• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

포털 Daum의 윤리성이 흔들리고 있다 2008.03.26

외주 고객센터에 대한 보안규정 허술해 문제 발생

다음 회원들, "왜 미리 말하지 않았나"...다음의 윤리성 의심

기업들의 개인정보보호에 대한 강력한 입법마련 절실


포털 다음(Daum)에서 고객 정보유출 문제가 또 터져 나왔다. 언제까지 우리 국민들은 이러한 현실을 먼 발치서 바라보고 있어야만 할까. 허탈한 심정이다. 다음 관계자는 “외주를 주었던 고객센터에서 문제가 발생해 직원 아이디와 패스워드가 유출됐고 이를 통해 7000여 건의 고객정보가 열람됐을 것”이라고 발표했다.


모 포털 관계자는 “현재 대부분 인터넷 기업들이 고객센터를 외주를 주고 있다. 이 부분에 대한 철저한 관리가 안되고 있어 계속 문제가 발생할 소지가 있다”며 “기업 본사와 고객센터간 접점 부분에서 계속 보안 홀이 발생해 이 부분에 대한 기업들의 철저한 관리가 시급하다”고 강조했다.


다음은 현재 고객센터 관리를 외주 운영팀에서 관리를 하고 있다. 일년에 한두번 보안교육을 한다곤 하지만 이번 사고는 보안교육만으로 해결할 수 있는 문제가 아니었다. 


다음 관계자는 “고객센터 상담원이 접근할 수 있는 영역은 극히 제한적이다. 상담원이 고객 DB전체에 접근 할 수는 없는 상황”이라며 “당시 10월 문제 발생 직후부터 내부 특정 IP로만 고객정보에 접근할 수 있도록 조치했다”고 밝혔다.


하지만 이 부분도 사건이 터지고 나서 조치한 것으로 이전에 미리 특정 IP로만 접근할 수 있도록 규정을 세웠다면 이러한 문제는 예방할 수 있었다는 것이 전문가들 의견이다.


또한 다음측에서는 외주 운영팀이 보안에 대해 식견을 가지고 있다고는 하지만 전문 보안담당자와는 분명히 차이가 있을 것이다. 다음에 보안팀이 있는 마당에 외주 고객센터에 대한 정책마련, 내부규정 등을 보안팀이 아닌 운영팀이 모두 맡았다는 것은 이해할 수 없는 부분이라고 전문가들은 말하고 있다.


한국정보보호진흥원 관계자는 “원인을 먼저 알아야 한다. 결국 고객정보를 관리하는 체계에 문제가 있었다고 생각한다. 고객정보를 관리하는 담당자들은 접근통제 및 암호화 등을 필히 고려해야 한다”며 “그와 더불어 개인정보를 취급하는 고객지원 시스템에 접속할 수 있는 직원들의 철저한 계정 관리가 필요했다. 이 부분에 전체적으로 문제가 발생한 것이라고 볼 수 있다”고 말했다. 


이 관계자는 “또 하나 접속 로그를 해커들은 삭제하고 나갈 수 있다. 그래서 접속로그도 위조방지 대책이 필요하다”며 “접속기록에 대한 위변조 방지도 철저히 준비해야 한다. 투자가 필요하다. 기업은 개인정보가 안전하게 저장되고 유출되지 않도록 해야 할 의무가 있다”고 강조했다.


다음 측에서는 고객DB 서버 자체가 공격을 당해 유출된 것은 아니라곤 하지만 이는 경찰 조사가 더 진행돼 봐야 알 수 있을 것이다.


이번 다음 크래킹 사건은 얼마전 국내 PC 100만대에 악성코드를 감염시켜 개인정보를 빼내고 빼낸 아이디와 패스워드를 이용해 불법 도박사이트 스팸광고를 발송한 사건의 핵심 피의자와 관련이 있다고 한다. 이 피의자는 현재 중국에 거주하고 있으며 경찰청에서 검거 작업을 펼치고 있는 상황이다. 


이들은 지난 10월 다음측에 “고객정보를 확보하고 있으니 15만불을 달라”고 협박했으며 다음은 협박을 받은 즉시 경찰청과 KISA에 신고조치했다고 밝혔다.


다시 말해 협박이 없었다면 다음은 계속 고객센터 정보가 유출되는 사실에 대해 몰랐을 것이다. 그만큼 허술한 보안체계와 모니터링 체계를 가지고 있었다고 볼 수 있다.


또 잠정적으로 7000여 건의 고객정보가 빠져나갔다는 것이 확실시 된다면 최소한 옥션과 같이 대외적으로 공지를 하고 알렸어야 하는 상황이다.


다음측은 “범인이 유포를 협박하고 있는 상황에서 범죄사실을 공개하였을 경우 범인이 열람한 상담내역을 유포하거나 증거를 은닉 또는 도주하여 더 큰 피해와 파장을 일으킬 수 있다는 판단에 따라 당시에 협박사실을 공개하지 않았다”고 말했다.


하지만 모 정보보호 기관 관계자는 “그것은 다음 입장에서 생각한 것이다. 만약 고객센터 정보 이외에서도 밝혀지지 않은 정보유출이 더 있다면 그것에 대해서는 어떻게 책임질 것인가”라며 “초기에 전체 다음회원들에게 공지를 하고 아이디나 패스워드 정보에 대해 주의를 당부했어야 맞다”고 강조했다.

 

이번 사건은 포털 다음의 이미지에 상당한 타격을 줄 전망이다. 미리 공지하지 않았다는 점이 회원들로 하여금 ┖배신감┖이 들게끔 만든 것이다. 미리 공개했다면 유출 자체만을 문제 삼겠지만 이렇게 6개월이나 지난 뒤에 공개된 것은 유출문제와 더불어 다음이라는 기업의 윤리적 문제까지도 의심을 받을 수 있는 상황이 돼 버린다.   


고려대학교 임종인 교수는 “미국과 같이 개인정보보호에 대한 강력한 입법이 마련돼야 한다. 기업들이 사고가 터진후 발생하는 비용보다 사전에 투자를 하는 것이 비용면에서 더 유리하다는 인식을 가질 수 있도록 강한 법적 규정들이 마련돼야 한다”며 “집단소송이 오남용돼서는 안되겠지만 미국식 집단소송도 적극 도입할 필요가 있다. 그래야만 기업들이 개인정보보호에 대한 투자가 활발하게 이루어질 것”이라고 말했다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>