[특집] 정보유출로 인한 기업피해 급증, 대책 마련해야

해킹, 고객 개인정보유출, DDoS 공격 등은 지난해 최대 보안 이슈로 회자됐다. 이들은 올해에도 역시 기업과 공공기관의 최대 보안 이슈로 꼽히고 있다. 특히 해킹과 내부자에 의한 고객 개인정보유출 사건은 우리 사회에 심각한 문제로 부상, 집단소송 등으로 이어져 기업들에게 큰 손실을 주고 있다. 특히 지난해 초부터 사회적으로 큰 파장을 일으킨 개인정보 유출 사건이 연이어 발생했기 때문에 각 기업과 공공기관에서는 개인정보보호에 대해 큰 관심을 갖고 실질적인 시스템 구축이나 컨설팅 등을 통해 보안을 강화했다. 그럼에도 불구하고 아직까지 개인정보보호에 대한 미진한 제도와 정책 등은 관계자들의 많은 지적을 받고 있다. 이와 관련해 정부는 최근 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 ‘정보통신망법’)’을 대폭 개정, 정보통신 서비스 제공자가 개인정보보호 의무를 제대로 이행하지 않거나 불법적으로 개인정보를 이용·제공한 경우 위반자에 대한 처벌을 한층 강화하고 나섰다. 이에 이번 특집에서는 이러한 개정된 법 규정에 맞는 기업의 정보유출방지와 고객 정보보호를 위한 핵심 솔루션은 무엇인지 알아보고 이의 도입과 운영 노하우, 구축사례 등을 통해 정보유출방지와 고객의 개인정보보호에 대한 가이드라인을 제시하고자 한다.

올해 초 한 외신 보도에 따르면, 관리 컨설팅 업체인 KPMG LLP는 2009년에 개인 및 금융정보 유출이 급격히 증가할 것으로 내다봤다.

국제 감사·금융자문 업체 KPMG은 지난 해 데이터 유출의 피해자가 920만명이었던 것을 근거로 특히 금융 대란이 심각해짐에 따라 2009년에는 전 세계적으로 그 피해자가 약 1억 9천여명에 이를 수도 있다고 주장했다.

이 업체의 조사에 따르면 2008년 8월부터 11월 사이에 발생한 데이터 유출 사건이 2008년 1월부터 7월까지의 8개월에 발생한 사건에 비해 훨씬 높은 것으로 나타났으며 특히 2007년 같은 기간 대비, 약 38%나 높아진 것으로 나타났다. 조사결과 2005년 이후로 전 세계적으로 약 천 3백여 건의 사건이 보고되었으며 3억 5천명 이상의 개인 정보가 손상되었다. 특히 지난 2008년에만 427건의 데이터 유출 사건이 보고되었으며 전 세계적으로 8300만명 이상이 피해를 입었다.

이는 2007년에 비해서는 다소 적은 수치지만 문제는 2008년에 발생한 피해의 절반 가량이 지난 2008년 8월부터 11월 사이에 몰렸다는 것. 이러한 지표를 근거로 KPMG는 2009년에 데이터 유출 사건이 더욱 급증할 것으로 내다봤다. KPMG는 2005년 이후의 데이터 유출을 조사해 이른바 ‘데이터 유출 지표’로 정리하는 한편, 아웃소싱 기업이나 파트너 업체들과의 정보 공유도 큰 위협이 될 수 있다며 기업들의 주의를 촉구하기도 했다.

이러한 가운데 지난해 연이어 발생해 세상을 떠들썩하게 했던 대형 개인정보 유출사고가 다행스럽게도 올해에는 아직 없었다. 하지만 최근의 개인정보 유출 관련사건의 특징을 살펴보면 예전에 비해 불법으로 유출되거나 제공된 개인정보의 양이 엄청난 규모이며 관련자들의 행위도 대범해지고 있어 안이하게 대처해서는 안 될 것으로 보인다.

한 예로 작년 GS칼텍스 개인정보 유출사건에서도 볼 수 있듯이 약 1,125만건에 이르는 고객정보가 콜센터를 운영해온 수탁회사 직원의 손에 의해서 외부로 유출되었고 하나로텔레콤은 회사가 고객정보를 조직적으로 오남용했다는 의혹을 받았다. 또한 해킹에 의한 사고도 적지 않았다. 

특히 지난해 GS칼텍스 사건을 계기로 정보통신 서비스 제공자 이외에 일반 오프라인 사업자에 대해서까지 ‘정보통신망법’의 적용을 확대해야 한다는 요구가 많았다. 우리나라에는 아직 온라인 사업자와 오프라인 사업자가 수집·처리하고 있는 개인정보를 모두 보호할 수 있는 개인정보보호법이 제정되어 있지 않다.

하지만 정부는 최근 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 ‘정보통신망법’)’을 대폭 개정, 정보통신 서비스 제공자가 개인정보보호 의무를 제대로 이행하지 않거나 불법적으로 개인정보를 이용·제공한 경우 위반자에 대한 처벌을 한층 강화했다. 여기에는 특히 개인정보를 많이 취급하고 있는 일부 오프라인 사업자, 즉 여행업자, 호텔업자, 항공사, 학원, 콘도미니엄, 대형마트, 백화점, 쇼핑센터, 체인사업자 등의 9개 업종 외에도 대량으로 고객의 개인정보를 수집·이용하는 오프라인 사업자의 유형이 크게 확대됨에 따라 지난해 12월 31일 ‘정보통신망법’ 시행규칙을 개정하여 준용사업자의 수를 기존 9개 업종에서 27개 업종으로 크게 확대했다.

‘정보통신망법’은 주로 정보통신 서비스 제공자가 수집·처리하고 있는 개인정보를 보호의 대상으로 하고 있기 때문에 오프라인 사업자에게는 적용할 수 없다. 따라서 ‘정보통신망법’은 준용사업자라고 해서 개인정보를 많이 취급하고 있는 일부 오프라인 사업자, 즉 여행업자, 호텔업자, 항공사, 학원, 콘도미니엄, 대형마트, 백화점, 쇼핑센터, 체인사업자 등에 대해서도 ‘정보통신망법’을 확대 적용해 왔다.

그러나 최근 이들 9개 업종 외에도 대량으로 고객의 개인정보를 수집·이용하는 오프라인 사업자의 유형이 크게 확대됨에 따라 행정안전부가 지난해 12월 31일 ‘정보통신망법’ 시행규칙을 개정하여 준용사업자의 수를 기존 9개 업종에서 27개 업종으로 크게 확대했다.

이에 따라 오는 7월 1일부터는 여행사, 호텔, 항공사, 학원, 백화점 등은 물론 주유소, 공인중개소, 결혼중개업자, 직업소개소, 렌터카회사, 병원, 주택관리회사, 자동차매매업자, 자동차등록대행회사 등에 이르기까지 거의 모든 오프라인 사업자들이 개인정보를 수집·처리할 때에는 ‘정보통신망법’상의 의무를 준수해야 함에 따라 관련 업계에도 이에 적절한 대응책 마련이 불가피하게 됐다.

세계적 보안 이슈 ‘고객정보보호’

세상의 많은 이목을 집중시켰던 정보유출 사고 중에서 지난 해 9월 발생한 GS칼텍스 회원 1,100만명의 고객정보 유출은 자회사 직원에 의해 엄청난 양의 고객정보가 빠져나간 사상 최악의 사례로 꼽히고 있다. 이로 인해 각 기업들은 내부정보 유출 방지에 대해 높은 관심을 보이기도 했고 또 실질적인 보안강화를 위한 보안 시스템 정비, 장비의 추가도입 등으로 이어졌다. 특히 고객정보보호를 위한 데이터베이스(DB)를 암호화해주는 수준을 넘어 최근에는 누가 언제 DB에 접근했는지를 추적하고 USB메모리나 이메일, 프린터 등을 활용한 정보유출 시도를 즉각 차단해주는 정보유출 방지를 위한 최신 솔루션과 기술들이 새롭게 조명을 받고 있다.

이러한 가운데 GS칼텍스 사건은 세계적으로 많은 관심을 받은 사건 중에 하나였다. 지난해 11월 초 미국 ‘오픈 시큐리티 파운데이션(Open Security Foundation)’이 공개한 세계에서 가장 규모가 컸던 10대 개인정보 사건 순위 중에서 이 사건은 지난해 11월 초 현재까지 전 세계에서 일어난 대규모 개인정보 유출사건들 중 가장 규모가 큰 10개 사건에 포함됐다.

이 발표에 따르면, GS칼텍스 사건은 아시아권에서는 가장 큰 규모였으며 지난 5월 약 1,250만 명의 주민번호 등이 노출된 미국 뉴욕 멜론 은행, 아치브 시스템에 이어 8위를 기록한 것. 또 1위부터 7위까지는 모두 미국과 유럽권의 기업·기관으로 나타나 GS칼텍스 사건은 아시아권 기업에서 발생한 개인정보 유출사건 중 가장 큰 규모인 셈이 됐다. 아시아권에서 두 번째로 큰 규모는 지난해 3월 약 863만 7,000명의 고객 개인정보를 도난당한 다이(Dai) 닛폰 프린팅 컴퍼니다.

이 순위는 OSF가 전 세계 네티즌들로부터 관련 언론보도나 자료 등을 다양한 채널을 통해 신고 받아 작성하는 것으로 불명예스런 1위는 미국 소매유통 업체 TJX 컴퍼니가 차지했다. 이 회사는 지난 2007년 1월 무려 4,570만 고객의 신용카드 번호와 거래 기록을 해킹당했다. 이 순위에는 유명 해외 기업들이 다수 포함되어 있어 날로 발전하는 해킹공격 방법, 보안의식 부재, 각 기업의 허술한 보안 수준이 우리나라뿐만 아니라, 전 세계적인 보안 이슈임을 알 수 있는 조사 결과였다.

올해 국내에서는 아직 심각한 개인정보 유출 사건이 없었으나, 해외에서는 세계의 주목을 끈 크고 작은 정보유출 사건이 있었다. 한 예로 올해 초 대표적인 글로벌 취업 사이트 몬스터닷컴이 두 번째로 데이터베이스를 침해당한 사실이 알려져 세간의 이목을 집중시켰다.

유명 취업사이트인 몬스터닷컴(Monster.com)의 모회사인 뉴욕 주재 몬스터 월드와이드(Monster Worldwide)가 지난 1월 23일(현지 시간) 홈페이지를 통해 자사 사용자 데이터베이스에 대한 침해 사실을 인정했다. 홈페이지 공지에 따르면 몬스터닷컴의 사용자 데이터베이스에서 구직자의 이름, 전화번호, 이메일 주소, 로그인 ID와 패스워드가 탈취 당했으나 정확한 피해 규모는 파악되지 않았다.

이 업체는 또한 몬스터닷컴의 정부 클라이언트인 USA잡닷컴(USAJobs.com)도 이번 사건에 영향을 입었다고 덧붙였다. 그러나 사회보장 번호는 유출되지 않았으며, 특히 개인 금융 정보는 수집하고 있지 않아 이에 대한 피해는 없을 것이라고 강조했다. 하지만 문제는 이 업체에 데이터 침해가 발생한 것이 이번이 처음은 아니라는 것이다. 지난 2007년 몬스터닷컴은 자사 사이트에 등록된 이력서에서 발췌된 개인 정보를 포함하고 있는 로우그 데이터베이스를 발견, 이를 차단했다. 당시 최소 130만명의 몬스터닷컴 사용자들이 피해를 입기도 했다.

이 외에도 크고 작은 정보유출 사고는 전 세계에서 지속적으로 발생하고 있다. 국·내외 크고 작은 정보유출 사건을 간략하게 보면 다음과 같다. 

미, 렉시스 고객 DB유출로 신용사기 피해

미국 뉴스 전문 매체 폭스뉴스는 올해 5월 1일(현지 시간) 온라인판(Fox News.com)을 통해 “렉시스넥시스가 3만 2천명에게 그들의 개인 정보에 부적절한 접근이 있었을 수 있다고 경고했다”고 보도했다.

이와 관련, 렉시스넥시스 그룹(LexisNexis Group)은 지난 5월 1일, 3만 2천명 이상의 고객들에게 그들의 이름, 생년월일, 사회보장번호 등의 정보가 탈취되었으며 그 정보들이 가짜 신용카드 계정을 만드는 신용카드 사기에 이용될 가능성이 있다고 공지했다. 이 업체는 고객들에게 발송한 공지를 통해 사이버 범죄자들이 렉시스넥시스의 데이터베이스 정보가 있는 미 우정국 USPS 기업메일박스에 침입했다고 설명했다. 현재 미국 우편물 검역소(U.S. Postal Inspection Service)는 이 문제를 조사 중인 것으로 알려졌다.

렉시스넥시스(LexisNexis, 구 렉시스)는 데이터베이스 대행 및 온라인 정보검색 서비스 제공업체로, 전 세계 100여 개국에 법률, 위기관리, 기업, 정부, 사법부, 회계, 학계 등에 컨텐츠 워크플로우 솔루션을 제공하는 글로벌 기업인만큼 이번 온라인 정보 서비스의 데이터 보안 침해로 인한 잠재적인 피해 역시 엄청난 규모가 될 것으로 예상된다.

이와 관련해 뉴욕과 뉴멕시코 산타페에 위치한 데이터베이스 침해에 대해 렉시스넥시스는 직원들과 300여명의 피해자들 등의 배경 조사를 의뢰했다고 미국 우편물 검역소 대변인이 밝혔다. 또한 이번 사기의 용의자는 약 4만명의 정보에 접근했으나 그것을 모두 이용하지는 않았다고 당국자는 덧붙였다. 그러나 우편 당국이 접촉한 렉시스넥시스의 고객 3백여 명은 개인정보를 이용한 사기로 피해를 입은 것으로 알려졌다.

미, 800만명 환자 기록 빼내 천만달러 요구

또 올 4월 미국에서 대규모 환자의 기록이 탈취된 사건이 있었다. 워싱턴포스트(Washington Post) 온라인판은 지난 5월 4일(현지 시간), 온라인 관련 전문 블로그 시큐리티픽스(SecurityFix)를 통해 “해커가 버지니아주(州) 보건국 데이터베이스를 침입해 금품을 요구하고 있다”고 전했다.

이에 따르면 해커가 버지니아주의 처방 모니터링 프로그램(Prescription Monitoring Program : PMP) 사이트에 침입해 8백만명 이상의 환자 기록을 삭제하는 한편 천만 달러의 금품을 요구하는 내용이 담긴 사이트의 홈페이지로 대체한 것으로 드러났다. PMP 사이트는 제약사들이 처방 약물 남용을 추적하기 위해 이용하는 사이트로, 의료 기록과 처방 기록들 등의 민감한 정보를 포함하고 있다. 이로 인해 버지니아주 보건국의 웹사이트와 버지니아주 PMP의 로그인 사이트는 지난 화요일 오전 내내 다운된 상태였으나 같은 날 오후에는 다시 이용할 수 있게 됐지만 현재도 접속이 원활하지는 못하다.

이에 앞서 이번 사건을 가장 먼저 전한 것으로 알려진 유출 문서에 관한 온라인 정보센터 위키릭스(Wikileaks.org)는 지난 5월 3일(현지 시간), “지난 4월 30일, 버지니아주 PMP 사이트가 천만 달러의 금품을 요구하는 내용으로 바뀌었다”고 전하며 범인이 남긴 메시지의 화면 캡처를 포스팅한 것으로 알려졌다. 위키릭스에 따르면 범인이 남긴 메시지는 “나는 지금 8,257,378명의 환자 기록과 총 35,548,087건의 처방전을 갖고 있다. 암호화 백업을 만들고 원본은 삭제했다. 백만 달러면 기꺼이 패스워드를 보내주겠다”는 것이다.

국내 최대 경매 사이트 해킹

국내에서는 지난 해 2월 국내 최대 경매 사이트에서 개인정보가 유출되는 사고가 발생했다. 지난해 설날 연휴를 앞두고 해킹 공격을 받아 회원 1,081만 명의 개인정보가 유출됐다. 당시 이 기업은 “회원 개인정보 유출로 의심되는 단서를 발견했다”며 “현재까지 파악된 바에 의하면 다수 회원의 개인정보와 일부회원의 환불정보가 유출된 것으로 추정한다”는 공지를 홈페이지에 띄우기도 했다. 

전문가들은 이 해킹 사고에 대해 중국 해커들의 소행으로 판단하기도 했다. 당시 옥션 관계자는 “사건 발생 한 달 전부터 이러한 해킹 공격 탐지가 계속돼 왔다”고 밝혔다. 그러나 그동안 이 사이트를 애용해왔던 이용자들은 1,800만명의 개인정보를 보유하고 있는 국내 최고 오픈마켓이 중국 해커들의 공격에 의해 한 순간에 허무하게 무너졌고 또 기업이 고객의 정보를 보호해야할 의무를 다하지 못했다는 것에 분통을 터트렸다.

하지만 사고 발생 인지 즉시, 이용자들에게 사과 공지를 냈다. 이러한 일은 지금까지 한 번도 없었던 일로 매우 고무적인 일이었다는 평가를 받기도 했다. 사실 많은 인터넷 기업들은 실제로 중국 해커에 의해 알게 모르게 정보유출 피해를 당하고 있었고 이를 알았다고 해도 내부적으로 처리하고 조용히 넘겨왔었다. 이런 점에서 이번 사건을 먼저 공개하고 발 빠르게 대처해 이용자들에게 피해가 확산되는 것을 막기 위해 노력한 것은 당연하지만 높이 평가된다. 한편 이 사건이 발표된 후, 회원들은 개인정보 유출 책임을 물어 집단 소송을 내기도 했다.

다음, 고객센터 정보 7,000여 건 유출 

옥션 사건 이후인 지난 해 3월, 국내 최대 포털 중 하나인 다음(Daum)이 고객센터 직원의 아이디와 패스워드가 유출되면서 고객상담 정보가 유출됐다는 것이 밝혀져 문제가 됐다. 그러나 문제는 이 사건이 6개월 전에 터졌고 옥션과 반대로 다음측이 이를 즉시 공개하지 않았다는 사실. 다음측은 지난 2007년 10월 신원을 알 수 없는 자로부터 ‘고객상담 내용을 갖고 있으며 이를 유포하겠다’는 협박을 받았다고 밝혔다. 다음은 그 즉시 경찰청 사이버테러대응센터와 한국정보보호진흥원(KISA)에 신고 및 보고를 취했고 서버와 회원정보 DB를 확인한 결과 해킹 및 접근의 흔적이 전혀 없었다고 덧붙였다.

그러나 용의자의 주장을 확인한 결과 용의자가 알 수 없는 경로로 다음의 고객 상담 외주 업체 상담원의 개인 계정인 아이디와 패스워드를 획득해 고객 상담 내용의 일부를 열람한 것으로 추정했다.

특히 서버와 회원정보 DB는 일체의 접근이나 해킹의 흔적이 없었고 용의자가 열람했을 가능성이 있는 정보는 7,000여 건인 것으로 확인됐다.  

이후의 대응은 고객 상담 내역 열람 가능성을 확인한 즉시 유출 가능성이 있는 해당 이용자에게 ‘고객님의 개인정보 보호를 위해 비밀번호를 변경해 달라’고 고지하고 비밀번호 변경을 강제했다. 그리고 용의자가 취득한 비밀번호 등으로 로그인 하여 개인의 사적인 데이터가 유출될 가능성 등을 사전에 차단했다. 

 

LG텔레콤, 실시간 고객정보 유출

또 지난해 4월 LG텔레콤의 고객 정보가 실시간으로 인터넷에 유출되어 사회가 떠들썩했다. 유명 포털업체의 프로그래머인 K모씨가 휴대전화 번호만 입력하면 LG텔레콤 가입자의 주민번호 등 갖가지 정보가 표시될 수 있도록 자신의 사이트에 올려놓은 것.

이렇게 LG텔레콤의 가입자 400여명의 개인정보가 실시간으로 유출되는 사건이 발생했다. 이 사이트는 통신사의 서버와 직접 연결돼 있어 10분 전에 가입한 고객의 정보도 실시간으로 확인할 수 있었다.

K모씨는 지방의 모 대학이 LG텔레콤에 콘텐츠를 제공하기 위해 구축한 사이트를 통해 접속 계정번호와 코드를 알아냈고 이를 이용해 고객의 데이터베이스 서버에 들어갈 수 있었던 것. 문제는 국내 대형 이동통신사의 고객 데이터베이스가 초보 수준의 프로그래머라도 침투할 수 있을 만큼 보안체계가 허술했다는 점이다.

또 고객 정보를 평문화해서 전송함으로써 보안조치가 전혀 없었고 IP접근 제한 등의 조치도 없어서 보안이 허술했다는 것은 대기업의 정보보안체계가 얼마나 취약한지를 잘 보여주는 사례였다.

한편 LG텔레콤 고객정보 노출 사건도 옥션과 마찬가지로 고객들의 집단 소송이 진행돼 기업 이미지에 큰 피해를 주었다.

하나로텔레콤, 개인정보 8,630만건 유출

지난 해 4월 23일에는 전직 하나로텔레콤 대표이사와 전·현직 임원 22명이 고객 개인정보를 텔레마케팅 업체에 제공해 서울경찰청 사이버수사대에 형사입건되는 일이 벌어지기도 했다. 이 당시 경찰측은 “하나로텔레콤은 모 은행과 신용카드 모집 업무 제휴를 체결한 뒤 신용카드 발급을 위해 텔레마케팅 업체를 지정하고 이용자의 개인정보 96만건을 제공하고 초고속 인터넷 가입자에게 텔레마케팅 영업을 하도록 했다”고 밝혔다.

또한 하나로측은 바이러스 백신 판매와 신상품 판매 등을 위해 이 96만건의 개인정보들을 전국의 수백 개 텔레마케팅 업체에 배포했다. 특히 상품 해지 신고가 들어오면 이를 해지해야 함에도 불구하고 이 정보를 보유하고 있다가 전국 수백 개 텔레마케팅 업체에 정보를 제공하고 텔레마케팅 영업을 하도록 종용했던 것이다. 

이렇게 지난 2006년부터 지난해까지 600여만명의 개인정보 8,630만건을 전국에 있는 수백 개 텔레마케팅 업체들에게 제공한 것. 더 심각한 문제는 이러한 사실들이 하나로텔레콤 본사 지시에 의해 조직적으로 이루어졌다는 것이 밝혀져 충격을 주었다.

이로 인해 전 국민이 스팸전화에 시달리게 된 이유도 밝혀진 것. 특히 이 사건은 대기업들의 개인정보보호 의지가 얼마나 허술했는지를 명확하게 보여주는 사건으로 경영진의 사법처리에서 끝난 것이 아니라, 하나로텔레콤 이용자들의 집단소송으로 이어졌다.

모아저축은행 대출신청관리시스템 해킹, 협박

지난해 5월에는 모아저축은행의 대출신청관리시스템을 해킹해 금품을 요구한 혐의로 서울 모 지역 고시원에서 검거된 미국인 J모씨가 다른 제2금융기관 6개 은행도 추가적으로 해킹해 고객 금융정보 300만 건을 유출했다는 사실이 밝혀졌다.

경찰조사 결과 범인은 7개 금융기관을 비롯 유명 외식업체 고객정보 280만건, 우편사업관련 쇼핑몰에서도 고객정보 180만건을 빼냈으며 지난 1년여 동안 274개의 전산시스템을 무차별적으로 해킹하고 총 970여만명의 개인정보를 유출해 자신들이 운영하는 대출중개업에 활용했다.

이번 사건의 총책인 K모씨는 캐나다에서 컴퓨터 프로그램을 전공했으며 직접 해킹을 한 미국인 J씨는 컴퓨터공학을 전공했다. 또 다른 범인 이씨는 30세로 대출관련 업무를 담당해 온 것으로 알려졌다. 지난 해 K모씨는 대부중개업을 시작하면서 상대적으로 보안이 취약한 제2금융권 시스템을 해킹, 대출자 정보를 빼내 마케팅 자료로 활용해 돈을 벌 계획을 세웠다. 지난해 4월경 외국인 구인광고 사이트를 통해 미국인 J씨를 만났고 J씨를 고용하게 됐다.

이들은 지난 2007년 4월부터 지난해 3월까지 약 1년간 서울 강남구 일대 커피숍 등에서 추적을 피하기 위해 노트북으로 ID, 비밀번호를 요구하지 않아 인증이 필요 없는 무선인터넷에 접속해 금융기관, 공공기관, 대형 외식업체, 기타 인터넷업체 등 274개 기관의 시스템을 해킹하고 970만건의 고객 정보를 빼낸 것. 이 사건으로 제2금융권의 시스템 보안에 경고등이 켜졌고 독립된 전산환경 구축과 금융정보에 대한 책임있는 보안관리가 중요함을 일깨워줬다.

GS칼텍스, 최악의 고객정보 유출 사고

앞서 언급된 GS칼텍스 고객정보 유출 사건은 지난 해 9월 초에 발생했다. 이 사건은 국내 주요 정유업체인 GS칼텍스 고객 1,100만여건의 정보가 자회사 직원 등에 의해 유출됐다.

당시 경찰은 GS칼텍스의 회원정보에 접근 가능한 직원의 로그를 집중적으로 조사한 결과 고객 개인정보를 CD에 담아 외부로 유출한 혐의로 정유회사 콜센터 운영을 담당하는 자회사의 시스템 및 네트워크 관리자 C모씨 등 4명을 정보통신망이용촉진및정보보호등에관한법률위반 혐의로 검거한 것.

이 사건은 내부직원이 금전적 목적으로 고객정보를 빼낸 것이라는 점에서 다른 사건과는 차이점이 있다. 이는 옥션 해킹 사고처럼 기업을 상대로 한 대규모 피해자 집단 소송이 진행되면 해당 고객정보의 활동 가치가 높아져 큰 돈을 벌 수 있을 것으로 생각한 C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화하기로 공모한 것으로 알려졌다.

피의자 C모씨는 2008년 7월 초순부터 8월 초순까지 한 달 동안 정유회사의 보너스카드 고객 DB 서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B모씨에게 부탁하여 76개의 엑셀파일로 정리한 뒤 고교동창생인 Y모씨를 통해 K모씨에게 순차적으로 유출했다. 이 사건 역시 고객들이 집단 소송을 내 기업 이미지를 크게 실추시켰다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>