“사이버 공간의 부작용을 없앨 방법을 찾으려면 한국 네티즌의 도움이 절실합니다.” 앤드루 달글리셔 주한 영국 부대사는 새달 1~2일 영국 런던에서 열리는 ‘2011년 런던 사이버 공간 회의’를 앞두고 30일 서울신문과 가진 인터뷰에서 “온라인 공간의 부작용을 줄일 해법을 찾는 첫 국제회의인 만큼 정보기술(IT) 선진국인 한국의 참여가 필요하다.”며 이같이 말했다. 해킹 등 온라인 범죄와 국가 간 사이버 보안 문제 등을 논의하는 첫 번째 국제적인 행사에는 힐러리 클린턴 미국 국무장관 등 60여개국 장관급 인사와 재계 관계자가 참여한다. 우리나라에서는 민동석 외교통상부 제2차관이 참석할 예정이다. 달글리셔 부대사는 인터넷 사용자가 20억명에 달하며 온라인에 대한 의존율이 날로 높아지는 환경에서 사이버 공간이 제공한 기회와 위협에 대해 논의하려고 이번 회의를 마련하게 됐다고 밝혔다. 그는 “북아프리카·아랍권의 재스민 혁명 등을 통해 인터넷이 역사상 찾기 힘든 변화를 이끌기도 했지만 이에 따른 부작용도 늘고 있다.”고 지적했다. 해커와 테러리스트들이 온라인 공간을 ‘놀이터’처럼 활용하는 일이 잦고 아동 포르노, 인종 간 혐오 조장 글 등 부적절한 콘텐츠의 유통도 늘고 있다는 지적이다. 그는 또 “이번 회의가 인터넷의 혜택을 최대화하고 위협은 줄이는 방법을 모색하는 자리가 될 것”이라고 강조했다. 이를 위해 정부, 기업, 학계의 대표는 물론 한국 등 세계 각국 네티즌의 참여가 필요하다고 강조했다. 한국 인터넷 사용자는 트위터 계정인 http://twitter.com/UKinKorea에 한글로 질문을 올리면 회의에 의견을 반영할 수 있다. 유대근기자 dynamic@seoul.co.kr

일본이 사이버 테러에 속수무책이다. 방위산업체와 국회에 이어 해외에 주재하는 대사관까지 사이버 공격을 받은 것으로 드러났다. 또 총리 관저를 포함한 대다수 정부부처에도 이메일 공격이 있었던 것으로 전해졌다. 주한 일본대사관을 비롯해 아시아와 북미의 9개국에 주재하는 대사관 등 약 10개 일본 공관이 올여름 외부로부터 사이버 공격을 받아 수십대의 컴퓨터가 바이러스에 감염됐다고 요미우리신문이 26일 보도했다. 사이버 공격으로 컴퓨터가 바이러스에 감염된 것이 확인된 일본의 재외 공관은 프랑스, 네덜란드, 미얀마, 미국, 캐나다, 중국, 한국 등이다. 주한 일본대사관에서는 올여름 직원이 사용하는 단말기 등이 바이러스에 감염됐다. 바이러스의 대다수는 외부에서 침입해 정보를 빼내는 역할을 하는 ‘백도어형’이었다. 대량의 사이버 공격으로 외교 관련 정보가 외부 서버로 송신이 가능한 상태였다. 외무성은 외교 기밀을 노린 표적형 사이버 공격 가능성이 높다고 보고 피해 상황 확인을 서두르고 있다. 이와 관련, 후지무라 오사무 관방장관은 이날 오후 기자회견에서 “총리 관저도 지난해 9월에 디도스(DDoS·분산서비스거부) 공격을 받았다.”고 밝혔다. 때문에 당시 홈페이지 등에 일시적인 접속 장애가 있었던 것으로 알려졌다. 도쿄 이종락특파원 jrlee@seoul.co.kr

일본 중의원(하원)이 사이버 공격을 받아 의원 컴퓨터 패스워드가 도난당하는 등의 피해를 입었다고 아사히신문이 25일 보도했다. 일본 국회 관련 서버가 사이버 공격을 받아 아이디와 패스워드가 유출된 것은 처음이다. 이 신문에 따르면 중의원의 의원 공용 컴퓨터와 서버가 지난 7월 이후 사이버 공격을 받아 컴퓨터가 바이러스에 감염되고 의원 등 중의원 네트워크 이용자의 아이디와 패스워드가 도난당했다. 중의원의 네트워크 서버에는 의원 480명과 공설비서, 사무국 직원 등 모두 2660명의 패스워드 등이 들어 있다. 문제의 바이러스는 ‘트로이 목마’로 중국 국내의 서버가 패스워드 등을 훔쳐내는 프로그램을 작동하도록 하는 역할을 한 것으로 알려졌다.바이러스는 중국 서버와 연결된 것으로 나타났으나 실제로 중국과 연결됐다고 단정짓기는 어렵다고 이 신문은 전했다. 도쿄 이종락특파원 jrlee@seoul.co.kr

해킹, 개인정보 유출 등 각종 사이버 테러에 선제적으로 대응하기 위해 관련 예산이 50% 이상 늘어난다. 김남석 행정안전부 제1차관은 21일 서울 플라자 호텔에서 개최된 한국 정보보호 관련 책임자(CSO) 포럼에 참석, 이 같은 내용을 담은 2012년 정보보호 사업 내용을 밝혔다. ●중앙부처 보안관제시스템 도입 올해 171억원인 정보보호 관련 예산은 2012년도에는 52% 증가한 260억원으로 증액 편성됐다. 정부 기관의 정보보호 인프라 확충 사업에 190억원, 개인정보 유출 및 오남용 방지 사업에 70억원을 쓸 방침이다. 행안부는 우선 사이버 공격 위협에 취약했던 중앙부처 소속 기관에 대한 정보보호 대응체계를 강화하기 위해 소속 기관의 분산서비스거부(DDoS) 공격 방어용 대응 시스템과 사이버 보안 관제센터가 없는 일부 중앙부처 소속 기관에도 보안 관제 시스템을 도입한다. ●‘SW개발 보안’ 단계적 의무화 또 전력, 교통 등 국민 생활과 밀접한 정보통신기반시설의 제어 시스템 보안시험 환경 구축 등 주요 정보통신 기반시설의 보호역량을 강화하고 정보 시스템의 소프트웨어(SW) 개발 시 보안취약점을 사전에 제거하는 ‘SW 개발보안’ 제도를 정부의 주요 정보화 사업에 적용, 내년부터 단계적으로 의무화할 계획이다. 또 개인정보 유출을 원천 차단하기 위해 개인정보 노출 조기경보 시스템 및 공공온라인 개인 식별번호(I-PIN) 시스템을 확충하고, 개인정보 보호인력 증원 등을 추진한다. 김 차관은 “최근 사이버 공격은 단순 사이버 범죄를 넘어 사이버 테러의 양상으로 변화하고 있다.”면서 “사이버 공격은 민관 경계 구분 없이 이루어지고 있기 때문에 각계의 정보보호 책임자 간 적극적인 상호협력이 중요하다.”고 강조했다. 박성국기자 psk@seoul.co.kr

군 기무요원들이 벌인 조선대 기모 교수의 이메일 해킹 사건에 국군기무사령부 소속 사이버 전문요원까지 가담한 사실이 확인됐다. 군 관계자는 20일 “서울 송파지역 기무부대 소속인 사이버 전문요원인 군무원 한모(35)씨가 지난 18일 기 교수 이메일 해킹 사건에 가담했다고 자수해 현재 국방부 조사본부에서 참고인 신분으로 조사를 받고 있다.”면서 “8월 29일과 9월 1일 유동아이피(IP)를 이용한 해킹은 한씨의 행위인 것으로 확인됐다.”고 밝혔다. 이번 사건은 기 교수가 지난 9월 초 자신의 이메일이 해킹당해 일부 자료가 유출됐다며 광주 동부경찰서 사이버수사대에 수사를 의뢰하면서 시작됐다. 경찰은 IP를 역추적해 광주 시내 한 PC방에서 기무사 요원 2명의 ID를 통한 해킹이 있었다는 사실을 확인하고 사건을 군에 넘겼다. 김관진 국방부장관은 이런 사실이 전해지자 조사본부에 엄정 수사를 지시했고, 조사본부는 육군 31사단 헌병대와 함께 수사를 진행해 왔다. 군은 구속된 한 원사 등 관련자 3명의 신병을 조사본부로 이첩한 뒤 해킹을 지시한 윗선이 있는지와 해킹 등 사찰 이유를 집중조사하고 있는 것으로 알려졌다. 홍성규기자 cool@seoul.co.kr

현대캐피탈 서버를 뚫어 175만명의 고객정보를 유출하는 등 최근 수년간 국내 금융기관 전산망을 휘저었던 해커 신운선(36)씨가 최근 필리핀 경찰에 체포된 것으로 뒤늦게 확인됐다. 서울경찰청 사이버범죄수사대는 지난 4월 현대캐피탈 서버를 해킹해 인터폴에 수배됐던 신씨가 이달 초 필리핀 경찰청 형사국에 검거됐다고 17일 밝혔다. 신씨는 현지에서 불법체류자 신분으로 붙잡혀 필리핀 이민국의 심사를 받고 있는 것으로 전해졌다. 경찰 관계자는 “신씨가 불법체류자 신분이기 때문에 필리핀 이민당국에 의해 강제 추방될 가능성이 있다.”면서도 “범죄인 인도 절차에 따라 국내로 송환해 달라고 요청해 놓은 상태이지만 1~2개월 걸릴 수도 있다.”고 말했다. 신씨는 지난 2월부터 4월까지 필리핀에 거주하며 허모(40·구속)씨 등과 함께 4만여 차례에 걸쳐 현대캐피탈 서버를 해킹, 175만여명의 고객 정보를 빼낸 뒤 대부업체 등에 넘겨 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의를 받고 있다. 신씨는 또 현대캐피탈에 전화해 “5억원을 보내지 않으면 빼돌린 고객정보를 유출하겠다.”고 협박해 폭력행위 등 처벌에 관한 법률 위반 혐의도 받고 있다. <서울신문 4월 12일자 1, 8면> 신씨는 인터폴 최고 단계의 수배유형인 ‘적색 수배’ 용의자다. 2007년에는 4만건의 개인정보를 다음커뮤니케이션에서 유출했고, 2008년에는 국내 통신업체 3곳 등으로부터 100만건 이상의 고객 개인정보를 빼내기도 했다. 경찰은 신씨가 국내로 송환되면 빼돌린 고객정보를 대부업체 이외에 다른 목적으로 사용했는지 여부를 조사할 방침이다. 한편 필리핀에 머물며 신씨에게 해킹을 의뢰한 ‘필리핀 인출책’ 정모(36·수배중)씨는 아직 검거되지 않았다. 일부에서는 신씨의 검거 과정과 관련 경찰의 국제 정보력 및 관련국과의 공조체제에 심각한 문제가 드러났다는 지적도 내놓고 있다. 경찰 관계자는 “서울청에서 6개월간 주도적으로 수사했으나 신씨의 소재 조차 파악하지 못했다.”면서 “신씨가 운좋게 현지 경찰의 검문에 걸렸고, 서울청은 주필리핀 대사관 등을 통해 뒤늦게 사실을 확인한 것이 전부”라고 말했다. 백민경기자 white@seoul.co.kr

지난 20일 국정감사에서 김태원 한나라당 의원으로부터 정부 사이트 화면 해킹 관련 질타를 받은 행정안전부가 “일반적인 PC 환경에서는 해킹이 불가능하다.”는 공식 입장을 발표했다. 행안부는 29일 기자실에서 화면 해킹 시연 및 설명회를 열고 “김 의원 측에서 제공한 정보를 바탕으로 중국산 해킹 도구가 있는 웹사이트에서 찾은 해킹 도구 3개와 국내외 해킹 도구 10개를 대상으로 실험한 결과 13개 모두 백신이나 키보드 보안 프로그램이 설치된 PC 환경에서는 해킹이 불가능했다.”고 설명했다. 행안부는 김 의원이 했던 해킹과 같은 방식으로 악성코드에 감염된 좀비 PC와 일반 PC 2대를 준비‘해 화면 해킹을 시연했다. 해커는 화면 해킹을 통해 좀비 PC 사용자의 화면을 실시간으로 들여다볼 수 있었지만, 정부 민원 사이트인 민원 24에 접속하자 키보드 보안프로그램이 자동으로 작동되며 해킹이 차단됐다. 또 일반적으로 널리 쓰이는 보안 프로그램인 ‘V3’를 가동하자 악성코드를 감지·삭제해 해킹을 차단했다. 황서종 행안부 정보기반정책관은 이 같은 결과를 공개하면서 “단돈 몇 만원으로 중국 인터넷상에서 해킹 도구를 구해 해킹할 수 있다는 (김 의원의) 주장은 사실이 아니다.”라고 강조했다. 그는 국감장 시연에서 화면 해킹이 성공한 것은 PC 환경을 의도적으로 변경해 시연했기 때문으로 해석했다. 황 정책관은 또 “국민이 이번 시연 이후 자신의 PC가 해킹될지 모른다며 불안해하고 있으나 백신 소프트웨어를 설치했고 키보드 보안 프로그램이 설정된 정상적인 환경이라면 안심해도 된다.”고 덧붙였다. 앞서 김 의원은 행안부 국감장에서 좀비 PC를 통해 개인 아이디와 비밀번호, 공인인증서 등을 유출하는 과정을 공개해 파문을 일으킨 바 있다. 박성국기자 psk@seoul.co.kr

소셜 네트워크 사이트인 페이스북이 최근 ‘빅 브라더’ 논란에 휘말렸다. 사용자가 페이스북에서 로그아웃을 하더라도 다른 웹사이트들을 방문한 기록이 페이스북에 그대로 남을 수 있다는 주장이 제기, 사생활 침해에 대한 의혹이 커지고 있다. IT전문 블로그를 운영하는 호주해커 닉 쿠브릴로빅는 “개인적인 실험을 통해 페이스북이 사용자들의 방문 웹사이트를 식별할 수 있는 쿠키를 사용하고 있는 걸 확인했다.”면서 “페이스북의 이런 시스템은 사용자가 심지어 로그아웃을 한 뒤 방문한 웹사이트들을 추적할 수 있다.”고 폭로했다. 이어 사용자가 웹사이트에서 좋아요(Like), 공유하기(Share), 추천하기(Recommend) 등 버튼을 누른 정보도 페이스북으로 보내지게 되므로 사생활 침해가 우려된다고 밝혔다. 페이스북은 전 세계에 8억 명의 가입자를 거느린 초거대 웹사이트. 사용자들의 웹사이트 방문데이터가 저장될 경우 엄청나게 방대한 정보가 새어나갈 위험이 발생하는 셈이다. 쿠브릴로빅은 “인터넷 유저들의 웹사이트 방문기록은 타깃 광고에 쓰이는 고급정보로, 이를 이용한 돈벌이가 가능하다.”며 고객정보에 대한 상업적 이용 의혹을 제기하기도 했다. 이에 대해 페이스북 측은 서둘러 쿠브릴로빅의 주장을 반박했다. 사용자들이 웹사이트 방문 기록이 남은 쿠키가 존재하는 건 사실이지만 페이스북은 개인 사생활을 추적하는 용으로 절대 쓰지 않는다는 것. 페이스북의 기술자 그레그 스테판킥은 “쿠키가 개인적인 추적을 위해 사용되지는 않으며, 로그아웃한 사용자들의 방문이 기록된 쿠키들은 사기나 해킹된 계정을 회복시키는 등의 보안상의 이유로만 사용된다.”고 해명했다. 강경윤기자 newsluv@seoul.co.kr

북한이 지난해부터 올해 8월까지 지식경제부 산하 에너지 공기업에 대해 40차례의 해킹 시도를 했다는 주장이 나왔다. 국회 지식경제위원회 김성회(한나라당) 의원은 23일 지경부 산하 지식경제 사이버안전센터에서 제출받은 국정감사 자료를 통해 이 기간 세라믹기술원 12회, 무역보험공사 9회, 산업기술시험원 5회, 한국수력원자력과 가스공사 각 3회 등의 순으로 모두 10개 기관에서 40차례 해킹 시도가 있었던 것으로 집계됐다고 밝혔다. 또 2008년 8월부터 올해 8월까지 3년간 전력·가스·석유 등 기반시설이 집중된 지경부 소관 에너지 공기업에 대해 여러 나라에서 1만 945차례의 해킹 시도가 있었던 것으로 파악됐다. 한수원이 819회로 가장 많았고 한국전력 602회, 에너지관리공단 535회, 중부발전 463회, 가스공사 455회, 동서발전 311회 순이었다. 국가별로 보면 중국이 1097건으로 가장 많았고 유럽 719건, 미국 572건 등으로 조사됐다. 지경부 사이버안전센터는 산하 공기업들의 서버 등을 24시간 모니터링하고 있다. 일상적인 해외 인터넷주소(IP)가 아닌 요주의 국가 등의 IP 등으로 접속하거나 정체불명의 실행파일 등을 첨부하고 있을 때 접속을 막는다. 지경부 관계자는 “북한이나 중국 등으로 할당된 IP 등으로 접속이 있을 때는 바로 국가정보원 등과 공조해 해킹이나 바이러스 유포 등을 막고 있다.”고 말했다. 한준규기자 hihi@seoul.co.kr

●더 버터플라이(OBS 토요일 밤 11시 15분) 미국 시카고의 한 광고회사 중역인 닐 랜달(제라드 버틀러·왼쪽)의 삶은 완벽 그 자체다. 매력적인 아내 애비(마리아 벨로·오른쪽), 사랑스러운 딸 소피와 함께 행복한 가정 생활을 누리는 한편으로는 회사에서 최고의 능력남으로 인정받고 있다. 그 무엇도 거칠 것 없었던 그의 삶은 어느 날 정체 불명의 남자 라이언(피어스 브로스넌)의 습격을 받으며 위기에 빠지기 시작한다. 닐의 딸 소피를 납치한 채 24시간 동안 닐의 모든 것을 파괴하려는 라이언. 닐은 본인의 의지와는 상관없이 완벽했던 삶을 지키기 위해 그와의 대결을 시작한다. 은행 잔고, 불법 해킹 등 닐의 모든 것을 알고 있는 라이언은 그를 궁지에 몰아넣는다. 주어진 24시간 동안 하나씩 요구 조건을 제안하는 라이언. 완벽하게 닐은 속수무책으로 라이언과의 대결에 응할 수밖에 없다. 라이언이 제시한 마지막 요구 조건은 바로 누군가를 죽이는 것이다. 닐은 딸을 구하기 위해 사람을 죽여야 하는 최악의 위기에 직면하게 된다. ●된장(KBS1 토요일 밤 12시 55분) 탈옥 5년 만에 검거된 희대의 살인마 김종구가 드디어 잡혔다. 그를 잡은 것은 경찰도 검찰도 아닌 된장찌개였다. 제보를 받은 ‘특종 킬러’ 최유진(류승룡) 피디는 심상치 않은 냄새를 맡아 취재에 나선다. 하지만 이 기막힌 사건의 열쇠를 쥔 된장 달인녀 장혜진(이요원)은 자취를 감춘다. 그리고 연이어 밝혀지는 3명의 죽음. 방송 취재가 본격적으로 진행되면서 수많은 관계자들의 흥미진진한 진술이 이어지고 미스터리는 또 다른 반전을 향해 치달아 간다. 과연 세상에 존재할 수 없는 된장의 비밀은 무엇일까. 영화 ‘된장’은 미스터리녀로 변신해 팬들의 마음을 설레게 하는 이요원, 그리고 이 영화를 마지막으로 군에 입대한 꽃미남 배우 이동욱 등이 주인공으로 가세해 영화의 풍성한 맛을 더했는데…. ●젊은 날의 초상(EBS 일요일 밤 11시 40분) 영훈은 첫사랑인 정님 누나가 자신의 담임 선생과 불륜 관계를 맺고 있다는 사실을 알고 충격을 받는다. 그 후 2년 동안 떠돌아다니다가 힘들게 일하며 공부해 대학에 들어간다. 그러나 영훈은 경제적인 어려움과 문학의 구원을 찾을 수 없어 고민한다. 또한 그는 이념의 갈등을 겪고 그것으로 인해 친구들이 죽어 가는 모습을 지켜보며 고통스러워한다. 영훈은 아름다운 부잣집 딸 혜연을 만나 사랑의 감정을 느끼기도 하지만 더 이상 진전시키지 못한다. 결국 자신의 처지와 너무 대조적인 부유층들의 파티에 갔다가 혜연과 이질감을 느끼고 이별을 한다. 그리고 다시 방랑의 길을 떠난다. 그는 마음의 안정을 찾으려고 들른 고향에서 정님 누나와 마주치는데 누나가 숙부에게 쫓겨나는 가슴 아픈 장면을 보게 된다.

“100% 안전한 규제 장치는 기대하기 어렵습니다. 안전장치 위에 자신의 정보를 스스로 지키려는 노력이 뒤따를 때 안전성은 더욱 견고해집니다.” 오는 30일 대한민국 건국 이래 처음으로 제정된 ‘개인정보보호법’이 전면 시행된다. 2004년 처음 입법 논의가 시작된 지 7년 만의 일이다. 법안 제정 단계부터 최종 공포까지 이를 진두지휘한 장광수 행정안전부 정보화전략실장은 “산고 끝에 낳은 아이를 보는 기분”이라고 말했다. 21일 서울 종로구 세종로 정부중앙청사에서 만난 그는 전날 진행된 행안부 국정감사의 여파로 다소 피곤한 기색이었지만 “최근 잇따른 개인정보 유출 사고만 생각하면 잠도 잘 오지 않는다.”며 법률에 대한 설명을 끝없이 이어갔다. 앞서 장 실장은 국정감사에서 김태원 한나라당 의원이 맹형규 행안부 장관이 지켜보는 앞에서 해킹을 통해 민원서류 부정 발급 및 공인인증서 복사 등을 시연하면서 진땀을 흘려야 했다. 다음은 장 실장과의 일문일답. →개인정보보호법 시행을 앞두고 국정감사에서 정부 민원사이트가 해킹당했다. -감사 끝나고 고생한 직원들을 위로하면서 폭탄(술) 좀 돌렸다(웃음). 언론에서는 마치 정부 사이트나 전산망이 해킹당한 것처럼 보도했는데 정확히 말하면 김 의원이 준비해 온 노트북이 이미 악성코드에 감염된 좀비 PC였기 때문에 해커가 마음껏 모든 정보를 빼 간 것이다. 의원실에서 따로 가져 온 노트북이었기 때문에 어떤 보안 프로그램이 깔려 있는지 확인조차 못했다. 정부 청사 내 컴퓨터나 전산망이 악성코드에 감염된 게 아니다. 물론 악성코드를 퇴치할 수 있는 더욱 강력한 보안 프로그램을 정부 사이트에 구축해야 하겠지만, 현재 기술력으로는 어려운 게 사실이다. 하지만, 개인정보보호법이 시행되면 민감한 개인 정보는 수집할 수 없어 해킹으로 유출되더라도 금융 사고 등 2차 피해를 상당히 줄일 수 있다. →새 법률이 시행되면 무엇이 달라지나. -우선 주민등록번호, 여권번호, 운전면허번호 등 개인의 고유식별번호는 법에서 정한 사안을 제외하면 원칙적으로 취급할 수 없게 된다. 업무상 꼭 필요하다면 정보 주체의 별도 동의를 구해야 한다. 이로 인해 문제가 발생하면 법정에서 업무상 꼭 필요한 정보인지를 입증해야 한다. 또 모든 공공기관과 하루 평균 홈페이지 이용자 수가 1만명이 넘는 사이트는 주민등록번호 없이 회원으로 가입할 수 있는 방법을 제공해야 한다. 특히 국민 개인 정보는 회원 가입, 이벤트 응모 등을 통해 많이 유출되는데 개인정보를 취급하는 사업자들은 개인정보를 수집할 때 원칙적으로 정보주체의 동의를 받아야 한다. 이때 수집한 정보의 이용 목적과 수집하려는 항목 등을 알려야 하고 동의를 거부할 권리가 있다는 내용도 함께 알려야 한다. 이를 어기면 5000만원 이하의 과태료가 부과된다. →국민이 반드시 알아야 하는 것은 무엇인가. -개인정보 열람권이 생겼다는 것이다. 공공기관·개인 사업자가 취급하고 있는 자신의 정보를 열람할 수 있다. 또한 정보의 정정·삭제·처리정지 등을 요구할 수 있다. 누가 나의 어떠한 정보를 보관하고 있는지를 스스로 찾아 관리하려는 노력이 중요하다. 박성국기자 psk@seoul.co.kr

정부의 사이버 보안 장벽이 장관이 보는 앞에서 뚫렸다. 20일 행정안전부에 대한 국회 행정안전위원회의 국정감사에서 한나라당 김태원 의원은 행안부의 공공 아이디(ID)와 비밀번호 등을 몰래 빼내는 ‘화면 해킹’을 시연했다. 화면 해킹은 해커가 사용자 컴퓨터 화면상의 모든 작업을 훤히 들여다볼 수 있는 해킹 수법이다. 김 의원은 ‘화면 해킹’ 악성코드를 사용자 컴퓨터에 감염시킨 뒤 컴퓨터 화면상의 작업을 들여다보며 아이디와 비밀번호 등 개인 정보를 유출해 가는 일련의 과정을 소개했다. 위원장석 뒤에 마련된 스크린에는 일반 시민과 해커의 컴퓨터 화면이 나란히 떠올랐다. 일반 시민이 인터넷 브라우저를 열어 행안부 홈페이지를 찾자 똑같은 화면이 해커의 화면에 나타났다. 시민이 공공ID를 키보드로 입력했고 해커 화면의 왼쪽 귀퉁이에 있는 작은 창에는 같은 ID가 한 글자씩 실시간으로 드러나기 시작했다. 비밀번호도 마찬가지였다. 김 의원은 민원24 홈페이지를 해킹하는 모습을 보여줬다. 민원24에서 주민등록 등초본을 발급받으려면 공공ID와 비밀번호는 물론 공인인증서가 필요하다. 그러나 공공기관과 은행의 인터넷 서비스 보안에서 최후의 보루로 여겨지는 공인인증서의 비밀번호조차 해커의 창에 그대로 나타나기는 마찬가지였다. 해커는 시민의 컴퓨터에 설치돼 있는 공인인증서를 클릭 한 번에 자신의 컴퓨터로 복사했고, 이를 지켜보던 맹형규 장관의 표정은 일순간 굳어졌다. 김 의원은 “화면 해킹 프로그램은 전문 해커가 아니라도 중국 측 인터넷상에서 단돈 몇 만원이면 누구라도 쉽게 구입해 해킹할 수 있다.”고 지적했다. 개인정보 보호와 관련된 다른 허점들도 고스란히 드러났다. 민주당 장세환 의원은 “행정안전부가 주민등록전산자료를 채권추심업체 등 민간기관에 건당 30원꼴로 팔았다.”고 비판했다. 장 의원이 제출받은 자료에 따르면 행안부는 2008년부터 지난달까지 총 52개 민간기관에 17억 8054만 3230원을 받고 5935만 1441건을 제공했고, 특히 이 가운데 23개의 채권추심기관에 14억 1990만 5640원을 받고 4733만 188건을 제공했다. 국토해양위 소속 한나라당 김기현 의원은 “한국토지주택공사(LH)가 보유하고 있는 개인정보 1560만 9011개 가운데 290만여개(18.6%)의 개인정보가 로그기록 시스템을 갖추지 않았다.”고 지적했다. 박성국·허백윤기자 baikyoon@seoul.co.kr

금융결제원과 한국거래소 같은 우리나라 은행·증권 거래의 심장부라 할 금융 허브들이 해킹과 같은 사이버 공격에 취약한 것으로 나타났다. 디도스(DDos·분산서비스 거부) 공격 등에 의한 온라인 거래 마비는 물론, 서버 파괴로 인한 거래정보 유실 사태도 우려된다. 19일 국회 정무위원회 소속 한나라당 이성헌 의원이 금융결제원 등으로부터 제출받은 ‘2011년 정보통신기반시설 보호대책’에 따르면 은행의 거래 정보를 총괄하는 금융결제원의 경우 전자거래공인인증시스템 중 해킹을 차단·탐지하는 시스템은 NXG2000·TAS 장비로, 각각 2004년과 2005년에 제작된 것이다. 해커들이 통상 최근 3개월 이내에 개발된 해킹 기법을 활용한다는 점을 감안하면 사실상 모든 해킹 공격에 노출된 셈이다. 특히 주식·선물 거래를 중개하는 한국거래소는 총체적 부실 상태다. 유가증권·코스닥 거래매매체결시스템 등에서 외부에 쉽게 노출될 수 있는 비밀번호를 활용하고, 통제시스템에 접속할 때 USB(이동식저장장치)를 사용하는 등 기본적인 보안 수칙조차 지키지 않는 것으로 드러났다. 또 2500조원에 이르는 유가증권을 예탁받아 매매결제서비스를 해주는 한국예탁결제원(KSD)은 정보보호 전담인력이 1명에 불과한 것으로 나타났다. 이에 따라 이들 기관의 정보보호 수준은 총 5단계 중 금융결제원 3.42단계, 거래소·코스콤 3.83단계, KSD 3.47단계 등으로 저조했다. 익명을 요구한 사이버 테러 전문가는 “일반 기업도 4단계 이상의 정보보호 수준을 유지하는 상황에서 금융·증권 거래를 총괄하는 이들 기관의 중요성을 감안하면 사실상 낙제점 수준”이라고 경고했다. 장세훈·이재연기자 oscal@seoul.co.kr

소니에 이어 일본을 대표하는 방위산업체이자 종합 기계업체인 미쓰비시중공업이 외부의 사이버 공격을 받은 것으로 밝혀졌다. 19일 요미우리신문에 따르면 미쓰비시중공업이 사이버 공격으로 최신예 잠수함과 미사일, 원자력 플랜트를 제조하는 공장 등에서 적어도 80대의 서버와 컴퓨터가 바이러스에 감염된 사실을 확인했다. 미쓰비시중공업은 외부로부터 서버에 침입해 정보를 빼내간 흔적이 발견된 점으로 미뤄 스파이 행위를 위한 표적 공격 가능성이 높다고 보고 있다. 지금까지 바이러스 감염이 확인된 미쓰비시중공업의 시설은 고베·나가사키 조선소, 나고야 유도추진 시스템 제작소 등 제조·연구거점 8곳과 도쿄 본사다. 고베조선소에서는 원자력 플랜트와 잠수함, 나가사키조선소에서는 호위함이 건조되고 있다. 나고야 유도추진 시스템 제작소는 탄도미사일을 요격하는 유도탄과 우주개발에 필수적인 로켓 엔진의 생산 거점이다. 미쓰비시중공업은 지난달 중순 일부 서버가 감염된 사실을 발견, 보안업체에 조사를 의뢰한 결과 바이러스에 감염된 80대의 서버와 컴퓨터 가운데 원자력과 방위 관련 데이터가 보관된 서버에서 일부 정보가 다른 서버로 이전되거나 유출된 것으로 나타났다고 밝혔다. 도쿄 이종락특파원 jrlee@seoul.co.kr

국무총리와 장관, 청와대·국방부·국가정보원의 고위당국자가 포함된 공무원 4600여명의 전자여권 정보가 무단유출된 것으로 알려졌다. 공직자들의 주민등록번호와 여권번호, 여권 발급 및 만료일 등이 여권발급기 운용업체 직원들에 의해 여권을 제작하는 조폐공사에서 흘러나갔다는 것이다. 정보가 유출된 공무원 가운데는 국정원, 국방부, 군, 경찰청 등 신상 보안이 필요한 기관의 인사들도 수십명에서 수백명씩 포함된 것으로 알려져 문제의 심각성을 더하고 있다. 또 공무원 말고도 무려 92만명에 이르는 개인의 신상정보가 함께 유출됐다고 하니 그에 따른 폐해와 후유증을 우려하지 않을 수 없다. 이와 함께 하나SK카드에서도 회원 정보가 대량으로 유출돼 경찰이 수사에 나섰다고 한다. 이 회사 직원이 빼돌린 회원 정보를 텔레마케팅 업체에 팔아넘기려 했다는 것이다. 보안이 철저해야 할 금융기관의 허술한 데이터 관리에 다시 한번 혀를 차게 된다. 최근 삼성카드에서도 내부 직원이 개입해 무려 80만건의 개인정보가 유출된 사건이 있었다. 어제 오늘 드러난 개인정보 유출 사건 외에도 그동안 발생한 디지털 정보 유출 사건은 셀 수도 없을 만큼 많다. 최근 잇따르고 있는 국가 주요 기관에 대한 외부로부터의 해킹은 디지털 안보 차원에서 대응해야 할 사안이고, 갈수록 치밀해지는 보이스 피싱은 유출된 디지털 정보를 활용한 경제 범죄다. 정부와 기업, 개인을 막론하고 우리나라에 디지털 정보에 대한 전략과 의지, 능력이 있는가를 심각하게 고민해야 할 시점이다. 행정과 안보, 경제, 금융, 교육 등 국가 전 분야가 아날로그 시대에서 디지털 시대로 접어든 지 오래다. 그러나 현 정부 들어 정보통신부와 과학기술부를 통폐합하면서 정보기술(IT) 등 디지털 시대에 대한 대응 능력이 떨어졌다는 지적이 계속돼 왔다. 당장 눈에 보이지 않는다고 해서 디지털 정보에 대한 관리를 소홀히 해서는 국가적인 낭패를 보게 될 수도 있다. 총체적인 재점검을 늦출 수 없는 상황이다. 정치권에서도 현 정부의 남은 임기 내에 이뤄지기 어렵다면, 차기 정부에서 정부 조직을 개편할 때 디지털 정보에 대한 종합적이고 체계적인 관리를 할 수 있는 정부 부처를 설립하거나 기능을 조정하는 문제를 심도 있게 검토해야 할 것이다.

#1. ESM(통합보안관리시스템·방화벽, 침입탐지, 가상사설망 등을 한데 모은 통합보안체계) 모니터링이 업무시간에만 실시돼 홈페이지 디도스(DDoS)·바이러스 공격 등 사이버 침해에 대한 신속 대응이 불가능함. 정보보호 관련조직이 비공식 가상조직이고 실제 정보보안 인력은 관리 전담자 1인에 불과. 인력이 부족해 정보보호활동을 제대로 할 수 없음(한국예탁결제원). #2. 통제구역·폐쇄망에서 이동식저장장치(USB), 노트북을 이용. 패스워드 변경을 안 하거나 ‘0000’ 같은 취약한 패스워드 사용. 공동사용하는 계정에 대한 부서장 승인 내역이 전혀 없음(한국증권거래소). #3. 해킹 감시용 침입차단·탐지 시스템에 2004년·2005년산 장비를 사용해 최신 공격에 무방비로 노출. 유추가능한 비밀번호를 가진 사용자 계정·데이터베이스(DB) 계정 다수 존재. 이로 인해 정보매체 보호·유지보수·위험관리 수준이 최고 5단계 중 2단계에 불과. 취약점 분석 결과 66개 지적사항 중 3개월 이상 걸리는 조치가 37개나 됨(금융결제원). 국회 정무위 이성헌 의원(한나라당)이 각 기관으로부터 제출받은 ‘2011년도 주요정보통신 기반시설 보호대책’에 따르면 국내 주요 금융·전산거래 담당기관들의 보안실태는 보안 전문가들이 경악할 수준이었다. 가장 기본적인 수칙조차 가볍게 무시하고 있었다. 정부는 은행·증권거래를 총괄하는 주요 허브기관을 정보공유분석센터(ISAC)로 지정해 정보보안을 특별관리토록 하고 있지만 기본 보안매뉴얼의 ABC도 지켜지지 않고 있었다. 정보보호 전문가들은 “예컨대 금융결제원의 해킹 차단 시스템을 통해 외부 공격이 들어오면 언제든 우리나라 전체 은행 거래가 마비될 수 있다는 뜻”이라고 경고했다. 특히 금융결제원은 2010년 기준 하루 평균 46조원, 1346만여건의 자금결제를 중계하는 컨트롤 타워임을 감안하면 실제로 해킹이 이뤄질 경우 지난 4월에 있었던 농협 전산망 마비 사태를 능가하는 상황이 닥칠 수도 있다. 시중 18개 은행 보안 컨설팅을 10년간 수행해 온 총괄기관이면서 스스로 보안에 가장 취약함을 드러낸 셈이다. 더욱이 문제는 매년 보안 점검 때마다 지적돼 온 이 같은 기본 사항들이 전혀 개선되지 않고 있다는 점이다. 이 의원은 금융기관 등이 전자금융업무, 정보기술부문을 총괄할 정보보호최고책임자(CISO)를 지정, 관리하는 내용의 전자금융거래법 개정안을 발의해 국회에 계류 중이지만 일선 금융기관들의 반발이 만만치 않다. 금융위원회도 정보기술 인력을 총 임직원 수의 5% 이상, 정보보호 인력을 정보기술 인력의 5% 이상 확보토록 전자금융감독규정 개정안을 내놨지만 규제개혁위원회에서 과다규제로 걸려 현재 조정작업 중이다. 이 의원은 “외국 유수 은행들은 정보보호 전담조직만 1000~1500명 수준이나 한국은 은행별로 평균 2~4명이 고작이고 가장 많은 국민은행이 26명”이라면서 “전자금융감독규정 개정안이 통과되면 인력부담이 최소 3~4배 이상 늘어난다는 점 때문에 금융권 반발이 거센 실정”이라고 말했다. 그러면서 “민간 금융기관에 앞서 정보보안 총괄기관들부터 먼저 대대적인 보안 취약점 개선이 이뤄져야 한다.”고 지적했다. 이재연기자 oscal@seoul.co.kr

역대 전적 4승 4패. 과학 수재들이 벌이는 치열한 머리싸움. ‘사이언스 워’(과학 전쟁)로 불리는 한국과학기술원(KAIST)과 포스텍의 정기 대결 ‘포카전’이 오는 23~24일 대전에서 열린다. KAIST 두원수 홍보팀장은 19일 “수만명이 참가하는 정기 고연(고려대·연세대)전에 비하면 고작 1600여명의 학생들이 참여할 뿐이지만 학생들의 자부심은 단연 최고”라며 “최근 전적에선 포스텍이 우세하지만 이번만은 KAIST가 승리할 것”이라고 분위기를 띄웠다. 대전과 포항을 오가며 번갈아 열리는 포카전은 주최 측의 이름이 뒤에 표기된다. 올해 명칭이 포카전인 것은 KAIST에서 치러진다는 뜻이다. 2002년 처음 시작돼 올해로 10주년(2009년은 신종플루로 취소)을 맞은 포카전은 7개 종목에 대한 철저한 ‘두뇌’대결이다. 총 800점 가운데 많은 점수를 차지한 쪽이 우승이다. 3년 연속 우승하면 대회기를 갖는다. 지난해에는 처음으로 포스텍이 3연승해 대회기를 차지했다. 양팀에서 9명씩 참여하는 해킹대회는 23일 밤 10시부터 12시간 동안 서버를 뚫고 들어가 주어진 16개 문제 중 누가 더 많이 푸느냐로 승부를 겨룬다. 인공지능프로그래밍 대회에는 각 팀에서 6명씩 출전한다. 대회용으로 채택된 게임의 ‘두뇌’ 부분을 각기 프로그래밍한 뒤 프로그램끼리 격돌하게 하는 방식이다. 200점으로 가장 많은 배점이 걸린 과학퀴즈대회는 1대1 퀴즈대결과 서로가 제출한 수열문제를 푸는 방식으로 이뤄진다. 대표적인 e스포츠 게임인 스타크래프트도 준비돼 있다. 양초자동차 속도전, 로켓에 실은 달걀을 깨뜨리지 않고 멀리 쏘아 보내는 에그 로켓 등 부대행사도 함께 열린다. 박제현 포스텍 학생회장은 “포카전은 교류행사를 강화해서 두 학교의 동아리 교류와 클럽행사까지 동시에 진행해 기예를 겨루는 ‘선의의 라이벌’이 되자고 KAIST 학생회와 뜻을 모았다.”고 전했다. 박건형기자 kitsch@seoul.co.kr

인천 항공교통센터(ATC)에 장애를 불러온 관제시스템은 미국 록히드마틴사 제품으로 2004년과 2006년에도 같은 문제를 일으킨 것으로 드러났다. 한국공항공사 항로시설본부가 시스템에 깔린 프로그램을 집중점검하기 시작한 가운데 이번 장애가 외부세력의 해킹으로 발생했을 가능성은 낮은 것으로 알려졌다. 관제자료를 분석한 정확한 조사결과는 2주일가량 뒤 나올 예정이다. 15일 국토해양부와 항공업계에 따르면 지난 14일 인천공항에선 ATC시스템에 장애가 발생해 미국 워싱턴DC로 갈 예정이던 대한항공 여객기 등 비행기 수십대의 이륙이 10~30분간 지연됐다. 승객들은 기내나 출국장에서 기다려야 하는 등 불편을 겪었다. 장애는 ATC의 비행정보 서버에서 발생했다. 국토부 측은 프로그램에 자료를 입력하고 부호화하는 과정에서 시스템이 오동작을 일으킨 것으로 보고 있다. 일종의 ‘버그’(bug)로 윈도와 같은 운영프로그램에서 종종 나타난다. 하지만 버그가 프로그램 사용 초기에 발생하는 것과 달리 이번 장애는 도입한 지 10년이 지난 시스템에서 반복적으로 발생했다. 국토부는 2001년 록히드마틴에 450억원가량을 주고 항공교통관제 장비와 프로그램을 일괄 구매했다. 수백만 가지의 경우의 수를 놓고 미리 장애를 예측하는 점검까지 마쳤으나, 2004년 프로그램 업데이트 직후 40여분간 서버가 다운되는 사고가 일어났다. 당시 비행기 60여대의 이·착륙이 지연됐다. 이후 제조사의 프로그램 보완이 이뤄졌으나 2006년 다시 비슷한 장애가 발생, 30여분간 10여대의 비행기 운항이 지연됐다. 이 같은 사고에 대해 국토부는 제조사에 강력하게 책임을 묻는 등 대응하지 못하고 있다. 자칫 대형사고로 이어질 수 있다는 우려도 간과한 상태다. 국토부 관계자는 “시스템 다운을 대비해 예비 서버를 갖춘 데다 중앙ATC 밑에 지역별 ATC가 있어 항공대란 가능성은 거의 없다.”고 설명했다. 오상도기자 sdoh@seoul.co.kr

할리우드 톱스타 스칼렛 요한슨(26)의 누드사진이 인터넷에 유출돼 파문이 예상된다. 15일 영국 데일리 메일 등 외신에 따르면 요한슨은 자신의 아이폰을 해커가 해킹해 누드사진이 인터넷에 유출된 것으로 보고 미국 연방수사국(FBI)에 수사를 의뢰했다. 해외 웹 사이트 등을 통해 유출되고 있는 사진은 현재 두 장으로 나타났으며, 이들 사진은 요한슨이 직접 자신의 휴대전화 카메라로 찍은 것으로 알려졌다. 하지만 최초 유포자가 누구이며 어떤 이유로 유출했는지는 아직 밝혀지지 않고 있다. 일부 팬들은 요한슨의 전 남편 라이언 레이놀즈(35)나 올해 초 연인관계였다가 헤어진 배우 숀 펜(51)을 의심하기도 했다. 하지만 주요 관계자들은 할리우드 배우의 사적인 사진은 늘 해커들의 대상이었다는 점에서 거액을 노린 해커의 소행으로도 판단된다고 외신을 통해 전했다. 해커들에 의한 사생활 노출로 피해를 본 스타들은 스칼렛 요한슨 뿐만 아니다. 이미 올해 초에만 제시카 알바, 마일리 사이러스, 크리스티나 아길레라, 셀레나 고메스 등 약 50여 명에 까까운 스타들의 개인 자료가 유출된 바 있다. 한편 현재는 싱글인 것으로 알려진 스칼렛 요한슨은 영화 ‘아일랜드’, ‘사랑도 통역이 되나요’, ‘아이언맨2’ 등으로 국내 팬들에게도 친숙한 배우이다. 사진=유출된 스칼렛 요한슨의 사진 윤태희기자 th20022@seoul.co.kr

개인정보의 해외 유출이 심각한 상황이다. 민주당 전혜숙 의원이 어제 방송통신위원회로부터 제출받은 자료에 따르면 올해 1월부터 7월까지 우리 국민의 주민등록번호와 전화번호 등 개인정보가 세계 15개국 인터넷 사이트 7543곳에 노출된 것으로 드러났다. 2009년 1283곳, 2010년 2821곳에 비하면 가히 기하급수적으로 늘어난 셈이다. 개인정보 유출현상은 어제오늘의 일이 아니다. 최근들어선 국내외를 막론하고 그 도를 더해가고 있다. 지난 7월 SK커뮤니케이션즈가 운영하는 네이트와 싸이월드 회원 3500만명의 개인정보가 유출된 사건은 우리에게 씻을 수 없는 오명을 안겨줬다. 지난해에는 미국의 검색 서비스업체 구글의 한국 법인이 개인정보를 무단 수집한 혐의로 압수수색당하는 일도 벌어졌다. 개인정보 유출은 그야말로 시간과 공간을 초월해 전방위로 이뤄지고 있는 것이다. 개인정보 유출은 언제든 전화금융사기·개인정보 도용 등 제2의 범죄로 이어질 수 있다는 점에서 중대한 사회문제가 아닐 수 없다. 방통위가 개인정보의 종류를 최소화하고, 보관 시에는 반드시 암호화하도록 규정하는 등 개인정보 보호를 위한 제반 장치를 마련한 것도 그런 배경에서다. 하지만 국민의 개인정보 보안의식은 여전히 미흡한 실정이다. SK커뮤니케이션즈 해킹사건 이후 금융회사들이 비밀번호 변경을 강력히 권고했음에도 실제 변경 사례가 극소수에 불과했다는 사실만 봐도 알 수 있다. 정부는 개인정보 관리실태에 대한 점검을 보다 강화해야 한다. 기업 또한 개인정보를 철저히 암호화해 통합 관리하는 등 배전의 노력을 기울여야 할 것이다. 그러나 정부나 기업의 힘만으로 개인정보를 보호하는 데는 한계가 있다. 국민 각자의 보안의식 내면화가 전제돼야 한다. 보안 불감증은 개인정보 유출만큼이나 심각한 문제다.