화면에 나타났다. 정부는 이날 회의에서 자연재해대책법 시행령 등 대통령령 개정안 12건, 일반안건 4건, 부처보고 1건 등 17건을 심의했다. 임 실장은 모두발언에서 “세종시 이전 이후 영상·통신 등 디지털 기술을 이용한 행정은 선택이 아닌 필수가 됐다”며 “각 부처는 대면회의 중심의 아날로그 시대의 관행에서 벗어나 새로운 업무 프로세스와 조직문화가 정착될 수 있도록 해 달라”고 주문했다. 정부는 청사가 서울, 과천, 세종, 대전 등 4곳으로 분산되면서 나타난 행정 비효율에 대응하기 위해 대면회의를 점차 줄이고, 영상회의를 늘려 나갈 방침이다. 지역적으로 분산된 행정역량을 효율적으로 활용하기 위해 영상회의를 상시화하겠다는 것이다. 영상회의가 성공적으로 활용되기 위해선 도청 방지 수준을 높이는 것이 관건이다. 영상회의 도청 방지 시스템이 개발돼 있지만 해킹에 완벽한 것은 아니어서 업그레이드가 필요하다는 것이 전문가들의 지적이다. 이를 바탕으로 심도 있고 내밀한 대화가 진행될 수 있도록 대화 문화와 소프트웨어 등 프로그램의 진화도 필요하다. 총리실과 행정안전부는 “회의가 성공적으로 진행된 만큼 이른 시일 안에 영상국무회의를 열겠다”며 “영상회의의 안정성과 유용성이 입증된 만큼, 정부 내 각종 회의에 영상회의시스템을 적극 활용토록 지원하고 디지털 행정문화의 확산을 가속화시키겠다”고 밝혔다. 이석우 선임기자 jun88@seoul.co.kr

대통령직인수위원회가 17일 난데없는 ‘북한 해킹설’로 곤욕을 치렀다. 인수위 측 관계자가 이날 오전 “인수위가 북한 측의 해킹에 뚫린 흔적이 포착됐다”고 호들갑을 떨었다가 오후에 “북한 측의 소행으로 확인된 바 없다”며 갑자기 말을 바꿨기 때문이다. 국민들은 혼란을 겪을 수밖에 없었다. 이 과정에서 인수위가 해킹 사실을 은폐하고 있는 것 아니냐는 의혹도 제기됐다. 인수위 서버 피해 여부를 떠나 해킹에 취약하다는 것이 사실로 확인되면서 철통 보안을 강조하며 국민들에게 혼란을 주지 않겠다는 인수위는 결국 두 가지 약속 모두를 지키지 못했다는 지적을 받고 있다. 오전 9시 45분쯤 인수위가 입주해 있는 서울 종로구 삼청동 한국금융연수원 본관 2층 기자실의 인터넷 서버가 북한 측 해킹에 노출됐다는 소식이 전해졌다. 이원기 인수위 대변인 실장은 “보안 당국에서 보안점검을 했는데 북한 측 해킹 흔적이 감지됐다고 한다”고 말했다. 이어 “해킹당한 장소는 기자실 근처 서버이며 정보 당국으로부터 해당 내용을 이날 오전에 전달받았다”며 구체적인 내용도 덧붙였다. 그러자 상당수 언론이 “인수위가 북한의 해킹에 뚫렸다”는 소식을 앞다퉈 보도했다. 그러나 북한의 인수위 서버 해킹설은 6시간 만에 일단 ‘해프닝’으로 끝났다. 윤창중 인수위 대변인은 “상업망을 쓰는 인수위 기자들의 노트북 보안이 취약해 보안 당국에서도 철저하게 감시해 온 것으로 알고 있다”면서 “인수위와 관련해서는 보안 문제가 없었다”고 말했다. 그럼에도 의문점은 여전히 남았다. 인수위 측에서 이미 해킹 여부를 파악하고 있었을 가능성도 제기된다. “북한 소행이 아니다”라는 판단을 하기 위해서는 인수위가 해킹을 당했다는 사실 여부가 전제돼야 하기 때문이다. 또 보안 당국이 새 정부 통수권자가 꾸린 인수위에 해킹 여부를 알리지 않았을 리 없다는 게 중론이다. 그렇다면 인수위의 “해킹 여부를 알 수 없다”는 주장은 거짓말이 된다. 이영준 기자 apple@seoul.co.kr

지난해 6월 발생한 중앙일보 해킹 사건은 북한의 소행인 것으로 밝혀졌다. 북한이 국내 언론사에 대해 ‘특별행동’을 개시하겠다고 밝힌 시점과 해킹 시작 시점이 일치해 북한의 계획된 사이버테러일 가능성이 높다는 분석이다. 경찰청 사이버테러대응센터는 16일 “중앙일보 해킹 공격의 근원지가 북한으로 최종 확인됐다”면서 “공격에 동원됐던 해외 서버 한 대에서 2009년 7·7디도스(DDoS·분산서비스거부) 공격 때 사용됐던 북한 체신성 산하 조선체신회사 아이피(IP)로 접속했다는 점 등이 가장 결정적 근거”라고 말했다. 북한이 국내 사이트를 공격한 것은 여섯 번째다. 지난해 6월 9일 중앙일보 홈페이지(joongang.joinsmsn.com)는 입을 가리고 웃는 고양이 사진과 함께 녹색 코드가 나열된 화면으로 도배됐다. 뉴스사이트 화면에는 ‘이즈원이 해킹했다’(Hacked by isOne)는 메시지가 등장했다. 또 같은 날 오후에는 신문제작시스템에 침입한 악성코드의 영향으로 일부 데이터가 삭제되는가 하면 신문 제작에도 차질이 빚어졌다. 경찰은 지난 7개월간 신문제작시스템과 보안시스템 접속기록, 시스템에 침입한 악성코드, 공격에 사용된 국내외 서버 18대를 분석해 해킹이 북한 소행이라고 결론지었다. 먼저 경찰은 조선체신회사가 중국 회사로부터 임대한 아이피 내역을 분석했다. 이 과정에서 북한 평양시 문수동에 위치한 ‘이즈원’(IsOne)이라는 이름의 PC가 4월 21일부터 중앙일보의 주요 피해 서버에 집중적으로 접속한 사실을 확인했다. 경찰은 “북한 회선을 이용한 공격자가 4월 말부터 중앙일보 웹사이트와 신문제작시스템의 관리자 아이디와 비밀번호 등 접속정보를 수집한 뒤, 악성코드를 심었다”고 밝혔다. 경찰 관계자는 “북한이 시간을 두고 사전 준비 작업을 벌인 것으로 보인다”고 설명했다. 김정은 기자 kimje@seoul.co.kr

북한은 해킹 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 중앙일보 신문제작시스템을 삭제하는 악성코드를 재전송하는 수법을 사용했다. 위장을 위해 이용된 해외 경유지 서버 중 1대는 2011년 3월 4일부터 이틀간 벌어진 이른바 3·4 디도스 공격과 같은 해 4월 농협 전산망 해킹 사건 때 이용된 서버와 같았다. 경찰 관계자는 16일 “전 세계 IP 주소 약 40억개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격 경유지 서버로 사용될 가능성은 0％에 가깝다”고 설명했다. 경찰이 북한을 주범으로 꼽는 이유다. 북한 소행이라는 근거로 경찰은 악성코드가 동일하다는 점도 들었다. 중앙일보 해킹에 사용된 16자리 숫자·영문자·특수문자 조합 악성코드가 과거 북한 소행 해킹 사건 때 사용된 악성코드와 똑같았다. 경찰 관계자는 “16자리 관리자 정보 암호 해독에 사용되는 악성코드 키값은 문자와 숫자, 특수문자 조합으로 이뤄지며 제작자가 마음대로 부여한 값이기 때문에 동일 공격자만이 알 수 있다”고 전했다. 북한이 우리나라 웹사이트에 사이버테러를 감행하다가 적발된 것은 다섯 번째다. 앞서 북한은 2009년 7·7디도스 공격, 2011년 3·4 디도스 공격, 같은 해 농협 전산망 해킹과 고려대 이메일 악성코드 유포 등의 사이버 테러를 감행한 바 있다. 7·7 디도스 공격 당시 북한은 체신성 아이피 대역을 이용하는 27만대 좀비 PC를 동원, 전 세계 61개국 435대 서버를 활용해 한국과 미국 주요 기관 등 모두 35개 주요 사이트를 공격했다. 3·4디도스 공격 때는 좀비 PC 10만대를 동원, 해외 70개국 746대 서버를 활용해 청와대, 국회, 언론사 등 국내 정부기관 40개의 사이트를 공략했다. 북한 사이버 테러 대상은 점차 다양해져 한 달여 만에 다시 농협 전산망까지 손댔다. 북한은 해외 13개국에서 27대의 서버를 활용해 농협 금융전산망을 뚫었고 악성코드에 감염된 농협 PC 273대가 파괴됐다. 지난해 4월에는 북한에 대한 비판기사를 썼다는 이유로 국내 보수 언론사 몇 곳에도 선전포고를 했다. 경찰이 분석한 해킹 접속기록을 보면 북한 해커는 지난해 4월 21일부터 약 두 달간 중앙일보의 주요 피해 서버에 집중적으로 접속했다. 이 기간 북한이 악성코드를 심었고, 관리자 PC에 저장된 서버 관리 정보를 해외를 거쳐 이즈원으로 송출했다. 이 정보는 직접적인 해킹 공격에 이용됐다. 이즈원은 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 신문제작시스템을 삭제하는 악성코드를 다시 전송했다. 이 명령은 6월 9일 신문 제작에 필요한 일부 서버를 타격했다. 한편 북한의 사이버테러능력은 상당 수준에 올랐다는 것이 전문가들의 평가다. 이동훈 고려대 정보보호대학원 교수는 “북한은 전자전과 서비스 거부 공격, 해킹, 심리전 등 다양한 사이버 공격력을 갖춘 것으로 보인다”고 말했다. 정부기관이나 금융기관, 언론사 등으로 해킹 대상이 갈수록 다양화되고 있어 해당 기관들의 보안대책이 시급하다는 지적이다. 김정은 기자 kimje@seoul.co.kr

지난달 27일 오전 6시. 박재완 기획재정부 장관은 경기 성남 분당구 정자동 자택에서 평소보다 조금 일찍 길을 나섰다. 이날의 목적지는 재정부가 새로 둥지를 튼 세종시가 아닌 서울 광화문이었다. 오전 8시부터 청와대에서 비상경제대책회의가 열렸기 때문이다. 박 장관은 회의가 끝나자마자 세종정부청사로 향했다. 2시간 30분 걸려 도착해 재정부 기자단과 오찬을 함께한 뒤 다시 서울 여의도로 향했다. 그날 오후 2시 30분부터 세종청사 개청식이 있었지만 새해 예산안 처리 등을 위해 국회에서 비공개 당정 간담회를 가져야 했다. 박 장관이 이날 하루 서울과 세종청사를 오가며 길에 버린 시간만 6시간이다. 재정부 관계자는 4일 “앞서 20일에는 서울로 올라오는 차 안에서 샌드위치로 점심을 해결해야 했다”면서 “박 장관이 워낙 건강 체질이기는 하지만 체력 부담이 적지 않다”고 전했다. 우리나라 경제정책을 총괄하는 재정부가 과천청사에서 세종청사로 옮겨온 것은 지난달 20일이다. 벌써 3주째 접어들고 있지만 박 장관이 세종청사에 머문 날은 단 3일에 불과하다. 그것도 온종일 머문 것이 아니라 잠깐잠깐 볼일을 보고 다시 서울로 올라갔다. 시간으로 따지면 세종 체류는 10시간 남짓이다. 세종시 첫마을에 장관 관사가 있지만 잠을 잔 적은 한 번도 없다. 6개 부처가 세종청사로 이사했지만 주요 회의와 행사는 여전히 서울에서 열리기 때문이다. 과천청사에서 ‘방’을 뺀 탓에 서울에서는 주로 광화문 서울청사와 명동 은행연합회관, 여의도 국회 안 사무실을 이용한다. 관용차인 준중형 하이브리드 승용차도 주된 업무공간이다. 본의 아니게 ‘움직이는 사무실’ 시대를 맞고 있는 셈이다. 재정부 고위관계자는 “장관께서 서울에 아침 일정이 없는 날에는 가급적 세종청사에서 업무를 보려고 하지만 여의치 않은 실정”이라며 “앞으로도 상당 시간을 길에서 보내야 할 것 같다”고 털어놨다. 다른 장관들도 상황은 비슷하다. 권도엽 국토해양부 장관은 지난달 17일 세종시로 내려왔지만 거의 매일 서울을 오르내렸다. 그래도 세종시 첫마을 장관 관사에서 2~3일씩 숙박했으니 박 장관보다는 사정이 낫다. 박 장관과 비슷한 시기에 이삿짐을 싼 김동수 공정거래위원장도 이틀 중 하루는 서울에서 보내고 있다. 그나마 장·차관들은 회의 핑계라도 대고 서울에 온종일 머무를 수 있지만 국장급 간부들은 꼼짝없이 서울과 세종을 ‘셔틀’처럼 오가야 해 불편이 이만저만이 아니다. 재정부 고위공무원 A씨는 “서울에서 일을 보고 밤늦게 세종청사로 돌아오면 밥 때를 놓쳐 굶은 적도 많다”면서 “5000명이 넘는 공무원들이 단체로 ‘귀양’ 온 셈”이라며 한숨을 내쉬었다. 정부는 정보기술(IT)을 활용해 화상회의 등을 최대한 활용하려고 하지만 한계가 있어 보인다. 재정부의 또 다른 고위관계자는 “해킹 등으로 비공개회의 사항이 외부에 유출될 위험을 감수하느니 서울에 모여 얼굴을 맞대고 회의를 하는 게 더 효율적”이라고 귀띔했다.세종 이두걸 기자 douzirl@seoul.co.kr 세종 류찬희 선임기자 chani@seoul.co.kr

할리우드 유명 여배우인 스칼렛 요한슨의 나체 사진을 해킹해 유포한 남성이 징역 10년 형을 선고받았다고 영국 일간지 더 선이 19일 보도했다. 크리스토퍼 체니(36)라는 이름의 남성은 최근 로스앤젤레스에서 열린 재판에서 “할리우드 스타들의 사생활을 몰래 염탐하는데 중독이 돼 해킹을 저질렀다.”고 인정했다. 일명 ‘할리우드 해커’라 불리기도 한 그는 2010년 스칼렛 요한슨, 크리스티나 아길레라 등 유명 할리우드 스타들의 사생활이 담긴 사진을 인터넷에 올렸다. 특히 지난 9월 그는 스칼렛 요한슨의 휴대전화를 해킹해 그녀의 나체 사진을 인터넷에 유포, 전 세계에 사진이 퍼져 파장을 일으킨 바 있다. 미국 연방수사국은 연예인을 포함 50여 명의 유명인사가 해킹 피해를 당하자 11개월간 수사를 펼쳤고, 결국 지난해 10월 체니를 체포했다. LA연방법원은 “요한슨 본인이 직접 찍은 나체 사진 등 사생활이 담긴 사진을 몰래 해킹에 올림으로서 피해자가 매우 큰 부끄러움과 당황함을 느끼게 했다.”며 “뿐만 아니라 이메일 해킹과 사진을 유포한 혐의로 징역 10년 및 7만 6000달러의 배상금을 피해자들에게 지급하라.”고 판결했다. 당초 법원은 체니가 총 26건의 범죄를 저질렀으며 이들 모두를 유죄로 판명할 경우 최대 121년의 징역형을 선고할 수 있었다. 그러나 체니가 법정에서 “나의 혐의를 모두 인정하는 대신 감형해달라.”고 요구했고 법원 측은 이를 받아들여 10년형을 선고했다. 송혜민기자 huimin0217@seoul.co.kr

국가정보원 여직원의 대선 후보 비방 댓글 작성 의혹 사건을 수사 중인 경찰의 중간 수사 결과 발표에 대한 역풍이 거세다. 보안 전문가들은 17일 “하드디스크뿐만 아니라 포털사이트 등의 서버까지 살펴봐야 충분한 수사”라며 “채 10%도 이뤄지지 않은 수사를 경찰이 왜 발표했는지 의문”이라고 지적했다. 이상진 고려대 정보보호대학원 디지털포렌식학과 교수는 “하드디스크를 덮어 쓰면 인터넷 댓글 접속 기록은 남아도 그 내용은 사라질 수 있다.”면서 “특정 사이트 아이디로 비방 댓글을 달았는지를 알려면 포털 사업자에게 요청해 서버를 분석하는 것이 정확하다.”고 말했다. 신원 동명대 정보보호학과 교수도 “PC에 남아 있는 증거는 얼마든지 조작이나 삭제가 가능하다.”면서 “정확하게 입증하기 위해서는 포털사이트 서버와 하드디스크를 함께 비교하는 작업이 기본”이라고 설명했다. 경찰이 하드디스크 분석에 사용했다는 데이터 복구·분석 프로그램 ‘인케이스’에 대해서도 전문가들은 완전하지 않다고 밝혔다. 신 교수는 “최근 개발된 삭제 프로그램은 아예 복구가 불가능하도록 파일을 영구 삭제해 버려 이것을 쓰면 사실상 복원이 불가능하다고 봐야 한다.”고 밝혔다. 이 교수는 “통상 데이터를 삭제하면 삭제한 흔적이 남지만 별도로 개발한 프로그램을 써서 특정 내용은 물론 사용 흔적까지 지웠을 가능성도 배제할 수 없다.”고 말했다. 확인된 40개 아이디 외 숨은 아이디가 있을 수 있다는 의혹도 제기됐다. 신 교수는 “대부분의 웹사이트는 사용자를 식별하기 위해 ‘쿠키’(cookie)라는 정보를 PC로 보낸 후 저장하게 해 흔적이 남는데 이를 하나하나 삭제하면 검색된 아이디 40개 외에 문제가 될 만한 특정 아이디를 삭제하는 것도 가능하다.”고 말했다. 신상욱 부경대 IT융합응용공학과 교수는 “인터넷 옵션에서 쿠키 설정을 하지 않는다면 처음부터 기록이 남지 않을 수도 있다.”면서 “해킹으로 다른 PC를 경유해 댓글을 남겼다면 하드 디스크 조사만으론 역추적이 어렵다.”고 말했다. 경찰의 중간 수사 결과 발표가 과연 충분한 분석 후 나온 것인가에 대한 의문도 제기됐다. 신 교수는 “하드디스크를 단순 복원, 분석하는 데 사흘 정도 걸린 것은 이해할 만하다.”면서도 “단, 얻은 결과를 어떻게 해석할 것인지가 가장 중요한데 이를 감안하면 경찰 수사는 10%도 이뤄지지 않은 단계”라고 덧붙였다. 경찰의 중간 수사 결과 발표 시점과 주체에 대한 비판도 나왔다. 경찰이 긴급 보도자료를 낸 시점이 이정희 통합진보당 후보가 사퇴한 날인 데다 대선 후보 3차 TV 토론 직후였기 때문이다. 표창원 경찰대 교수는 “서버 조사도 하지 않은 상태에서 경찰이 밤 11시에 중간 수사 결과를 발표하는 것은 대단히 드문 일”이라며 “경찰이 오히려 국민의 의혹을 키웠다.”고 비판했다. 발표를 결정한 주체에 대해서도 경찰은 16일 서울경찰청의 결정이었다고 했다가 다음 날 수서경찰서 자체 판단이었다고 말을 바꿨다. 김용판 서울경찰청장은 “수서경찰서장이 신속히 발표하는 게 낫다는 의견을 보내 와 협의해 결정한 것”이라고 해명했다. 신진호기자 sayho@seoul.co.kr 배경헌기자 baenim@seoul.co.kr

해킹을 당한 것도 아니고 그저 유명 언론 사이트나 여행 사이트를 방문했을 뿐인데, 내 모든 정보가 줄줄 새어 나간다? 정말 가능한 일일까? 미국 연방 통산위원회(FTC)는 웹 브라우저의 취약점을 이용하여 소비자들의 개인 정보를 불법적으로 획득해온 에픽(Epic) 사에게 그동안 취합한 개인 정보를 모두 파기하라고 명령했다고 8일(현지시각) 미 언론들이 보도했다. 뉴욕에 거점을 두고 있는 마케팅 회사인 에픽은 CNN.com 등 유명 사이트를 포함 2만 4천 개가 넘는 사이트에 자신들의 광고를 게재하면서 웹 브라우저의 취약점을 이용하여 해당 사이트에 접속하는 사람의 개인 정보를 교묘히 빼내온 것으로 밝혀졌다. 이 회사는 이른바 인터넷 접속 기록인 쿠키(cookie)의 취약점을 활용하여 이들 접속자들의 신상은 물론 현재 앓고 있는 병명 등 의료 정보와 재정 상태에 관한 정보도 모두 빼내 마케팅에 활용하려고 별도의 데이터를 만들었다고 FTC는 밝혔다. 이러한 사실은 해당 사실을 발견한 네티즌들이 FTC에 에픽사를 고발함으로써 조사에 착수하여 드러나게 되었다. 이러한 개인 정보의 무단 노출은 이미 2011년 7월에 보안 전문가들에 의해 밝혀진 인터넷 취약점에 의해 가능했던 것으로 드러났다. 하지만 현재는 거의 모든 브라우저가 이 취약점을 보완한 상태라고 언론들은 전했다. 다니엘 김 미국 통신원 danielkim.ok@gmail.com

KB국민카드와 BC카드의 소액결제 체계인 안전결제(ISP) 시스템을 이용하는 금융 소비자들의 비밀번호 등이 유출돼 경찰이 수사에 나섰다. 경찰청 사이버테러 대응센터는 4일 KB국민카드와 BC카드의 소액결제 체계인 ISP 시스템을 사용하는 금융 소비자 190여명의 ISP 비밀번호 등이 해킹돼 830차례에 걸쳐 1억 8000만원의 상당의 피해가 발생했다며 수사에 착수했다고 밝혔다. 경찰에 따르면 용의자들은 ISP를 해킹해 주로 온라인 게임 사이트 등에서 결제한 것으로 전해졌다. ISP 시스템은 KB국민카드와 BC카드의 30만원 이하 온라인 거래에서 사용하는 소액결제 체계로, 개인 PC 하드 디스크나 스마트폰, 이동식 저장장치(USB)에 저장할 수 있는 공인인증서를 이용해 비밀번호만 입력하면 카드결제가 가능하게 돼 있는 시스템이다. 경찰은 ISP 시스템 자체가 해킹됐을 가능성보다 악성코드 등으로 소비자 개인의 이메일에 저장된 인증서가 해킹당했거나, PC가 해킹돼 PC 안에 저장된 인증서가 유출됐을 가능성을 염두에 두고 수사를 진행 중이다. 한편 금융감독원은 4일 이번 사건과 관련해 KB국민카드와 비씨카드에 대한 현장 점검에 나선다고 밝혔다. 김정은기자 kimje@seoul.co.kr 백민경기자 white@seoul.co.kr

네이트·싸이월드 회원들의 개인정보 유출에 대해 사이트 운영업체는 손해배상 책임이 없다는 판결이 나왔다. 서울중앙지법 민사합의32부(부장 서창원)는 23일 해킹 피해자 2847명이 SK커뮤니케이션즈, 이스트소프트 등과 국가를 상대로 낸 5건의 손해배상 청구소송에서 모두 원고 패소 판결했다. ●해킹 피해자들 집단소송 5건 모두 패소 피해자들은 “SK커뮤니케이션즈가 국내 기업용 ‘알집’(이스트소프트의 파일압축 프로그램)을 사용해야 하는데도 공개용 무료 프로그램을 사용해 해커가 개인정보를 유출하기 쉬웠다.”고 주장했다. 그러나 재판부는 “해커는 기업용 ‘알집’ 프로그램에서도 웹사이트를 조작하는 것이 가능했을 것으로 보인다.”면서 “SK컴즈의 프로그램 사용행위와 손해 발생 사이에 인과관계가 없다.”고 밝혔다. 이어 “SK컴즈가 개인정보 유출을 방지하기 위한 보호조치 의무를 이행하지 않아 사고가 발생한 것으로 보기도 어렵다.”고 했다. 이스트소프트에 대해서도 “개인정보를 수집, 보관하는 주체가 아니어서 정보 유출을 미리 예견할 수 없었던 것으로 보인다.”며 해킹 방지 주의의무를 위반했다는 주장도 받아들이지 않았다. 지난해 7월 네이트와 싸이월드에서 회원정보가 저장된 데이터베이스가 해킹 당하면서 3500만명의 개인정보가 유출됐다. 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일 등이 포함돼 있었다. 이에 따라 ‘네이트 해킹 피해자 카페’에 가입한 사람들은 잇따라 손해배상 청구소송을 제기했다. ●구미 법원과 상반된 판결에 네티즌 불만 앞서 지난 4월 대구지법 김천지원 구미시법원은 네이트 회원 유모 변호사가 SK컴즈를 상대로 낸 소송에서 “위자료 100만원을 지급하라.”며 원고의 손을 들어줬다. 당시 재판부는 “SK컴즈 측에 과실이 없음을 입증할 만한 증거가 없고 피해자의 정신적인 고통을 위로하려는 노력도 전혀 없다.”고 판단했다. 구미 법원의 판단과 상반되는 이번 판결을 놓고 네티즌들은 불만을 드러냈다. 정보유출 피해자들은 “개인정보 유출을 해당 기업이 보상하지 않으면 누가 하느냐.”, “수천만의 정보가 샜는데도 이렇게 무책임하게 대응한다면 앞으로도 같은 문제가 되풀이될 것”이라고 목소리를 높였다. 최지숙기자 truth173@seoul.co.kr

인터넷전화(VoIP) 해킹으로 인한 ‘요금폭탄’을 막는 대책이 나왔다. 통신사업자는 해킹으로 의심되는 인터넷전화 신호가 발생할 경우 서비스를 일시 중단할 수 있게 된다. 정부기관 등 공공분야 인터넷전화뿐만 아니라 민간 인터넷전화에도 도청을 차단할 수 있는 보안장치를 표준화한다. 방송통신위원회와 한국인터넷진흥원은 22일 이 같은 내용의 ‘인터넷전화 정보보호 강화대책’을 마련하고 단계적으로 시행한다고 밝혔다. 방통위는 “인터넷전화를 해킹해 국제전화 요금폭탄을 유발하는 사건과 개인통화 도청 위협이 끊이지 않고 있다.”며 “안정적인 인터넷전화 서비스 이용환경을 조성하기 위해 대책을 마련했다.”고 배경을 설명했다. 이에 따라 방통위는 통신사가 불법 국제전화 신호를 일시적으로 차단할 수 있는 이용약관을 보급하고, 불법 국제전화 사례를 체계적으로 수집·분석·공유하는 체계도 마련하기로 했다. 실제 지난 6월 국내 모 여행사의 인터넷전화 교환기 해킹으로 미국, 영국에 국제전화가 사용되면서 수천만원의 피해가 발생하는 등 유사 범죄가 기승을 부리고 있다. 방통위는 내년부터 통신사와 장비 제조사가 자체적으로 인터넷전화 서비스에 대한 보안점검을 실시하도록 했다. 인터넷전화 교환기에 대한 민간 인증제도도 더욱 엄격히 시행한다. 이와 함께 내년부터 매년 별정 통신사업자를 대상으로 정보보호 조치를 이행하는지, 정보보호 관리체계 인증을 받았는지 등을 확인하기 위해 법·제도를 개정할 방침이다. 홍혜정기자 jukebox@seoul.co.kr

■민주평화통일자문회의 ◇서기관 승진△운영지원담당관실 문왕배△국내지역과 김종진 ■중소기업청 ◇지방중소기업청장△인천 최광문△충북 임병재 ■한국인터넷진흥원 ◇팀장△경영전략 박해룡△인재경영 권현오△국제협력기획 조준상△국제협력사업 오진영△해외진출지원 김정희△해외사업개발 윤재석△정책기획 최광희△조사분석 유지열△법제분석 강달천△산업기획 김도연△보안산업지원 이동근△뉴비즈니스 조찬형△인터넷콘텐츠 허해녕△문화기획 허상웅△윤리교육 오동환△문화협력 윤권일△IP주소 정현철△도메인 황인표△인터넷주소기술 김주영△개인정보보호기획 권현준△개인정보제도연구 박영우△개인정보침해사고점검 안성수△주민번호전환지원 황보성△개인정보기술지원 김호성△개인정보침해대응 이태승△공공정보보호기획 박상환△평가검증 강필용△기반보호 박희운△118센터 진충희△융합서비스보호 이용필△응용기술 임채태△연구개발 손경호△종합상황대응 전길수△침해사고탐지 전인경△해킹대응 박순태△코드분석 이응재△스팸대응 강혜영 ■전통공연예술진흥재단 △이사장 이문태 ■한림대의료원 △부의료원장 장봉림 ■한국남부발전 ◇처장△경영전략 이종식△경영지원 김병철△발전 정승철△건설 설인기◇본부장△하동화력 이근탁△신인천발전 김경철△부산천연가스발전 최병기△삼척그린파워건설 김만년◇소장△영남화력발전 최동원△남제주화력발전 정연수△영월천연가스발전 박기욱△안동천연가스건설 박세현◇지사·법인장△인도네시아지사 김문경△요르단법인 권혁관◇하동화력본부△제1발전소장 신만식△제2발전소장 이우달◇실장△인재개발 서정출△안전관리 안관식

정부가 개인정보의 불법 유출·매매 행위에 대한 대대적인 단속·점검에 나선다. 행정안전부는 8일 서울 세종로 정부중앙청사에서 ‘개인정보보호 합동점검단’ 출범식을 갖고 개인정보 침해사고 예방 및 사고 합동조사 점검, 사후 기술지원 등의 활동에 들어갔다. 지금까지는 해킹으로 인한 개인정보 대량 유출, 심부름센터의 주민번호 불법 매매, 텔레마케팅업체의 개인정보 오남용 등 개인정보 침해 사고가 발생해도 각 기관이 개별적으로 대응하며 정보 공유 및 신속한 상황 전파가 부족한 탓에 피해가 확산되는 사례가 발생하기도 했다. 합동점검단은 행안부, 방송통신위원회, 금융위원회, 경찰청 등 개인정보보호 관련 주요기관의 전문 인력으로 구성됐으며 예방관제반, 조사점검반, 기술지원반 등 3개 반 14명으로 편성됐다. 각종 홈페이지의 개인정보 노출 현황을 사전 모니터링해 삭제 조치하도록 하는 한편 개인정보 침해 우려가 큰 금융·의료·교육·통신 등 다량의 개인정보 처리 분야에 대한 합동점검을 실시한다. 서필언 행안부 제1차관은 “합동점검단이 범정부 차원에서 개인정보 침해 사고를 미리 예방하고 사고 발생 시 효과적으로 대응함으로써 국민들이 안심하고 생활할 수 있는 여건을 조성해 나갈 계획”이라고 말했다. 박록삼기자 youngtan@seoul.co.kr

하루가 멀다 하고 터지는 개인정보 유출로 정보화 사회의 삶은 이제 공포 그 자체다. 번번이 대책을 촉구하고 그때마다 허겁지겁 보안망을 손본다지만 해킹 사각지대는 여전히 널려 있다. 이번에는 포털과 연계된 사이트의 개인정보가 전문가도 아닌 사람에게 어이없이 유린당했다. 서울지방경찰청 사이버범죄수사대는 그제 구글 검색만으로 884만건의 개인정보를 빼낸 김모씨를 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다. 김씨는 지난해 2월부터 올해 7월까지 구글 검색창에 키워드만 입력하고 여러 사이트를 휘젓고 다니면서 개인정보를 모았다고 한다. 관련 사이트에는 보안장치가 전무해 속절없이 뻥뻥 뚫린 모양이다.그저 호기심에서 개인정보 수집에 매달렸다는 김씨가 해킹한 사이트는 무려 100여곳이나 된다. 커뮤니티 사이트, 엔터테인먼트사, 서울 강남의 성형병원, 손해보험사, 여성용품 제조사, 연예인 관련 협회, 라디오 프로그램 시청자 게시판, 수도권 소재 치과병원 등이 망라돼 있다. 김씨는 이런 사이트에 접속해서 주민등록번호, 휴대전화 번호, 주소 등을 모으고 특정인의 진료기록과 여성의 생리주기, 차량사고기록 등 민감한 개인정보를 자신의 웹하드에 암호화해서 보관했다는 것이다. 다행히 개인정보를 다른 사람에게 건넨 정황이 없다고 하지만 범죄에 악용됐다면 끔찍한 일이 벌어질 뻔했다.지난 2008년부터 4년 동안 개인정보 유출 피해는 1억건이 넘는다. 게다가 명의 도용이나 보이스피싱 등 2차 범죄에 이용되는 경우도 적지 않다. 이번 사건에는 지능화된 해킹 수법이 사용되지 않았다. 누구나 마음만 먹으면 포털에 들어가 특정 사이트에 접속해 개인정보를 얼마든지 들여다볼 수 있다는 점에서 한층 충격적이다. 이래서야 어디 불안해서 살겠는가. 검색엔진의 접근을 차단하거나 사용자 인증 프로그램만 갖춰도 충분히 막을 수 있었다고 한다. 사이트 운영 업체들도 고객 보호를 위해 보안망만은 확실하게 갖추도록 해야 한다. 회원정보가 줄줄 새나가도 낌새조차 채지 못한다면 차라리 사이트를 아예 폐쇄하는 게 고객을 위하는 일일 것이다.

이른바 ‘구글링’(Googling)을 통해 연예인의 주민등록번호 등 개인정보 884만건을 알아낸 뒤 유출한 30대가 경찰에 붙잡혔다. 구글링이란 세계 최대 검색 사이트 ‘구글’에서 특정인의 개인정보나 사생활을 알아내는 행위를 말한다. 서울지방경찰청 사이버범죄수사대는 30일 구글 검색을 이용해 산부인과와 연예기획사 홈페이지, 인터넷 커뮤니티 풀빵닷컴 등에서 회원정보 수백만 건을 꺼낸 김모(37)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 등의 혐의로 구속했다고 밝혔다. 김씨는 2010년 2월부터 지난해 7월까지 구글에서 ‘회원정보’라는 검색어를 입력해 특정 사이트의 회원정보 페이지를 찾아냈다. 김씨는 이렇게 찾아낸 회원정보 페이지 인터넷주소(URL)를 활용해 100여개 사이트에서 884만건의 개인정보를 빼냈다. 그 안에는 여성 성형전문 산부인과의 고객정보, 연예인 3300여명의 주민등록번호 등 사생활 침해 우려가 있는 민감한 내용이 대거 포함돼 있었다. 하지만 해킹 프로그램이 사용되지 않았기 때문에 개인정보가 유출된 사이트 관리자들은 경찰 조사 이전까지도 피해 사실을 전혀 알지 못하는 일이 많았다. 경찰은 “서울 소재 대학 물리학과를 중퇴하고 10여년 동안 집과 PC방을 전전한 은둔형 외톨이였다.”고 밝혔다. 김정은기자 kimje@seoul.co.kr

내년부터 전자정부 서비스를 사용하는 공무원의 스마트폰에는 행정안전부가 허용한 앱(애플리케이션)만 깔아야 한다. 특정 앱의 설치 가부에 대해서는 행안부와 이동통신사 등이 결정한다. 행안부는 29일 스마트폰 앱을 통해 전자정부 서비스를 이용하고 있는 공무원들이 보안에 취약한 앱을 개인적으로 설치해서 사용하면 전자정부 서비스의 해킹, 정보유출 등의 위험이 높다고 보고 이 같은 방침을 정했다고 밝혔다. 이에 따라 행안부는 내년 1월까지 설치허용 앱 목록 관리시스템을 구축, 운영할 계획이다. 설치허용 앱목록 관리시스템은 공무원들이 스마트폰에 안심하고 설치할 수 있는 앱을 목록으로 만들어 관리하는 시스템으로, 이 목록에 없는 앱이 스마트폰에 있으면 전자정부 앱은 설치할 수 없게 된다. 또 목록에 없는 앱은 걸러져서 설치가 차단된다. 행안부와 SK플래닛, LG유플러스, KT 3개 이동통신사와 삼성전자, LG전자, 팬택 3개 스마트폰 제조사는 29일 서울 세종로 정부중앙청사에서 설치허용 앱 목록(화이트 리스트) 관리시스템 구축을 위해 안전한 모바일 전자정부 서비스를 위한 양해각서(MOU)를 교환했다. 이번 협약으로 이동통신사와 스마트폰 제조사는 모바일 앱의 목록 정보를 행안부에 제공하게 된다. 설치허용 앱 목록 관리시스템은 정부통합전산센터에서 운영하게 된다. 윤창수기자 geo@seoul.co.kr