2년 전 개인정보 유출 사고를 겪은 가입자들에게 KT가 10만원씩 배상해야 한다는 법원 판결이 나왔다. 서울중앙지법 민사합의32부(부장 이인규)는 22일 개인정보 유출 피해자 2만 8700여명이 KT를 상대로 제기한 손해배상 청구소송에서 “1인당 10만원씩 지급하라”며 원고 일부 승소 판결했다. 이번 판결이 확정되면 KT는 모두 28억 7000여만원을 물어 줘야 한다. 이번 판결의 원고는 전체 피해자의 0.33%에 불과해 나머지 피해자들이 별도 소송을 제기할 가능성도 높아졌다. 재판부는 KT가 정보통신 보안에 들인 경제적 비용 등을 고려하면 서비스 제공자로서 개인정보 누출 방지를 위한 주의 의무를 다하지 않았다고 판단했다. 재판부는 “2차 피해 우려가 높은 주민등록번호 등을 암호화해 보관하지 않았고 퇴직한 개인정보 취급자의 아이디를 말소하지 않아 해커들이 범죄에 이용했다”며 “해커가 1주일에 10만건 정도의 개인정보를 조회했는데 한 달에 1회 이상 정기적으로 개인정보 처리 내역을 감독했다면 정보 유출을 방지할 수 있었을 것”이라고 지적했다. 이어 “원고들의 2차 피해가 이 사건으로 발생했다는 점이 분명하게 입증되지는 않았지만 이를 밝히는 것은 사실상 불가능하고 스팸 메시지 등으로 피해를 입을 개연성이 충분해 위자료 산정에 참작했다”고 덧붙였다. 앞서 2012년 7월 KT 가입자 870만명의 개인정보가 대거 유출된 사건이 적발됐다. 해커 2명이 고객정보를 몰래 조회하는 해킹 프로그램을 통해 5개월에 걸쳐 개인정보를 빼냈는데 그사이 KT는 유출 사실을 파악조차 하지 못했던 것으로 조사됐다. 한편 KT는 “법원이 KT의 책임을 인정한 것은 유감”이라며 “법에서 정한 보안 사항을 준수한 상황에서 발생한 불가항력적인 사고였다”고 항소 의사를 밝혔다. 한재희 기자 jh@seoul.co.kr

감사원이 그제 대규모 투자자가 피해를 본 ‘동양 사태’의 원인을 감독기관인 금융위원회와 금융감독원의 직무유기에 따른 것으로 결론지었다. 이 사고로 4만명이 동양그룹의 부실한 기업어음(CP)과 회사채에 투자해 1조 7000억원대의 손실을 보았다. 금감원은 “검사 과정에서 재무·상품 건전성을 제대로 안 본 것”이란 감사원의 지적에 “관련 조항들을 못 봤다”며 발뺌했다고 한다. 변명에 불과하다. 동양 사태의 요체는 동양그룹이 운영 자금 등을 조달하기 위해 부실한 CP와 회사채를 발행하는 과정에서 투자자들에게 피해를 끼친 것이다. 감사원은 “금융 당국이 지난해 말 동양 사태 발생 전인 2008년부터 투기등급인 동양증권 회사채의 불완전판매 정황을 확인하는 등 사고를 막을 기회가 여러 번 있었으나 이를 놓쳤다”고 밝혔다. 더욱이 금융기관에 대한 공동검사권을 갖고 있는 예금보험공사에서 ‘동양증권의 회사채가 부실해 투자자의 피해가 우려된다’는 내용의 공문까지 금감원에 보냈지만 이를 도외시했다. 또 금융과 산업, 즉 ‘금산 분리’를 철저히 적용해야 했지만 계열 금융기관을 이용해 계열사를 도왔다. 금감원은 “회사채 현황은 공시를 통해 투자자가 알 수 있다”고 주장하지만 이 또한 면피성으로 들린다. 동양의 금융 상품은 이미 부실했고, 개인투자자들은 이를 제대로 알 수 없는 노릇이다. 그동안 금감원의 업무 태만은 일과성에 머물지 않았다. 불과 1년 동안 일어난 금융기관의 해킹에 따른 개인정보 유출과 KT ENS 협력업체 대출 사기, KB금융 카드사태 등에서 지도·감독 기능은 한결같이 작동되지 않았다. 금융사고는 터지면 그 규모가 크고, 개인투자자의 피해 등으로 파장이 상당하다. 본연의 임무를 망각한 채 무소불위에 가까운 ‘갑질’만 하다 보니 조직의 감각이 무뎌졌다는 방증이다. 세간의 말처럼 동양과 이들 기관 간에 ‘특정 학맥’이 간여됐다면 더더욱 그렇다. 감사원은 ‘동양 사태’의 원인을 고질적인 감독 소홀이라고 판단했다. 부원장이 책임 사퇴하고 담당 국장이 문책을 받는 선에서 끝날 일은 아니다. 이 사태는 ‘루비콘 강’을 건넌 상황이다. 피해자들은 두 기관에 피해배상을 요구하고 있고, 소송도 잇따를 전망이다. 분쟁 조정 신청자가 2만명에 이른다. 선의의 투자자를 보호해야 할 기본적인 의무를 저버린 자업자득이다. 금융 당국은 감독 기능을 속히 되찾기 위한 제도 개선에 나서야 한다. 조직의 존립 가치가 훼손되면 존폐의 문제로 번지게 된다.

PC와 스마트폰에서 개인정보를 보호할 수 있는 서비스가 나왔다. ㈜한국미디어정보기술이 선보인 한국개인정보보호서비스(Korea Personal Information Security Service)는 민감한 개인정보가 저장된 PC 및 스마트폰에서 유출되는 개인정보를 원천적으로 차단하고, 나아가 유출된 개인정보의 명의도용방지 서비스와 피싱 및 해킹 금융사고 보상까지 포괄적으로 제공하는 것이 특징이다. ㈜한국미디어정보기술 임선묵 대표이사는 “최근 들어 해커들의 타겟이 사이트 해킹이 아닌 PC 및 스마트폰으로 이동됨에 따라 민감한 개인정보 유출 위험이 한층 증가하고 있으며, 더불어 백신에 의존하여 개인정보를 지킨다는 것은 사후 서비스에 불과하다는 판단에서 서비스를 개발하게 되었다”고 말했다. 또한 “KPISS(케이피스)는 PC 내에 주민등록번호, 계좌번호, 신용카드번호 등 총 6항목의 민감한 개인정보가 담긴 문서를 탐지하여 그린존으로 이동이 가능하고, 신용정보회사와 제휴하여 명의도용 방지 서비스를 통해 원천적으로 개인정보 도용을 방지하고 나아가 피싱, 스미싱 등 개인정보 도용으로 입은 피해에 대해서 최대 200만원까지 보상하는 보험을 제공함으로써 개인정보탐지, 개인정보도용방지, 피싱 및 해킹 금융사고 보상에 대한 단계별 서비스를 제공한다는 것이 가장 큰 장점”이라고 말했다. 옥션과 KT정보유출소송을 담당한 김현성 변호사는 “개인정보 해킹 대상은 PC도 결코 예외가 될 수 없고 이미 유출된 개인정보로 인한 2차 피해 대책도 절실한 상황이다”라고 강조하며, “이런 상황에서 2차 피해를 최소화하고 보상에 대한 안전장치를 갖춘 KPISS가 하나의 대안으로써의 역할을 할 수 있을 것이다”라고 전망했다. KPISS(케이피스)는 PC를 대상으로 개인정보유출방지를 위한 관리 툴을 제공하고 나아가 2차 금융사고에 대한 안전장치를 제공함으로써 사회적 이슈가 된 개인정보 보호를 한층 강화할 수 있는 시스템이라는 점에서 큰 의미가 있다고 할 수 있다. ㈜한국미디어 정보기술은 KAIST에 입주한 최우수기업으로써 크림북이라는 스마트 이 러닝 솔루션 개발 업체로서 7년여간의 기술개발경험을 바탕으로 새로운 사업 영역 개척에 힘써 왔으며, 최근 신규 사업영역 확장과 적극적인 투자로 2015년 IPO를 목표로 회사 역량을 집중하고 하는 기술 혁신 기업이다. 뉴스팀 seoulen@seoul.co.kr

‘다윗’(개인정보유출 피해자)이 ‘돌팔매’(집단소송제)를 이용해 ‘골리앗’(정보유출 기업)을 쓰러뜨릴 수 있을까.’ 최근 개인정보 유출 사태가 잇따르면서 대한민국 신상정보가 모두 털렸다. 카드사 개인 정보 유출 사태로 1억 400만건, KT홈페이지 해킹으로 1200만명의 개인정보가 유출됐다. 주민등록번호와 휴대전화 번호는 물론이고 카드번호와 직장 정보, 결제계좌까지 ‘강제 공개’된 피해자들은 “개인정보가 아니라 공공의 정보”라며 분노했다. 현재 우리나라에는 개인정보 유출분야에서 집단소송제(Class Action)가 도입되지 않아 피해자들은 소송 당사자들만 보상을 받는 ‘다수 당사자 소송’을 활용하고 있다. 집단소송 도입을 둘러싼 논란을 짚어봤다. 2007년 미국에서는 금융서비스 회사인 서티지 체크 서비스(Certegy Check Services)의 개인정보 관리 책임자가 정보 브로커에게 돈을 받고 850만명의 고객 정보를 고객에게 넘겨준 사건이 발생했다. 고객정보에는 인적사항과 계좌정보, 신용카드번호 등이 포함돼 있었다. 피해자들은 집단소송을 제기했고, 이에 따른 막대한 배상금을 의식한 회사가 법원의 중재를 받아들여 당사자 간의 화해로 사건은 종결됐다. 당시 회사는 정보유출사고 피해자들에게 1인당 2만 달러까지 지불했다. 반면 KT 이동통신과 농협 신용카드를 이용하는 직장인 김모(27)씨는 최근 정보유출 사태로 인해 주민등록 번호와 카드번호 등의 개인정보가 유출되는 피해를 입었다. 수년간 KT와 농협을 믿고 이용해온 김씨는 ‘죄송하다’는 사과만 할 뿐 손해배상에는 뒷전인 회사들의 태도에 화가 나 ‘다수 당사자 소송’ 인터넷 카페를 통해 소송을 제기할까도 생각했다. 하지만 막상 소송을 하려고 보니 많지는 않지만 소송비용이 필요하고, 제출해야 하는 서류도 있다는 것을 알아차렸다. 게다가 이긴다는 보장도 없으며, 혹 이긴다 하더라도 10만~30만원의 배상금밖에 못 받는다는 생각에 소송을 포기해야만 했다. ●신상정보·입사지원서 유출돼도 배상액 10만원 집단소송제는 회사나 특정인의 잘못된 행동에 의해 다수가 피해를 입었을 경우 피해자 중 일부가 전체를 대표해 가해자를 상대로 소송을 제기하도록 허용하는 제도이다. 집단 소송을 통한 법원 판결은 소송 당사자뿐 아니라 피해자 전체에 효력을 미칠 수 있어 개별적 피해 규모는 작지만 피해자의 수가 많은 경우 활용하기 적당한 소송 방식으로 손꼽히고 있다. 그러나 현재 우리나라 정보 유출 피해자들이 법원에 제기하고 있는 것은 소송 당사자만이 판결 결과에 영향을 받게 되는 ‘다수 당사자 소송’으로 집단 소송과는 구별된다. 문제는 ‘다수 당사자 소송’을 이용할 경우 참여율이 낮아 피해자들이 제대로 된 보상을 받지 못한다는 점이다. 보상받을 수 있을 것으로 예상되는 피해금액이 소액이기 때문에 개별소송을 쉽게 포기하는 경우가 많고, 3~5년에 걸리는 법정다툼과 소송비용을 부담스럽게 생각하는 피해자도 있다. 집단소송을 통해서라면 한 번의 소송으로 끝날 문제가 여러 법원에 소송이 제기돼 이로 인한 사회적 비용도 만만치 않다. 사례에 따라 다르지만 일반적으로 집단소송을 진행하는데는 인지세와 송달료 등 1인당 1만원 정도의 비용이 든다. 소송에 뛰어들었다 하더라도 개인 정보 유출로 인해 어떠한 피해를 입었는지에 대한 입증책임이 피해자에게 있기 때문에 승소하기가 쉽지 않다. 실제로 대표적 정보유출 사건 중 하나인 ‘2007년 옥션해킹‘ 사태에서 법원은 ‘해킹을 막지 못한 아쉬움은 있지만 당시 옥션은 이를 막기 위한 충분한 노력을 했기 때문에 과실이 있다고 보기 어렵다’며 소송을 제기한 피해자들에게 패소 판결을 내렸다. ‘2008년 GS칼텍스 개인정보 유출’ 사건에서도 법원은 “새나간 정보가 피해자들의 경제적 이익을 침해하는 것이 아니고, 자회사 직원 3명이 정보를 팔아넘기기 직전에 검거돼 후속 피해의 우려가 없다”며 원고 패소 판결을 내렸다. 그나마 승소를 한 경우도 배상금액은 미미한 수준에 그쳤다. ‘2005년 엔씨소프트 정보 유출 사건’과 ‘2006년 LG전자 입사지원서 유출 사건’의 경우에도 인정된 배상금액이 10만~30만원에 불과했다. 개인정보 유출의 경우 언론의 관련 사실이 보도되고 나서야 소비자들이 피해 사실을 인식할 수 있어 피해 기간이 길고, 개인정보가 외국으로 유출돼 피해가 확산될 수도 있다는 점 등을 고려해 보면 피해자들에게 주어진 수십만원의 보상금은 다소 적다고 볼 수 있다. ●증권분야에 처음 도입했지만… 9년간 소송 7건뿐 사실 그동안 우리나라에서도 집단소송제의 필요성이 꾸준히 제기돼 증권분야에 한해서 집단소송제를 도입했지만 사실상 무용지물인 상태다. ‘증권관련 집단소송법’은 2005년 1월부터 시행됐지만 현재까지 이를 이용해 제기된 소송은 7건에 그쳤다. 집단소송 대상을 분식회계·불공정 거래·미공개정보 이용 등으로 한정해 지나치게 제한돼 있고, 소송을 제기하기 위해서는 총 발행주식의 1만분의1 이상을 보유해야 하는 등 요건이 까다롭기 때문이다. 이에 대한 지적이 계속되자 법무부는 최근 해당 법에 대한 개정안을 마련하기도 했다. 상황이 이렇다 보니 집단 소송제를 도입해야 한다는 목소리가 높아지고 있지만 반론도 만만치 않다. 전국경제인연합 기업정책팀 추광호 팀장은 “미국 집단소송의 경우 95% 이상이 결국 화해조정으로 끝나게 된다”면서 “이때 소비자는 할인권이나 쿠폰 등 미미한 보상을 받고 변호사만 거액의 수임료를 챙기게 된다”고 강조했다. 추 팀장은 이어 “집단소송제는 다른 사람의 소송 수행 능력에 따라 내가 배상받을 수 있는지 여부가 결정이 된다”면서 “만약 패소할 경우 가만히 있다가 구제받을 수 있는 권리를 박탈당하는 문제점이 발생한다”고 설명했다. 전경련 홍보본부 임상혁 본부장은 “전 세계적으로 집단소송제가 활발하게 시행되는 나라는 미국 정도에 불과한데 우리나라 기업에만 족쇄를 채우는 것은 부당하다”면서 “변호사들이 소비자를 부추겨 집단소송이 남발되면 기업활동이 위축될 가능성이 높다”고 설명했다. 실제로 1994년 가슴 성형 실리콘 부작용과 관련해 전 세계 환자 30여만 명에게 집단소송을 당한 다우코닝사는 피해자들에게 32억 달러라는 거액을 배상한 뒤 파산보호신청을 했다. 전삼현 숭실대 법학과 교수는 “조지 부시 전 대통령은 ‘미국의 제조업이 사라진 가장 큰 요인 중 하나가 집단소송’이라며 남소를 제한하는 법을 새로 제정하기도 했다”면서 “집단소송을 활성화하자는 것은 변호사가 돈 좀 벌어보자는 것이다”라고 목소리를 높였다. 이어 “사업자의 악의적 불법행위를 막을 수 있는 다른 여러가지 방법이 있는데 꼭 부작용이 많은 집단소송을 이용해야 하는지 의문”이라고 덧붙였다. ●“도입 땐 소송 남발” vs “정보 유출부터 시행을” 그러나 도입 찬성자들의 입장도 단호하다. 경제정의실천시민연합 소비자정의센터 윤철한 팀장은 “만약 집단소송제 시행으로 인해 소송이 많이 제기 된다 하더라도 그것은 소송의 남발이 아니라 피해를 변상받기 위한 정당한 권리 행사”라면서 “우리나라는 아직 피해액의 3~4배를 배상해야 하는 ‘징벌적 손해배상제’를 본격적으로 도입하지 않고 있어 미국처럼 기업에 ‘배상금 폭탄’이 떨어질지 어떨지는 아직 모르는 것”이라고 말했다. 투기자본감시센터 홍성준 사무처장도 “집단소송제 때문에 기업활동이 위축되는 것이 아니라 대기업의 부당행위로 인해 소비자가 기업을 외면함으로써 기업 활동이 위축되는 것”이라고 설명했다. 법무법인 양헌의 김승열 변호사는 “집단소송제를 실행 중인 미국에 진출한 우리나라 기업이 불법행위를 저질렀을 경우 미국 소비자들에게는 제대로 된 보상을 하고 한국 소비자에게는 그렇게 하지 않는 상황이 발생할 수 있다”면서 “이 경우 역차별 논란이 일 수 있다”고 말했다. 김 변호사는 이어 “광범위하게 집단소송제를 도입하는 게 무리가 있다면 가장 시급한 개인정보 유출 분야만이라도 집단소송제를 시행해야 한다”고 강조했다. 한재희 기자 jh@seoul.co.kr

최근 정부기관, 금융권에서의 잇단 해킹 사태로 네트워크 보안이 강화되는 가운데 유선 통신망 등 물리적 보안에 대한 관심도 덩달아 커지고 있다. 이 가운데 공중에 나와 있는 전선을 지하에 매설해 도시 미관을 개선하는 등 가시적 효과는 물론 자연재해 등 비상 상황 시 망 파손의 위험을 크게 줄일 수 있는 지중화 기술이 눈길을 끌고 있다. 지중화 기술은 자연재해의 위험이 많은 일본이 앞서 있다. 일본은 전기·통신·케이블 등 가공 전선류를 지하에 동시 매설하는 ‘특별 조치법’을 제정한 바 있다. 1일 업계 등에 따르면 현재 경찰청은 ‘지방경찰청통합망 지중화 구축사업’을 통해 전국 16개 지방청 사이를 잇는 유선망(전화망, 종합정보망, 영상회의망)과 멀티서비스플랫폼 전송장비 등의 지중화 작업을 추진하고 있다. 해당 사업은 지명경쟁입찰 방식으로 현재 SK텔레콤, KT, LG유플러스 등 이통 3사가 수주에 나선 상태다. 남은 입찰 대상은 경기, 충북 등을 포함한 12개 지역이다. 제주, 전북, 충남, 서울 4개 지방경찰청은 이미 사업자 선정이 종료됐다. 이 가운데 제주는 SK텔레콤, 나머지 3곳은 KT가 수주했다. 관건은 비용과 기술이다. 업계 관계자는 “비용이 많이 드는 데다 매설 대상이 국가의 특수 시설인 만큼 기술과 운영 노하우가 있는 사업자로 신중하게 결정할 필요가 있다”면서 “현재 KT가 광케이블 인프라 가운데 94% 이상을 지중화해 운영하는 등 한발 앞선 행보를 보이고 있다”고 전했다. 명희진 기자 mhj46@seoul.co.kr

올 초 카드 3사에서 1억건 이상의 개인정보가 유출된 것으로 확인됐고, 그 여파가 가시기도 전에 KT에서 1200만건의 개인정보가 다시 유출된 것으로 확인됐다. 카드 3사에서 유출된 개인정보가 모두 회수돼 2차 유출은 없다던 정부의 장담을 반박이나 하듯 8000만건의 개인정보가 대출중개업자에게 팔려나간 사실이 알려지면서 국민의 불안은 극에 달하고 있다. 이번 개인정보 유출은 기업이 보안의 기본 원칙을 철저히 지키지 못함에 근본 원인이 있다. 더욱 우려되는 점은 해당 회사가 유출 사실을 확인한 것이 아니라, 해당 정보가 불법 유통되는 과정에서 수사 당국에 의해 인지돼 알려졌다는 점이다. 2년 전 유사한 해킹으로 870만건의 개인정보가 유출된 뒤 세계 최고 보안 인프라를 갖춰 국민이 안심할 수 있는 서비스를 제공하겠다는 KT의 약속도 말뿐이 되고 말았다. 정보통신강국인 대한민국이 ‘개인정보 공개 공화국’이라는 불명예로 휘청거리고 있다. 공개된 국민의 개인정보를 어떻게 보호해야 할지 막막할 지경이나, 문제 해결의 실마리는 모든 당사자들이 보안의 기본으로 돌아가는 평범한 사실에서 찾아야 한다. 외주 인력에 대한 보안 관리가 철저히 강화돼야 한다. 외주 인력의 내부 개인정보에 대한 접근은 적절히 제한돼야 한다. 해킹 사고로 정보 유출은 100% 막을 수는 없지만, 상시 모니터링으로 유출 사실을 조기 탐지해 피해 확산을 최소화해야 한다. 시스템 설계에서 운영까지 모든 과정에서 보안이 최우선적으로 반영돼야 한다. 시스템 설치와 운영 과정에서도 유출로 이어질 가능성이 있는 취약점을 부단히 찾고, 상시 모니터링으로 대규모 정보 유출을 미리 차단해야 한다. 정보 유출로 인한 피해는 최소화돼야 한다. 유출된 개인정보를 이용해 비정상적 카드 결제가 이뤄질 수 있으므로 정부의 대책 마련과 국민의 주의가 요구된다. 의심스러운 인터넷 주소는 절대 클릭하지 말고 전화로 요구하는 어떤 개인정보 제공 요구도 응하지 않아야 한다. 유출된 개인정보의 불법 유통과 활용에 대한 모니터링도 여러 기관이 협력해 강화돼야 한다. 금융소비자가 자기정보결정권을 확보하고, 불법 활용에는 징벌적 과징금을 매출액의 3%로 확대하며, 정보유출 기업에 최대 50억원의 과징금을 부과하며, 주민번호 노출을 최소화하고, 최고경영자(CEO)의 보안책임을 강화하는 내용으로 지난 10일 발표된 정책은 국회와 협조해 시급히 시행돼야 한다. 이번 대책은 문제 해결의 시작점이며 이번 대책이 담지 못한 추가 대책도 고려해야 한다. 글로벌 프라이버시 3대 원칙은 기업이 어떻게 개인정보를 처리하고 있는지 상세히 알려 주고, 소비자의 동의 및 통제하에 개인정보가 처리되며, 다른 사이트 간 개인정보가 연계되지 않도록 하는 것이다. 금융정보 보안대책은 주로 자기정보결정권과 처리 투명성 요구에 집중돼 마련됐으나 개인정보 연계 방지 요구는 고려되지 못한 측면이 있다. 사이트 간 개인정보 연계를 가능케 하는 만능열쇠인 주민번호가 여전히 수집처리되기 때문이다. 사이트 간 개인정보 연계를 막을 수 있는 영역별 대체 식별정보 체계를 도입해야 한다. 민간 분야 영역별 식별정보 체계는 조세 기반, 실명제 그리고 신용도 조회를 확보하도록 해야 하며 기존 식별 인프라를 활용하도록 구성돼야 한다. 국가 보안의 기본 방향성 변경도 고려돼야 한다. 모든 기업에 일관적으로 최소 수준의 보호조치만 요구할 것이 아니라, 정부가 상위 수준 가이드 라인만 제시하고 일정 규모 이상 기업이 스스로 하위 세부 보안 수준을 마련해 그에 따른 피해는 기업 스스로 책임지도록 하는 방침도 고려해야 한다. 시민단체가 주장하는 징벌적 손해배상제도와 집단소송제의 도입도 장기적으로 고려할 시점이다. 무엇보다도 중요한 점은 기업들의 보안 의식을 높이고 실질적인 보안 투자를 유도하며 소비자의 신뢰를 높일 수 있는 지배구조를 포함한 법 제도 정비와 환경 조성이다.

해커가 KT 홈페이지에 지난 3개월간 1200만번이 넘게 접속했으나 KT는 이를 전혀 감지하지 못한 것으로 드러났다. 심지어 특정 IP에서 하루 최대 34만번 접속이 이뤄졌을 정도로 홈페이지 보안이 허술했다. 미래창조과학부는 25일 KT 고객 정보 유출 사건과 관련, 민관합동조사단의 중간 조사결과를 발표했다. 미래부에 따르면 KT에 남아 있는 최근 3개월간 홈페이지 접속기록을 조사한 결과 해커가 약 1266만번 접속했던 것으로 확인됐다. 해커가 활개를 칠 수 있었던 이유는 KT 홈페이지에서 개인정보 데이터베이스(DB)를 조회할 때 고객서비스계약번호가 본인인지 아닌지 검증하는 단계 없이 제작됐기 때문이다. 이 같은 허점을 악용해 해커는 하루 최대 34만 1000번이나 접속했고 보안장비는 이를 한번도 잡아내지 못했다. 미래부는 이번 사건과 별도로 KT의 다른 홈페이지 9곳에서도 가입자 여부를 확인하지 않고도 조회가 가능한 취약점을 발견했으며, 이들 홈페이지로 접속한 기록도 8만 5999건이나 된다고 밝혔다. 미래부는 검찰, 경찰, 방송통신위원회 등에 관련 정보를 공유하고 KT에 추가 보안조치를 요청했다. 방송통신위원회 관계자는 “해킹과 관련해 KT의 허술한 홈페이지 관리가 확인된 만큼 이달 말까지 KT의 개인정보 수집부터 관리 이용까지 꼼꼼히 들여다볼 예정”이라면서 “4월 중순쯤 KT에 대한 제재 수위가 결정될 것”이라고 말했다. 정보통신망법에서는 개인정보 보호를 위한 기술적·관리적 조치 미이행으로 인한 개인 정보 누출 시 1억원 이하의 과징금을 부과하게 돼 있다. 명희진 기자 mhj46@seoul.co.kr

신용카드사와 이동통신회사 KT의 가입자 정보 유출에 이어 생명보험회사, 손해보험회사 등 국내 보험회사 30곳 정도의 고객 정보가 모두 유출된 것으로 23일 확인됐다. 국민·롯데·농협 등 카드 3사의 고객 정보 1억여건이 유출된 데 이어 시중 대부분의 보험회사 고객 정보가 대규모 유출된 것은 처음이다. 보험회사의 정보는 고객의 단순 개인정보를 넘어 질병정보까지 포함될 수 있다는 점에서 파장이 걷잡을 수 없이 확산될 것으로 보인다. 보험사가 보유한 고객 정보에는 보험계약자, 피보험자, 주민등록번호, 주소, 보험료 등과 같은 개인정보는 물론이고 질병명, 장해부위, 장해비율, 수술명, 입원 여부와 같은 민감한 사생활 정보도 대거 포함돼 있다. 이러한 민감 정보까지 유출됐다면 정보꾼들이 보험 가입자들의 질병과 수술 내용까지 파악할 수 있게 된 셈이다. 인천 남동경찰서 수사과 지능팀은 국내 보험회사 30곳 이상의 고객 정보를 빼내 불법 유통한 일당 10여명을 검거해 조사하고 있다. 이들은 보험사 홈페이지를 해킹해 고객 정보를 빼낸 것으로 알려졌다. 경찰은 최근 해당 보험회사 직원들을 비롯해 금융감독원 담당 직원을 참고인 신분으로 소환해 사실관계를 조사했다. 경찰 관계자는 “보험회사들로부터 유출된 정보가 자사 고객 정보가 맞는지 확인하고 있다”면서 “보험회사 30곳 이상의 고객 정보가 유출됐고 관련 사건에 대해 현재 마무리 확인 작업 중에 있다”고 밝혔다. 앞서 푸르덴셜생명은 외부인에게 사내 전산망 조회가 가능한 권한을 줘 개인신용정보를 열람하게 했다가 적발되는 등 부분적인 정보 노출은 있었지만 보험사 30개사 가량의 고객 정보가 무더기로 유출된 것은 처음이다. 국내에서 영업을 하고 있는 생명보험사는 삼성생명, 교보생명, 한화생명, 미래에셋생명, 동양생명, 현대라이프 등 24개사다. 손해보험사는 삼성화재, 현대해상, 메리츠화재, LIG손보, 흥국화재, 동부화재, 한화손보, 롯데손보 등 17개사다. 한편 보험사 고객 정보를 빼낸 이들 일당은 인터넷 및 유선 고객 가입자의 고객 정보도 확보하고 있는 것으로 전해졌다. 경찰은 이들이 이통사 고객 정보를 소유하게 된 경위 등도 수사하고 있다. 김승훈 기자 hunnam@seoul.co.kr 이성원 기자 lsw1469@seoul.co.kr

최소한 올 1월까지 SK브로드밴드의 고객 개인정보가 유출된 정황이 포착됐다. 개인정보 1230만건 유출 사건을 수사 중인 부산 남부경찰서는 유통업자 문모(44·구속)씨가 지난 1월 SK브로드밴드의 한 영업점 사이트의 아이디와 비밀번호를 중국인으로 추정되는 A씨와 주고받은 문자를 확보했다고 14일 밝혔다. 따라서 경찰은 최소한 지난 1월까지 이 영업점의 고객 정보가 유출됐을 가능성이 큰 것으로 파악하고 있다. 또 문씨가 SK브로드밴드의 고객 정보 15만건을 확보하고 이를 엑셀 파일을 통해 연령, 지역, 성별 등으로 가공한 뒤 권모(31)씨 등에게 팔아넘긴 것으로 경찰은 보고 있다. 이는 문씨 등이 ‘SK’라는 파일명으로 보관하고 있던 개인정보 150만여건 가운데 일부다. 경찰은 미래창조과학부와 한국인터넷진흥원 관계자 등 7명으로 합동 점검반을 편성해 SK브로드밴드의 해당 영업점 사이트 서버를 압수, 정확한 해킹 경로와 시기 등을 조사하고 있다. 해당 영업점이 2개월 단위로 고객 개인정보를 보관하고 수시로 비밀번호를 변경한다고 밝혔지만 유출된 개인정보가 무려 15만건에 달해 장기간 해킹됐을 가능성이 크다. 그러나 경찰은 LG유플러스와 KT 등 이동통신사들과 11개 금융기관, 여행사, 인터넷 쇼핑몰, 불법 도박 사이트 등에서는 어떤 경로를 통해 개인정보가 유출됐는지 아직 파악하지 못했다고 밝혔다. 이에 대해 SK브로드밴드 측은 “문제의 영업점으로 거론된 곳은 우리 회사와 계약을 맺은 영업점이 아니다”면서 “특정 업체만을 대상으로 영업하는 것은 아닌 것으로 알고 있다”고 말했다. 한편 지난 11일 부산 남부경찰서는 통신 3사 등에서 유출된 개인정보 1230만여건을 유통한 혐의로 문씨를 구속하고 이를 영업 등에 사용한 권씨 등 17명을 불구속 입건했다. 부산 김정한 기자 jhkim@seoul.co.kr

카드 3사의 개인정보 유출 사건을 계기로 개인정보보호 전반에 대한 사회적 인식이 바뀌는 단초가 마련된 것은 다행이다. 재탕, 삼탕이라는 비판도 없지 않지만 정부는 지난 10일 금융기관의 불필요한 정보 수집을 제한하는 내용 등을 담은 ‘금융분야 개인정보보호 종합대책’을 내놓고 재발 방지에 애쓰고 있다. 서울신문은 지난 2월 19일과 20일 ‘개인정보유출사고의 불편한 진실’이라는 기획 기사를 비롯해 수차례에 걸쳐 그동안 금융사의 정보책임자들이 보안 전문성이 턱없이 부족하고 금융당국의 금융사들에 대한 관련 처벌수위가 솜방망이에 그치고 있었다고 지적했다. 한마디로 아직까지 우리 사회에서는 개인정보보호라는 문화가 형성돼 있지 않다는 얘기다. 개인정보를 활용해 수익을 내고 있는 기업에서는 일부 전산부서나 담당직원의 일인 양 소홀히 다뤄 왔고, 국민들의 경우에도 쿠폰·경품지급, 제휴사 할인, 이벤트 행사에 무심코 개인정보를 적어 내는 등 개인정보에 대한 권리의식이 부족했던 것 또한 사실이다. 한편, 카드 3사의 개인정보 유출 사건의 여파가 채 가라앉기도 전에 최근 또다시 KT에서 1200만건, 소셜커머스 업체에서 110만건, 인터넷 사이트 225개를 해킹해 1700만건의 개인정보가 유출된 사건이 추가로 밝혀졌다. 이러한 일련의 개인정보 유출 사건은 국민들의 불안감을 증폭시켰고 기업의 책임성을 대폭 강화해야 한다는 목소리가 높아지고 있다. 다행히 이러한 문제의식 속에서 이제 개인정보보호 문제는 우리 사회 전반적으로 매우 중대한 전환점을 맞고 있다. 이번 카드사 정보유출 사건을 계기로 우리 사회가 많이 달라지고 있다. 정부는 지난 2월부터 총리실에 ‘범정부 개인정보보호 태스크포스’(TF)를 구성해 모든 공공기관과 민간사업자의 개인정보 처리 실태와 취약점의 일제점검에 나섰고, 국회에서도 50여개나 되는 개인정보보호 관련 법안이 상정돼 입법논의가 활발히 진행 중이다. 며칠 전 개인정보 유출 사실이 밝혀진 한 통신업체에서도 예전과는 많이 달라진 모습을 보였다. 기업의 최고경영자가 유례없이 신속하게 대국민 사과와 개인정보보호 대책을 내놓았다. 국민 또한 많이 달라졌다. 개인정보를 유출한 기업의 상품이나 서비스 해지, 피해보상을 요구하는 등 자신의 권리를 적극적으로 주장하고 있다. 개인정보보호에 대한 기업과 국민의 인식이 현저하게 변화되고 있는 것이다. 최근의 개인정보 유출 사건은 국민들의 권리 의식과 기업들의 윤리 의식을 확대시켜 개인정보보호가 우리 사회의 문화로 정착될 수 있는 중요한 계기가 되고 있다. 이러한 보호문화의 토대 위에서만 빅데이터 시대에 걸맞게 안전한 개인정보 이용이 뿌리내릴 수 있다. 다만, 이번 계기가 헛되지 않도록 한발 더 나아가야 한다. 정부는 사회 전반의 개인정보보호 실태와 문제점을 점검하고 법·제도적 정비를 신속하게 추진해야 한다. 기업들은 개인정보보호를 위한 비용이 기업의 생존과 관련된 중요한 투자임을 인식하고 최고경영자로부터 말단직원에 이르기까지 전사적인 노력을 경주해야 한다. 아울러 국민들도 자기정보에 대한 권리 의식을 갖고 개인정보 제공 동의서들을 꼼꼼히 읽어보고 불합리한 개인정보 제공 요구에 대해서는 거부할 수 있어야 한다. 서울신문은 정부가 내놓은 정책들이 제대로 이행되고 있는지, 허점은 없는지 추적 보도해 이번 대책이 일회성에 그치지 않도록 깐깐한 감시자 역할을 해야 한다.

정부가 10일 발표한 ‘금융 분야 개인정보 유출 재발방지 종합대책’이 재탕, 삼탕 수준이라는 지적이 나온다. 여기다 상당수 대책들이 신용정보법 등 관련법 개정을 통해 이뤄지는 만큼 실제로 시행되려면 상당한 시일이 걸릴 뿐 아니라 국회 여야 의견이 엇갈려 실효성에도 의문이 제기된다. 다만 본인 정보의 금융사 이용 현황을 확인할 수 있고, 이를 철회할 수 있는 ‘자기 정보 결정권’을 보장해 주는 내용은 눈에 띈다. 금융당국은 지난주 예정된 대책 발표가 또 일주일 미뤄졌던 이유에 대해 해킹방지 대책과 주민등록번호 대체 방안을 담기 위한 것이라고 밝혔다. 하지만 크게 진전된 내용은 없었다. 해킹방지 대책으로는 고유식별정보의 암호화 추진과 내·외부 망분리 방안을 제시했지만, 이 내용들은 해킹 사고 때마다 나왔던 ‘단골 대책’이다. 이해선 금융위원회 중소서민금융정책관은 “부처 간 협의를 완료해 하자고 해서 미뤄진 것”이라고 해명했다. 일각에서는 지난주 KT 해킹 사고를 고려해 일정을 연기한 것이라는 해석도 있다. 금융소비자보호원 설치를 놓고 금융위 조직 개편으로까지 전선을 확대한 여야 관계를 감안하면 이번 대책이 제때 실행될 수 있을지도 미지수다. 신용정보법 개정안은 지난달 여야 합의 실패로 통과가 불발됐다. 여야 간 요구 조건을 받아들이거나, 철회하지 않는다면 다음 달 국회 통과도 쉽지 않은 형국이다. 금융위 관계자는 “다음 달 국회 통과가 안 되면 ‘모범 규준’(업계 자율 규약)을 만들어서라도 추진하겠다”고 말했다. 주민등록번호 암호화, 정보보호와 보안 책임 강화, 보관 정보의 5년 내 파기 등은 사고 때마다 등장하는 ‘약방에 감초’ 같은 대책들이다. 이를 어긴 금융사를 제재하지 않는 금융당국이 더 큰 문제라는 지적이 나온다. 그러나 지난 1월과 달리 이번 대책에 자기 정보 결정권이 추가된 대목은 주목된다. 금융사가 자신의 정보를 어떻게 이용하고, 보호하고 있는지를 확인할 수 있는 권리다. 내키지 않는다면 기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융사가 보유한 자신의 정보에 대해 파기 등을 요구할 수 있다. 특히 명의도용 피해 방지를 위해 신용 조회를 일정 기간(1일) 중지할 수도 있다. 김승주 고려대 정보보호대학원 교수는 “정보 보관 기간을 5년으로 제한하거나 주민등록번호를 내·외부망에서 암호화하는 예방책은 이미 거론됐거나 시행하고 있는 내용”이라고 말했다. 은행계 카드사 관계자는 “고객 동의하에 정보를 활용하되 보안을 강화하는 식으로 가야 하는데 이번 대책은 일단 손발을 묶고 보는 식이어서 안타깝다”고 말했다. 시중은행의 한 관계자는 “정부대책을 따라야 하겠지만, 고객 정보 보유 기간을 5년으로 제한하는 것은 은행법에 명시된 ‘10년 정보 보유 규정’과 달라 혼란스럽다”고 말했다. 김경두 기자 golders@seoul.co.kr 윤샘이나 기자 sam@seoul.co.kr

카드사 개인정보 유출 사고의 충격이 채 가시기도 전에 KT 홈페이지가 초보 해커에게 어이없이 뚫렸다. 보안 사고가 잇따르자 업계는 물론 개인 사용자들도 언제 누구에게 어떻게 당할지 모르는 해킹 위협에 잔뜩 긴장하는 모양새다. PC와 모바일은 물론 삶 전반에 디지털 기기가 녹아들면서 생활 속 보안 위협도 점점 커지고 있다. 디지털 시대 정보의 창과 방패가 된 해킹의 역사를 들여다보고 올해 기승할 것으로 예상되는 해킹 방식과 예방 방법도 함께 짚어봤다. 해킹이 1960년대 미국 대학생들의 호기심에서 시작됐다는 사실을 아는 이들은 많지 않다. 정보가 돈인 시대에서 해킹은 이미 하나의 범죄 유형, 수단으로 자리 잡았기 때문이다. 해킹의 시초는 미 메사추세츠 공과대학(MIT) 동아리 모임이 야밤에 학교 건물에 몰래 들어가, 컴퓨터 시스템을 사용했던 1960년대로 올라간다. 이때는 남의 자료를 재미 삼아 훔쳐보거나 비밀번호를 바꿔 골탕먹이는 게 대부분이었다. 국내에서는 1996년 4월 카이스트 해킹 동아리가 포항공대 전자공학과 전산시스템을 공격하면서 해킹 이슈가 떴다. 이들은 전산시스템에 올라온 자료를 모두 삭제하고 아예 비밀번호를 바꿔버렸다. 조사 결과 포항공대 해킹 동아리와 라이벌이었던 카이스트 동아리가 앞서 뚫린 카이스트 시스템에 대한 범인을 포항공대 동아리로 지목, 보복 공격을 한 것으로 드러났다. 일종의 자존심 싸움이었던 셈이다. 그러나 초창기 해킹과 달리 해킹은 허가받지 않은 시스템에 침투해 정보를 훔치는 부정적인 의미가 더 커졌다. 때문에 악의 여부에 따라 단어를 구분해 사용해야 한다는 목소리도 있다. 보안의 취약점을 찾아 내기 위한 시스템 침투 행위에는 ‘해킹’이란 단어를 그대로 쓰되, 범죄 등 악의적 침투 행위에는 ‘크래킹’이라는 단어를 쓰자는 주장이다. 그렇다면 악의적인 크래킹 공격을 효과적으로 막기 위해서는 어떻게 해야 할까. 체코의 보안업체인 ‘AVG테크놀로지’는 올해 주의해야 할 보안위협으로 ‘랜섬웨어’(Ransomware)와 ‘스캠’(scams) 등을 꼽았다. 랜섬웨어는 PC 파일을 열지 못하도록 하는 악성코드로 모든 정보에 암호를 건 뒤 크래커가 해독키를 조건으로 돈을 요구하는 방식이다. 스캠은 신용사기로 이메일을 해킹해 거래처 등에 ‘계좌가 변경됐다’는 식으로 메일을 보내 돈을 보내게 하는 일종의 해킹과 피싱의 결합 버전이다. 보안 전문가들은 “이제 기업뿐만 아니라 개인 사용자 모두가 해커의 대상”이라면서 “의심 가는 이메일을 열어보지 말고 평소 백신을 최신으로 깔아놓고 데이터를 백업해 두는 습관을 가져야 한다”고 조언했다. PC뿐만 아니라 스마트폰에서도 마찬가지다. 보안업계에서는 특히 올해 안드로이드 운영체제(OS)의 보안 위협이 크게 증가할 것으로 전망했다. 안랩에 따르면 지난해 안드로이드 OS에서 발생한 악성코드는 2012년에 비해 60% 이상 증가했고 현재까지 꾸준히 증가 추세다. 지난해 접수된 보안 문제를 유형별로 들여다보면 전화나 문자 가로채기, 기타 악성코드 다운로드, 원격 조종 등을 목적으로 하는 트로이목마가 전체의 54%를 차지한다. 안랩 관계자는 10일 “모바일에서는 문자나 메일 등으로 전송된 인터넷 주소를 클릭하거나 특정 페이지에서 요구하는 애플리케이션(앱)을 설치할 때 주의해야 한다”면서 “특히 새로운 앱은 일주일 이상 사용자의 평을 지켜본 후 설치하는 것이 좋다”고 조언했다. 명희진 기자 mhj46@seoul.co.kr

박근혜 대통령은 10일 규제 개혁에 대해 “쓸데 없는 규제는 우리가 쳐부술 원수, 제거하지 않으면 우리 몸이 죽는다는 암덩어리로 생각하고 겉핥기식이 아니라 확확 들어내는 데에 모든 역량을 집중했으면 한다”고 밝혔다. 박 대통령은 이날 수석비서관 회의 마무리 발언을 통해 “이번에 규제(개혁)에 대해서는 비상한 각오를 해야 된다고 생각한다”며 이같이 말했다. 이어 “우리 경제가 혁신해서 정말 성장이 멈추지 않게 하려면 쓸데없는 규제는 우리의 원수라고 생각하고, 우리 몸을 자꾸 죽여 가는 암덩어리라고 생각해서 적극적으로 들어내는 데에 온 힘을 기울여야만 경제혁신이 이루어지지 웬만한 각오 갖고는 규제가 혁파되지 않을 거라 생각한다”고 강조했다. 박 대통령은 최근 KT의 해킹 사태를 겨냥한 듯 “정보기술(IT) 강국이라면서 그렇게 많은 국민이 이용을 하면 그만큼 정보 보호를 위한 보안에 투자를 해야 되는데 투자를 너무 안 했다”고 지적했다. 이어 “간단한 해킹에도 다 뚫린다는 것은 말이 안 된다”면서 “어떻게 보안에 대해서 투자도 안 하고 보안이 지켜지길 바라느냐”고 강조했다. 박 대통령은 평창 동계올림픽에 대해서도 “평창이 빚더미에 앉으면 안 되지 않느냐”면서 “어떤 스포츠 명소 등으로 나중에 시설들을 활용한다든지 해서 그 지역이 뭔가 활성화되고 또 빚더미에 앉지 않고 미래를 바라볼 수 있게끔 하는 것도 굉장히 중요한 과제라고 생각한다”고 제안했다. 이어 비인기 종목 육성에 대해 “우리 국민의 DNA 속에 썰매를 잘 타는 그 DNA가 있다고 그런다”면서 “체육공정성위원회는 활동을 제대로 해서 다시는 체육계에 사기 떨어지는 그런 일이 나오지 않도록 이번 기회를 잘 활용했으면 한다”고 했다. 온라인뉴스부 iseoul@seoul.co.kr

국가 기간통신사업자인 KT에서 1200만명의 개인정보를 도둑맞는 사고가 터졌다. KT의 서비스 이용 고객이 1600만명이라니 400만명만 남기고 다 털린 것이다. 그럼에도 KT는 이 사실을 1년 동안 까마득히 모르고 있었다고 한다. 최고 통신업체의 구멍 난 정보관리 체계도 그렇거니와 초보 수준의 해킹에 당했다는 사실에 허탈함으로 말문이 막힐 지경이다. 한 달여 전인 1월에 카드3사에서 1억 400만건의 개인정보가 유출된 터라 언제쯤 유사 사고가 멈출까 하는 불안감도 지울 수 없다. 사고에 이용된 수법은 아주 단순했다. 구속된 해커 김모(29)씨는 인터넷에서 쉽게 구할 수 있는 ‘파로스’라는 프로그램을 이용, 한 개의 인터넷주소(IP)로 접속한 뒤 9자리의 ‘고객 고유번호’를 무작위로 입력시켜 주민등록번호, 은행 계좌번호 등을 야금야금 빼돌렸다. 이 방법은 일반인도 가능한 초보 수준이다. 성공률이 높은 날은 20만~30만건도 가능했다고 한다. 그는 공모한 텔레마케팅 업체 대표와 함께 이들 정보를 휴대전화 판매 영업에 활용했고, 400만건은 대리점 3곳에다 팔아 115억원 이득을 챙겼다. “여러 곳을 시도했는데 KT에만 통했다”는 그의 말은 KT의 개인정보 관리의 현주소를 여실히 보여주고 있다. KT는 2012년 7월 전산망의 해킹으로 873만건의 개인정보가 유출됐을 때 세계 최고수준의 보안 인프라를 갖추겠다고 약속했다. 물론 이번 사고는 고객이 이용하는 관리센터의 홈페이지를 해킹한 것으로, 2년 전 내부적으로 관리하는 대리점 영업부문 시스템을 접속해 개인정보를 빼내간 것과 중요도는 다르다. 고객들이 이용한 요금 조회를 손쉽게 하려고 접근 편의성을 고려했을 수도 있다. 하지만 동종 업체인 SK텔레콤과 LG유플러스에서는 입력한 고객번호가 반복해 틀리면 접속을 차단하는 시스템을 갖추고 있다고 한다. 대부분의 기업도 이런 잠금기능이 작동되는 체계를 갖고 있다. 이는 KT가 잇따른 유출 사고에도 불구하고 개인정보 관리를 전사적으로 하지 않았다는 것을 뜻한다. 개인정보 유출 사고는 해당 기업의 잘못이 크지만 법적·제도적 허점에서 비롯된 측면도 있다. 현재 개인정보 유출을 막기 위한 ‘정보통신망법’ 개정안과 보이스피싱·스미싱과 관련한 ‘전기통신사업법’ 개정안이 국회에 계류돼 있다. 지난 2월 국회에서 방송법 이견으로 통과되지 못했다. 정보통신망법에는 손해배상제도의 도입과 과징금 강화 등의 내용이 담겨 있다. 또한 정부는 곧 카드사의 정보 유출과 관련해 개인정보보호 종합대책을 발표한다. 지난달 금융위원회가 발표한 금융사에 매출액의 1%를 징벌적 과징금으로 부과하는 등의 내용이 담길 것으로 보인다. 이들 내용은 ‘신용정보법’ 개정안 등에 포함된다. 개인정보 유출로 인한 피해는 고객이 고스란히 입는다. 배상금을 정부가 가져가는 구조는 잘못됐다. 징벌적 과징금 부과와는 별개로 민사소송 절차 없이 피해 고객이 직접 배상을 받을 수 있게 해야 한다. 끊임없는 정보 유출 사고로 피해고객이 참을 수 있는 한도를 넘어선 상태다. 당연히 정보 유출 당사자인 KT에는 엄정한 책임이 뒤따라야 한다. 하지만 피해 당사자가 뛰어다니며 소송에 임하는 구조는 더 이상 안 된다. 고객이 KT에 배상 책임을 물을 수 있는 법적· 제도적 장치가 속히 도입돼야 한다.

“수사 발표 당일 4시간 전까지도 KT에서는 (정보 유출 사실을) 전혀 몰랐어요.” KT 고객정보 유출 사건을 수사 중인 한 경찰은 7일 KT의 허술한 대처를 두고 혀를 내둘렀다. 그는 “우리가 6일 오전 직접 방문해 유출 사실을 전해줄 때까지 KT는 뜬 눈으로 1200만명의 고객 정보를 흘렸다”면서 “국내 최대 통신사의 보안이 이렇게 쉽게 뚫릴 수 있는지 범인의 해킹 방법을 눈으로 보고도 황당했다”고 말했다. 인천지방경찰청 광역수사대가 해당 사건을 인지한 건 지난 2월 1일. 수사는 ‘해커가 개인정보를 빼내 텔레마케팅 장사를 한다’는 첩보에서 시작됐다. 탐문 수사 끝에 경찰이 영장을 받아 해커 김모(29)씨의 사무실을 압수수색하기까지 걸린 시간은 2주. 경찰은 김씨가 빼낸 정보가 KT 고객정보라는 사실을 그 이후 알았다. 김씨는 경찰 조사에서 약 한 달간 독학해서 해킹 프로그램을 만들었다고 말했다. 해커의 능력을 떠나 KT의 보안 시스템이 얼마나 취약했는지를 단적으로 보여주는 대목이다. 김씨는 “개인정보를 해킹해 돈을 벌려 했다”면서 “(만든 프로그램으로) 여기저기 시도했는데 KT만 뚫렸다”고 진술했다. 김씨가 시연한 해킹 방법은 단순했다. 김씨는 먼저 KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌렸다. 9자리 고유번호가 맞아떨어지면 개인정보가 뜨는 KT의 고객정보 관리 시스템의 허점을 파고들었다. 보안이 철저한 곳은 본인 인증 서비스를 한번 더 이용하게끔 돼 있다. 김씨는 이때 2000년대 유행했던 해킹 툴인 ‘파로스 프로그램’을 이용했다. 파로스는 인터넷에서 누구나 공짜로 다운받을 수 있는데 PC와 서버 간에 오고 가는 정보를 중간에 가로챌 수 있다. 김씨는 고유번호가 맞아떨어졌을 때 파로스로 KT 메인 서버가 보내는 개인정보를 수집했다. 이름, 주민번호, 휴대전화번호, 이용대금, 계좌번호, 카드사, 잔여 가입비 등 암호화되지 않은 13개 항목의 정보가 그대로 잡혔다. 정보통신보안법에 따르면 서버상의 모든 개인정보는 암호화 준칙을 준수하도록 돼 있다. 서버 간 정보를 보낼 때도, 심지어 본인이 개인정보를 조회하려 해도 일부 개인정보는 ‘*’ 표시로 가리도록 권장한다. 전화번호가 ‘2000-0000’이라면 ‘20**-00**’식으로 표시돼야 한다는 소리다. 경찰이 KT 보안 담당자를 사법처리하려는 이유가 여기에 있다. 김씨가 가로챈 정보가 전혀 암호화되지 않았다는 건 KT 홈페이지의 보안이 뚫린 게 아니라 뚫려 있었다는 얘기가 된다. 해킹에 대한 기초적인 지식만 있으면 누구나 개인정보를 빼갈 수 있는 빌미를 제공한 셈이다. 이에 경찰도 다음 주초 KT 보안 관계자들을 불러 허술한 홈페이지 보안 시스템과 관리 소홀 여부를 집중 추궁할 계획이다. 한 수사관은 “만약 암호화 준칙을 제대로 지키지 않은 것이 확인된다면 보안 관리자뿐만 아니라 필요에 따라 홈페이지를 만든 업체까지 불러 조사할 수 있다”고 말했다. 이 관계자는 “해커가 하루 종일 9자리 숫자를 집어넣는데도 KT가 이를 눈치채지 못한 것이 이해가 되지 않는다”면서 “번호 입력자가 고유번호의 원래 주인이 맞는지 휴대전화 인증이나 아이핀 인증 절차를 두는 게 보안의 기본”이라고 덧붙였다. 명희진 기자 mhj46@seoul.co.kr

15년 경력의 해커 서종식(34·가명)씨는 KT의 고객 정보 유출이 알려진 6일 KT 홈페이지(www.olleh.com)에 들어가 본 뒤 “이게 대기업 홈피가 맞나 할 정도로 기가 막혔다”고 말했다. 기자와 7일 만난 그는 “온통 난리가 났길래 6일 오후 3시쯤 인터넷에서 기사를 확인하고 2시간 뒤 올레닷컴에 접속했는데도 여전히 무방비였다”고 혀를 찼다. 아이디와 패스워드를 입력(1차 확인)한 뒤 자신의 고객 번호 가운데 앞뒤 번호만 입력(2차 확인)해도 쉽게 다른 사람의 정보를 확인할 수 있었다는 것이다. 가입 요금제, 부가서비스, 미납 요금, 단말기 할부금, 단말기 구입일 등의 통신 관련 정보뿐 아니라 주민등록번호, 카드사, 카드 번호, 카드 유효기간, 스마트폰 모델, 스마트폰 일련번호, 집주소 등의 순수 개인 정보까지 무궁무진했다. 10여분간 별다른 해킹 프로그램의 도움 없이도 20여명의 정보를 취합할 수 있었다. 그는 “수법 자체는 초등학생도 할 수 있는 초보적인 수준이었다”며 “뒷문을 훤히 열어놓은 꼴”이라고 말했다. 서씨는 특히 이번 사건의 패턴이 2012년 7월 KT 고객 정보 880만건이 유출됐을 때와 해킹 방식이 동일하다고 분석했다. 그는 “아이디, 패스워드와 고객 번호만으로 개인 정보에 접근하는 방식을 이용한 수법이라는 점에서 두 건은 같다”고 말했다. 유치원생 놀이터 수준의 시스템이라는 게 서씨의 결론이다. 이와 관련해 황창규 KT 회장은 이날 서울 광화문 KT사옥에서 “KT 전 임직원을 대표해 머리 숙여 사죄드린다”고 대국민 사과를 했다. 김양진 기자 ky0295@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr

이번 KT의 고객 정보 유출 사건은 해커가 이동통신 3사를 비롯해 이곳저곳 다 돌아다녔는데 유독 KT만 뚫렸다는 데 심각한 문제가 있다. 그렇다면 다른 데는 멀쩡한데 왜 KT만 뚫렸을까. 이는 SK텔레콤이나 LG유플러스 등 다른 이통사와 달리 보호해야 할 고객 개인 정보 전체 데이터를 별도의 전산 서버가 아닌 해킹이 쉬운 회사 홈페이지 서버에 보관했기 때문이다. KT가 ‘보안 빵점’이라고 지적받는 이유다. SKT와 LGU+는 고객 정보 홈페이지에서 아이디와 패스워드를 넣고 로그인을 하면 본 서버에 있는 데이터 중 당사자와 관련된 데이터만 링크되도록 했다. 하지만 KT 올레닷컴에 로그인을 하면 다른 모든 고객의 개인 정보까지 통째로 링크된다. 또 로그인 이후 개인 정보에 접근하려면 SKT나 LGU+에서는 문자나 전화, 공인인증서 등을 통해 2차 신분 확인을 거쳐야 하지만 KT는 그런 절차를 생략했다. 고객 번호 9자리만 넣고 돌리면 곧바로 개인 정보를 확인할 수 있도록 했다. 고객 번호를 실수로 잘못 입력하면 다른 고객의 정보를 볼 수 있을 정도로 시스템 보안이 취약했던 것으로 드러났다. 특히 KT는 고객 정보를 입력할 때 데이터 필드 마스킹 등의 기본적인 보호장치도 활용하지 않은 것으로 확인됐다. 데이터 필드 마스킹은 특수문자를 이용해 자신이 입력하는 문자나 숫자가 안 보이도록 하는 장치다. 보안 전문가들은 “홈페이지 서버는 시스템적으로 해커를 100% 막기는 어렵다”고 말한다. 그렇게 때문에 고객 개인 정보는 전산시스템에 별도로 보관한다. 홈페이지는 단순히 인증을 위한 형태로만 운영하고 있다. 전산시스템에 접속해도 인증한 것만 고객 정보 열람이 가능하기 때문에 한꺼번에 빠져나가는 일은 거의 없다. 더구나 2년 전 고객 정보 유출 사고 뒤 KT 표현명 사장이 “최고의 보안시스템을 구축하겠다”고 했으나 구두 선에서 그쳤다. 이 부분에 대한 수사가 이뤄져야 할 것으로 보인다. 정상적인 회사라면, 더더욱 당시 사고가 발생했던 KT 측이라면 보안정책팀이 실질적으로 허술한 부분을 모를 리 없었을 것이라는 게 업계의 진단이다. ‘어느 부분에 문제가 있는지’ ‘어느 정도 수준인지’를 재점검해 보안이 뚫리지 않도록 변경했어야 했다. 이는 말로만 했지, 실행은 안 했다는 근거가 된다. 특히 해커가 1년 동안 고객 정보를 빼내 가는데도 트래픽 체크가 안 됐다는 점은 보안 수준 문제를 넘어 황당하기 짝이 없는 일이다. 해커가 들어오면 시스템적으로 바로 인지해야 한다. 그래야 자체 조사를 하든 수사를 의뢰하든 할 수 있다. SKT나 LGU+의 경우엔 한 사람이 여러 명의 정보를 확인하면 보안담당자에게 경고가 전달되도록 시스템이 설계돼 있다. 김양진 기자 ky0295@seoul.co.kr

KT 홈페이지가 전문 해커에게 뚫려 가입 고객 1600만명 가운데 1200만명의 개인정보가 유출됐다. 인천경찰청 광역수사대는 6일 KT 홈페이지를 해킹, 개인정보를 빼낸 뒤 텔레마케팅 업체에 판매한 해커 김모(29)씨와 정모(38)씨를 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨는 같은 혐의로 불구속 입건했다. 김씨 등은 인터넷에 배포된 ‘파로스 프로그램’(웹사이트 취약성 등을 분석하는 강력 해킹 프로그램)을 이용해 신종 프로그램을 개발, 지난해 2월부터 최근까지 KT 홈페이지에 로그인한 뒤 개인정보를 빼내 왔다. 이들은 이용대금 조회란에 고유숫자 9개를 무작위로 자동입력시키는 이 프로그램으로 KT 가입 고객의 9자리 고유번호를 찾아냈다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 1년간 1200만명의 고객정보를 털었다. 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이 줄줄이 샜다. 박씨는 KT 직원을 사칭해 김씨 등으로부터 사들인 개인정보를 휴대전화 개통·판매 영업에 사용해 1년간 115억원의 부당수익을 올렸다. 주로 약정 기간이 끝나는 고객에게 전화를 걸어 “시세보다 싸게 휴대전화를 살 수 있다”고 꾀었다. 또 휴대전화 대리점 3곳에도 500만명의 고객정보를 판매했다. 김씨 등은 다른 방식의 해킹 프로그램을 추가로 만들어 증권사 등의 홈페이지를 해킹하려다 경찰에 검거됐다. 경찰 관계자는 “KT가 이용대금 명세서에 기재된 고유번호만으로 고객의 정보를 확인할 수 있는 허술한 보안 시스템으로 고객정보를 관리했다”면서 “증권사, 인터넷 게임사 등에 가입된 고객의 정보도 유출됐을 가능성이 있어 수사를 확대하고 있다”고 말했다. 경찰은 KT 보안담당자의 고객정보 관리소홀 여부를 수사한 뒤 입건 여부를 결정할 방침이다. KT 측은 “범죄조직이 불법수집한 개인정보는 경찰이 전량 회수했다”며 “지속적인 감시로 더 이상의 피해가 발생하지 않도록 조치했다”고 밝혔다. KT는 태스크포스(TF)를 조직해 2차 피해를 막겠다는 방침이다. 앞서 2012년 2~7월에도 정보기술(IT) 업체에서 10년간 프로그램 개발을 담당한 베테랑 프로그래머에 의해 KT 휴대전화 개인정보 873만건이 유출되기도 했다. 미래부 고위 관계자는 “또다시 같은 일을 당해 우려스럽다. 잘잘못을 가려 문제가 있다면 일벌백계하겠다”며 “이를 위해 공무원 외에 사태를 좀 더 객관적으로 볼 수 있는 민간인 전문가를 현장에 파견했다”고 강조했다. 김학준 기자 kimhj@seoul.co.kr 김양진 기자 ky0295@seoul.co.kr

‘kt 고객정보 유출’ 6일 KT의 홈페이지가 해킹 돼 1200만 명의 개인정보가 유출된 사실이 경찰조사 결과 드러났다. KT 홈페이지 해킹 사건이 알려지자 KT를 향한 비난의 목소리가 높아지고 있다. 홈페이지 해킹 사실이 경찰수사가 모두 끝나고 난 뒤에 알려져 KT가 사실을 은폐하려 한 것 아니냐는 의견이 나오고 있는 것. 이에 KT는 사과문을 통해 “6일 경찰에서 발표한 고객정보 유출 사고와 관련 고객 피해 최소화를 위해 노력하겠다”며 “KT는 정보 유출경위에 대해 경찰조사에 적극 협조하여 사실관계를 확인할 계획”이라고 밝혔다. 하지만 경찰수사 결과 이용대금 명세서의 고유번호 9자리로도 고객 정보를 확인 할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러나 KT를 향한 국민들의 공분이 쉽게 가라앉을 것으로 보이지는 않는다. 경찰은 KT 보안담당자의 고객정보 관리 소홀 여부에 관해 추가 수사를 진행할 계획이다. 전문해커들은 KT뿐만 아니라 타이통사와 금융권 등의 홈페이지도 해킹을 시도한 것으로 보이며 현재까지 KT외의 다른 곳에서의 개인정보 유출은 없는 것으로 확인됐다. 경찰의 발표에 따르면 인천경잘청 광역수사대가 김모(29)씨와 정모(38)씨를 정보통신망이용촉진 및 정보 보호 등에 관한 법률위반 혐의로 구속했다. 이들은 전문해커로 텔러마케팅 업체 대표 박 모(37)시와 공모해 ‘파로스 프로그램’이라는 신종 해킹 프로그램을 개발해 지난 1년 동안 KT의 홈페이지서 가입자의 개인정보를 수시로 빼내 단말기 판매 등의 영업에 활용했다. kt 고객정보 유출 소식을 들은 네티즌은 “kt 고객정보 유출..이제 옮겨야할 때가 온 듯”, “kt 고객정보 유출..도대체 내 정보는 누가 보호해 주는 거냐” “kt 고객정보 유출, 이젠 지친다” “1200만 명 정보 유출, 다른 보안장치가 필요하다” “1200만 명 정보 유출, KT 제대로 해결하라” “kt 고객정보 유출..왜 또 이런 일이”등의 반응을 보였다. 사진 = 홈페이지, 방송 캡처 (kt 고객정보 유출) 온라인뉴스부 seoulen@seoul.co.kr

황창규 KT 회장 “정보유출 공식사과” 유출확인 어디서? 불만 폭발 황창규 KT 회장이 홈페이지 가입 고객 1200만명의 개인정보가 유출된 데 대해 공식 사과했다. 황 회장은 7일 서울 광화문 KT 사옥에서 연 ‘KT 고객정보 유출 관련 브리핑’에 참석해 “이번 해킹으로 인해 개인정보가 대규모로 유출된 사건에 대해 KT 전 임직원을 대표해 머리숙여 사죄드린다”고 말하고 고개를 숙여 인사했다. 황 회장은 “특히 지난 2012년 대규모 고객정보 유출 사건이 일어난 이후 보안 시스템 강화를 약속했음에도 또다시 유사한 사건이 발생한 점에 대해서는 변명의 여지가 없다”며 “고객정보가 두 차례에 걸쳐 유출됐다는 것은 IT전문기업인 KT로서는 너무나도 수치스러운 일”이라고 자평했다. 이어 고객 정보의 추가적인 유통이나 악용을 막기 위해 관련 부처와 협력하고 있으며 유출된 개인정보 내용도 파악되는 대로 고객들에게 공지하겠다고 밝혔다. 그는 “제가 새롭게 경영을 맡은 이상 과거의 잘못은 모두 새롭게 매듭지어 회사가 ‘1등 KT’가 될 수 있도록 바로잡고 관련 내용도 조속히 규명해 엄중히 조치하겠다”며 “이러한 일이 재발되지 않도록 하겠다”고 다짐했다. 당초 이날 브리핑에는 KT 최고기술책임자(IT부문장)인 김기철 부사장이 참석하기로 돼 있었으나 황 회장이 직접 참석해 사과했다. 이는 황 회장이 이번 사건의 중대성을 충분히 인식하고 있으며, 2012년에 이어 2년여만에 대규모 고객 정보 유출사건이 발생한데 따른 보안관리 문제 등 KT의 근본적인 문제들을 앞으로 대대적으로 개혁해 나가겠다는 의지 표시로 풀이된다. 김 부사장은 “회장님의 새로운 경영방침은 ‘1등 KT’로 고객에게 새로운 품질과 서비스를 제공해야 한다는 것인데 생명과 같은 중요 자산인 고객정보가 유출된 것은 잘못됐다고 판단했기 때문에 직접 사과하기로 결정했다”고 설명했다. 이어 “KT가 새로운 경영 체제가 출발하면서 악재가 터지고 있다”면서 “새 회장님은 이런 부분에 대해 앞서서 사죄할 것은 사죄하는 자세로 경영하는 것으로 이해하고 있다”고 말했다. 그러나 KT 측은 이날 브리핑에서 아직 수사기관으로부터 관련 정보를 넘겨받지 못했다며 유출 경로나 구체적으로 어떤 고객정보가 얼마나 유출됐는지 등에 대한 질문에는 답을 하지 못했다. 한편 KT 측은 고객들이 정보 유출을 확인할 수 있도록 사이트를 개설했지만, 7일 오후에도 해당 사이트는 접속이 되지 않자 고객들의 불만이 거세지고 있다. 현재 KT 고객정보유출 확인사이트는 ‘요청하신 페이지를 찾을 수 없습니다’ 라는 문구만 나오고 있는 상태다. 온라인뉴스부 iseoul@seoul.co.kr