• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

결혼정보업체, 해커 공격에 무방비 2006.09.12

엄격한 내부관리...하지만 외부해킹에는 취약


<결혼정보업체가 취급하는 개인정보에는 민감한 정보들로 가득하다. 그만큼 해커들에게는 구미가 당기는 정보들이다. 이에 대한 구체적인 대비책이 시급한 실정이라고 전문가들은 지적한다.> ⓒ보안뉴스/ 사진 장성협 기자 

기자가 인터넷을 검색하다가 한 사이트에서 결혼이라는 주제로 네티즌들이 토론을 벌이는 것을 우연찮게 본적이 있다. 그러다 의미심장한 질문을 발견했다. “한 결혼정보업체에 유료회원으로 등록한 회원입니다. 그런데 그곳에서 회원가입조건으로 너무나 많은 개인정보를 요구하더군요. 결혼이라는 큰 대사를 성사시키기 위해서 그 정도의 정보는 충분히 요구할 수 있다고 생각하지만, 요즘 모 온라인 게임사에서 개인정보가 유출돼 사회적 이슈가 됐듯이 솔직히 조금 걱정은 됩니다.”


결혼정보업체는 보통 맞선을 주선하기에 앞서 회원 상호간에 최대한 상세하고 정확한 정보를 제공해야 되는 의무가 있다. 그렇기 때문에 회원들로부터 받는 개인정보는 대단히 광범위하고 그 정확성에 있어서도 엄격한 절차를 거칠 수밖에 없다. 이것을 업계에서는 데이터 폼(Data Form)이라고 하며, 주로 회원 본인이 직접 수기로 기록한 문서 형식으로 개인정보를 받게 된다.


결혼정보업체 듀오의 박지훈 팀장은 “일반적으로 인터넷 회원가입 등 다양한 곳에서 수집되는 개인정보와는 비교도 되지 않을 정도로 방대하고 증명된 개인정보를 확보하고 있는 것은 사실”이라며 “하지만 그런 정보는 절대 ‘임의대로’ 사용할 수 없고, 회원의 신상정보에 대한 접근 또한 엄격하게 제한되고 있다”고 밝혔다.


결혼정보업체 관계자들은 “회원의 개인정보를 열람할 수 있는 자격은 크게 2가지로 나뉜다. 첫째, 회원간 매칭을 위해 정보를 알아야 되는 실무 커플 매니저와 둘째, 소개 받을 상대 회원이 그것이다. 이 외에 개별회원이 사전에 동의한 경우에 한해 마케팅 협력 업체에 메일 주소 정도만을 제공할 수 있지만 이와 같은 경우에도 개인정보보호 관리책임자의 문서화된 사전승인을 거쳐야 열람이 가능하다”고 설명했다. 


데이터 폼, 2년 경과 후 자동 파기


이렇듯 결혼정보업체의 개인정보에 대한 접근은 업무상 불가피하게 정보를 열람해야 되는 경우를 제외하고는 엄격하게 관리되고 있다. 또한, 적법하게 회원정보를 열람하는 경우에도 열람자가 자동으로 서버 데이터베이스에 로그로 남게 되며, 회원 개인정보를 프린트해야 되는 경우도, 부서별로 마련된 개인정보 인쇄대장에 기록하고, 개별적으로 관리번호를 부여받게 된다.


또한, 프린트된 인쇄물에도 해당 관리번호와 인쇄 책임자 및 관리책임자, 파기 기일을 기입해 관리한다. 이런 모든 것은 회원관리 전산 시스템에서 자동화돼 있기 때문에 관리번호와 책임자가 명시되지 않은 상태로는 프린트가 불가능하며, 불가피하게 필요한 소수의 화면을 제외하고는 프린트가 불가능하도록 시스템화된 것이 특징이다.


모 업체 관계자는 “회원이 직접 작성한 데이터 폼 원본은 사내 대형 철제금고에 보관되며, 고객과 체결한 조항에 따라 가입일로부터 2년이 경과되면 파쇄 용역차량이나 사내 파쇄기를 이용해 파기하고 있다”고 밝혔다.

  

하지만 보안 전문가들은 “결혼정보업체들이 개인정보의 중요성 때문인 듯 걱정했던 것과는 달리 나름대로 철저한 보안체계를 구축하고 있지만 대부분 전문적인 보안부서가 없이 정보기술팀이나 기타 다른 부서에서 보안업무를 겸임하고 있다는 점 등은 시정돼야 할 사항”이라고 지적했다. 

 

고객정보 노린 해킹에는 취약해...


한편 지난 5월 모 결혼정보회사 홈페이지를 해킹해 아이디와 패스워드를 포함, 54만명의 개인정보를 빼돌렸던 권모(37)씨가 구속된 바 있다.


권씨는 당시 중국산 H해킹프로그램을 이용, 지난해 전세계적으로 유행했던 구조화 조회 언어(SQL) 인젝션 해킹방식을 사용해 SQL 인젝션 방식에 취약한 모 결혼정보회사 홈페이지를 찾아낸 뒤 데이터베이스 관리자 권한으로 로그인했다.


그 후, 54만명의 모든 회원정보가 고스란히 권씨 손에 들어가게 됐고 권씨가 마음만 먹었다면 홈페이지 데이터베이스를 삭제해버릴 수도 있는 상황이었다.


권씨는 훔친 개인정보를 이용, D사에서 돈을 뜯어내기로 마음먹고 “개인정보를 돌려받고 싶으면 1인당 500원씩 계산해 2억7000만원을 달라"며 해당 업체를 협박한바 있다.


이 업체는 곧바로 추적에 나섰고 권씨의 신원을 파악해 경찰에 넘겨 검거하게 됐다. 하지만 그 업체는 패스워드 등 민감한 개인정보조차 암호화하지 않았던 것으로 알려졌고, 지난 2003년에도 한 대학생에게 해킹을 당해 20여만명의 개인정보가 유출된 전례가 있었다.


보안업체 관계자들도 “민감한 개인정보가 가득한 결혼정보회사의 DB를 담당하는 보안담당자들은 항상 보안문제에 관심을 가지고 보안체계를 철저히 하는데 투자를 해야 한다”고 조언했다. 

[김용석 기자(boan@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>