• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 정부 “IT커뮤니티·토론·게임·SNS 사이트 이용자 정보 유출 확인” 2012.01.12

[보안뉴스 온기홍=중국 베이징] 최근 중국 최대 IT와 토론 커뮤니티들이 해커 공격을 받아 이용자 개인정보가 유출됐으며 중국판 트위터인 웨이보어와 게임·소셜네트워크·전자상거래 사이트의 이용자 비밀번호도 일부 인터넷에 유통된 것으로 공식 확인됐다.


중국 국무원 산하 국가인터넷정보판공실(이하 판공실)은 지난 12월 말 유명 인터넷 사이트들의 이용자 비밀번호 등이 유출됐다는 보도 또는 의혹이 재기된 이후 관련 조사를 벌인 결과 이 같이 확인됐다고 10일 밝혔다.


먼저 지난 달 21일 공개된 중국 최대 소프트웨어(S/W) 개발자 온라인 커뮤니티인 ‘중국 소프트웨어 개발 네트워크(CSDN)’와 토론 사이트인 톈야스취에 대한 해커 공격 사건과 관련해 두 사이트는 2009년 이전에 침입을 당한 것으로 확인됐다. 두 사이트 이용자의 데이터 누출은 2년 전에 이뤄졌지만 최근에는 공격을 받지 않았다고 판공실은 밝혔다.

 

조사 결과 네티즌 쉬(19세) 모는 자신을 과시할 목적으로 지난해 12월 4일 중국 인터넷 정보사이트 우윈망에 CSDN 등의 이용자 비밀번호가 누출됐다는 글과 함께 누출된 데이터의 캡처 화면을 올렸다. 공안 기관은 쉬 모에게 ‘훈계’ 조치를 하고 두 사이트 침입 사건의 주동자 색출을 위한 조사를 벌이고 있다. 


중국 유명 인터넷 쇼핑 사이트인 징동상청(360buy.com)의 경우 침입을 당한 건 맞지만 데이터는 유출되지 않았다고 판공실은 밝혔다. 모 제약회사 직원인 야오(35세) 모는 지난해 4월 징동상청 웹사이트의 보안상 허점을 발견한 뒤 12월 29일 우윈망 상에 징동상청 사이트의 허점을 파악했다는 글을 올렸다.


그는 이어 징동상청 측에 보안 허점을 내세워 270만 위안을 달라고 협박했다. 징동상청 측은 돈을 주지 않았고 야오 모는 징동상청 사이트의 데이터를 절취·유출하지 않았다. 야오 모는 갈취 혐의로 구속됐다.


또한 온라인게임 업체 둬완망(duowan.com)이 운영하는 채팅사이트인 YY위인랴오톈망의 이용자 아이디·비밀번호·e메일 유출 사건은 내부 직원의 소행으로 밝혀졌다.


이 직원은 회사 내부 백업 데이터베이스(DB)를 절취해 유출했다. 이 웹사이트에 대한 외부 침입은 없었다고 판공실은 설명했다. 중국 최대 은행인 공상은행과 교통은행, 민생은행의 고객 1억 명 가량의 개인정보가 새어 나갔다는 의혹과 관련해, 판공실은 조사 결과 시스템에 대한 침입은 없었다고 밝혔다.


또 인터넷 상에 유포된 데이터와 은행 측의 유관 데이터는 맞지 않다고 덧붙였다. 이번 조사 결과, 인터넷 마케팅에 종사하는 왕(24세) 모는 우윈망에서 인기를 끌기 위해 지난해 12월 28일 날조한 비밀번호 자료를 ‘공상은행 등의 이용자 데이터 유출’ 정보라고 속여 자신의 웹사이트와 웨이보어에 올린 것으로 확인됐다. 공안 기관은 왕 모에게 훈계 조치를 했다.


아울러 중국내 유명 인터넷포털 사이트 시나닷컴(Sina.com)이 운영하는 웨이보어 ‘시나 웨이보어’, SNS 사이트 카이신왕, 당당왕, 7K7K 사이트, 판커청핀 사이트들은 외부 침입을 당하지 않은 것으로 확인됐다고 판공실은 밝혔다. 판공실은 인터넷 상에 유포된 이들 웹사이트의 이용자 비밀번호들은 일부 사람이 인터넷 비밀번호를 추측해 해독한 것이라고 설명했다.


이와 관련해 일부 네티즌이 무작위로 숫자·문자 입력을 반복하는 ‘비밀번호 자동 생성기’ 프로그램을 통해 이용자 비밀번호를 만든 것으로 추정되고 있다. 공안기관은 비밀번호를 해독한 사람들 체포했다.


공안 기관은 지난달 말부터 인터넷 해킹을 통한 비밀번호 유출에 대한 수사에 착수해 이달 10일 현재 웹사이트 침입, 데이터 절취·암거래 관련 사건 9건, 정보 유출을 날조하고 퍼뜨린 사건 3건 등을 적발했다. 공안은 이를 통해 4명을 구속하고 헛소문을 퍼뜨린 네티즌 8명에게 훈계 조치를 했다.


국가인터넷정보판공실 측은 “이번 조사 결과 일부 네티즌은 인터넷 사이트의 이용자 정보가 대량 유출됐다는 소식을 날조해 퍼뜨리는 것으로 확인됐다”며 “자신을 과시하거나 금전을 편취할 목적을 비롯해, 일부 인터넷 보안업체의 영업 직원이 자사 지명도를 높이고 제품 마케팅을 위해 이 같은 행위를 저지르고 있다”고 지적했다.


판공실은 또 “일부 네티즌은 이번 사건들을 기회 삼아 최근 베이징시를 비롯한 여러 도시에서 시행에 나선 웨이보어 이용자 실명 등록제를 방해하고 비난하려는 의도를 보이고 있다”고 주장했다.


또한 판공실은 “국가인터넷정보판공실과 공업정보화부, 공안부 등 유관 기관은 인터넷 사이트에 불법 침입해 이용자 정보를 빼가는 범죄 행위를 엄중히 처벌하는 동시에 유언비어를 날조해 퍼뜨리는 행위도 적발해 나갈 것”이라고 밝혔다.


판공실은 그러면서 인터넷 사이트들은 이용자 정보에 대한 안전 관리 제도를 완비하고 담당 직원들의 정보 보안 의식을 강화해 이용자 정보 유출을 엄격히 막는 한편 바이러스·해커에 대한 방어 능력도 제고함으로써 이용자 정보 보안을 확보해야 한다고 강조했다.

[중국 베이징 / 온기홍 특파원 onkihong@yahoo.co.kr]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>