• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

금융권 해킹 후 협박 “천만원 아깝나? 돈주면 없던 것으로...” 2011.05.19

4개 금융 및 채권추심 회사 해킹...개인정보보호법 공백기 노린 것


 

“5월 6일부터 정체불명의 인물로부터 사이트를 해킹해 고객정보를 가지고 있다는 협박 메일을 몇 차례 받았다. 그들은 천만원 단위의 금액을 요구했는데 큰 액수는 아니지만 해킹사실이 명확히 확인되지 않았고 고객정보 유출도 확인되지 않아 일단 사이버수사대에 신고했다.”


[보안뉴스 오병민] 금융권을 노린 해킹사고가 증가하고 있다. 현대캐피탈과 농협과 같은 대형 금융권을 비롯해 최근에는 일부 투자증권회사와 신용정보 회사 및 금융 서비스 설비 회사가 해킹당한 것으로 파악돼 충격을 주고 있다.

 

게다가 이번에 파악된 해킹 사이트들은 모두 동일 공격자에 의한 개인정보 유출을 목적으로 한 해킹공격으로 파악돼 사태의 심각성을 더하고 있다. 


어느 날 불쑥 날아온 개인정보 유출 협박 메일

리딩투자증권을 포함해 나이스씨엠에스, 한국전자금융, S 채권추심업체 등 4개의 금융·채권추심 관련 회사들은 지난 5월 6일부터 16일까지 신원미상의 인물에게 협박 메일을 받았다. 해당 회사의 홈페이지가 해킹됐으니 해킹사실을 감추고 싶다면 돈을 달라는 내용.

협박범은 해당 회사들에게 천만원 단위의 금액을 요구하면서 “돈을 주지 않으면 언론사에 공개하겠다”는 최후 통첩 메일까지 보낸 것으로 전해졌다.


그러나 해당 회사들의 대부분은 협박에 응하지 않고 경찰청 사이버수사대 신고한 것으로 알려졌다. 그러자 이번에는 IT와 보안 관련 기자 28명에게 “얼마 전 제가 아는 지인에게 금융권 사이트가 해킹되었다는 사실을 들었다”면서 “해당사에 연락해 확인 하고 사실을 부인하고 모르쇠로 일관한다면 지인으로 부터 해킹되어 유출된 정보를 받아 갖고 있으니 메일로 연락바란다”는 내용의 메일이 보내졌다. 그리고 메일에는 해킹당한 금융회사의 명단과 인터넷 주소가 있었다.


현재 이와 관련해 금융감독원 IT감독국 검사지원3팀에서 리딩투자증권의 해킹사실에 대한 확인 작업이 진행 중이며 리딩투자증권의 경우에는 1만2천여 명의 개인정보가 유출된 것으로 확인됐다. 그리고 나머지 회사들은 마포경찰서와 강남경찰서에서 협박에 대한 내용을 수사중인 것으로 파악되고 있다.


보안전문가 “드러나지 않은 해킹 피해 더 있을 듯”

현재까지 해킹 협박을 받은 것으로 알려진 회사는 모두 4곳이지만 실제로 그 외에 더 많은 회사가 해킹 협박 받았을 것이라고 보안전문가들은 이야기 한다. 협박범들에게 돈을 준 회사들은 공개되지 않았을 수 있다는 추측에서다.


보안업계의 한 전문가는 이에 대해 “해킹을 당하고 협박을 받는 회사들 중 돈 주는 것을 무작정 거부하고 정면 대응하는 회사들은 사실 그렇게 많지 않다”면서 “그 이유는 해킹과 같이 이미지에 치명적인 영향을 주는 사고를 단돈 몇 푼으로 무마시킬 수 있다면 그게 더 낫다고 생각하기 때문”이라고 설명한다.


게다가 아직 우리나라는 해킹 및 개인정보 유출 사실에 대한 고지 의무가 없기 때문에 나서서 공개하지 않는 것이 더 유리하다는 판단에서다. 그러나 해킹으로 인한 개인정보 유출은 유출된 개인정보 당사자에게 보이스피싱이나 메신저피싱, 금융거래 피해, 악성 스팸 등의 2차 피해를 줄 수 있다.


보안업계의 한 전문가는 “해킹당한 기업들은 스스로 해킹 사실들을 적극적으로 공개해 1차적인 피해인 기업 도덕성 및 신뢰성 손상을 최소화해야 하고 고객들에 대한 2차 범죄가 발생하지 않도록 적극적인 차단 노력을 기울여야 한다”면서 “이는 기업의 기본적인 사회적 책임에 대한 자세이며 이런 자세는 앞으로 기업의 신뢰도와 비즈니스와 매우 밀접한 연관성을 가지게 될 것”이라고 조언한다.


잇단 협박성 해킹사고, 개인정보보호법 공백기 때문?

최근 들어 돈을 노린 협박성 해킹이 증가하고 있다. 일부 전문가들은 이에 대해 “공격자들이 개인정보보호법 시행 전 공백기를 노린 것일 수도 있다”고 이야기하기도 한다.


아직까지는 해킹이나 개인정보 유출사실에 대한 고지의 의무가 없기 때문에 해킹 당한 회사들의 ┖덮어두고 싶은 심리┖를 이용한 것. 그러나 앞으로 개인정보보호법이 시행되면 ‘개인정보 유출 사고 고지의 의무’가 부여되지만 그동안의 관행상 소급 적용될 가능성이 높기 때문에 “공격자들에게 돈만 내면 언제까지 덮어둘 수 있다”는 심리도 이용됐다고 볼 수 있다.


보안전문가들은 해킹 당한 회사들의 이 같은 판단이 더욱 잦은 해킹 범죄를 양산하는 것이라고 이야기한다. 차라리 명확히 해킹사실을 공개하고 허술한 보안을 바로잡는 계기를 갖는 것이 더욱 바람직하다는 것. 더불어 개인정보보호법 효력 후 고지의 의무가 부여된다면 이를 노린 해킹사고가 오히려 더 증가할 수 있다는 견해도 보이고 있다.


박나룡 보안전략연구센터장은 “개인정보보호법이 시행돼 고지의 의무가 부여되는 경우 해킹 사실 공개로 협박하는 범죄자들에 의한 악용가능성이 더욱 기승을 부릴 가능성이 있다”면서 “따라서 개인정보보호법에서 이에 대한 세부적인 기준이 빠른 시일 내에 마련되어야 할 것”이라고 지적했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>