또다시 굵직한 정보보안 사고가 터졌다. 지난 2008년 옥션 개인정보유출 사건 이후 4년이 지났으나 여전히 정보를 탈취하려는 해커들과 암암리에 정보를 유통하는 전달책, 이를 이용해 텔레마케팅(TM) 등으로 실적을 올리는 구매자들이 공공연히 존재하고 있다는 사실이 드러났다.
연이은 개인정보유출사건은 이제는 ‘일상’이 되버렸다. 보안업계는 “이제는 (온라인게임 계정해킹과 같은) 소규모 개인정보유출사고는 뉴스거리도 안 될 정도”라며 한숨지었다.
정보보호에 대한 의식을 높이기 위해 보다 효과적인 실행지침이 필요한 상황이다.
■개인정보 유출 사고 일지
지난 2008년 옥션은 해킹을 통해 1천863만명의 ID, 비밀번호, 일부 거래내역 등이 유출됐다. 처음 수면 위로 드러난 대규모 해킹사례라는 점에서 국민들은 큰 충격에 빠졌다.
그 뒤 옥션피해자들 14만여명이 집단 손해배상청구소송을 벌였으나 법원은 “옥션이 관련법이 정한 기준을 어겼다고 볼 근거가 없다”며 피해자들에게 패소판결을 내렸다. 현재 피해자들은 항소심을 거쳐 2심을 진행 중이다.
작년에는 현대캐피탈 해킹사건, 농협 전산망 서비스 장애 등에 이어 네이트온·싸이월드 고객 3천500만명의 개인정보가 유출되는 초유의 사태가 발생했다.
당시 SK커뮤니케이션즈(SK컴즈)는 사내망을 이용하는 직원들이 이스트소프트의 파일압축프로그램인 ‘알집’을 위장한 업데이트 서버를 통해 악성코드를 유포, 62대의 좀비PC를 만든 것으로 밝혀졌다.
현대캐피탈은 해커일당이 고객정보가 보관된 DB서버를 해킹한 뒤 금전을 요구하는 대담함을 보이기까지 했다.
<해킹을 통한 개인정보유출 사건 일지>
2008.2.17. 옥션 1천863만명 ID, 회원 이름, 주민번호, 주소거래 내역 등 유출
2011.4.10. 현대캐피탈 43만명 신용정보 유출, 국내 및 필리핀 해커 소행
2011.4.12. 농협 전산망 서비스 장애, 내부자 소행 유력, 검찰 북한 소행으로 결론
2011.8.11. SK컴즈 중국 해커들 통해 3천500만명 개인정보 유출, SK컴즈 사내망 이용하는 직원에게 공개용 알집 위장 업데이트 서버 통해 악성코드 설치. 62대 좀비PC 활용
2011.11.25 넥슨코리아 해킹, 1천300만명 개인정보 유출, 방통위, 보안솔루션 미비 넥슨코리아에 7억원 과징금 부과
2012.5.17. EBS 해킹, 2009년 12월 이전 가입자 대상 400만명 중국 소행 추정, 이름·아이디·이메일·비밀번호 유출
2012.7월20~7월15일 KT 고객 800만명 개인정보 유출, 국내서 자체개발된 해킹프로그램 활용, 9명 피의자들이 10억원 상당의 수익 거둠
■개인정보보호법 시행, TM 유출 여전
KT사건은 위와 같은 사태를 방지하기 위해 정부는 지난 3월부터 개인정보보호법이 본격 시행된 이후에 나온 것이라 더 큰 충격을 주고 있다.
개인정보보호법 시행령 ‘제5장 개인정보의 안전한 관리’에 따르면 개인정보를 안전하게 저장 전송할 수 있는 암호화 기술을 적용하거나 이에 상응하는 조치를 취하고, 침해사고에 대응하기 위한 접속기록(로그파일)이 보관 및 위변조 방지를 위한 조치 등을 준수해야한다.
TM의 경우 과거에는 지인의 연락처나 동호인 명부 등을 입수해 암암리에 판매영업을 해왔으나 개인정보보호법이 발효된 후 정보를 입수하기 어려워진 상황이다.
국내 보안업계 관계자는 “과거에는 법의 잣대가 없어 암암리에 정보를 사고팔았다”며 “(법 시행으로) 더 이상 개인정보를 당사자의 동의 없이 수집할 수 없게 된 마당에 나온 사고라 법의 실효성 논란이 일 것”으로 전망했다.
더구나 KT건은 7개월에 걸쳐 장기적으로 기획된 데다가 최초의 해킹프로그램 개발자와 공모자 외에도 7명이 프로그램을 이용해 총 10억원 상당의 부당이득을 취했다.
■실제적인 보안인프라 구축작업 필요
일부 보안 전문가들은 개인정보유출 등 보안 사고를 막기 위해 “무엇보다 사전에 전문인력양성 등을 통한 보안 인프라 구축이 중요하다”고 강조했다. 사건, 사고가 터진 뒤 당사자들을 어떻게 처벌하느냐도 중요하나 근본적인 해결책이나 방안이 제시돼야한다는 지적이다.
구체적으로 소스코드 진단, 웹 애플리케이션 보안 진단 전문인력을 키우는 작업을 서둘러야 한다고 주장했다. 소스코드 진단은 SW의 개발단계에서부터 보안 우려 사항을 여러 가지 툴을 이용해 점검하는 방법이다. 웹 애플리케이션 보안 진단은 말 그대로 기존에 나온 SW에 보안취약점이 있는지를 확인하는 작업이다.
두 가지 방법 모두 비용도 문제지만 상당히 오랜 시간이 소요된다는 점이 한계라고 보안 전문가들은 설명했다. 대개는 “개발 기간만큼 소스코드 진단, 웹 애플리케이션 진단 시간이 소요된다”는 것이다.
보안담당 전문가들은 해킹 위협 자체를 없애기 위해 보다 근원적인 처방이 필요하다고 강조한다. 그 중 하나가 소프트웨어(SW)를 설계하는 단계에서부터 보안약점을 면밀히 검토하는 작업이다. 문제는 시간과 비용이 많이 든다는 점이다.
지난 13일 한국인터넷진흥원(KISA)은 SW개발단계에서 보안약점 진단원을 양성하는 ‘SW 보안약점 진단원’을 양성한다고 밝혔다.
관련기사
- 800만 고객정보 유출…KT 과실은?2012.07.29
- KT, 유출 사과…“유출정보 전량회수”2012.07.29
- KT 개인정보 유출, 내부자 협조 가능성?2012.07.29
- 충격! KT 털렸다…개인정보 800만건 유출2012.07.29
진단원은 정보화 사업을 통해 개발된 인력을 이용해 새로 개발된 정보시스템의 소스코드를 분석하고 보안약점이 제거됐는지 사전에 확인하는 전문 인력이다. 정보시스템 구축 운영 지침(행정안전부 고시)이 개정되면서 새로 신설됐다.
그러나 이제 시작단계인 만큼 국내 개인정보보호 수준은 아직까지도 ‘걸음마’ 단계에 불과한 실정이다.
