북한 사실상 핵보유국 북한 사실상 핵보유국 “핵무기 100개인 국가와 통일 가능한가” 현재 상황은? 북한이 사실상의 핵보유국으로서 선제적 핵공격에서 살아남아 즉각 반격을 가할 수 있는 능력에 근접하고 있다는 주장이 제기됐다. 특히 북한이 다양한 핵위협을 가해올 경우에 대비해 ‘제한적 전쟁’ 가능성도 준비해야 한다는 지적이 나왔다. 2009년부터 5년간 미국 국방장관실 자문역을 지낸 밴 잭슨 신안보센터 객원연구원은 26일(현지시간) 하원 외교위 동아태소위 청문회에 앞서 25일 제출한 서면증언에서 이같이 주장했다. 잭슨 연구원은 “북한의 핵보유국화를 막겠다는 목표는 명확하고 가시적으로 실패했다”며 “북한은 사실상의 핵보유국으로서 핵무기 재고가 어느 정도인지 알 수 없는 상태이며 (선제적 핵공격에 대응하는) 보복적 핵타격 능력을 확보하는 쪽으로 진행하고 있다”고 평가했다. 잭슨 연구원은 “북한의 핵보유국화를 막지 못하면서 한반도에서 또다른 전쟁을 막는다는 목표도 실패할 위험이 커졌다”며 “북한은 대형 전쟁에 대응하는 핵억지력을 확보하고 있다고 믿기 때문에 다양한 형태의 위협적 폭력과 군사모험주의에 자유롭게 나서려고 할 것”이라고 전망했다. 그는 “만일 한국이 2010년 천안함·연평도 사건 때와는 달리 지속적인 위협행위를 용납할 수 없는 것으로 간주한다면 미국은 한반도에서 전쟁을 막을 능력을 잃을 것”이라고 우려했다. 그는 “북한의 사이버 공격 능력은 작년 소니 픽처스 해킹 공격으로 주목을 받고 있으며 이는 다른 무기체계와 연결될 때 치명적일 수 있다”며 “더욱 당황스러운 대목은 남한 영공을 들키지 않고 침입해 들어가는 북한의 ‘드론 함대’”라고 지적했다. 잭슨 연구원은 또 “보다 위험스런 것은 당초 일본의 기지들을 타격 대상으로 삼았던 북한의 단거리 노동미사일이 남한을 표적으로 잡고 있는 것”이라며 “장거리 해상발사 탄도미사일도 잠재적 위협”이라고 덧붙였다. 잭슨 연구원은 특히 “이동식 대륙간탄도미사일인 KN-08은 장소를 옮겨가며 발사할 수 있어 미국 정보자산들이 물리적으로 이를 찾아내 선제타격하기 힘들다”며 “이것은 미국의 기지들과 미국 영토를 잠재적으로 취약하게 만든다”고 우려했다. 잭슨 연구원은 “북한의 핵위협을 관리하려면 우리는 ‘제한적 전쟁’과 그에 따른 계획을 준비해야 한다”며 “미국은 북한의 요구에 굴복할 수도 없으며 북한의 핵능력을 불능화하기 위해 예방적인 전쟁에 착수할 수도 없는 상황”이라고 말했다. 그는 이어 “남북한간 화해를 독려하고 가능한 범위내에서 포용해야 하지만 북한의 제한적 군사공세를 방어할 책임이 있다”고 지적했다. 한편 북한이 현재의 핵개발 추세대로 간다면 2020년까지 최대 100개에 달하는 핵무기를 제조할 수 있다는 분석도 나왔다. 특히 미국 본토까지 다다를 수 있는 이동식 대륙간탄도미사일(ICBM)인 KN-08을 20∼30개 확보할 수 있을 것으로 전망됐다. 북한전문 웹사이트인 ‘38노스’를 운영하는 조엘 위트 미국 존스홉킨스대 초빙연구원은 24일(현지시간) 워싱턴 특파원들을 대상으로 조찬 브리핑을 한 자리에서 이 같은 예측치를 공개했다. 위트 연구원은 북한이 현재 보유한 핵무기 규모를 10∼16개로 전제하고 2020년까지 북한의 핵개발 예측 경로를 ▲저성장 시나리오 ▲중간성장 시나리오 ▲고성장 시나리오로 나눠 소개했다. 우선 핵무기 제조가 100% 늘어나는 전제로 한 저성장 시나리오에서 북한은 2020년까지 20개의 핵무기를 보유할 것으로 전망됐다. 핵무기의 평균 폭발력은 10kt(킬로톤) 수준으로 예측됐다. 핵무기가 212.5% 늘어나는 중간성장 시나리오에서는 핵무기가 50개로 늘어나 평균 폭발력은 10∼20kt으로 증가할 것으로 분석됐다. 특히 소형화가 진전되면서 단거리 미사일(SRBM)은 물론 이동식 IRBM과 ICBM에도 핵탄두를 탑재하는 능력을 갖출 것으로 전망됐다. 핵무기가 525% 증가하는 최악의 고성장 시나리오에서 북한은 2020년까지 100개의 핵무기를 보유할 것으로 전망됐다. 평균 폭발력은 20kt 이상으로 늘어나고 전술핵무기를 필요한 곳에 얼마든지 배치할 수 있는 단계가 된다고 위트 연구원은 강조했다. 특히 북한은 100kt의 폭발력을 가진 1단계 열핵(핵융합) 폭탄 실험을 할 가능성이 제기됐다. 다만, 열핵 폭탄을 실전에 배치할 수 있는 단계까지는 나아가지 못할 것으로 분석됐다. 위트 연구원은 북한의 향후 미사일 개발 경로도 ▲최소 현대화 ▲지속적 현대화 ▲최대 현대화 등 세 가지 시나리오로 예측했다. 최소 현대화 시나리오에서 북한은 KN-01과 KN-02 등 해상발사 순항·탄도미사일을 함정이나 잠수함에 배치하고, 일본을 비롯한 동북아 역내의 상당 부분을 사정권에 두는 무수단 중거리탄도미사일(IRBM)을 비상용으로 배치할 가능성이 크다고 위트 연구원은 밝혔다. 또 실전 배치용이 아닌 비상용으로 대포동 2호 ICBM 5개를 보유할 것으로 전망됐다. 지속적 현대화 시나리오에서는 미국 본토를 겨냥한 북한의 위협이 가일층 증대될 것으로 전망됐다. 탄도미사일을 탑재한 잠수함이 비상용으로 개발되고 무수단 IRBM이 실전용으로 배치될 가능성이 제기됐다. 또 10개 미만의 대포동 2호 ICMB이 비상용으로 배치될 수 있다고 위트 연구원은 내다봤다. 최대 현대화 시나리에서 북한은 무수단 IRBM을 20∼30개가량 배치하는 데 이어 미국 서부 해안과 알래스카 등지를 사정권에 두는 KN-08 역시 20∼30개 실전 배치할 수 있을 것으로 전망됐다. 국무부 북한담당관 출신인 위트 연구원은 “이대로 북한의 핵개발을 용인한다면 2020년에 가서 한국과 미국, 일본은 매우 심각한 상황에 봉착할 것”이라며 “가장 큰 문제는 북한이 새로운 핵실험을 하지 않더라도 이 같은 시나리오에 따라 핵무기를 개발할 수 있다는 점”이라고 말했다. 그는 “마찬가지로 새로운 장거리 미사일 발사 실험을 하지 않더라도 북한의 미사일 개발과 실전배치 능력이 크게 향상될 수 있다”고 강조했다. 그는 “지금 한국 정부가 통일을 이야기하지만, 현실적으로 핵무기 50∼100개를 보유한 국가와 어떻게 통일을 추진할 수 있느냐”며 “제발 환상에서 벗어나 현실을 있는 그대로 봐야 한다”고 주장했다. 온라인뉴스부 iseoul@seoul.co.kr

정부가 내부적으로 공식입장도 정하지 못한 법안을 최경환 경제부총리의 대(對)국회 조속 입법 촉구 담화에 포함시킨 것으로 28일 서울신문 확인 결과 드러났다. 정작 야당이 아닌 정부 스스로가 발목을 잡은 꼴이다. 최경환 경제팀의 ‘경제·민생 드라이브’가 졸속으로 추진되고 있는 단면이 아니냐는 지적이 제기될 만하다. 올해 초 카드 3사의 개인정보 8500만건 유출 뒤 제출된 신용정보법 개정안은 국회 정무위원회에 계류돼 있다. 최 부총리는 지난 26일 담화에서 “여야 간 합의가 됐는데 처리되지 않는 것이 서글픈 현실”이라며 개정안 처리를 촉구했다. 그러나 일주일 전인 19일 국회 정무위 회의록(아래)에 따르면 입장을 정하지 못해 추가 검토를 하게 된 쪽은 금융위원회, 즉 정부였다. ●김기식 새정치민주연합 의원 방송통신위원회 동의하에 국회 본회의를 통과해 11월 29일부터 시행되는 정보통신망법에서는 ‘개인정보 분실, 도난, 누출 시 정보통신 제공자가 고의나 과실이 없음을 입증 못하면 이용자가 300만원 이내 손해액으로 배상을 청구할 수 있다’고 정했다. 이처럼 SK텔레콤, KT 등 통신사 고객들은 정보를 유출당하기만 하면 배상을 청구할 수 있게 제도를 설계했는데, 금융사 대상 신용정보법에서는 안 하겠다고 한다. 정부 부처마다 입장이 다를 수 있나. ●정찬우 금융위 부위원장 부처 간 이견이 있는 것처럼 비쳐 유감이다. 정보통신망법이 통과된 시기는 ‘범정부 태스크포스(TF)’의 최종안 발표(7월 31일) 이전이라 그렇다. ●정우택 정무위원장(새누리당) 그렇다면 정보통신망법과 범정부TF 최종안이 다른데 정부가 어떻게 대처할지, 정보통신망법 개정안을 낼 것인지 정부 나름대로 회의를 해 안을 마련해 오기 바란다. 정보통신망법과 범정부TF에 충실한 신용정보법이 양립하면, 온라인 해킹으로 인한 금융사 개인정보 유출 시에만 배상 청구가 수월해진다고 김 의원은 주장했다. 반면 USB 등을 활용한 유출 사고에서는 배상 청구에 어려움이 예상되는데, 이 같은 모순의 이유는 부처 간 조율이 덜 됐기 때문이란 설명이다. 최 부총리의 촉구 법안인 ‘송파 세 모녀법’에 대해서도 야당은 강한 비판을 내놓고 있다. 국회 보건복지위원회 소속 김성주, 인재근, 이목희 의원은 “전문가들은 비수급빈곤층을 500만명으로 보는데 정부는 40만명 추가분에 대한 예산 2300억원만 편성해 입법을 촉구하고 있다”면서 “최 부총리 주장대로 처리된다면 기초생활보호 수급 기준을 행정부 임의로 변경할 수 있는 악법이 탄생할 것”이라고 주장했다. 홍희경 기자 saloo@seoul.co.kr

‘KT 개인정보유출 보상’ KT 개인정보유출 보상 판결에 관심이 모아지고 있다 2012년 KT 개인정보 유출 사고로 피해를 본 가입자 2만 8000여명이 10만원씩 배상을 받게 됐다. 서울중앙지법 민사합의32부(이인규 부장판사)는 22일 피해자 2만 8715명이 KT를 상대로 낸 손해배상 청구 소송에서 “한 사람당 10만원씩 지급하라”며 원고 일부 승소로 판결했다. 판결 확정시 KT가 지급해야 할 총 금액은 28억 7000여만원에 이른다. 재판부는 KT가 고객의 정보를 보호하기 위한 노력을 게을리했다는 점을 인정했다. 재판부는 “KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다”며 “망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다”고 지적했다. 이어 “(이 같은) 해킹 당시 보안 조치의 내용, 해킹 방지 기술 도입을 위해 들인 경제적 비용 등을 고려하면 KT가 개인정보 누출 방지를 위해 관리자로서의 의무를 다하지 못했다고 판단된다”고 밝혔다. 재판부는 사고와 피해 사실 간 인과 관계가 명확히 입증되지는 않았지만 스팸 메시지 등으로 인한 피해 ‘개연성’을 위자료 액수를 정할 때 고려했다고 설명했다. 앞서 경찰청은 2012년 7월 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사실을 확인했다. 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 하지만 KT는 이러한 유출 사태를 5개월간 파악조차 하지 못했던 것으로 조사됐다. 원고들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원의 손해배상금을 지급하라는 내용의 소송을 제기했다. 이번 판결로 일부 피해 회복이 가능하게 된 가입자들은 전체 피해자의 0.33%다. 그 밖의 피해자들은 별도 소송을 제기해 승소해야 배상금을 받을 수 있다. KT는 즉각 항소 의사를 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

‘KT 개인정보유출 보상’ KT 개인정보유출 보상 판결에 관심이 모아지고 있다 2012년 KT 개인정보 유출 사고로 피해를 본 가입자 2만 8000여명이 10만원씩 배상을 받게 됐다. 서울중앙지법 민사합의32부(이인규 부장판사)는 22일 피해자 2만 8715명이 KT를 상대로 낸 손해배상 청구 소송에서 “한 사람당 10만원씩 지급하라”며 원고 일부 승소로 판결했다. 판결 확정시 KT가 지급해야 할 총 금액은 28억 7000여만원에 이른다. 재판부는 KT가 고객의 정보를 보호하기 위한 노력을 게을리했다는 점을 인정했다. 재판부는 “KT는 사내 통신망의 ID와 비밀번호, 사용자 계정에 대한 관리를 소홀히 했다”며 “망 내 데이터베이스에 주민등록번호와 같은 중요 정보도 암호화하지 않고 저장했다”고 지적했다. 이어 “(이 같은) 해킹 당시 보안 조치의 내용, 해킹 방지 기술 도입을 위해 들인 경제적 비용 등을 고려하면 KT가 개인정보 누출 방지를 위해 관리자로서의 의무를 다하지 못했다고 판단된다”고 밝혔다. 재판부는 사고와 피해 사실 간 인과 관계가 명확히 입증되지는 않았지만 스팸 메시지 등으로 인한 피해 ‘개연성’을 위자료 액수를 정할 때 고려했다고 설명했다. 앞서 경찰청은 2012년 7월 KT 가입자 870만명의 개인정보가 무분별하게 유출된 사실을 확인했다. 해커 2명이 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼낸 것으로 드러났다. 하지만 KT는 이러한 유출 사태를 5개월간 파악조차 하지 못했던 것으로 조사됐다. 원고들은 KT의 관리·감독 부실로 개인정보가 유출됐다며 1인당 50만원의 손해배상금을 지급하라는 내용의 소송을 제기했다. 이번 판결로 일부 피해 회복이 가능하게 된 가입자들은 전체 피해자의 0.33%다. 그 밖의 피해자들은 별도 소송을 제기해 승소해야 배상금을 받을 수 있다. KT는 즉각 항소 의사를 밝혔다. KT는 판결 직후 입장자료를 내고 “법원이 KT의 책임을 인정한 것은 유감”이라며 “항소해 법령에서 정한 보안 사항을 준수한 상황에서 발생한 불가항력적인 사고였고, 회사 보안조치가 적법했음을 재소명하겠다”고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

2년 전 개인정보 유출 사고를 겪은 가입자들에게 KT가 10만원씩 배상해야 한다는 법원 판결이 나왔다. 서울중앙지법 민사합의32부(부장 이인규)는 22일 개인정보 유출 피해자 2만 8700여명이 KT를 상대로 제기한 손해배상 청구소송에서 “1인당 10만원씩 지급하라”며 원고 일부 승소 판결했다. 이번 판결이 확정되면 KT는 모두 28억 7000여만원을 물어 줘야 한다. 이번 판결의 원고는 전체 피해자의 0.33%에 불과해 나머지 피해자들이 별도 소송을 제기할 가능성도 높아졌다. 재판부는 KT가 정보통신 보안에 들인 경제적 비용 등을 고려하면 서비스 제공자로서 개인정보 누출 방지를 위한 주의 의무를 다하지 않았다고 판단했다. 재판부는 “2차 피해 우려가 높은 주민등록번호 등을 암호화해 보관하지 않았고 퇴직한 개인정보 취급자의 아이디를 말소하지 않아 해커들이 범죄에 이용했다”며 “해커가 1주일에 10만건 정도의 개인정보를 조회했는데 한 달에 1회 이상 정기적으로 개인정보 처리 내역을 감독했다면 정보 유출을 방지할 수 있었을 것”이라고 지적했다. 이어 “원고들의 2차 피해가 이 사건으로 발생했다는 점이 분명하게 입증되지는 않았지만 이를 밝히는 것은 사실상 불가능하고 스팸 메시지 등으로 피해를 입을 개연성이 충분해 위자료 산정에 참작했다”고 덧붙였다. 앞서 2012년 7월 KT 가입자 870만명의 개인정보가 대거 유출된 사건이 적발됐다. 해커 2명이 고객정보를 몰래 조회하는 해킹 프로그램을 통해 5개월에 걸쳐 개인정보를 빼냈는데 그사이 KT는 유출 사실을 파악조차 하지 못했던 것으로 조사됐다. 한편 KT는 “법원이 KT의 책임을 인정한 것은 유감”이라며 “법에서 정한 보안 사항을 준수한 상황에서 발생한 불가항력적인 사고였다”고 항소 의사를 밝혔다. 한재희 기자 jh@seoul.co.kr

감사원이 그제 대규모 투자자가 피해를 본 ‘동양 사태’의 원인을 감독기관인 금융위원회와 금융감독원의 직무유기에 따른 것으로 결론지었다. 이 사고로 4만명이 동양그룹의 부실한 기업어음(CP)과 회사채에 투자해 1조 7000억원대의 손실을 보았다. 금감원은 “검사 과정에서 재무·상품 건전성을 제대로 안 본 것”이란 감사원의 지적에 “관련 조항들을 못 봤다”며 발뺌했다고 한다. 변명에 불과하다. 동양 사태의 요체는 동양그룹이 운영 자금 등을 조달하기 위해 부실한 CP와 회사채를 발행하는 과정에서 투자자들에게 피해를 끼친 것이다. 감사원은 “금융 당국이 지난해 말 동양 사태 발생 전인 2008년부터 투기등급인 동양증권 회사채의 불완전판매 정황을 확인하는 등 사고를 막을 기회가 여러 번 있었으나 이를 놓쳤다”고 밝혔다. 더욱이 금융기관에 대한 공동검사권을 갖고 있는 예금보험공사에서 ‘동양증권의 회사채가 부실해 투자자의 피해가 우려된다’는 내용의 공문까지 금감원에 보냈지만 이를 도외시했다. 또 금융과 산업, 즉 ‘금산 분리’를 철저히 적용해야 했지만 계열 금융기관을 이용해 계열사를 도왔다. 금감원은 “회사채 현황은 공시를 통해 투자자가 알 수 있다”고 주장하지만 이 또한 면피성으로 들린다. 동양의 금융 상품은 이미 부실했고, 개인투자자들은 이를 제대로 알 수 없는 노릇이다. 그동안 금감원의 업무 태만은 일과성에 머물지 않았다. 불과 1년 동안 일어난 금융기관의 해킹에 따른 개인정보 유출과 KT ENS 협력업체 대출 사기, KB금융 카드사태 등에서 지도·감독 기능은 한결같이 작동되지 않았다. 금융사고는 터지면 그 규모가 크고, 개인투자자의 피해 등으로 파장이 상당하다. 본연의 임무를 망각한 채 무소불위에 가까운 ‘갑질’만 하다 보니 조직의 감각이 무뎌졌다는 방증이다. 세간의 말처럼 동양과 이들 기관 간에 ‘특정 학맥’이 간여됐다면 더더욱 그렇다. 감사원은 ‘동양 사태’의 원인을 고질적인 감독 소홀이라고 판단했다. 부원장이 책임 사퇴하고 담당 국장이 문책을 받는 선에서 끝날 일은 아니다. 이 사태는 ‘루비콘 강’을 건넌 상황이다. 피해자들은 두 기관에 피해배상을 요구하고 있고, 소송도 잇따를 전망이다. 분쟁 조정 신청자가 2만명에 이른다. 선의의 투자자를 보호해야 할 기본적인 의무를 저버린 자업자득이다. 금융 당국은 감독 기능을 속히 되찾기 위한 제도 개선에 나서야 한다. 조직의 존립 가치가 훼손되면 존폐의 문제로 번지게 된다.

PC와 스마트폰에서 개인정보를 보호할 수 있는 서비스가 나왔다. ㈜한국미디어정보기술이 선보인 한국개인정보보호서비스(Korea Personal Information Security Service)는 민감한 개인정보가 저장된 PC 및 스마트폰에서 유출되는 개인정보를 원천적으로 차단하고, 나아가 유출된 개인정보의 명의도용방지 서비스와 피싱 및 해킹 금융사고 보상까지 포괄적으로 제공하는 것이 특징이다. ㈜한국미디어정보기술 임선묵 대표이사는 “최근 들어 해커들의 타겟이 사이트 해킹이 아닌 PC 및 스마트폰으로 이동됨에 따라 민감한 개인정보 유출 위험이 한층 증가하고 있으며, 더불어 백신에 의존하여 개인정보를 지킨다는 것은 사후 서비스에 불과하다는 판단에서 서비스를 개발하게 되었다”고 말했다. 또한 “KPISS(케이피스)는 PC 내에 주민등록번호, 계좌번호, 신용카드번호 등 총 6항목의 민감한 개인정보가 담긴 문서를 탐지하여 그린존으로 이동이 가능하고, 신용정보회사와 제휴하여 명의도용 방지 서비스를 통해 원천적으로 개인정보 도용을 방지하고 나아가 피싱, 스미싱 등 개인정보 도용으로 입은 피해에 대해서 최대 200만원까지 보상하는 보험을 제공함으로써 개인정보탐지, 개인정보도용방지, 피싱 및 해킹 금융사고 보상에 대한 단계별 서비스를 제공한다는 것이 가장 큰 장점”이라고 말했다. 옥션과 KT정보유출소송을 담당한 김현성 변호사는 “개인정보 해킹 대상은 PC도 결코 예외가 될 수 없고 이미 유출된 개인정보로 인한 2차 피해 대책도 절실한 상황이다”라고 강조하며, “이런 상황에서 2차 피해를 최소화하고 보상에 대한 안전장치를 갖춘 KPISS가 하나의 대안으로써의 역할을 할 수 있을 것이다”라고 전망했다. KPISS(케이피스)는 PC를 대상으로 개인정보유출방지를 위한 관리 툴을 제공하고 나아가 2차 금융사고에 대한 안전장치를 제공함으로써 사회적 이슈가 된 개인정보 보호를 한층 강화할 수 있는 시스템이라는 점에서 큰 의미가 있다고 할 수 있다. ㈜한국미디어 정보기술은 KAIST에 입주한 최우수기업으로써 크림북이라는 스마트 이 러닝 솔루션 개발 업체로서 7년여간의 기술개발경험을 바탕으로 새로운 사업 영역 개척에 힘써 왔으며, 최근 신규 사업영역 확장과 적극적인 투자로 2015년 IPO를 목표로 회사 역량을 집중하고 하는 기술 혁신 기업이다. 뉴스팀 seoulen@seoul.co.kr

‘다윗’(개인정보유출 피해자)이 ‘돌팔매’(집단소송제)를 이용해 ‘골리앗’(정보유출 기업)을 쓰러뜨릴 수 있을까.’ 최근 개인정보 유출 사태가 잇따르면서 대한민국 신상정보가 모두 털렸다. 카드사 개인 정보 유출 사태로 1억 400만건, KT홈페이지 해킹으로 1200만명의 개인정보가 유출됐다. 주민등록번호와 휴대전화 번호는 물론이고 카드번호와 직장 정보, 결제계좌까지 ‘강제 공개’된 피해자들은 “개인정보가 아니라 공공의 정보”라며 분노했다. 현재 우리나라에는 개인정보 유출분야에서 집단소송제(Class Action)가 도입되지 않아 피해자들은 소송 당사자들만 보상을 받는 ‘다수 당사자 소송’을 활용하고 있다. 집단소송 도입을 둘러싼 논란을 짚어봤다. 2007년 미국에서는 금융서비스 회사인 서티지 체크 서비스(Certegy Check Services)의 개인정보 관리 책임자가 정보 브로커에게 돈을 받고 850만명의 고객 정보를 고객에게 넘겨준 사건이 발생했다. 고객정보에는 인적사항과 계좌정보, 신용카드번호 등이 포함돼 있었다. 피해자들은 집단소송을 제기했고, 이에 따른 막대한 배상금을 의식한 회사가 법원의 중재를 받아들여 당사자 간의 화해로 사건은 종결됐다. 당시 회사는 정보유출사고 피해자들에게 1인당 2만 달러까지 지불했다. 반면 KT 이동통신과 농협 신용카드를 이용하는 직장인 김모(27)씨는 최근 정보유출 사태로 인해 주민등록 번호와 카드번호 등의 개인정보가 유출되는 피해를 입었다. 수년간 KT와 농협을 믿고 이용해온 김씨는 ‘죄송하다’는 사과만 할 뿐 손해배상에는 뒷전인 회사들의 태도에 화가 나 ‘다수 당사자 소송’ 인터넷 카페를 통해 소송을 제기할까도 생각했다. 하지만 막상 소송을 하려고 보니 많지는 않지만 소송비용이 필요하고, 제출해야 하는 서류도 있다는 것을 알아차렸다. 게다가 이긴다는 보장도 없으며, 혹 이긴다 하더라도 10만~30만원의 배상금밖에 못 받는다는 생각에 소송을 포기해야만 했다. ●신상정보·입사지원서 유출돼도 배상액 10만원 집단소송제는 회사나 특정인의 잘못된 행동에 의해 다수가 피해를 입었을 경우 피해자 중 일부가 전체를 대표해 가해자를 상대로 소송을 제기하도록 허용하는 제도이다. 집단 소송을 통한 법원 판결은 소송 당사자뿐 아니라 피해자 전체에 효력을 미칠 수 있어 개별적 피해 규모는 작지만 피해자의 수가 많은 경우 활용하기 적당한 소송 방식으로 손꼽히고 있다. 그러나 현재 우리나라 정보 유출 피해자들이 법원에 제기하고 있는 것은 소송 당사자만이 판결 결과에 영향을 받게 되는 ‘다수 당사자 소송’으로 집단 소송과는 구별된다. 문제는 ‘다수 당사자 소송’을 이용할 경우 참여율이 낮아 피해자들이 제대로 된 보상을 받지 못한다는 점이다. 보상받을 수 있을 것으로 예상되는 피해금액이 소액이기 때문에 개별소송을 쉽게 포기하는 경우가 많고, 3~5년에 걸리는 법정다툼과 소송비용을 부담스럽게 생각하는 피해자도 있다. 집단소송을 통해서라면 한 번의 소송으로 끝날 문제가 여러 법원에 소송이 제기돼 이로 인한 사회적 비용도 만만치 않다. 사례에 따라 다르지만 일반적으로 집단소송을 진행하는데는 인지세와 송달료 등 1인당 1만원 정도의 비용이 든다. 소송에 뛰어들었다 하더라도 개인 정보 유출로 인해 어떠한 피해를 입었는지에 대한 입증책임이 피해자에게 있기 때문에 승소하기가 쉽지 않다. 실제로 대표적 정보유출 사건 중 하나인 ‘2007년 옥션해킹‘ 사태에서 법원은 ‘해킹을 막지 못한 아쉬움은 있지만 당시 옥션은 이를 막기 위한 충분한 노력을 했기 때문에 과실이 있다고 보기 어렵다’며 소송을 제기한 피해자들에게 패소 판결을 내렸다. ‘2008년 GS칼텍스 개인정보 유출’ 사건에서도 법원은 “새나간 정보가 피해자들의 경제적 이익을 침해하는 것이 아니고, 자회사 직원 3명이 정보를 팔아넘기기 직전에 검거돼 후속 피해의 우려가 없다”며 원고 패소 판결을 내렸다. 그나마 승소를 한 경우도 배상금액은 미미한 수준에 그쳤다. ‘2005년 엔씨소프트 정보 유출 사건’과 ‘2006년 LG전자 입사지원서 유출 사건’의 경우에도 인정된 배상금액이 10만~30만원에 불과했다. 개인정보 유출의 경우 언론의 관련 사실이 보도되고 나서야 소비자들이 피해 사실을 인식할 수 있어 피해 기간이 길고, 개인정보가 외국으로 유출돼 피해가 확산될 수도 있다는 점 등을 고려해 보면 피해자들에게 주어진 수십만원의 보상금은 다소 적다고 볼 수 있다. ●증권분야에 처음 도입했지만… 9년간 소송 7건뿐 사실 그동안 우리나라에서도 집단소송제의 필요성이 꾸준히 제기돼 증권분야에 한해서 집단소송제를 도입했지만 사실상 무용지물인 상태다. ‘증권관련 집단소송법’은 2005년 1월부터 시행됐지만 현재까지 이를 이용해 제기된 소송은 7건에 그쳤다. 집단소송 대상을 분식회계·불공정 거래·미공개정보 이용 등으로 한정해 지나치게 제한돼 있고, 소송을 제기하기 위해서는 총 발행주식의 1만분의1 이상을 보유해야 하는 등 요건이 까다롭기 때문이다. 이에 대한 지적이 계속되자 법무부는 최근 해당 법에 대한 개정안을 마련하기도 했다. 상황이 이렇다 보니 집단 소송제를 도입해야 한다는 목소리가 높아지고 있지만 반론도 만만치 않다. 전국경제인연합 기업정책팀 추광호 팀장은 “미국 집단소송의 경우 95% 이상이 결국 화해조정으로 끝나게 된다”면서 “이때 소비자는 할인권이나 쿠폰 등 미미한 보상을 받고 변호사만 거액의 수임료를 챙기게 된다”고 강조했다. 추 팀장은 이어 “집단소송제는 다른 사람의 소송 수행 능력에 따라 내가 배상받을 수 있는지 여부가 결정이 된다”면서 “만약 패소할 경우 가만히 있다가 구제받을 수 있는 권리를 박탈당하는 문제점이 발생한다”고 설명했다. 전경련 홍보본부 임상혁 본부장은 “전 세계적으로 집단소송제가 활발하게 시행되는 나라는 미국 정도에 불과한데 우리나라 기업에만 족쇄를 채우는 것은 부당하다”면서 “변호사들이 소비자를 부추겨 집단소송이 남발되면 기업활동이 위축될 가능성이 높다”고 설명했다. 실제로 1994년 가슴 성형 실리콘 부작용과 관련해 전 세계 환자 30여만 명에게 집단소송을 당한 다우코닝사는 피해자들에게 32억 달러라는 거액을 배상한 뒤 파산보호신청을 했다. 전삼현 숭실대 법학과 교수는 “조지 부시 전 대통령은 ‘미국의 제조업이 사라진 가장 큰 요인 중 하나가 집단소송’이라며 남소를 제한하는 법을 새로 제정하기도 했다”면서 “집단소송을 활성화하자는 것은 변호사가 돈 좀 벌어보자는 것이다”라고 목소리를 높였다. 이어 “사업자의 악의적 불법행위를 막을 수 있는 다른 여러가지 방법이 있는데 꼭 부작용이 많은 집단소송을 이용해야 하는지 의문”이라고 덧붙였다. ●“도입 땐 소송 남발” vs “정보 유출부터 시행을” 그러나 도입 찬성자들의 입장도 단호하다. 경제정의실천시민연합 소비자정의센터 윤철한 팀장은 “만약 집단소송제 시행으로 인해 소송이 많이 제기 된다 하더라도 그것은 소송의 남발이 아니라 피해를 변상받기 위한 정당한 권리 행사”라면서 “우리나라는 아직 피해액의 3~4배를 배상해야 하는 ‘징벌적 손해배상제’를 본격적으로 도입하지 않고 있어 미국처럼 기업에 ‘배상금 폭탄’이 떨어질지 어떨지는 아직 모르는 것”이라고 말했다. 투기자본감시센터 홍성준 사무처장도 “집단소송제 때문에 기업활동이 위축되는 것이 아니라 대기업의 부당행위로 인해 소비자가 기업을 외면함으로써 기업 활동이 위축되는 것”이라고 설명했다. 법무법인 양헌의 김승열 변호사는 “집단소송제를 실행 중인 미국에 진출한 우리나라 기업이 불법행위를 저질렀을 경우 미국 소비자들에게는 제대로 된 보상을 하고 한국 소비자에게는 그렇게 하지 않는 상황이 발생할 수 있다”면서 “이 경우 역차별 논란이 일 수 있다”고 말했다. 김 변호사는 이어 “광범위하게 집단소송제를 도입하는 게 무리가 있다면 가장 시급한 개인정보 유출 분야만이라도 집단소송제를 시행해야 한다”고 강조했다. 한재희 기자 jh@seoul.co.kr

최근 정부기관, 금융권에서의 잇단 해킹 사태로 네트워크 보안이 강화되는 가운데 유선 통신망 등 물리적 보안에 대한 관심도 덩달아 커지고 있다. 이 가운데 공중에 나와 있는 전선을 지하에 매설해 도시 미관을 개선하는 등 가시적 효과는 물론 자연재해 등 비상 상황 시 망 파손의 위험을 크게 줄일 수 있는 지중화 기술이 눈길을 끌고 있다. 지중화 기술은 자연재해의 위험이 많은 일본이 앞서 있다. 일본은 전기·통신·케이블 등 가공 전선류를 지하에 동시 매설하는 ‘특별 조치법’을 제정한 바 있다. 1일 업계 등에 따르면 현재 경찰청은 ‘지방경찰청통합망 지중화 구축사업’을 통해 전국 16개 지방청 사이를 잇는 유선망(전화망, 종합정보망, 영상회의망)과 멀티서비스플랫폼 전송장비 등의 지중화 작업을 추진하고 있다. 해당 사업은 지명경쟁입찰 방식으로 현재 SK텔레콤, KT, LG유플러스 등 이통 3사가 수주에 나선 상태다. 남은 입찰 대상은 경기, 충북 등을 포함한 12개 지역이다. 제주, 전북, 충남, 서울 4개 지방경찰청은 이미 사업자 선정이 종료됐다. 이 가운데 제주는 SK텔레콤, 나머지 3곳은 KT가 수주했다. 관건은 비용과 기술이다. 업계 관계자는 “비용이 많이 드는 데다 매설 대상이 국가의 특수 시설인 만큼 기술과 운영 노하우가 있는 사업자로 신중하게 결정할 필요가 있다”면서 “현재 KT가 광케이블 인프라 가운데 94% 이상을 지중화해 운영하는 등 한발 앞선 행보를 보이고 있다”고 전했다. 명희진 기자 mhj46@seoul.co.kr

올 초 카드 3사에서 1억건 이상의 개인정보가 유출된 것으로 확인됐고, 그 여파가 가시기도 전에 KT에서 1200만건의 개인정보가 다시 유출된 것으로 확인됐다. 카드 3사에서 유출된 개인정보가 모두 회수돼 2차 유출은 없다던 정부의 장담을 반박이나 하듯 8000만건의 개인정보가 대출중개업자에게 팔려나간 사실이 알려지면서 국민의 불안은 극에 달하고 있다. 이번 개인정보 유출은 기업이 보안의 기본 원칙을 철저히 지키지 못함에 근본 원인이 있다. 더욱 우려되는 점은 해당 회사가 유출 사실을 확인한 것이 아니라, 해당 정보가 불법 유통되는 과정에서 수사 당국에 의해 인지돼 알려졌다는 점이다. 2년 전 유사한 해킹으로 870만건의 개인정보가 유출된 뒤 세계 최고 보안 인프라를 갖춰 국민이 안심할 수 있는 서비스를 제공하겠다는 KT의 약속도 말뿐이 되고 말았다. 정보통신강국인 대한민국이 ‘개인정보 공개 공화국’이라는 불명예로 휘청거리고 있다. 공개된 국민의 개인정보를 어떻게 보호해야 할지 막막할 지경이나, 문제 해결의 실마리는 모든 당사자들이 보안의 기본으로 돌아가는 평범한 사실에서 찾아야 한다. 외주 인력에 대한 보안 관리가 철저히 강화돼야 한다. 외주 인력의 내부 개인정보에 대한 접근은 적절히 제한돼야 한다. 해킹 사고로 정보 유출은 100% 막을 수는 없지만, 상시 모니터링으로 유출 사실을 조기 탐지해 피해 확산을 최소화해야 한다. 시스템 설계에서 운영까지 모든 과정에서 보안이 최우선적으로 반영돼야 한다. 시스템 설치와 운영 과정에서도 유출로 이어질 가능성이 있는 취약점을 부단히 찾고, 상시 모니터링으로 대규모 정보 유출을 미리 차단해야 한다. 정보 유출로 인한 피해는 최소화돼야 한다. 유출된 개인정보를 이용해 비정상적 카드 결제가 이뤄질 수 있으므로 정부의 대책 마련과 국민의 주의가 요구된다. 의심스러운 인터넷 주소는 절대 클릭하지 말고 전화로 요구하는 어떤 개인정보 제공 요구도 응하지 않아야 한다. 유출된 개인정보의 불법 유통과 활용에 대한 모니터링도 여러 기관이 협력해 강화돼야 한다. 금융소비자가 자기정보결정권을 확보하고, 불법 활용에는 징벌적 과징금을 매출액의 3%로 확대하며, 정보유출 기업에 최대 50억원의 과징금을 부과하며, 주민번호 노출을 최소화하고, 최고경영자(CEO)의 보안책임을 강화하는 내용으로 지난 10일 발표된 정책은 국회와 협조해 시급히 시행돼야 한다. 이번 대책은 문제 해결의 시작점이며 이번 대책이 담지 못한 추가 대책도 고려해야 한다. 글로벌 프라이버시 3대 원칙은 기업이 어떻게 개인정보를 처리하고 있는지 상세히 알려 주고, 소비자의 동의 및 통제하에 개인정보가 처리되며, 다른 사이트 간 개인정보가 연계되지 않도록 하는 것이다. 금융정보 보안대책은 주로 자기정보결정권과 처리 투명성 요구에 집중돼 마련됐으나 개인정보 연계 방지 요구는 고려되지 못한 측면이 있다. 사이트 간 개인정보 연계를 가능케 하는 만능열쇠인 주민번호가 여전히 수집처리되기 때문이다. 사이트 간 개인정보 연계를 막을 수 있는 영역별 대체 식별정보 체계를 도입해야 한다. 민간 분야 영역별 식별정보 체계는 조세 기반, 실명제 그리고 신용도 조회를 확보하도록 해야 하며 기존 식별 인프라를 활용하도록 구성돼야 한다. 국가 보안의 기본 방향성 변경도 고려돼야 한다. 모든 기업에 일관적으로 최소 수준의 보호조치만 요구할 것이 아니라, 정부가 상위 수준 가이드 라인만 제시하고 일정 규모 이상 기업이 스스로 하위 세부 보안 수준을 마련해 그에 따른 피해는 기업 스스로 책임지도록 하는 방침도 고려해야 한다. 시민단체가 주장하는 징벌적 손해배상제도와 집단소송제의 도입도 장기적으로 고려할 시점이다. 무엇보다도 중요한 점은 기업들의 보안 의식을 높이고 실질적인 보안 투자를 유도하며 소비자의 신뢰를 높일 수 있는 지배구조를 포함한 법 제도 정비와 환경 조성이다.

해커가 KT 홈페이지에 지난 3개월간 1200만번이 넘게 접속했으나 KT는 이를 전혀 감지하지 못한 것으로 드러났다. 심지어 특정 IP에서 하루 최대 34만번 접속이 이뤄졌을 정도로 홈페이지 보안이 허술했다. 미래창조과학부는 25일 KT 고객 정보 유출 사건과 관련, 민관합동조사단의 중간 조사결과를 발표했다. 미래부에 따르면 KT에 남아 있는 최근 3개월간 홈페이지 접속기록을 조사한 결과 해커가 약 1266만번 접속했던 것으로 확인됐다. 해커가 활개를 칠 수 있었던 이유는 KT 홈페이지에서 개인정보 데이터베이스(DB)를 조회할 때 고객서비스계약번호가 본인인지 아닌지 검증하는 단계 없이 제작됐기 때문이다. 이 같은 허점을 악용해 해커는 하루 최대 34만 1000번이나 접속했고 보안장비는 이를 한번도 잡아내지 못했다. 미래부는 이번 사건과 별도로 KT의 다른 홈페이지 9곳에서도 가입자 여부를 확인하지 않고도 조회가 가능한 취약점을 발견했으며, 이들 홈페이지로 접속한 기록도 8만 5999건이나 된다고 밝혔다. 미래부는 검찰, 경찰, 방송통신위원회 등에 관련 정보를 공유하고 KT에 추가 보안조치를 요청했다. 방송통신위원회 관계자는 “해킹과 관련해 KT의 허술한 홈페이지 관리가 확인된 만큼 이달 말까지 KT의 개인정보 수집부터 관리 이용까지 꼼꼼히 들여다볼 예정”이라면서 “4월 중순쯤 KT에 대한 제재 수위가 결정될 것”이라고 말했다. 정보통신망법에서는 개인정보 보호를 위한 기술적·관리적 조치 미이행으로 인한 개인 정보 누출 시 1억원 이하의 과징금을 부과하게 돼 있다. 명희진 기자 mhj46@seoul.co.kr

신용카드사와 이동통신회사 KT의 가입자 정보 유출에 이어 생명보험회사, 손해보험회사 등 국내 보험회사 30곳 정도의 고객 정보가 모두 유출된 것으로 23일 확인됐다. 국민·롯데·농협 등 카드 3사의 고객 정보 1억여건이 유출된 데 이어 시중 대부분의 보험회사 고객 정보가 대규모 유출된 것은 처음이다. 보험회사의 정보는 고객의 단순 개인정보를 넘어 질병정보까지 포함될 수 있다는 점에서 파장이 걷잡을 수 없이 확산될 것으로 보인다. 보험사가 보유한 고객 정보에는 보험계약자, 피보험자, 주민등록번호, 주소, 보험료 등과 같은 개인정보는 물론이고 질병명, 장해부위, 장해비율, 수술명, 입원 여부와 같은 민감한 사생활 정보도 대거 포함돼 있다. 이러한 민감 정보까지 유출됐다면 정보꾼들이 보험 가입자들의 질병과 수술 내용까지 파악할 수 있게 된 셈이다. 인천 남동경찰서 수사과 지능팀은 국내 보험회사 30곳 이상의 고객 정보를 빼내 불법 유통한 일당 10여명을 검거해 조사하고 있다. 이들은 보험사 홈페이지를 해킹해 고객 정보를 빼낸 것으로 알려졌다. 경찰은 최근 해당 보험회사 직원들을 비롯해 금융감독원 담당 직원을 참고인 신분으로 소환해 사실관계를 조사했다. 경찰 관계자는 “보험회사들로부터 유출된 정보가 자사 고객 정보가 맞는지 확인하고 있다”면서 “보험회사 30곳 이상의 고객 정보가 유출됐고 관련 사건에 대해 현재 마무리 확인 작업 중에 있다”고 밝혔다. 앞서 푸르덴셜생명은 외부인에게 사내 전산망 조회가 가능한 권한을 줘 개인신용정보를 열람하게 했다가 적발되는 등 부분적인 정보 노출은 있었지만 보험사 30개사 가량의 고객 정보가 무더기로 유출된 것은 처음이다. 국내에서 영업을 하고 있는 생명보험사는 삼성생명, 교보생명, 한화생명, 미래에셋생명, 동양생명, 현대라이프 등 24개사다. 손해보험사는 삼성화재, 현대해상, 메리츠화재, LIG손보, 흥국화재, 동부화재, 한화손보, 롯데손보 등 17개사다. 한편 보험사 고객 정보를 빼낸 이들 일당은 인터넷 및 유선 고객 가입자의 고객 정보도 확보하고 있는 것으로 전해졌다. 경찰은 이들이 이통사 고객 정보를 소유하게 된 경위 등도 수사하고 있다. 김승훈 기자 hunnam@seoul.co.kr 이성원 기자 lsw1469@seoul.co.kr

최소한 올 1월까지 SK브로드밴드의 고객 개인정보가 유출된 정황이 포착됐다. 개인정보 1230만건 유출 사건을 수사 중인 부산 남부경찰서는 유통업자 문모(44·구속)씨가 지난 1월 SK브로드밴드의 한 영업점 사이트의 아이디와 비밀번호를 중국인으로 추정되는 A씨와 주고받은 문자를 확보했다고 14일 밝혔다. 따라서 경찰은 최소한 지난 1월까지 이 영업점의 고객 정보가 유출됐을 가능성이 큰 것으로 파악하고 있다. 또 문씨가 SK브로드밴드의 고객 정보 15만건을 확보하고 이를 엑셀 파일을 통해 연령, 지역, 성별 등으로 가공한 뒤 권모(31)씨 등에게 팔아넘긴 것으로 경찰은 보고 있다. 이는 문씨 등이 ‘SK’라는 파일명으로 보관하고 있던 개인정보 150만여건 가운데 일부다. 경찰은 미래창조과학부와 한국인터넷진흥원 관계자 등 7명으로 합동 점검반을 편성해 SK브로드밴드의 해당 영업점 사이트 서버를 압수, 정확한 해킹 경로와 시기 등을 조사하고 있다. 해당 영업점이 2개월 단위로 고객 개인정보를 보관하고 수시로 비밀번호를 변경한다고 밝혔지만 유출된 개인정보가 무려 15만건에 달해 장기간 해킹됐을 가능성이 크다. 그러나 경찰은 LG유플러스와 KT 등 이동통신사들과 11개 금융기관, 여행사, 인터넷 쇼핑몰, 불법 도박 사이트 등에서는 어떤 경로를 통해 개인정보가 유출됐는지 아직 파악하지 못했다고 밝혔다. 이에 대해 SK브로드밴드 측은 “문제의 영업점으로 거론된 곳은 우리 회사와 계약을 맺은 영업점이 아니다”면서 “특정 업체만을 대상으로 영업하는 것은 아닌 것으로 알고 있다”고 말했다. 한편 지난 11일 부산 남부경찰서는 통신 3사 등에서 유출된 개인정보 1230만여건을 유통한 혐의로 문씨를 구속하고 이를 영업 등에 사용한 권씨 등 17명을 불구속 입건했다. 부산 김정한 기자 jhkim@seoul.co.kr

카드 3사의 개인정보 유출 사건을 계기로 개인정보보호 전반에 대한 사회적 인식이 바뀌는 단초가 마련된 것은 다행이다. 재탕, 삼탕이라는 비판도 없지 않지만 정부는 지난 10일 금융기관의 불필요한 정보 수집을 제한하는 내용 등을 담은 ‘금융분야 개인정보보호 종합대책’을 내놓고 재발 방지에 애쓰고 있다. 서울신문은 지난 2월 19일과 20일 ‘개인정보유출사고의 불편한 진실’이라는 기획 기사를 비롯해 수차례에 걸쳐 그동안 금융사의 정보책임자들이 보안 전문성이 턱없이 부족하고 금융당국의 금융사들에 대한 관련 처벌수위가 솜방망이에 그치고 있었다고 지적했다. 한마디로 아직까지 우리 사회에서는 개인정보보호라는 문화가 형성돼 있지 않다는 얘기다. 개인정보를 활용해 수익을 내고 있는 기업에서는 일부 전산부서나 담당직원의 일인 양 소홀히 다뤄 왔고, 국민들의 경우에도 쿠폰·경품지급, 제휴사 할인, 이벤트 행사에 무심코 개인정보를 적어 내는 등 개인정보에 대한 권리의식이 부족했던 것 또한 사실이다. 한편, 카드 3사의 개인정보 유출 사건의 여파가 채 가라앉기도 전에 최근 또다시 KT에서 1200만건, 소셜커머스 업체에서 110만건, 인터넷 사이트 225개를 해킹해 1700만건의 개인정보가 유출된 사건이 추가로 밝혀졌다. 이러한 일련의 개인정보 유출 사건은 국민들의 불안감을 증폭시켰고 기업의 책임성을 대폭 강화해야 한다는 목소리가 높아지고 있다. 다행히 이러한 문제의식 속에서 이제 개인정보보호 문제는 우리 사회 전반적으로 매우 중대한 전환점을 맞고 있다. 이번 카드사 정보유출 사건을 계기로 우리 사회가 많이 달라지고 있다. 정부는 지난 2월부터 총리실에 ‘범정부 개인정보보호 태스크포스’(TF)를 구성해 모든 공공기관과 민간사업자의 개인정보 처리 실태와 취약점의 일제점검에 나섰고, 국회에서도 50여개나 되는 개인정보보호 관련 법안이 상정돼 입법논의가 활발히 진행 중이다. 며칠 전 개인정보 유출 사실이 밝혀진 한 통신업체에서도 예전과는 많이 달라진 모습을 보였다. 기업의 최고경영자가 유례없이 신속하게 대국민 사과와 개인정보보호 대책을 내놓았다. 국민 또한 많이 달라졌다. 개인정보를 유출한 기업의 상품이나 서비스 해지, 피해보상을 요구하는 등 자신의 권리를 적극적으로 주장하고 있다. 개인정보보호에 대한 기업과 국민의 인식이 현저하게 변화되고 있는 것이다. 최근의 개인정보 유출 사건은 국민들의 권리 의식과 기업들의 윤리 의식을 확대시켜 개인정보보호가 우리 사회의 문화로 정착될 수 있는 중요한 계기가 되고 있다. 이러한 보호문화의 토대 위에서만 빅데이터 시대에 걸맞게 안전한 개인정보 이용이 뿌리내릴 수 있다. 다만, 이번 계기가 헛되지 않도록 한발 더 나아가야 한다. 정부는 사회 전반의 개인정보보호 실태와 문제점을 점검하고 법·제도적 정비를 신속하게 추진해야 한다. 기업들은 개인정보보호를 위한 비용이 기업의 생존과 관련된 중요한 투자임을 인식하고 최고경영자로부터 말단직원에 이르기까지 전사적인 노력을 경주해야 한다. 아울러 국민들도 자기정보에 대한 권리 의식을 갖고 개인정보 제공 동의서들을 꼼꼼히 읽어보고 불합리한 개인정보 제공 요구에 대해서는 거부할 수 있어야 한다. 서울신문은 정부가 내놓은 정책들이 제대로 이행되고 있는지, 허점은 없는지 추적 보도해 이번 대책이 일회성에 그치지 않도록 깐깐한 감시자 역할을 해야 한다.

박근혜 대통령은 10일 규제 개혁에 대해 “쓸데 없는 규제는 우리가 쳐부술 원수, 제거하지 않으면 우리 몸이 죽는다는 암덩어리로 생각하고 겉핥기식이 아니라 확확 들어내는 데에 모든 역량을 집중했으면 한다”고 밝혔다. 박 대통령은 이날 수석비서관 회의 마무리 발언을 통해 “이번에 규제(개혁)에 대해서는 비상한 각오를 해야 된다고 생각한다”며 이같이 말했다. 이어 “우리 경제가 혁신해서 정말 성장이 멈추지 않게 하려면 쓸데없는 규제는 우리의 원수라고 생각하고, 우리 몸을 자꾸 죽여 가는 암덩어리라고 생각해서 적극적으로 들어내는 데에 온 힘을 기울여야만 경제혁신이 이루어지지 웬만한 각오 갖고는 규제가 혁파되지 않을 거라 생각한다”고 강조했다. 박 대통령은 최근 KT의 해킹 사태를 겨냥한 듯 “정보기술(IT) 강국이라면서 그렇게 많은 국민이 이용을 하면 그만큼 정보 보호를 위한 보안에 투자를 해야 되는데 투자를 너무 안 했다”고 지적했다. 이어 “간단한 해킹에도 다 뚫린다는 것은 말이 안 된다”면서 “어떻게 보안에 대해서 투자도 안 하고 보안이 지켜지길 바라느냐”고 강조했다. 박 대통령은 평창 동계올림픽에 대해서도 “평창이 빚더미에 앉으면 안 되지 않느냐”면서 “어떤 스포츠 명소 등으로 나중에 시설들을 활용한다든지 해서 그 지역이 뭔가 활성화되고 또 빚더미에 앉지 않고 미래를 바라볼 수 있게끔 하는 것도 굉장히 중요한 과제라고 생각한다”고 제안했다. 이어 비인기 종목 육성에 대해 “우리 국민의 DNA 속에 썰매를 잘 타는 그 DNA가 있다고 그런다”면서 “체육공정성위원회는 활동을 제대로 해서 다시는 체육계에 사기 떨어지는 그런 일이 나오지 않도록 이번 기회를 잘 활용했으면 한다”고 했다. 온라인뉴스부 iseoul@seoul.co.kr

정부가 10일 발표한 ‘금융 분야 개인정보 유출 재발방지 종합대책’이 재탕, 삼탕 수준이라는 지적이 나온다. 여기다 상당수 대책들이 신용정보법 등 관련법 개정을 통해 이뤄지는 만큼 실제로 시행되려면 상당한 시일이 걸릴 뿐 아니라 국회 여야 의견이 엇갈려 실효성에도 의문이 제기된다. 다만 본인 정보의 금융사 이용 현황을 확인할 수 있고, 이를 철회할 수 있는 ‘자기 정보 결정권’을 보장해 주는 내용은 눈에 띈다. 금융당국은 지난주 예정된 대책 발표가 또 일주일 미뤄졌던 이유에 대해 해킹방지 대책과 주민등록번호 대체 방안을 담기 위한 것이라고 밝혔다. 하지만 크게 진전된 내용은 없었다. 해킹방지 대책으로는 고유식별정보의 암호화 추진과 내·외부 망분리 방안을 제시했지만, 이 내용들은 해킹 사고 때마다 나왔던 ‘단골 대책’이다. 이해선 금융위원회 중소서민금융정책관은 “부처 간 협의를 완료해 하자고 해서 미뤄진 것”이라고 해명했다. 일각에서는 지난주 KT 해킹 사고를 고려해 일정을 연기한 것이라는 해석도 있다. 금융소비자보호원 설치를 놓고 금융위 조직 개편으로까지 전선을 확대한 여야 관계를 감안하면 이번 대책이 제때 실행될 수 있을지도 미지수다. 신용정보법 개정안은 지난달 여야 합의 실패로 통과가 불발됐다. 여야 간 요구 조건을 받아들이거나, 철회하지 않는다면 다음 달 국회 통과도 쉽지 않은 형국이다. 금융위 관계자는 “다음 달 국회 통과가 안 되면 ‘모범 규준’(업계 자율 규약)을 만들어서라도 추진하겠다”고 말했다. 주민등록번호 암호화, 정보보호와 보안 책임 강화, 보관 정보의 5년 내 파기 등은 사고 때마다 등장하는 ‘약방에 감초’ 같은 대책들이다. 이를 어긴 금융사를 제재하지 않는 금융당국이 더 큰 문제라는 지적이 나온다. 그러나 지난 1월과 달리 이번 대책에 자기 정보 결정권이 추가된 대목은 주목된다. 금융사가 자신의 정보를 어떻게 이용하고, 보호하고 있는지를 확인할 수 있는 권리다. 내키지 않는다면 기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융사가 보유한 자신의 정보에 대해 파기 등을 요구할 수 있다. 특히 명의도용 피해 방지를 위해 신용 조회를 일정 기간(1일) 중지할 수도 있다. 김승주 고려대 정보보호대학원 교수는 “정보 보관 기간을 5년으로 제한하거나 주민등록번호를 내·외부망에서 암호화하는 예방책은 이미 거론됐거나 시행하고 있는 내용”이라고 말했다. 은행계 카드사 관계자는 “고객 동의하에 정보를 활용하되 보안을 강화하는 식으로 가야 하는데 이번 대책은 일단 손발을 묶고 보는 식이어서 안타깝다”고 말했다. 시중은행의 한 관계자는 “정부대책을 따라야 하겠지만, 고객 정보 보유 기간을 5년으로 제한하는 것은 은행법에 명시된 ‘10년 정보 보유 규정’과 달라 혼란스럽다”고 말했다. 김경두 기자 golders@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

카드사 개인정보 유출 사고의 충격이 채 가시기도 전에 KT 홈페이지가 초보 해커에게 어이없이 뚫렸다. 보안 사고가 잇따르자 업계는 물론 개인 사용자들도 언제 누구에게 어떻게 당할지 모르는 해킹 위협에 잔뜩 긴장하는 모양새다. PC와 모바일은 물론 삶 전반에 디지털 기기가 녹아들면서 생활 속 보안 위협도 점점 커지고 있다. 디지털 시대 정보의 창과 방패가 된 해킹의 역사를 들여다보고 올해 기승할 것으로 예상되는 해킹 방식과 예방 방법도 함께 짚어봤다. 해킹이 1960년대 미국 대학생들의 호기심에서 시작됐다는 사실을 아는 이들은 많지 않다. 정보가 돈인 시대에서 해킹은 이미 하나의 범죄 유형, 수단으로 자리 잡았기 때문이다. 해킹의 시초는 미 메사추세츠 공과대학(MIT) 동아리 모임이 야밤에 학교 건물에 몰래 들어가, 컴퓨터 시스템을 사용했던 1960년대로 올라간다. 이때는 남의 자료를 재미 삼아 훔쳐보거나 비밀번호를 바꿔 골탕먹이는 게 대부분이었다. 국내에서는 1996년 4월 카이스트 해킹 동아리가 포항공대 전자공학과 전산시스템을 공격하면서 해킹 이슈가 떴다. 이들은 전산시스템에 올라온 자료를 모두 삭제하고 아예 비밀번호를 바꿔버렸다. 조사 결과 포항공대 해킹 동아리와 라이벌이었던 카이스트 동아리가 앞서 뚫린 카이스트 시스템에 대한 범인을 포항공대 동아리로 지목, 보복 공격을 한 것으로 드러났다. 일종의 자존심 싸움이었던 셈이다. 그러나 초창기 해킹과 달리 해킹은 허가받지 않은 시스템에 침투해 정보를 훔치는 부정적인 의미가 더 커졌다. 때문에 악의 여부에 따라 단어를 구분해 사용해야 한다는 목소리도 있다. 보안의 취약점을 찾아 내기 위한 시스템 침투 행위에는 ‘해킹’이란 단어를 그대로 쓰되, 범죄 등 악의적 침투 행위에는 ‘크래킹’이라는 단어를 쓰자는 주장이다. 그렇다면 악의적인 크래킹 공격을 효과적으로 막기 위해서는 어떻게 해야 할까. 체코의 보안업체인 ‘AVG테크놀로지’는 올해 주의해야 할 보안위협으로 ‘랜섬웨어’(Ransomware)와 ‘스캠’(scams) 등을 꼽았다. 랜섬웨어는 PC 파일을 열지 못하도록 하는 악성코드로 모든 정보에 암호를 건 뒤 크래커가 해독키를 조건으로 돈을 요구하는 방식이다. 스캠은 신용사기로 이메일을 해킹해 거래처 등에 ‘계좌가 변경됐다’는 식으로 메일을 보내 돈을 보내게 하는 일종의 해킹과 피싱의 결합 버전이다. 보안 전문가들은 “이제 기업뿐만 아니라 개인 사용자 모두가 해커의 대상”이라면서 “의심 가는 이메일을 열어보지 말고 평소 백신을 최신으로 깔아놓고 데이터를 백업해 두는 습관을 가져야 한다”고 조언했다. PC뿐만 아니라 스마트폰에서도 마찬가지다. 보안업계에서는 특히 올해 안드로이드 운영체제(OS)의 보안 위협이 크게 증가할 것으로 전망했다. 안랩에 따르면 지난해 안드로이드 OS에서 발생한 악성코드는 2012년에 비해 60% 이상 증가했고 현재까지 꾸준히 증가 추세다. 지난해 접수된 보안 문제를 유형별로 들여다보면 전화나 문자 가로채기, 기타 악성코드 다운로드, 원격 조종 등을 목적으로 하는 트로이목마가 전체의 54%를 차지한다. 안랩 관계자는 10일 “모바일에서는 문자나 메일 등으로 전송된 인터넷 주소를 클릭하거나 특정 페이지에서 요구하는 애플리케이션(앱)을 설치할 때 주의해야 한다”면서 “특히 새로운 앱은 일주일 이상 사용자의 평을 지켜본 후 설치하는 것이 좋다”고 조언했다. 명희진 기자 mhj46@seoul.co.kr

국가 기간통신사업자인 KT에서 1200만명의 개인정보를 도둑맞는 사고가 터졌다. KT의 서비스 이용 고객이 1600만명이라니 400만명만 남기고 다 털린 것이다. 그럼에도 KT는 이 사실을 1년 동안 까마득히 모르고 있었다고 한다. 최고 통신업체의 구멍 난 정보관리 체계도 그렇거니와 초보 수준의 해킹에 당했다는 사실에 허탈함으로 말문이 막힐 지경이다. 한 달여 전인 1월에 카드3사에서 1억 400만건의 개인정보가 유출된 터라 언제쯤 유사 사고가 멈출까 하는 불안감도 지울 수 없다. 사고에 이용된 수법은 아주 단순했다. 구속된 해커 김모(29)씨는 인터넷에서 쉽게 구할 수 있는 ‘파로스’라는 프로그램을 이용, 한 개의 인터넷주소(IP)로 접속한 뒤 9자리의 ‘고객 고유번호’를 무작위로 입력시켜 주민등록번호, 은행 계좌번호 등을 야금야금 빼돌렸다. 이 방법은 일반인도 가능한 초보 수준이다. 성공률이 높은 날은 20만~30만건도 가능했다고 한다. 그는 공모한 텔레마케팅 업체 대표와 함께 이들 정보를 휴대전화 판매 영업에 활용했고, 400만건은 대리점 3곳에다 팔아 115억원 이득을 챙겼다. “여러 곳을 시도했는데 KT에만 통했다”는 그의 말은 KT의 개인정보 관리의 현주소를 여실히 보여주고 있다. KT는 2012년 7월 전산망의 해킹으로 873만건의 개인정보가 유출됐을 때 세계 최고수준의 보안 인프라를 갖추겠다고 약속했다. 물론 이번 사고는 고객이 이용하는 관리센터의 홈페이지를 해킹한 것으로, 2년 전 내부적으로 관리하는 대리점 영업부문 시스템을 접속해 개인정보를 빼내간 것과 중요도는 다르다. 고객들이 이용한 요금 조회를 손쉽게 하려고 접근 편의성을 고려했을 수도 있다. 하지만 동종 업체인 SK텔레콤과 LG유플러스에서는 입력한 고객번호가 반복해 틀리면 접속을 차단하는 시스템을 갖추고 있다고 한다. 대부분의 기업도 이런 잠금기능이 작동되는 체계를 갖고 있다. 이는 KT가 잇따른 유출 사고에도 불구하고 개인정보 관리를 전사적으로 하지 않았다는 것을 뜻한다. 개인정보 유출 사고는 해당 기업의 잘못이 크지만 법적·제도적 허점에서 비롯된 측면도 있다. 현재 개인정보 유출을 막기 위한 ‘정보통신망법’ 개정안과 보이스피싱·스미싱과 관련한 ‘전기통신사업법’ 개정안이 국회에 계류돼 있다. 지난 2월 국회에서 방송법 이견으로 통과되지 못했다. 정보통신망법에는 손해배상제도의 도입과 과징금 강화 등의 내용이 담겨 있다. 또한 정부는 곧 카드사의 정보 유출과 관련해 개인정보보호 종합대책을 발표한다. 지난달 금융위원회가 발표한 금융사에 매출액의 1%를 징벌적 과징금으로 부과하는 등의 내용이 담길 것으로 보인다. 이들 내용은 ‘신용정보법’ 개정안 등에 포함된다. 개인정보 유출로 인한 피해는 고객이 고스란히 입는다. 배상금을 정부가 가져가는 구조는 잘못됐다. 징벌적 과징금 부과와는 별개로 민사소송 절차 없이 피해 고객이 직접 배상을 받을 수 있게 해야 한다. 끊임없는 정보 유출 사고로 피해고객이 참을 수 있는 한도를 넘어선 상태다. 당연히 정보 유출 당사자인 KT에는 엄정한 책임이 뒤따라야 한다. 하지만 피해 당사자가 뛰어다니며 소송에 임하는 구조는 더 이상 안 된다. 고객이 KT에 배상 책임을 물을 수 있는 법적· 제도적 장치가 속히 도입돼야 한다.

“수사 발표 당일 4시간 전까지도 KT에서는 (정보 유출 사실을) 전혀 몰랐어요.” KT 고객정보 유출 사건을 수사 중인 한 경찰은 7일 KT의 허술한 대처를 두고 혀를 내둘렀다. 그는 “우리가 6일 오전 직접 방문해 유출 사실을 전해줄 때까지 KT는 뜬 눈으로 1200만명의 고객 정보를 흘렸다”면서 “국내 최대 통신사의 보안이 이렇게 쉽게 뚫릴 수 있는지 범인의 해킹 방법을 눈으로 보고도 황당했다”고 말했다. 인천지방경찰청 광역수사대가 해당 사건을 인지한 건 지난 2월 1일. 수사는 ‘해커가 개인정보를 빼내 텔레마케팅 장사를 한다’는 첩보에서 시작됐다. 탐문 수사 끝에 경찰이 영장을 받아 해커 김모(29)씨의 사무실을 압수수색하기까지 걸린 시간은 2주. 경찰은 김씨가 빼낸 정보가 KT 고객정보라는 사실을 그 이후 알았다. 김씨는 경찰 조사에서 약 한 달간 독학해서 해킹 프로그램을 만들었다고 말했다. 해커의 능력을 떠나 KT의 보안 시스템이 얼마나 취약했는지를 단적으로 보여주는 대목이다. 김씨는 “개인정보를 해킹해 돈을 벌려 했다”면서 “(만든 프로그램으로) 여기저기 시도했는데 KT만 뚫렸다”고 진술했다. 김씨가 시연한 해킹 방법은 단순했다. 김씨는 먼저 KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌렸다. 9자리 고유번호가 맞아떨어지면 개인정보가 뜨는 KT의 고객정보 관리 시스템의 허점을 파고들었다. 보안이 철저한 곳은 본인 인증 서비스를 한번 더 이용하게끔 돼 있다. 김씨는 이때 2000년대 유행했던 해킹 툴인 ‘파로스 프로그램’을 이용했다. 파로스는 인터넷에서 누구나 공짜로 다운받을 수 있는데 PC와 서버 간에 오고 가는 정보를 중간에 가로챌 수 있다. 김씨는 고유번호가 맞아떨어졌을 때 파로스로 KT 메인 서버가 보내는 개인정보를 수집했다. 이름, 주민번호, 휴대전화번호, 이용대금, 계좌번호, 카드사, 잔여 가입비 등 암호화되지 않은 13개 항목의 정보가 그대로 잡혔다. 정보통신보안법에 따르면 서버상의 모든 개인정보는 암호화 준칙을 준수하도록 돼 있다. 서버 간 정보를 보낼 때도, 심지어 본인이 개인정보를 조회하려 해도 일부 개인정보는 ‘*’ 표시로 가리도록 권장한다. 전화번호가 ‘2000-0000’이라면 ‘20**-00**’식으로 표시돼야 한다는 소리다. 경찰이 KT 보안 담당자를 사법처리하려는 이유가 여기에 있다. 김씨가 가로챈 정보가 전혀 암호화되지 않았다는 건 KT 홈페이지의 보안이 뚫린 게 아니라 뚫려 있었다는 얘기가 된다. 해킹에 대한 기초적인 지식만 있으면 누구나 개인정보를 빼갈 수 있는 빌미를 제공한 셈이다. 이에 경찰도 다음 주초 KT 보안 관계자들을 불러 허술한 홈페이지 보안 시스템과 관리 소홀 여부를 집중 추궁할 계획이다. 한 수사관은 “만약 암호화 준칙을 제대로 지키지 않은 것이 확인된다면 보안 관리자뿐만 아니라 필요에 따라 홈페이지를 만든 업체까지 불러 조사할 수 있다”고 말했다. 이 관계자는 “해커가 하루 종일 9자리 숫자를 집어넣는데도 KT가 이를 눈치채지 못한 것이 이해가 되지 않는다”면서 “번호 입력자가 고유번호의 원래 주인이 맞는지 휴대전화 인증이나 아이핀 인증 절차를 두는 게 보안의 기본”이라고 덧붙였다. 명희진 기자 mhj46@seoul.co.kr

15년 경력의 해커 서종식(34·가명)씨는 KT의 고객 정보 유출이 알려진 6일 KT 홈페이지(www.olleh.com)에 들어가 본 뒤 “이게 대기업 홈피가 맞나 할 정도로 기가 막혔다”고 말했다. 기자와 7일 만난 그는 “온통 난리가 났길래 6일 오후 3시쯤 인터넷에서 기사를 확인하고 2시간 뒤 올레닷컴에 접속했는데도 여전히 무방비였다”고 혀를 찼다. 아이디와 패스워드를 입력(1차 확인)한 뒤 자신의 고객 번호 가운데 앞뒤 번호만 입력(2차 확인)해도 쉽게 다른 사람의 정보를 확인할 수 있었다는 것이다. 가입 요금제, 부가서비스, 미납 요금, 단말기 할부금, 단말기 구입일 등의 통신 관련 정보뿐 아니라 주민등록번호, 카드사, 카드 번호, 카드 유효기간, 스마트폰 모델, 스마트폰 일련번호, 집주소 등의 순수 개인 정보까지 무궁무진했다. 10여분간 별다른 해킹 프로그램의 도움 없이도 20여명의 정보를 취합할 수 있었다. 그는 “수법 자체는 초등학생도 할 수 있는 초보적인 수준이었다”며 “뒷문을 훤히 열어놓은 꼴”이라고 말했다. 서씨는 특히 이번 사건의 패턴이 2012년 7월 KT 고객 정보 880만건이 유출됐을 때와 해킹 방식이 동일하다고 분석했다. 그는 “아이디, 패스워드와 고객 번호만으로 개인 정보에 접근하는 방식을 이용한 수법이라는 점에서 두 건은 같다”고 말했다. 유치원생 놀이터 수준의 시스템이라는 게 서씨의 결론이다. 이와 관련해 황창규 KT 회장은 이날 서울 광화문 KT사옥에서 “KT 전 임직원을 대표해 머리 숙여 사죄드린다”고 대국민 사과를 했다. 김양진 기자 ky0295@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr