지난 2007년 정보보호분야에서는 악성코드, 백도어(Backdoor), 피싱 등이 기승을 부려 이슈가 됐다면 올 2008년에는 해킹, 고객 개인정보유출, DDoS 공격 등이 최대 보안 이슈로 부상했다. 특히 해킹과 내부자에 의한 고객 개인정보유출 사건은 우리 사회에 심각한 문제로 부상해 집단소송 등으로 이어졌다.

올 초엔 중소기업의 보안 솔루션 도입과 보안 컨설팅이 늘어나는 등, 정보보호 분야에 큰 변화가 있을 것이라는 전망이 있었지만 기대만큼 큰 변화는 없었다. 하지만 올해 사회적으로 큰 파장을 일으킨 개인정보 유출 사건이 연이어 발생했기 때문에 각 기업과 공공기관에서 개인정보보호에 대해 큰 관심을 가졌고 실질적인 시스템 구축이나 컨설팅 등으로 이어지기도 했다. 

이렇게 사회 전체가 개인정보 유출과 이로 인한 피해, 그리고 집단 소송 등으로 몸살을 앓았다. 그럼에도 불구하고 개인정보보호에 대한 정부의 미온적인 태도는 많은 지적을 받았다. 특히 정부의 실질적이고 발 빠른 대응과 체계적 시스템 미비, 개인정보보호의 예산부족과 실효성 없는 대책 등은 정보보호 분야에서 꼭 풀어야할 숙제였지만, 또 한 해를 넘기게 됐다.

지금까지 발생한 주요 개인정보 유출 사건·사고를 통해 올 한 해 동안의 보안 이슈를 되돌아보고 안전한 사이버 세상을 위해서 우리가 풀어야 할 과제가 무엇인지 재조명했다.

올 한 해 IT분야에 있어서 가장 큰 화두 중 하나는 바로 개인정보 유출 사고이다. 실제로 한국정보보호진흥원 인터넷침해사고대응지원센터에서 최근 발간한 자료에 따르면 해킹사고를 피해 기관별로 분류한 결과 ‘개인’의 피해 건수가 74.3%로 가장 높은 것으로 나타났다.

이처럼 개인정보유출 피해는 이제 개인의 문제가 아니라 사회적인 문제로 확대됐다. 이러한 피해를 방지하고 최소화하기 위해서 각 기업과 정부기관 등에서는 보안강화에 촉각을 곤두세우고 있지만 정부는 실질적인 대책을 위한 법·제도 마련에는 아직 소극적이다.

올해 특히 주목할 만한 것은 대기업 등에서 해킹이나 내부자에 의해 고객정보가 유출되는 사건이 연이어 발생하면서 피해자들이 집단 소송을 제기하는 것이 유행처럼 번졌다.

이렇게 개인정보보호의 문제는 사회적인 분쟁으로까지 확산되고 있다. 이러한 상황에서 보안 전문가들과 네티즌들은 정부의 안일한 대응과 체계적이지 못한 시스템 미비, 개인정보보호의 예산부족과 실효성 없는 대책 등이 문제의 근원으로 지적하기도 했다.

특히 올해 세상을 가장 떠들썩하게 했던 GS칼텍스의 회원정보 유출사고는 내부자에 의한 사고로 보안의식 및 관리 체계의 허술함에 의해 발생한 문제였음이 드러났다. 또한 악의적인 목적을 가지고 저지른 의도된 행위였고 6백만 건 이상의 고객정보가 유출된 하나로텔레콤의 경우, 내부직원의 통상적인 업무처리 과정에서 보안사고 가능성의 심각함을 인식하지 못해 발생한 우발적인 사고였다는 지적도 있었다.  아울러 올 초 네티즌들을 충격에 빠뜨렸던 국내 최대 온라인 쇼핑몰인 옥션의 1,081만 건의 고객정보가 유출되는 사고가 있었고 국내 3대 이동통신사 중 하나인 LG텔레콤의 고객 정보가 실시간으로 한 프로그래머의 개인 인터넷 사이트를 통해 유출된 사건도 있었다.

고객 개인정보보호는 세계적인 보안 이슈

이중 가장 최근인 지난 9월 발생한 GS칼텍스 회원 1,100만 명의 고객정보 유출은 자회사 직원에 의해 엄청난 양의 고객정보가 빠져나간 사상 최악의 사례로 꼽힌다. 이로 인해 각 기업들은 내부정보 유출 방지에 대해 높은 관심을 보이기도 했고 또 실질적인 보안강화를 위한 보안 시스템 정비, 장비의 추가도입 등으로 이어졌다.

특히 고객정보 등 데이터베이스(DB)를 암호화해주는 수준을 넘어 최근에는 누가 언제 DB에 접근했는지를 추적하고 USB메모리나 이메일, 프린터 등을 활용한 유출 시도 즉시 이를 즉각 차단해주는 최신 기술들이 새롭게 조명을 받았다.

한편 지난 11월 초 미국 ‘오픈 시큐리티 파운데이션(Open Security Foundation)’이 공개한 세계에서 가장 규모가 컸던 10대 개인정보 사건 순위 중에서 GS칼텍스의 고객 개인정보 유출 사건은 11월 초 현재까지 전 세계에서 일어난 대규모 개인정보 유출사건들 중 가장 규모가 큰 10개 사건에 포함됐다는 발표도 있었다.

이 발표에 따르면 GS칼텍스 사건은 아시아권에서는 가장 큰 규모였으며 지난 5월 약 1,250만 명의 주민번호 등이 노출된 미국 뉴욕 멜론 은행, 아치브 시스템에 이어 8위를 기록했다. 또 1위부터 7위까지는 모두 미국과 유럽권의 기업·기관으로 나타나 GS칼텍스 사건은 아시아권 기업에서 발생한 개인정보 유출 사건 중 가장 큰 규모가 됐다. 아시아권에서 두 번째로 큰 규모는 지난해 3월 약 863만 7,000명의 고객 개인정보를 도난당해, GS칼텍스에 이어 9위인 다이(Dai) 닛폰 프린팅 컴퍼니다.

이 순위는 OSF가 전 세계 네티즌들로부터 관련 언론보도나 자료 등을 다양한 채널을 통해 신고 받아 작성하는 것으로 지난 4월 약 1,081만명의 고객 개인정보가 유출됐던 옥션의 사례는 다행(?)스럽게도 포함되지 않았다.

불명예스런 1위는 미국 소매유통 업체 TJX 컴퍼니. 이 회사는 지난해 1월 무려 4,570만 고객의 신용카드 번호와 거래 기록을 해킹당했다. 이 순위에는 유명 해외 기업들이 다수 포함되어 있어 날로 발전하는 해킹 공격 방법, 보안의식 부재, 각 기업의 허술한 보안 수준이 우리나라뿐만 아니라, 전 세계적인 보안 이슈임을 알 수 있는 조사결과였다. 

경매 사이트 옥션 ‘해킹’

지난 2월엔 국내 최대 경매 사이트인 옥션에서 개인정보가 유출됐다. 옥션은 올해 설날 연휴를 앞두고 해킹 공격을 받아 회원 1,081만 명의 개인정보가 유출되는 사건이 발생했다.

이때 당시 옥션은 “회원 개인정보 유출로 의심되는 단서를 발견했다”며 “현재까지 파악된 바에 의하면 다수 회원의 개인정보와 일부회원의 환불정보가 유출된 것으로 추정한다”는 공지를 홈페이지에 띄우기도 했다. 

전문가들은 이 해킹 사고에 대해 중국 크래커들의 소행으로 판단하기도 했다. 이 때 당시 옥션 관계자는 “사건 발생 한 달 전부터 이러한 크래킹 탐지가 계속돼 왔다”며 “대형 사이트에서는 크래킹 공격은 흔히 있는 일이지만 이러한 징후들이 이번 사건과 관련이 있는지는 좀 더 조사를 해봐야 한다”고 밝힌 바 있다.

그러나 지금까지 옥션을 애용해왔던 이용자들은 1,800만 명의 개인정보를 보유하고 있는 국내 최고 오픈마켓이 중국 크래커들의 공격에 의해 한 순간에 허무하게 무너졌고, 또 기업이 고객의 정보를 보호해야할 의무를 다하지 못했다는 것에 분통을 터트렸다.

하지만 옥션측은 사고 발생 인지 즉시, 이용자들에게 사과 공지를 냈다. 이러한 일은 지금까지 한 번도 없었던 일로 매우 고무적인 일이었다는 평가를 받기도 했다. 사실 많은 인터넷 기업들은 실제로 중국 크래커에 의해 알게 모르게 정보유출 피해를 당하고 있었고, 이를 알았다고 해도 내부적으로 처리하고 조용히 넘겨왔던 것이 대부분. 이런 점에서 옥션은 이번 사건을 공개하고 발 빠르게 대처해 이용자들에게 피해가 확산되는 것을 막기 위해 노력했다는 점은 당연하지만 높이 평가된다.

한편 사건이 발표된 후, 옥션 회원들은 개인정보 유출 책임을 물어 집단 소송을 준비했다. 박진식 변호사는 ‘옥션 정보유출 소송모임’ 카페(cafe.daum.net/auctionlawsuit)를 개설해 집단 소송을 위한 회원을 모집했으며 이 카페에는 하루만에 2,000여 명이 회원으로 가입해 많은 관심을 모았다. 한 언론보도에 의하면 지난 10월까지 옥션은 총 19건의 손해배상 소송이 접수됐으며 소송 인원은 14만 455명, 총 소송금액은 1,569억 6,585만원에 달하는 것으로 알려졌다. 현재 1차 심의가 진행됐지만 옥션측에서 시간을 끌기 위한 형식적인 답변으로 진행된 것으로 알려졌다.

다음넷, 고객센터 정보 7,000여 건 유출 

지난 3월에는 국내 최대 포털 중 하나인 다음(Daum)이 고객센터 직원의 아이디와 패스워드가 유출되면서 고객상담 정보가 유출되는 크래킹 사고가 발생했다. 문제는 이 사건이 6개월 전에 터진 문제였고 옥션과 반대로 다음이 이를 즉시 공개하지 않았다는 사실이다.

다음측은 지난해 10월 신원을 알 수 없는 자로부터 ‘고객상담 내용을 갖고 있으며 이를 유포하겠다’는 협박을 받았다고 밝혔다. 다음은 그 즉시 경찰청 사이버테러대응센터와 한국정보보호진흥원(KISA)에 신고 및 보고를 취했고 서버와 회원정보 DB를 확인한 결과 해킹 및 접근의 흔적이 전혀 없었다고 덧붙였다.

그러나 용의자의 주장을 확인한 결과, 용의자가 알 수 없는 경로로 다음의 고객 상담 외주 업체 상담원의 개인 계정인 아이디와 패스워드를 획득해 고객 상담 내용의 일부를 열람한 것으로 추정했다. 특히 서버와 회원정보 DB는 일체의 접근이나 해킹의 흔적이 없었고 용의자가 열람했을 가능성이 있는 정보는 7,000여 건인 것으로 확인됐다.  

이후의 대응은 고객 상담 내역 열람 가능성을 확인한 즉시 유출 가능성이 있는 해당 이용자에게 ‘고객님의 개인정보 보호를 위해 비밀번호를 변경해 달라’고 고지하고 비밀번호 변경을 강제했다. 그리고 용의자가 취득한 비밀번호 등으로 로그인 하여 개인의 사적인 데이터가 유출될 가능성 등을 사전에 차단했다. 

LG텔레콤, 고객 정보 실시간 유출

지난 4월에는 780만 명의 가입자를 두고 있는 LG텔레콤의 고객 정보가 실시간으로 인터넷에 유출됐다. 유명 포털업체의 프로그래머인 K모씨는 휴대전화 번호만 입력하면 가입자의 주민번호 등 갖가지 정보가 표시될 수 있도록 자신의 사이트에 올려놓았다.

이렇게 LG텔레콤의 가입자 400여 명의 개인정보가 실시간으로 유출되는 사건이 발생한 것이다. 이 사이트는 통신사의 서버와 직접 연결돼 있어 10분 전에 가입한 고객의 정보도 실시간으로 확인할 수 있었다.

K모씨는 지방의 모 대학이 LG텔레콤에 콘텐츠를 제공하기 위해 구축한 사이트를 통해 접속 계정번호와 코드를 알아냈고 이를 이용해 고객의 데이터베이스 서버에 들어갈 수 있었던 것이다. 문제는 국내 대형 이동통신사의 고객 데이터베이스가 초보 수준의 프로그래머라도 침투할 수 있을 만큼 보안체계가 허술했다는 점이다.

또 고객 정보를 평문화해서 전송함으로써 보안조치가 전혀 없었고 IP접근 제한 등의 조치도 없어서 보안이 허술했다는 것은 대기업의 정보보안체계가 얼마나 취약한지를 잘 보여주는 사례였다.

경찰 수사결과로는 이 같은 보안의 허점이 5년 동안이나 방치된 것으로 알려졌다. 하마터면 LG텔레콤의 가입자 780여만 명의 개인정보가 노출될 수 있었던 것이다. 경찰은 이 사이트를 만든 K모씨를 불구속 입건한 데 이어 고객정보 보호를 소홀히 한 LG텔레콤에 대해 방송통신위원회에 행정처분을 의뢰하기도 했다.

이 사건의 핵심은 LG텔레콤 측이 휴대폰 정보제공 업체인 엠샵에 LG텔레콤 700만 명 고객정보가 그대로 노출되도록 장기간 방치했다는 점. 예를 들어 엠샵 사이트에 접속해 휴대폰 번호만 입력하고 속성에 나타난 주소를 확인하면 암호화 되지 않은 주민등록번호 13자리와 서버에 접근할 수 있는 서버계정도 그대로 볼 수 있는 상태였던 것.

당시 LG텔레콤 측은 “CP업체들에 대한 고객 정보 관리를 철저히 하지 못한데 대해 죄송스럽다”며 “CP업체 일체에 대한 패스워드를 변경조치했으며 4월말까지 주민번호가 노출되지 않는 방식으로 고객정보 인증체계 개선 및 서비스 제공 IP 필터링을 완료해 고객정보보호를 근본적으로 해결하겠다”고 밝혔다. 한편, LG텔레콤 고객정보 노출 사건도 옥션과 마찬가지로 고객들의 집단 1차 소송이 진행 진행됐고 1차 심의는 11월 말에 열린다.

<글 : 김태형 기자 (is21@boannews.com)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>