‘kt 고객정보 유출’ 6일 KT의 홈페이지가 해킹 돼 1200만 명의 개인정보가 유출된 사실이 경찰조사 결과 드러났다. KT 홈페이지 해킹 사건이 알려지자 KT를 향한 비난의 목소리가 높아지고 있다. 홈페이지 해킹 사실이 경찰수사가 모두 끝나고 난 뒤에 알려져 KT가 사실을 은폐하려 한 것 아니냐는 의견이 나오고 있는 것. 이에 KT는 사과문을 통해 “6일 경찰에서 발표한 고객정보 유출 사고와 관련 고객 피해 최소화를 위해 노력하겠다”며 “KT는 정보 유출경위에 대해 경찰조사에 적극 협조하여 사실관계를 확인할 계획”이라고 밝혔다. 하지만 경찰수사 결과 이용대금 명세서의 고유번호 9자리로도 고객 정보를 확인 할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러나 KT를 향한 국민들의 공분이 쉽게 가라앉을 것으로 보이지는 않는다. 경찰은 KT 보안담당자의 고객정보 관리 소홀 여부에 관해 추가 수사를 진행할 계획이다. 전문해커들은 KT뿐만 아니라 타이통사와 금융권 등의 홈페이지도 해킹을 시도한 것으로 보이며 현재까지 KT외의 다른 곳에서의 개인정보 유출은 없는 것으로 확인됐다. 경찰의 발표에 따르면 인천경잘청 광역수사대가 김모(29)씨와 정모(38)씨를 정보통신망이용촉진 및 정보 보호 등에 관한 법률위반 혐의로 구속했다. 이들은 전문해커로 텔러마케팅 업체 대표 박 모(37)시와 공모해 ‘파로스 프로그램’이라는 신종 해킹 프로그램을 개발해 지난 1년 동안 KT의 홈페이지서 가입자의 개인정보를 수시로 빼내 단말기 판매 등의 영업에 활용했다. kt 고객정보 유출 소식을 들은 네티즌은 “kt 고객정보 유출..이제 옮겨야할 때가 온 듯”, “kt 고객정보 유출..도대체 내 정보는 누가 보호해 주는 거냐” “kt 고객정보 유출, 이젠 지친다” “1200만 명 정보 유출, 다른 보안장치가 필요하다” “1200만 명 정보 유출, KT 제대로 해결하라” “kt 고객정보 유출..왜 또 이런 일이”등의 반응을 보였다. 사진 = 홈페이지, 방송 캡처 (kt 고객정보 유출) 온라인뉴스부 seoulen@seoul.co.kr

황창규 KT 회장 “정보유출 공식사과” 유출확인 어디서? 불만 폭발 황창규 KT 회장이 홈페이지 가입 고객 1200만명의 개인정보가 유출된 데 대해 공식 사과했다. 황 회장은 7일 서울 광화문 KT 사옥에서 연 ‘KT 고객정보 유출 관련 브리핑’에 참석해 “이번 해킹으로 인해 개인정보가 대규모로 유출된 사건에 대해 KT 전 임직원을 대표해 머리숙여 사죄드린다”고 말하고 고개를 숙여 인사했다. 황 회장은 “특히 지난 2012년 대규모 고객정보 유출 사건이 일어난 이후 보안 시스템 강화를 약속했음에도 또다시 유사한 사건이 발생한 점에 대해서는 변명의 여지가 없다”며 “고객정보가 두 차례에 걸쳐 유출됐다는 것은 IT전문기업인 KT로서는 너무나도 수치스러운 일”이라고 자평했다. 이어 고객 정보의 추가적인 유통이나 악용을 막기 위해 관련 부처와 협력하고 있으며 유출된 개인정보 내용도 파악되는 대로 고객들에게 공지하겠다고 밝혔다. 그는 “제가 새롭게 경영을 맡은 이상 과거의 잘못은 모두 새롭게 매듭지어 회사가 ‘1등 KT’가 될 수 있도록 바로잡고 관련 내용도 조속히 규명해 엄중히 조치하겠다”며 “이러한 일이 재발되지 않도록 하겠다”고 다짐했다. 당초 이날 브리핑에는 KT 최고기술책임자(IT부문장)인 김기철 부사장이 참석하기로 돼 있었으나 황 회장이 직접 참석해 사과했다. 이는 황 회장이 이번 사건의 중대성을 충분히 인식하고 있으며, 2012년에 이어 2년여만에 대규모 고객 정보 유출사건이 발생한데 따른 보안관리 문제 등 KT의 근본적인 문제들을 앞으로 대대적으로 개혁해 나가겠다는 의지 표시로 풀이된다. 김 부사장은 “회장님의 새로운 경영방침은 ‘1등 KT’로 고객에게 새로운 품질과 서비스를 제공해야 한다는 것인데 생명과 같은 중요 자산인 고객정보가 유출된 것은 잘못됐다고 판단했기 때문에 직접 사과하기로 결정했다”고 설명했다. 이어 “KT가 새로운 경영 체제가 출발하면서 악재가 터지고 있다”면서 “새 회장님은 이런 부분에 대해 앞서서 사죄할 것은 사죄하는 자세로 경영하는 것으로 이해하고 있다”고 말했다. 그러나 KT 측은 이날 브리핑에서 아직 수사기관으로부터 관련 정보를 넘겨받지 못했다며 유출 경로나 구체적으로 어떤 고객정보가 얼마나 유출됐는지 등에 대한 질문에는 답을 하지 못했다. 한편 KT 측은 고객들이 정보 유출을 확인할 수 있도록 사이트를 개설했지만, 7일 오후에도 해당 사이트는 접속이 되지 않자 고객들의 불만이 거세지고 있다. 현재 KT 고객정보유출 확인사이트는 ‘요청하신 페이지를 찾을 수 없습니다’ 라는 문구만 나오고 있는 상태다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지가 해킹당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이들은 이렇게 빼낸 고객정보를 휴대폰 개통·판매 영업에 활용, 1년간 115억원의 부당이득을 챙긴 것으로 조사됐다. 온라인뉴스부 iseoul@seoul.co.kr

KT 홈페이지 해킹 “1200만명 탈탈 털렸다” 해킹범 수법은? KT 홈페이지가 해킹당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다. 이들은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 KT 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다. 이들은 이렇게 빼낸 고객정보를 휴대전화 개통·판매 영업에 활용했다. 이들은 KT 직원을 사칭한 뒤 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다고 현혹시켜 휴대전화를 판매했다. 또 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점 3곳에 팔아넘겼다. 경찰은 이들이 판매한 휴대전화 규모를 아직 파악하지 못했지만 휴대전화 1대 개통 때 기종에 따라 20만∼40만의 수익을 챙긴 것으로 보고 있다. 경찰은 이들이 차린 텔레마케팅 업체의 세무서 소득신고 내역으로 미뤄볼 때 1년간 115억원의 부당이득을 챙긴 것으로 추정하고 있다. 경찰은 이들이 KT 외 다른 주요 통신사와 증권사 등의 홈페이지에서도 해킹을 시도한 것으로 보이지만 현재로서는 다른 통신사 개인정보가 유출된 흔적은 발견되지 않았다고 덧붙였다. 경찰은 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러났다며 KT 보안담당자의 고객정보 관리 소홀 여부를 수사한 뒤 입건 여부를 결정할 방침이라고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

KT가 현재 전국에서 운영 중인 10개의 인터넷데이터센터(IDC)를 재해복구센터로 전환할 계획이다. 재해복구센터란 메인 전산센터가 해킹이나 자연재해 등으로 심각하게 손상되더라도 곧바로 평소와 다름없는 인터넷 서비스 등이 가능하도록 완벽한 백업(Back up)을 제공하는 데이터센터를 의미한다. 현재 대부분 기업의 데이터 백업 인프라는 50~60% 수준이어서 메인 센터가 심각한 해킹 피해를 봤을 때 데이터를 100% 복구하는 것이 사실상 불가능했다. KT가 재해복구센터로 서비스를 전면 전환하는 것은 최근 빈발하고 있는 해킹 사고 등과 무관하지 않다. 지난달 25일 청와대 홈페이지를 해킹한 공격은 무려 6일 뒤인 1일까지 이어졌다. 그사이 공격을 당한 기관 수는 67개까지 늘어났지만, 복구율은 여전히 80% 후반에 머무르고 있다. 지난 3월 금융권과 방송사의 전산망을 마비시킨 사이버 테러 이후 불과 3개월 만에 터진 대형 해킹 사고에 기업들 사이에선 자사와 고객 데이터를 보호해야 한다는 목소리가 높다. 데이터 손실이나 전산 마비가 단순히 업무 지연 등의 문제를 넘어 기업의 신뢰성 추락, 더 나아가 기업 도산으로까지 이어질 수 있다는 불안감 때문이다. 하지만 문제는 비용이다. 중요한 데이터를 모두 사설 IDC 등에 보관하면 좋다는 건 알지만 그만큼 고정비용이 만만치 않기 때문이다. KT 측은 천안과 김해 IDC를 국내 최초로 재해복구만을 전용으로 하는 ‘클라우드 재해복구센터’(CDC)로 바꿔 이런 비용 문제를 푼다는 계획이다. KT 관계자는 “필요성은 알지만 비용 문제 때문에 필수 데이터만 백업해 오던 기업들엔 기존 비용보다 최고 25%나 저렴한 클라우드 서비스가 큰 도움이 될 것으로 본다”고 말했다. KT는 안전성도 강화한다는 방침이다. KT는 100여년간 규모 3.0 이상의 지진이 한 번도 발생하지 않은 경남 김해 지역에 최근 데이터센터를 지었다. 진도 7.0까지 견딜 수 있도록 내진 설계를 하는가 하면 건물을 해발 85m 높이에 지어 쓰나미 등에도 대비했다. 안정적인 전력공급을 위해 전기도 발전소 2곳에서 따로 받는다. 발전소 2곳이 동시에 고장 날 것에 대비해 비상 전력 시설도 마련했다. 덕분에 일본 기업들도 김해 센터에 백업을 주문하는 일이 이어지고 있다. 배광호 KT IMO사업담당 상무는 10일 “재해복구센터를 이용하려는 기업 고객이 지속적으로 증가한다는 점은 안정성을 검증받고 있다는 방증”이라면서 “유·무선 회선과 데이터센터 모두를 갖춘 유일한 사업자로서 사고 대처가 가장 빠르다는 점 또한 KT의 강점이라고 본다”고 말했다. 유영규 기자 whoami@seoul.co.kr

LG유플러스가 휴대전화에 장착된 범용가입자식별모듈(USIM)칩을 이용한 공인인증 서비스를 개시했다. 휴대전화 메모리에 공인인증서를 저장하거나 은행권에서 제공하는 마이크로SD카드를 활용하는 방식보다 보안성이 높아, 모바일 금융 경쟁의 새로운 축으로 떠오를 것으로 보인다. LGU+는 2일 롱텀 에볼루션(LTE) 스마트폰과 PC에서 안전하고 편리하게 공인인증 서비스를 이용할 수 있는 ‘USIM 공인인증 시범 서비스’를 11월까지 무료 제공한다고 밝혔다. 이는 스마트폰에 장착된 USIM칩에 공인인증서를 발급받아 저장해두고 모바일 금융 거래 시 본인 확인을 할 때 사용하는 인증 서비스다. 휴대전화 내장 메모리나 마이크로SD카드 등에 저장하는 기존 소프트웨어 방식과 달리 USIM칩 내부에 인증서 보안을 위한 별도 공간이 존재해 해킹이 불가능하다는 게 LGU+의 설명이다. 해당 이동통신사의 LTE 스마트폰을 사용하고 있는 가입자라면 USIM 공인인증 애플리케이션(앱)과 PC 전용 프로그램을 다운받아 설치하면 사용할 수 있다. 공인인증서가 USIM에 저장돼 있으면 휴대전화 번호와 앱에서 설정한 비밀번호만으로도 공인인증이 필요한 금융 거래, 공공업무, 신용카드 결제 등을 손쉽게 처리할 수 있다. USIM 공인인증은 차츰 확산되고 있는 모바일 금융을 위한 주요 기술 중 하나다. 모바일 금융 거래를 위해서는 개인정보를 저장하는 보안장치(SE·secure elements)가 필요한데 이통사들은 USIM에 이를 탑재하는 방식을 활용하고 있다. USIM 관련 서비스는 SK텔레콤과 KT도 준비 중인 것으로 알려졌다. 한편 은행권은 금융결제원을 중심으로 SE가 탑재된 금융 마이크로SD카드를 활용해 공인인증서, 신용카드, 교통카드 등을 하나로 묶는 방안을 추진하고 있다. LGU+는 향후 USIM 공인인증을 활용해 금융기관 등을 대상으로 수수료 형식으로 수익을 창출하는 방안도 검토하고 있다. LGU+ 관계자는 “현재는 관련 법 문제 등이 있어 운영 방안을 확정해 말하긴 어렵다”면서 “시범 운영을 거친 뒤 서비스 요금이나 형태 등을 결정할 것”이라고 말했다. 강병철 기자 bckang@seoul.co.kr

지난 몇년 새 발생한 대규모 개인정보 유출 사고에는 피해자들의 ‘집단 소송’이 자연스럽게 이어졌다. 그렇다면 지난달 25일 발생한 사이버 공격으로 10만명가량의 개인정보를 유출한 청와대에 대해서도 집단 민사소송이 가능할까. 법적으로는 가능하다는 게 전문가 판단이다. 1일 법조계와 관련 업계에 따르면 지난해 9월 KT의 873만명 개인정보 유출을 비롯, 기업들의 개인정보 유출 사고는 줄줄이 집단 민사소송으로 이어졌다. KT 사고 피해자 2만 4000명은 지난해 1인당 50만원씩을 요구하는 손해배상 청구 소송을 서울중앙지법에 냈다. 2011년 SK커뮤니케이션즈 회원정보 유출 사고, 2008년 옥션 사고 등도 재판 중이다. 청와대 회원정보 유출도 기업들의 경우와 크게 다르지 않다. 청와대도 마찬가지로 해킹 공격을 받아 개인정보가 유출됐고, 여기에 어느 정도 개인을 특정할 수 있는 이름과 생년월일, 주소 등이 포함됐다. 따라서 기업과 마찬가지로 관련 민사소송이 가능하다는 게 전문가들 얘기다. 김경한 민후 변호사는 “이번 개인정보 유출은 개인정보보호법을 근거할 때 민사소송감으로 충분하다”며 “공공기관의 정보 관리에 대한 법 적용은 기업보다 훨씬 엄격하다”고 전했다. 관련 소송이 진행 중인 기업 관계자도 “개인정보 관리 노력이 부족했다는 점이 입증되면 책임을 물을 수 있다”고 전했다. 반면 소송으로 이어져도 승소 가능성이 적다는 분석도 있다. 기업을 상대로 한 소송도 SK커뮤니케이션즈에 대한 일부 소송을 제외하고는 모두 원고 패소 판결이 내려졌다. 소송 중인 다른 기업 관계자는 “업체나 기관들이 개인정보 보호를 위한 장치를 마련하고 있는데도 해킹 공격을 받는 건 모두 억울한 측면이 있다”며 “이 때문에 전적으로 책임을 묻기가 어렵다”고 말했다. 다만 소송과 별개로 개인정보 유출에 대한 일정 책임은 피할 수 없을 것으로 보인다. 한 보안업계 관계자는 “최근 정부가 기업의 경우 명백한 잘못이 아니더라도 개인정보 사고가 나면 처벌을 강화하는 법안을 추진 중인 것으로 안다”며 “기업에 보안 책임을 묻는 만큼 정부도 책임을 져야할 것”이라고 말했다. 한편 한국인터넷진흥원은 이날도 영남일보, 정보넷 등 10곳의 사이트가 사이버 공격을 받았다고 밝혔다. 새누리당은 미래창조과학부와 당정협의를 갖고 전체 정보기술(IT) 예산 중 5% 수준인 정보보호 예산을 10%로 확충하는 방안을 요구했다. 강병철 기자 bckang@seoul.co.kr

‘어나니머스’라고 자칭한 해커들에 의해 청와대 등 정부기관과 일부 국내 언론사 사이트 및 북한의 여러 사이트들이 사이버 공격을 당한 가운데 이들의 정체에 대한 관심이 모아지고 있다. 25일 국제 해커그룹 어나니머스 소속이라고 주장하는 한 해커는 청와대, 국무조정실, 일부 언론사 홈페이지를 해킹한 것이 자신의 소행이라고 주장했다. 트위터 아이디 @hacktivist_kor는 이날 자신의 트위터에 “인터넷 규제 철폐하라. 국가정보원 불법 대선개입 사죄하라. 국정원 해체하라. 국회는 국민에게 사죄하라”면서 자신이 해킹했다는 정부기관과 언론사, 새누리당 일부 시·도당 목록을 나열했다. 그러나 어나니머스라고 자칭한 다른 해커가 예고한 대로 북한 사이트 수십 곳 역시 이날 디도스 공격을 받아 일부 사이트의 접속이 원활하지 않은 것으로 알려졌다. 북한 사이트를 공격한 해커는 청와대 등을 해킹한 주체는 자신들이 아니라고 주장했다. 이들은 “청와대 등의 공격은 우리가 한 일이 아니다”라면서 “북한 소행으로 추정된다”고 밝혔다. 이렇게 어나니머스의 정체를 놓고 진실 공방이 이어지고 일관되지 않은 공격 행위가 나타난 것은 어나니머스의 본질을 드러냈다는 지적이다. 어나니머스는 국제 해커그룹이라고 자칭하지만 일사불란하게 하나로 움직이는 조직이 아니다. 누군가의 지시를 받지 않으며 심지어 어나니머스라 자칭하는 이들끼리의 협의나 승인 과정이 있는지조차 불분명하다. 극단적으로 단순화하면 어떤 이념이나 신념에 따라 특정 사이트를 공격한 뒤 공격 사실과 내용을 밝히고 자신을 어나니머스라고 소개하면 곧 어나니머스가 되는 것도 불가능하지 않다. 게다가 이름 그대로 익명이기 때문에 개인은 물론 특정 단체, 심지어 정부기관이 해킹에 나선 뒤 스스로 어나니머스라고 칭하면 어나니머스가 될 수 있는 것이다. 이 때문에 이날 청와대 등을 해킹한 주체가 어나니머스를 자칭한 북한일 수도 있고 그렇지 않을 수도 있다. 마찬가지로 북한 사이트를 공격한 주체 역시 개인 또는 몇 명의 그룹일 수도 있지만 국내 정부기관일 가능성도 배제할 수 없다. 누구나 익명성 뒤에서 어나니머스가 될 수 있다는 점 때문에 그 누구도 자신만이 진짜라고 할 수 없는 함정에 빠진 셈이다. 온라인뉴스부 iseoul@seoul.co.kr

경기 하남시 덕풍동에 둥지를 튼 킹스정보통신㈜은 세계 모바일 보안시스템 시장을 이끌고 있는 몇 안 되는 기업 중 하나이다. 특히 이 회사가 일궈낸 성과물은 지방자치단체가 주도하는 산·학·관 협력사업을 통해 만들어낸 것이어서 의미를 더해주고 있다. 23일 경기도 산하기관인 경기도지역협력연구센터(GRRC)에 따르면 킹스정보통신은 최근 모바일 정보 유출방지 솔루션 ‘팜박스’(Palm Box)를 출시하며 시스템 관련 국제특허 10개를 동시에 출원해 관련 업계의 주목을 받고 있다. KT, LG, 롯데 등 국내 대기업과 금융, 증권사 등이 이 솔루션을 채택하는 등 실력을 인정받고 있다. 손바닥이란 의미를 따온 팜박스는 스마트폰, 태블릿 등 스마트 기기의 모바일 데이터를 주고받는 과정에서 정보유출을 방지하는 프로그램이다. 스마트 기기의 사용 과정에 개인영역과 업무영역이란 가상공간을 설정하고 업무영역에 암호를 걸어 제3자에 의한 해킹, 또는 모든 경로의 의도하지 않은 접속을 차단하는 것이다. 팜박스의 고유한 기술은 이처럼 가상영역을 설정해 보안을 설정했다는 점에서 비상한 관심을 끈다. 국내 유명 전자회사가 스마트폰 하드웨어에서 개인영역과 업무영역을 구분한 제품을 선보인 적은 있지만 소프트웨어상에서 가상영역을 구분해 암호화하는 개념은 팜박스가 국내에서 처음이다. 킹스정보통신은 지난 4월 ‘클라우드 서버와 네트워크를 통해 접속된 사용자 단말기에 설치되는 보안 파일 구조’ 등 10개의 국제 특허 출원을 마쳤다. 관련 업계에서는 “특허 출원 자체가 이미 고유 기술임을 확인한 것으로, 킹스정보통신이 세계 모바일 보안시장에서 독보적인 기술을 확보하고 있다는 사실을 인정받은 셈”이라고 평가한다. 회사는 특허 출원과 함께 미국에 현지법인을 설립하는 등 미국 시장 개척에도 적극 나서고 있다. 모바일 보안솔루션은 전 세계적으로 스마트 워크가 확대되면서 존재감을 더해주고 있다. 국내 모바일 보안시스템 시장 규모는 현재 200억~300억원에서 2015년 500억~600억원으로 연간 20% 이상 성장할 것으로 업계는 예측하고 있다. 미국 정부는 원격근무 활성화 법안을 제정하며 스마트 워크를 권장하는 등 기업의 업무 스타일이 급속히 모바일화되고 있다. 1999년 설립한 이 회사는 초창기에는 PC 내부정보 유출방지 솔루션인 ‘가드존(Guard Zone)’, 온라인 보안솔루션 ‘케이 디펜스’(K-Defence) 등 PC 위주의 정보유출 방지 시스템 개발에 공을 들였으며 적지 않은 성과도 올렸다. 한때는 자금난에 봉착해 위기를 맞기도 했다. 그러나 도전 정신을 앞세워 날로 확장하는 스마트 워크 트렌드에 편승한 모바일 보안 솔루션 개발에 역량을 집중하면서 위기를 극복해 나갔다. 이 과정에서 GRRC의 도움이 컸다. 경기도는 지역 중소기업의 기술경쟁력을 높이고자 대학의 전문 기술을 기업에 접목한다는 취지로 가천대, 아주대, 중앙대 등 13개 대학에 지역협력연구센터를 설립, 해마다 70억원 내외의 예산을 지원하고 있다. 킹스정보통신은 경기대 지역협력연구센터 김희열(컴퓨터과학과) 교수팀의 지원을 받아 세계 모바일 보안솔루션 실태, 개발 방향 등을 설정할 수 있었다. 팜박스 적용 범위를 구글, 안드로이드뿐 아니라 애플 i-OS, 마이크로소프트 윈도 등으로 확장할 수 있었던 것도 GRRC 지원 덕분이다. 대학의 기술을 중소기업으로 이전하겠다는 경기도의 산·학·관 협력체계가 결실을 맺은 것으로 평가받고 있다. 지난해에는 지역협력연구센터를 통해 특허 등록 38건, 기술이전 12건, 실용화 38건 등의 실적을 올리는 등 원천기술 확보에 적지 않은 공언을 했다. GRRC 관계자는 “킹스정보통신은 스마트 워크라는 트렌드를 읽고 보안 솔루션을 앞서 개발함으로써 세계 시장을 선점할 수 있게 됐다”며 “경기도 산업분포가 굴뚝산업에서 IT산업으로 전환하고 있는 가운데 벤처기업들이 지역을 대표하는 향토기업으로 성장할 수 있도록 지원을 아끼지 않겠다”고 말했다. 김병철 기자 kbchul@seoul.co.kr

2003년 1월 25일 오후 2시 대한민국의 인터넷망이 일시에 마비됐다. ‘1·25 인터넷 대란’이다. ‘슬래머 웜’이란 사상 초유의 공격은 전국의 PC를 감염시켰고, 트래픽의 폭증은 국가 중추 망센터인 KT 혜화전화국의 최상위 DNS(도메인네임서버)를 단번에 막아 버렸다. 대한민국 인터넷은 며칠간이나 암흑천지가 됐다. 정부도 이 같은 사태에 우왕좌왕했고 언론은 정부 발표마저 믿지 못하는 촌극이 빚어지기도 했다. 그로부터 10년. 지난달 20일 주요 방송사와 금융기관이 ‘디도스 공격’을 받으며 대한민국은 여섯 번째 대규모 사이버 공격을 받은 민망한 나라가 됐다. 정보 당국은 일련의 공격을 북한 소행으로 지목했고, ‘3·20 사태’는 현재 수사 중이다. 최근 국제 해커 집단인 어나니머스(Anonymous)가 북한의 대남 선전 사이트인 ‘우리민족끼리’를 공격했다고 주장하며 1만 5217명의 가입 명단을 공개해 파문이 일고 있다. 어나니머스는 김정은 북한 국방위원회 제1위원장과 저팔계를 합성한 사진과 조롱 섞인 문구로 2차 공격을 암시했다. 그동안 해킹이 누구의 소행인지 단정하기는 이르지만 우리가 ‘사이버 양상군자’의 주요 공격 대상이 된 것만은 분명해 보인다. 해커(hacker)란 용어는 1960년대 미국의 매사추세츠공과대(MIT)가 ‘모든 정보는 공개돼야 한다’는 슬로건을 걸고 컴퓨터 프로그램을 만들면서 처음 등장했다. 윤리강령도 만들었다. 해커는 이처럼 컴퓨터와 시스템 구조를 탐구하며 컴퓨터·통신 실력이 뛰어난 사람을 일컫는다. 요즘 널리 쓰이는 ‘화이트’(white) 해커가 바로 이들이다. 이와는 반대로 ‘블랙’(black) 해커와 ‘크래커’(cracker)도 있다. 둘은 방패와 창인 셈이다. 낮엔 정보기업에서 일하고 밤엔 해킹을 하는 ‘그레이’(Gray)란 다소 애매한 해커도 있다. 최고의 IT 기업가인 애플의 스티브 워즈니악과 스티브 잡스, MS의 빌 게이츠가 젊었을 때 해커로 활동한 것은 사뭇 흥미롭다. 요즘은 해킹 수법이 다양해져 ‘파밍’(pharming) ‘스미싱’(smishing) 등 개념도 알기 어려운 해킹 용어가 앞다퉈 등장해 어떻게 대응을 해야 할지 헷갈리는 시대다. 대한민국이 어느새 ‘해커들의 놀이터’가 됐나. ‘우리민족끼리’ 사이트의 해킹 사태가 한층 심각한 사이버 공격을 예고하는 것은 아닌지 두려움이 앞선다. 해커는 사이버상의 아웃사이더가 되길 싫어하는 속성을 갖고 있다. 세계 최고의 인터넷망과 스마트폰 보급률을 자랑하는 대한민국은 더 이상 해킹의 변방 지대가 아니다. 이들의 역습을 능히 막아낼 물적·정신적 토양을 갖추는 일이 시급하다. 정기홍 논설위원 hong@seoul.co.kr

20일 주요 방송사(KBS, MBC, YTN)와 금융권(농협, 신한은행)의 전산망 마비 사태는 ‘악성코드에 의한 해킹’ 때문에 발생한 것으로 밝혀졌다. 정부 사이버 위협 합동대응팀이 피해 기업에서 채증한 악성코드를 분석한 결과 악성코드는 업데이트 관리서버(PMS)를 통해 유포됐으며 PC 부팅영역(MBR)을 파괴시킨 것으로 드러나고 있다. 악성코드의 유포 경로가 유명 백신업체 두 곳의 업데이트 서버일 가능성이 제기된 가운데 유포 경로로 지목된 한 업체가 이번에 발견된 악성코드가 자사의 백신 프로그램의 구성모듈 파일로 위장한 사실을 인정했다. 보안전문업체 하우리는 “자사의 백신 프로그램 ‘바이로봇’의 구성모듈 파일인 ‘othdown.exe’로 위장한 악성코드가 특정 언론사와 금융기관에 침투했다”며 “악성코드가 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다”고 설명했다. 하우리는 파괴된 정보를 복구하는 것은 불가능할 것으로 진단했다. 하지만 누가 어떤 이유로 해킹 공격을 감행했는지에 대해서는 밝혀지지 않았다. 이 때문에 ‘북한 해킹설’에서부터 ‘제3국 소행설’까지 다양한 추측이 나오고 있다. 특히 북한에서 지난 13일 원인 모를 행정망 마비 사태가 발생한 것과 무관치 않다는 지적도 있다. 피해 기업들에 통신망을 제공하고 있는 KT, SK브로드밴드, LG유플러스 등 통신사들의 자체 네트워크는 이상 징후가 감지되지 않았다. 과거 북한이 국내 주요 기관에 감행한 디도스 공격은 일부 컴퓨터를 좀비 PC로 확보한 뒤 다른 컴퓨터에 명령을 내려 특정 사이트를 다운시켰다. 그러나 이날 발생한 전산망 마비는 사이트는 운영되면서 은행 거래를 위한 내부 전산망만 다운됐거나 PC 부팅이 안 되는 등 디도스 공격과는 다른 양상을 보이고 있다. 이동통신 관계자는 “네트워크 트래픽에 이상 징후가 없다”며 “일부 홈페이지에 해골 모양이 뜨는 등 해킹이 의심된다”고 말했다. 전문가들은 이번 전산망 마비 사태는 고도의 해킹 기술을 가진 해커의 소행으로 보고 있다. 이상진 고려대 사이버국방학과 교수는 “별개의 조직이 동시에 다운되는 건 사이버 테러가 아니고서는 있을 수 없는 일”이라며 “특정기관의 취약점을 찾아 핵심 시스템을 공격하는 지능형 지속해킹(APT)이라는 최신 해킹수법을 계획적으로 쓴 것으로 보인다”고 말했다. 일부에서는 해킹 공격을 감행한 것이 북한일 가능성도 조심스럽게 제기한다. 북한은 그동안 여러 차례에 걸쳐 ‘특별행동’, ‘조준타격’ 등의 단어를 사용하며 한국 언론의 보도 행태를 비판한 바 있다. 지난해 4월과 6월 두 차례에 걸쳐 동아일보와 KBS, MBC, YTN, 조선일보, 중앙일보 등에 대해 ‘특별행동’을 하겠다고 위협했다. 이정남 동국대 국제정보대학원 겸임교수는 “대한민국 시스템을 마비시키기 위해 은행과 방송국을 공격한 사이버 테러일 가능성이 크다”면서 “북한 소행일 가능성이 크지만 다른 나라에서 우리나라 사이버 상황을 체크하기 위해 시범적으로 해본 것일 수도 있다”고 말했다. 해킹 공격을 자처하는 ‘후이즈’(Whois)라는 단체도 나왔다. 이들은 해킹 화면에서 이마에 총상 흔적이 있는 해골 그림과 함께 “후이즈 팀에 해킹당했다”는 문구를 적시했다. 한편 사이버 위협 합동대응팀은 감염된 PC와 감염되지 않은 PC를 수거해 분석하고 있다. 이승원 방송통신위원회 네트워크정보보호팀장은 “조만간 분석을 마친 뒤 백신을 최우선으로 배포할 것”이라며 “백신은 보통 (악성코드 공격) 다음 날 나온다”고 말했다. 홍혜정 기자 jukebox@seoul.co.kr 배경헌 기자 baenim@seoul.co.kr [용어 클릭] ■악성코드 악성 프로그램 또는 비바이러스 악성코드. 컴퓨터 바이러스와 달리 다른 파일을 감염시키지는 않지만 악의적인 용도로 사용될 수 있다. 트로이목마, 스파이웨어, 해킹툴, 악성 자바스크립트 등이 있다. ■DDoS(Distributed Denial of Service) 다수의 PC를 이용, 특정 사이트에 대량의 트래픽을 전송함으로써 시스템상에 과부하를 유발시켜 정상적인 서비스를 방해하는 사이버 공격을 말한다.

2010년 3월 대한민국을 발칵 뒤집는 대형사건이 터졌다. 연안 경비임무 중이던 해군 천안함이 침몰해 장병 40명이 숨지고 6명이 실종된 것이다. 사건이 터지자 북한 공격설과 해군의 자작극 등 여러 가지 설이 난무하며 국민들을 혼란에 빠트렸다. 그러던 중 천안함에 설치된 폐쇄회로(CC)TV 영상을 보관하고 있는 컴퓨터 하드디스크가 있다는 얘기가 흘러나왔다. 이 영상만 살려낸다면 침몰 직전의 상황을 확인할 수 있어 진실을 밝혀낼 수 있는 중요한 자료로 주목을 받았다. 하지만 한달 가까이 바닷속에 잠겨 있어 심각하게 부식된 이 하드디스크를 복원한다는 게 쉬운 일이 아니었다. 모두 불가능한 일이라고 했다. 그러나 지방의 한 중소기업이 10일간의 작업 끝에 복원에 성공하면서 세상을 놀라게 했다. 충북 청원군 오창과학산업단지에 있는 ㈜명정보기술이었다. 명정보기술이 살려낸 이 영상 속에는 장병들의 일상적인 임무수행 모습이 담겨 있었고, 이 영상을 통해 정부는 천안함 침몰시간도 추정할 수 있었다. 1990년 탄생한 명정보기술은 국내는 물론 아시아권에서 자타가 공인하는 데이터복구 사업의 선두주자다. 데이터복구란 해킹, 바이러스, 천재지변, 실수 등으로 하드디스크, 메모리, 미디어 등 저장매체가 손상됐을 때 이를 원래 상태로 복원해주는 서비스다. 각종 장치에 저장된 주요 데이터가 손상돼 앞이 캄캄했던 것을 경험한 사람들에게는 구세주 같은 기업이다. 명정보기술이 한해 복구하는 데이터는 2만여건. 복구의뢰가 들어온 10건 가운데 7건은 성공한다. 72%의 복구율은 세계 5위권 내 성적이다. 기술혁신형 중소기업상, 충북도 으뜸기업, 정보화공유 국무총리상, 사이버치안대상 국무총리상, 디지털이노베이션대상 등 화려한 수상경력이 명정보기술의 실력을 말해주고 있다. 고객층은 일반 학생에서 직장인, 기업, 국가기관 등 다양하다. 삼성전자, SK, KT, 포스코, 한국전력, SHARP 등 국내외 대기업들도 사업계획서, 주요 도면 등이 지워지면 명정보기술의 도움을 받고 있다. 국정원, 경찰청, 검찰청은 명정보기술로부터 데이터복구 교육을 받고 있다. 명정보기술이 국가안보와 각종 범죄해결에도 크게 기여하고 있는 것이다. 명정보기술의 경쟁력은 최고의 기술력과 최적의 복구환경. 명정보기술은 데이터복구 전문인력 50명을 확보하고 있다. 국내 50여곳의 경쟁기업들은 대부분 복구전문가가 5명 내외다. 많은 전문인력에다 23년간 한길을 걸어온 노하우까지 더해져 최고의 기술력이 만들어졌다. 700여㎡에 가까운 클린룸은 명정보기술의 자랑거리다. 클린룸은 수리과정에서 주변환경으로 인해 손상이 우려되는 전자부품들을 보호하기 위해 먼지, 온도, 기압 등 최적의 환경을 제공하는 곳이다. 이 클린룸은 머리카락 굵기 5000분의1에 해당되는 미세한 먼지가 1㎡당 100개 이하만 존재할 정도로 완벽한 청정환경이 유지된다. 클린룸 3.3㎡를 만드는 데 1300만원이 들어간다. 많은 비용 탓에 다른 기업들은 간이 클린룸 정도를 갖추고 있다. 국내에 시판 중인 300여개의 하드디스크 부품들을 대부분 갖추고 있다는 것도 큰 장점이다. 명정보기술에 맡기면 부품이 없어 수리를 못 받는 경우는 없다는 얘기다. 명정보기술은 글로벌기업의 모습을 갖춰가고 있다. 서울, 대전, 부산, 광주 등 6곳에 사업장을 마련한데 이어 2009년에는 중국까지 진출했다. 일본, 인도, 말레이시아, 나이지리아, 태국, 중국, 프랑스, 러시아, 브라질, 멕시코, 방글라데시, 알제리 등에는 로열티를 받고 기술이전도 해줬다. 세계 최고의 하드디스크 제조기업인 시게이트와 손을 잡고 데이터복구사업도 벌일 계획이다. 액정표시장치(LCD) 수리사업까지 진출해 업계 선두를 달리고 있다. 현재 직원은 280명. 지난해 매출은 450억원을 기록했다. 올해 매출목표는 550억원이다. 청원 남인우 기자 niw7263@seoul.co.kr

내년부터 전자정부 서비스를 사용하는 공무원의 스마트폰에는 행정안전부가 허용한 앱(애플리케이션)만 깔아야 한다. 특정 앱의 설치 가부에 대해서는 행안부와 이동통신사 등이 결정한다. 행안부는 29일 스마트폰 앱을 통해 전자정부 서비스를 이용하고 있는 공무원들이 보안에 취약한 앱을 개인적으로 설치해서 사용하면 전자정부 서비스의 해킹, 정보유출 등의 위험이 높다고 보고 이 같은 방침을 정했다고 밝혔다. 이에 따라 행안부는 내년 1월까지 설치허용 앱 목록 관리시스템을 구축, 운영할 계획이다. 설치허용 앱목록 관리시스템은 공무원들이 스마트폰에 안심하고 설치할 수 있는 앱을 목록으로 만들어 관리하는 시스템으로, 이 목록에 없는 앱이 스마트폰에 있으면 전자정부 앱은 설치할 수 없게 된다. 또 목록에 없는 앱은 걸러져서 설치가 차단된다. 행안부와 SK플래닛, LG유플러스, KT 3개 이동통신사와 삼성전자, LG전자, 팬택 3개 스마트폰 제조사는 29일 서울 세종로 정부중앙청사에서 설치허용 앱 목록(화이트 리스트) 관리시스템 구축을 위해 안전한 모바일 전자정부 서비스를 위한 양해각서(MOU)를 교환했다. 이번 협약으로 이동통신사와 스마트폰 제조사는 모바일 앱의 목록 정보를 행안부에 제공하게 된다. 설치허용 앱 목록 관리시스템은 정부통합전산센터에서 운영하게 된다. 윤창수기자 geo@seoul.co.kr

KT가 가입자 870만명의 개인정보 유출과 관련해 재발방지 대책을 내놨다. 표현명 KT 개인고객부문 사장은 10일 서울 종로구 세종로 광화문 KT 사옥에서 기자 설명회를 열고 “KT 고객과 국민에게 걱정과 심려를 끼쳐 깊이 사과드린다.”며 “보안을 획기적으로 강화해 고객에게 신뢰받는 기업으로 재탄생하겠다.”고 밝혔다. KT는 다만 개인정보 유출 피해 보상에 대해서는 고객 피해 가능성은 없다면서 언급을 자제했다. 표 사장은 “인터넷 카페에서 진행되고 있는 집단 소송에는 사법기관의 절차가 진행되면 성실히 임할 것”이라고 선을 그었다. 송정희 KT 최고정보책임자(CIO·부사장)도 “개인정보가 유출된 것 자체는 피해 보상의 범위가 아니며 정보 유출로 인해 다른 피해가 생겨야 피해로 볼 수 있다.”고 설명했다. 소비자·시민 단체들은 KT의 도의적 책임을 지적하며 이용자에게 보상을 해줘야 한다는 주장을 펴고 있어 이를 두고 논란이 지속될 전망이다. KT는 우선 이번 해킹 사건처럼 고객정보 시스템 조회를 가장해 소량의 정보를 조회하는 것도 실시간 감시하고 분석할 수 있는 모니터링 시스템을 연말까지 구축한다. 또 연말까지 고객이 자신의 개인정보 조회·활용 이력을 직접 확인할 수 있는 시스템을 완료할 계획이다. 대리점과 판매점에서 고객 정보를 조회하는 시스템의 보안도 강화한다. 현재는 일반 PC에서 영업 시스템에 접속할 수 있지만 앞으로는 가상 데스크톱 환경(VDI) 솔루션이 적용된 환경에서만 접속하도록 변경한다. 이와 함께 전 세계 표준기술을 적용해 해킹방지 체계를 갖춘 선진 영업 시스템을 당초보다 앞당겨 2013년 3분까지 도입하기로 했다. 국내외 보안 전문가를 대거 확충할 계획이다. 표 사장은 “이석채 회장도 모든 지원을 아끼지 않을 테니 세계 최고의 보안 시스템과 보안 인력을 확보하라고 지시했다.”고 말했다. 한편 NHN은 이날 주민번호 등 개인정보 서비스에만 적용하던 ‘보안접속(SSL) 설정 기능’을 메일 서비스 전 영역으로 확대했다. 국내외 개인정보 유출 사건이 잇따르는 가운데 이용자의 개인정보 보호를 위해 대표적인 개인화 서비스인 메일, 캘린더, 주소록에도 보안접속 설정 기능을 적용하기로 했다고 NHN은 밝혔다. 보안접속 기능을 사용하려면 네이버 메일의 환경설정에서 보안접속 설정 기능을 ‘사용함’으로 설정하면 된다. 홍혜정기자 jukebox@seoul.co.kr

KT 휴대전화 가입자 800여만명의 개인정보가 해킹된 사건에 대해 한 법무법인이 집단 소송을 준비, 5일 만에 소송인단 2만 5000명을 모집했다. 법무법인 평강은 3일 “피해자들에게 100원씩만 받고 KT를 상대로 집단 공익 소송을 진행하겠다.”고 밝혔다. 돈을 받지 않을 경우 의뢰인이 인감증명서를 직접 제출해야 하는 등 번거로움이 있어 소송비용 100원을 받는다는 설명이다. 인지대 2500원을 합쳐 총 2600원만 내면 소송에 참여할 수 있다. 평강은 현재 인터넷 카페(cafe.naver.com/shalomlaw)를 개설해 소송인단을 모집 중이다. 카페 개설 5일 만에 가입자는 2만 7000명을 넘어섰고, 이 중 2만 5000명이 소송에 참여했다. 저렴한 가격으로 소송에 참여할 수 있기 때문에 법조계에서는 ‘옥션 해킹’ 소송에 참여했던 14만명과 맞먹는 규모의 소송이 가능할 것으로 보고 있다. 최득신(46·사법연수원 25기) 대표변호사는 “나를 포함해 평강 소속 변호사 4명의 개인정보가 유출돼 대응 방안을 검토하다 집단소송을 추진하게 됐다.”면서 “개인정보를 함부로 취급하는 대기업에 경각심을 일깨워주고 싶다.”고 말했다. 최 변호사는 대구지검 부장검사 출신으로 ‘아이러브스쿨’ 해킹사건을 수사하기도 했다. 평강 측은 KT에 손해배상 금액으로 1인당 50만원을 청구할 계획이다. 일체의 착수금이나 성공보수금을 받지 않는다는 계획이다. 경찰 내사 상황 등 사실관계를 파악해 8월 중으로 소장을 접수할 예정이다. 최 변호사는 “형사에서 무혐의가 나오더라도 민사에서는 기업의 책임을 물을 수 있다.”면서 “피해사례 등을 수집해 일부 승소라도 할 수 있도록 최선을 다하겠다.”고 말했다. 2008년 1863만명의 개인정보가 유출된 ‘옥션 해킹’ 사건의 경우 처음엔 14만여명이 소송에 참가했지만 1심 패소 후 3만 5000여명만 항소해 현재 항소심이 진행 중이다. 이민영기자 min@seoul.co.kr

KT 가입자 870만명의 개인정보를 유출한 주범인 최모(40)씨는 영업 대리점이 고객 정보를 조회하는 것처럼 속여 개인정보를 조금씩 빼돌리는 수법을 썼다. 공범 우모(36)씨 등은 대리점 직원이었다. 지난 17일 다른 사람의 개인 정보를 도용한 뒤 스마트폰 소액결제 시스템을 해킹해 900만원 상당을 절취하다 경찰에 붙잡힌 김모(36)는 휴대전화 판매업자였다. 지난 3월 통신사 명의변경 프로그램에 무단으로 접속, 불법으로 명의를 변경한 뒤 가입고객 정보를 중국 브로커에게 넘기고 5400만원을 받은 임모(30)씨도 전직 통신사 대리점 직원이었다. 업무 특성상 가입장의 개인정보를 손쉽게 얻어 범죄에 악용한 것이다. 휴대전화 판매점이 ‘보안 사각지대’로 떠오르고 있다. 업체 직원들의 결여된 보안의식이 무엇보다 문제다. 서울 강남구의 한 판매점 직원은 “직원들은 고객이 신규 가입할 때 개인정보를 얻을 뿐 아니라 기존 가입자 정보도 쉽게 확보할 수 있어 개인정보를 빼돌리는 것은 일도 아니다.”라고 말했다. 유출된 개인정보는 대출 사기 등 보이스피싱 범죄에 악용될 가능성이 높다. 특히 일반 상가나 전자상가 등에서 통신 3사를 모두 취급하는 판매점이 개인정보 관리에 비교적 취약한 것으로 알려졌다. 판매점은 본사 직영점이나 대리점과 임의로 계약을 맺고 가입자 정보를 받아넘기는 역할을 하고 있다. 판매점은 본사로부터 아무런 통제를 받지 않는다. 본사와 위탁·계약관계에 있지 않아 관리 대상이 아니기 때문이다. 판매점 직원에 대한 보안 교육도 제대로 이뤄지지 않고 있다. 그나마 통신사 직영 대리점 직원들은 지역별 지점 마케팅팀 주관으로 한 달에 한차례씩 보안 교육을 받고 서약서도 작성하고 있다. 그러나 확실한 보안 안전지대라고 장담할 수는 없다. 한 통신사 본사 매니저는 “통신사 직원이라면 누구나 개인정보를 유출할 수 있는 가능성이 있다.”면서 “양심 문제”라고 말했다. 이어 “신규 가입자의 경우 가급적이면 공식대리점을 이용하는 편이 안전하다.”고 강조했다. 방송통신위원회 관계자는 “판매점은 자영업 형태로 대리점과 계약관계에 있다 보니 통신사나 방통위가 직접 간여할 수 없다.”면서 “대리점 차원에서 자체적인 보안 교육을 강화할 필요가 있으며, 판매점에 대한 전수조사도 뒤따라야 한다.”고 말했다. 이영준·명희진기자 apple@seoul.co.kr

KT의 전산망이 해킹돼 KT휴대전화 가입자의 절반 가까운 870만여명의 개인정보가 유출된 사건은 한마디로 충격이다. 국내 이동통신업계 개인정보 유출 피해로는 최대 규모다. 이러다가 전 국민의 ‘신상’이 털려 나가는 것 아닌가, 소비자들은 가히 공황상태다. 경찰에 따르면 해커들은 KT 고객정보 조회 시스템을 자체 개발해 일선 영업대리점이 고객정보를 열람하는 것처럼 속여 지속적으로 정보를 빼냈다고 한다. 정보 데이터베이스를 직접 해킹하던 기존 수법에 비하면 한층 지능화된 셈이다. 그러나 아무리 해킹기술이 첨단을 달린다 해도 정보통신 선두기업이라는 KT의 전산망이 이처럼 무참히 뚫린 데 대해서는 변명의 여지가 없다. 특정 대리점에서 하루 8만명의 고객정보가 빠져나가는 데도 눈치채지 못하고 5개월이 지나서야 해킹 사실을 파악했다니 보안의식이 있기는 한 건가. 개인정보가 텔레마케팅 업자들의 유력한 영업수단으로 인식되는 한 언제든 해킹의 타깃이 될 수밖에 없다. 방송통신위원회에 따르면 2008년부터 4년간 개인정보 침해는 1억 600만건에 이른다. 하루가 멀다하고 터지는 해킹범죄에 국민은 그야말로 노이로제에 걸릴 지경이다. 그럼에도 이동통신사들은 수익을 올리는 데만 급급할 뿐 근본적인 대책마련은 뒷전이다. KT 측은 유출된 개인정보를 전량 회수했다고 하지만 명의도용이나 보이스 피싱 등 2차범죄의 가능성을 배제할 수 없다. 집단소송 제기 움직임마저 있다. 단순히 사과로 끝낼 일이 아니다. 사후조치에 만전을 기해야 한다. 당국은 KT 측이 정보통신망법상 기술적·관리적 보호조치 의무를 다했는지 철저히 밝혀내야 한다. 아울러 정보통신망법 등 관련 법규의 미비점은 없는지 면밀히 검토할 필요가 있다. 개인정보보호법이 시행된 지 1년이 다 돼 가지만 기업의 보안의식은 아직도 걸음마 수준이다. 개인정보 보안강화 시민운동이라도 벌여야 하나.

이른바 ‘올레’ KT가 뚫렸다. 870만명의 휴대전화 가입자 개인정보가 해킹당해 통신판매(텔레마케팅)에 활용됐다. 이동통신업계 역대 최대 규모의 해킹 피해다. 더욱이 KT는 무려 5개월에 걸쳐 이뤄진 개인정보유출 사실을 파악하지 못한 것으로 밝혀져 미흡한 안전대책과 보안 의식이 도마에 올랐다. 특히 개인정보 유출이 기존의 사건과 달리 폭이 넓고 목적이 텔레마케팅으로 특정된 까닭에 소비자의 집단 소송도 잇따를 전망이다. 경찰청 사이버테러대응센터는 KT 휴대전화 고객정보를 빼내 외부에 판매한 해커 최모(40)씨와 황모(35)씨를 정보통신망 이용촉진 및 정보보호법 위반 혐의로 구속했다고 29일 밝혔다. 최씨 등으로부터 개인정보를 사들인 우모(36)씨 등 텔레마케팅 업자 7명도 불구속 입건했다. 최씨 등은 KT 고객정보를 몰래 조회할 수 있는 해킹 프로그램을 제작, 지난 2월부터 최근까지 5개월간 가입자 870만명가량의 개인정보를 무단으로 빼냈다. KT 휴대전화 전체 가입자 1600만여명의 절반이 넘는 정보가 새나간 것이다. 정보통신업체에서 10년간 프로그램 개발을 담당하는 등 베테랑 프로그래머였던 최씨는 영업대리점이 고객정보를 조회하는 것처럼 꾸며 한두 건씩 개인정보를 교묘하게 빼내 모았다. 때문에 KT는 5개월 동안이나 고객정보가 유출당한 사실을 알아차리지 못하다 뒤늦게 내부 보안점검을 통해 해킹 피해를 확인, 경찰에 수사를 의뢰했다. 경찰은 “해킹프로그램 개발에만 7개월이 소요됐을 정도로 치밀하게 준비했고, 해킹 방식도 상당히 높은 수준”이라면서 “빼돌린 고객 정보로 번 수익이 최소 10억 1000만원에 달한다.”고 설명했다. 조사 결과 최씨 등은 KT 본사의 고객정보 데이터베이스(DB)를 직접 해킹하는 대신 영업대리점이 KT 고객정보시스템을 조회하는 것처럼 위장하는 수법을 썼다. 유출된 개인정보에는 이름과 주민등록번호, 휴대전화 번호 및 모델명, 기본요금과 사용요금제, 요금합계액, 기기변경일 등 핵심정보가 대부분 포함돼 있다. 개인정보를 구입한 텔레마케팅 업자 우씨 등은 약정 만료일이 다가오거나 요금제 변경이 필요한 고객들만 골라 기기변경이나 요금제 상향조정 등을 권유하는 등 영업을 했다. 때문에 가입자들은 이유를 모른 채 자신의 휴대전화 가입정보를 정확히 알고 있는 텔레마케터들의 스펨 전화에 시달려야 했다. 경찰은 KT의 정보관리체계가 허술했다고 판단, KT가 고객정보를 보관·관리하는 과정에서 정보통신망법상의 의무를 충실히 이행했는지 등을 조사하기로 했다. KT는 개인정보유출과 관련, “불법 수집한 개인정보는 전량 회수했고, 추가적인 정보 유출도 차단했다.”면서 “내부 보안시스템을 강화해 앞으로 고객 피해가 발생하지 않도록 노력하겠다.”고 사과했다. KT 이용자의 개인정보 침해 정보는 올레닷컴(www.olleh.com) 홈페이지나 고객센터(국번 없이 1588-0010)를 통해 확인할 수 있다. 백민경·홍혜정기자 white@seoul.co.kr

한국교육방송공사(EBS) 홈페이지가 해킹돼 회원 400만명의 개인정보가 유출되는 사고가 발생했다. 경찰청 사이버테러대응센터는 EBS 홈페이지(www.ebs.co.kr)로부터 16일 밤 해킹당해 회원들의 개인정보가 유출됐다는 신고를 받고 조사한 결과 해킹 피해를 확인했다고 17일 밝혔다. EBS 측도 자체 조사에서 2009년 12월 이전에 가입한 회원 중 400만명의 이름, 아이디, 전화번호, 이메일, 주소, 비밀번호 등이 유출된 사실을 파악했다. EBS 측은 홈페이지 공지를 통해 “회원들의 주민등록번호와 계좌번호 등 민감한 정보는 아예 보관하고 있지 않아 피해가 없었다.”고 전했다. 현재 EBS 사이트의 전체 회원 수가 2000만명인 점을 감안하면 전체 회원 5명 중 1명의 개인정보가 유출된 것이다. 이번 해킹은 중국발 IP(아이피) 여러 곳에서 유입된 악성코드에 의한 것으로 추정되고 있다. 홈페이지를 위탁 운영하고 있는 KT는 지난 14일 오전 10시 서버 이상 징후를 발견했으며, 다음 날 개인정보 유출 사실을 확인했다. EBS 관계자는 “2009년 12월 이전 가입자 중 비밀번호 등을 변경한 회원들만 개인정보가 유출됐다.”면서 “수험생이 많이 이용하는 EBS 수능사이트(www.ebsi.co.kr)는 별도로 강화된 보안 시스템이 적용돼 이번 사고와 무관하다.”고 해명했다. EBS 측은 피해 회원들에게 이메일을 보내 개인정보 유출 사실을 알리고 동일 아이디와 비밀번호를 이용하는 다른 사이트의 모든 비밀번호를 변경해 줄 것을 당부했다. 현재 해당 사이트는 정상적으로 운영되고 있다. 그러나 EBS 측은 해킹 사고가 15일 일어났는데도 수사의뢰와 피해사실 안내 공지를 뒤늦게 해 비난을 사고 있다. 경찰은 EBS와 KT로부터 자료를 넘겨받아 어떤 방식으로 해킹이 이뤄졌는지 조사하고 있다. 명희진·신진호기자 mhj46@seoul.co.kr

2004년 10월 미국을 발칵 뒤집어 놓은 개인정보 유출사건이 발생했다. 개인정보를 수집·판매하는 초이스포인트사가 신원 도용 사기범들에게 해킹을 당한 것이다. 사기범들은 14만여명의 개인정보를 빼냈고, 이 정보는 위조 신용카드를 만드는 데 악용됐다. 피해자만 800여명에 달했다. 미 연방거래위원회(FTC)는 보안 실패 및 소비자권리 침해 등을 이유로 1000만 달러의 벌금과 500만 달러의 고객 손해배상을 결정했다. 1000만 달러의 벌금은 FTC 역사상 최고액이다. 4개월 뒤 세계적 호텔 체인의 상속녀이자 배우인 패리스 힐튼이 파문을 일으켰다. 르윈스키 스캔들을 특종보도한 인터넷뉴스 드러지 리포트는 패리스의 개인용 휴대 정보 단말기(PDA)가 해킹당해 패리스는 물론 동료 스타들의 개인정보가 유출됐다고 보도했다. 인터넷엔 크리스티나 아길레라(32), 애슐리 심슨(28) 등 유명 가수와 배우 등 스타들의 개인 전화번호와 이메일 주소가 떠돌았다. 개인정보 유출은 그 자체로 끝나는 것이 아니라 2차 피해로 연결된다는 점에서 중대한 범죄다. ‘개인정보=돈’이라는 인식은 해킹과 유출을 부추긴다. ‘IT 코리아’의 위상에 걸맞게 한국도 어느새 개인정보 유출 강국(?)이 됐다. 옥션 1800만명(2008년 1월), GS칼텍스 1125만명(2008년 9월), 현대캐피탈 175만명(2011년 4월), SK커뮤니케이션즈 3500만명(2011년 7월), 넥슨 1320만명(2011년 11월)…. 특히 SK커뮤니케이션즈 사태는 ‘온 국민이 털렸다.’는 유행어를 낳았다. 파장이 커지자 정부는 지난해 3월 개인정보보호법을 제정했다. 사생활을 보호하고 개인의 존엄과 가치 구현이 입법 취지였다. 그러나 법을 비웃기라도 하듯 개인정보 유출이 갈수록 지능화·첨단화되고 있다. 공공기관의 업무 수행을 중단하거나 마비시키는 자는 엄벌(10년 이하의 징역 또는 1억원 이하의 벌금)에 처해지지만 개인의 피해에 대해서는 똑 떨어진 규정이 없다. 집단소송을 부채질하는 변호사, 가해자를 돕기 위한 개인정보보호 배상책임보험은 한편의 코미디다. KT 협력업체가 휴대전화 이용자의 개인정보를 조회하는 불법 프로그램을 유통시켰다고 한다. 통신업체와 인터넷업체가 개인정보를 유출하거나 판매한 적은 있지만, 조회 프로그램을 만들어 판 것은 처음이다. KT 개입설이 불거졌다. KT는 ‘사실무근’이라고 펄쩍 뛴다. 진실이야 사법당국이 가려야겠지만, 개인정보 관련 범죄의 심각성을 방증하는 게 아닌가 싶다. 최용규 논설위원 ykchoi@seoul.co.kr