중국 공안 설득해 최초 형사사법공조 이끌어내...범인 검거에 결정적

“법 규정만 따를 것이 아니라 실질적인 보안이 될 수 있도록 해야”

옥션은 3월 25일 오후 4시경 홈페이지 공지사항을 통해 2008년 공지한 1081만명의 DB만 유출된 것이 아닌 당시 전체 고객수인 1863만명의 DB가 유출된 것이 맞다고 공식발표했다.

이번 사건은 아직 수사가 종결된 상태는 아니다. 중국에 잠적해 검거하지 못한 한국인 1명이 남아 있기 때문이다.  

경찰청 사이버테러대응센터 관계자는 “중국 공안으로부터 옥션 사고와 관련된 추가 DB를 넘겨받았다. 2008년 당시 1081만명이라고 발표한 것은 증거로 입수한 하드디스크에서 복원된 DB수가 1081만명이었기 때문이다. 복원된 DB만 공식 증거로 채택할 수 있기 때문”이라고 밝혔다.

이번 옥션 해킹사건 수사는 사이버테러대응센터 수사팀의 끈질긴 노력의 결과라고 볼 수 있다. 이 사건 담당 수사팀장은 “중국과 최초로 정식 형사사법공조가 이루어진 사건이었다. 중국 공안에 지속적인 설득과 협조 요청을 한 결과, 중국 공안도 사태의 심각성을 파악하고 공식적인 수사협조가 이루어질 수 있었다”며 “국가간 형사사법공조에서 나온 정보는 국가간 사법기관이 인정할 수 있는 공식적인 정보이기 때문에 가장 신뢰할 수 있는 정보”라고 설명했다.

중국 공안은 한국 경찰의 형사사법공조 요청에 따라, 옥션 웹서버를 직접 해킹한 해커를 검거했고 해커가 가지고 있던 하드디스크의 옥션 고객 DB 1863만건을 한국 경찰에 공식적으로 전달한 것이다.(중국 공안이 한국경찰에 옥션DB를 전달한 시점은 명확히 공개하지 않고 있음) 이를 근거로 경찰은 옥션에 확인작업을 요청했으며 옥션은 최종적으로 당시 전체 고객 DB(1863만명)가 유출됐다는 것을 밝히게 됐다. 

경찰 관계자는 “검거된 중국 해커는 중국 법에 따라 처벌받게 될 것이며 검거된 한국인도 중국에서 범죄를 저질렀기 때문에 중국에서도 처벌을 받게 되고 한국에서도 처벌받게 된다. 하지만 이중 처벌로 인해 한국에서는 형이 감경될 수 있다”고 전했다.

이번 옥션 수사는 사이버테러대응센터가 2년이 넘는 기간 동안 중국 공안을 설득하며 집요하게 노력한 결과로 평가받고 있다. 아직 주범 1명이 검거가 안된 상황이지만 해킹을 통해 기업과 이용자들에게 피해를 주면 반드시 처벌을 받게 된다는 인식을 심어준 사례로 남을 전망이다. 또한 중국과의 공조가 이루어진 상황이기 때문에 주범 1명도 검거할 수 있을 것으로 보인다. 

사이버테러대응센터 정석화 팀장은 “보안에 100%는 없다. 최선을 다할 뿐이다. 기업들은 법에 규정된 준수사항을 잘 지키는 것도 중요하다. 하지만 준수사항 이외에 해야 할 것도 많다”며 “법 준수사항만 지켜야겠다고 생각하면 안되고 기업에 있어 가장 소중한 고객정보를 지켜야겠다는 의지가 중요하다. 법 규정 이외에도 실질적으로 정보보안이 될 수 있도록 많은 노력을 해주기 바란다”고 말했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>