[보안뉴스 호애진] 자신의 네이트·싸이월드 개인정보가 유출됐는지의 여부를 확인하려다 오히려 스니핑과 같은 해킹 공격의 표적이 될 수 있어 문제로 지적되고 있다.

26일 네이트·싸이월드가 해킹되면서 이들 서비스를 이용하는 회원 약 3500만 명의 이름과 ID, 비밀번호, 주민등록번호, 휴대전화 번호, 이메일 주소 등의 개인정보가 유출됐다.

SK커뮤니케이션즈는 28일 해킹 피해 사실을 공식적으로 발표한 후 네이트 웹사이트에 “고객정보유출로 인해 심려를 끼쳐드린 점, 진심으로 사과드립니다”라는 공지문을 올리고, 회원 스스로가 직접 자신의 정보 유출 여부를 확인할 수 있도록 했다.

이를 위해서는 이름과 주민등록번호를 입력해야 한다. 그러나 이 때 입력하는 개인정보는 안전할까?

보통 개인정보를 취급하는 웹사이트는 개별 사용자가 별도의 보안 프로그램을 설치하는 번거로움 없이 웹서버에 설치된 SSL(Secure Socket Layer)를 적용시켜 개인정보를 암호화해 전송한다.

스니핑(가로채기)을 방지하기 위해서다. 즉 악의적인 해커가 사용자의 개인정보를 빼내기 위해 통신 내용을 도청하지 못하도록 하는 것이다.

따라서 회원 가입 시 뿐만 아니라 결제, 게시판 사용, 주문, 상담 시 개인정보를 입력받는다면 해당 페이지에 반드시 SSL을 적용시켜야 한다. 

그렇지만 현재 네이트의 정보 유출 여부 확인 페이지에는 SSL이 적용돼 있지 않은 것으로 확인됐다. 자신의 정보가 유출 됐는지, 안전한지를 알아보기 위해 입력하는 내용이 또 해킹당할 수 있는 것이다.

SK커뮤니케이션즈가 이번 해킹 사건에 빠르게 대처하고 있다는 것이 전반적인 여론이긴 하다. 수사기관에 조사를 의뢰한 외에도 핫라인을 확대 가동하고 고객정보보호 스페셜 태스크포스 팀을 만드는 등 회원들의 해킹 피해를 최소화하기 위해 분주한 모습을 보이고 있다.

하지만 문제는 대응하는 데만 급급해서 기본적인 것을 지키지 못하고 있다는 점이다. 개인 정보의 중요성에 대해서 과연 얼마만큼 인지하고 있는지에 대한 의문이 제기되고 있다.

한 보안 전문가는 “안전한 개인정보 전송을 위해서는 SSL을 반드시 적용시켜야 하는 것이 맞지만 현재 사안이 사안인만큼, 네이트가 회원들의 개인정보 유출 피해를 최소화하기 위해 빠르게 대처하려고 하는 과정에서 미처 하지 못한 것 같다”며 “SSL을 적용시키려면 인증서를 구매해야 하고, 관련 프로세스를 거쳐야 하기 때문에 지금 당장 구축하는 것이 쉽지 않다는 것은 이해하지만 악의적인 해커가 이를 악용할 수 있어 우려가 된다”고 밝혔다.

한편 이번 네이트·싸이월드 해킹 사건은 국내에서 발생한 정보보안 사고 가운데 사상 최대의 규모로 이에 대한 파장은 쉽게 가라앉지 않을 전망이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>