• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[특집]사상 최대 규모 2,000만 여건 개인정보 유출 2010.12.10

2010 hot issue 7

올해 가장 큰 이슈라고 하면 우선 개인정보보호법이 통과된 것을 들 수 있다. 개인정보보호법이 발의 된지 2년만에 통과가 되면서 개인정보를 보호할 수 있는 통합적이고 강력한 법적 토대가 마련된 것이다. 아울러 보건복지부가 500병상 이상의 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’을 발표하는 등 의미 있는 한 해였다. 그러나 여전히 개인정보 유출 사건은 끊임없이 발생하고 있고 대규모 DDoS 공격이 2009년에 이어 또 한차례 발생하기도 했으며 최근 화두가 되고 있는 스마트폰과 SNS 관련 위협들이 속속 등장하고 있다. 이에 2010년 한 해를 돌아보며 향후 대처해야 할 우리의 자세와 효과적인 방안에 대해 고찰해 본다.


Issue 1_ 개인정보 유출

올해는 역대 최대규모의 개인정보유출 사건이 발생해 관심이 집중된 해였다. 3월 10일, 인천지방경찰청에서는 중국 해커로부터 이름갏D갥W겵岺琯佇球廢?등이 포함된 개인정보 2,000만건을 사들이고 온라인을 통해 재판매해 정보통신망 이용 촉진 및 정보보호에 등에 관한 법률 위반 등의 혐의로 최모씨를 구속하고 배모씨 등 2명을 불구속 입건한 일이 있었다.

 

경찰에 따르면, 이들은 조선족 해커로부터 구매한 개인정보 및 해킹해 취득한 개인정보 2,000여만건을 입수해 네이버, 다음 카페 등에 DB를 판매한다고 광고하고 MSN메신저를 통해 문의하는 구매자들에게 개인정보를 판매해 1억 5,000만원의 부당이익을 취득한 것으로 드러났다.

 

특히 이들은 해킹을 할 때 악성실행파일을 사이트 관리자에게 전송해 감염된 PC에 침입해 원격으로 DB 및 개인정보 등을 취득했다. 이때 악성실행파일은 국내 유명업체 백신에 미검출됐다. 지난 10월 말경 수능시험을 해킹해 주겠다는 네이버, 다음 등의 포털사이트 카페 게시글 등의 첩보를 입수해 11월부터 이들을 추적한 인천경찰은 이후 메신저를 통해 접속해 개인정보 DB 구매 의사를 밝히고 접근해 5개월여 만에 이들을 검거하게 됐다.

 

특히 이들은 2,000만여건 개인정보 중 6만여건을 실제 해킹해 획득한 것으로 알려지고 있으며 넷봇 프로그램을 이용해 중국 해커들과 도박 사이트 등에 DDoS공격을 감행한다는 협박으로 돈을 요구한 것으로 알려졌다.

 

또한 그 전날 9일에는 대전지방경찰청 수사과 사이버수사대가 지난해 11월 23일부터 3회에 걸쳐 중국 해커로부터 70만원을 지급하고 국내 유명 유통회사ㆍ통신사 등에 인터넷으로 가입한 회원들의 IDㆍ패스워드ㆍ주민등록번호 등 개인정보 650만개를 구입해 올해 2월 25일, 일명 임사장 등 4명에게 600만원을 받고 판매하는 방법으로 유통시킨 피의자 A(29)씨를 검거했다.

 

경찰에 따르면, 피의자는 인터넷 카페에 “인터넷 디비 판매합니다”라는 광고를 게시하는 방법으로 판매를 한 것이 확인됐으며 업체들의 허술한 보안장치로 인해 인터넷 회원들의 패스워드 등 개인정보가 쉽게 해커들에게 유출된 것이라고 설명했다.

 

실제 검색 사이트를 통해 ‘인터넷 디비 판매합니다’로 검색만 하더라도 ‘실시간 각종 디비(DB,db) 보유중’이나 ‘최신 DB판매합니다. 한달마다 업뎃’이라는 등의 판매글을 쉽게 접할 수 있었다.

 

그 내용을 살펴보면, “실시간대출DB 전문업체로서 신의를 지키며 영업을 해 왔으며 각종 DB인 대출디비, 게임디비, 성인디비, 화상디비, 화장품 고객DB, 결혼정보회사 디비 등 각종 분야의 디비를 다량 보유하고 있다”거나 “요즘 제대로 된 DB 구하기가 힘드시죠? 문자 광고하실 대출사장님들 환영! 문자 광고하실 게임사장님들! 모든 일 광고하실 사장님들 환영! 필요하신 DB 막디비부터 통디비까자 다양하게 준비돼 매달 업데이트 하고 있다”는 등의 게시글들을 쉽게 찾아 볼 수 있다.

 

이에 대전지방경찰청 사이버수사대 한 관계자는 “이들은 대포폰이나 대포통장을 만들고 타인의 이메일계정과 메신저를 이용해 PC방에서 이러한 게시글을 올려 실제 이들을 잡기란 무척이나 힘든 것이 또한 사실”이라며 “개인 사용자들은 이러한 2차 범죄에 악용되지 않기 위해서는 패스워드를 습관적으로 변경을 해주고 자주 방문하지 않는 사이트 가입 시에는 자주 이용하는 포털 등의 사이트 패스워드와 다른 패스워드로 가입하는 것이 좋으며 만약 개인정보 유출 등 피해 사실을 발견 시에는 즉시 신고해 줄 것”을 당부했다.

<글 : 김태형 기자(is21@boannews.com) / 호애진 기자(is@boannews.com)>


[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>