패닉상태다. 지난 2월 설날 옥션의 해킹 사실이 밝혀지고 나서 최근 1081만명의 회원 개인정보가 유출됐다는 소식에 네티즌들이 갈팡질팡하고 있다. 이렇게 유출된 정보 가운데 계좌번호 등 은행 거래정보가 100만 여건이 포함돼 있다는 소식이 더욱 충격적이다.

옥션의 개인정보 관리 부실을 성토하는 네티즌들은 급기야 국민은행과 엔씨소프트의 개인정보 유출 및 도용 사건의 집단 소송에 이은 사상 최대규모의 집단 소송을 예고하고 있다. 다음과 네이버 등 카페에서는 공공연히 집단소송을 제기하겠다는 변호사들의 소송인 모집 행위가 본격화 하고 있어 사태는 쉽사리 사그러들지 않을 것으로 보인다.
 
뛰는 보안 위에 나는 해커
보안 전문가들은 오래 전부터 대형 사이트들의 개인정보를 유출하거나 사이트를 마비시키는 등의 수법을 동원하는 해킹 기법이 정교화되고 있다고 경고해왔다. 특히 해커들은 예전처럼 자신의 기술이나 지식을 자랑하기 위한 '순수한(?)' 목적을 상실한 채 돈 벌기 위한 기술로 해킹을 시도하는 경향이 뚜렷해지고 있다.

해커들은 대형 금융 사이트나 개인정보를 많이 다루는 대형 포털 서비스, 아이템 현금 거래 등을 이용하기 위해 노리는 게임 사이트를 주요 목표로 설정하고 있다. 이러한 사이트에 해킹하는 방법은 크게 세 가지.

첫 번째는 사이트에 과부하를 일으키는 방법이다. 흔히 말하는 DDoS(서비스 거부 공격)라 불리는 공격 방식은 특정 서버에 대량의 트래픽을 요청해 서버가 감당할 수 없는 상황까지 만들어 다른 일반 고객들이 해당 사이트를 접근할 수 없도록 만드는 것이다. 우리나라에서는 지난 3월 미래에셋 홈페이지를 마비시켜 5000여만 원을 요구했던 사례가 대표적이다. 기업 입장에서는 서버를 원상복구하기 위해 노력할 것이고 해킹에 의한 서비스 중단으로 입게 될 피해를 우려해 해커의 요구에 굴복할 것이라는 범죄 심리가 배경에 깔려 있다.

두 번째는 사이트 내에 침입해 중요한 정보를 조작하거나 빼내는 방법이다. 지난 2월 옥션이 발견한 해킹으로 인한 침입과 개인정보 유출 사례가 대표적이다. 이렇게 특정 사이트에 침입하기 위한 방법으로는 서버나 소프트웨어의 취약점을 역이용하는 방법과 원격 조작이 가능한 스파이웨어를 메일이나 메신저를 통해 상대방 서버에 심는 방법이 자주 사용된다. 이렇게 중요한 정보는 단순히 고객의 개인정보 뿐만 아니라 기업에게는 치명적일 수 있는 회계 장부, 기밀 문서 등도 유출 대상이다.

세 번째는 개인정보 자체를 목표 대상으로 하는 경우다. 즉 기업의 중요한 직책의 개인정보를 빼돌려 금융 거래나 물품 거래, 또는 역 정보를 남기는 식이다. 이 경우 개인이 대상이기 때문에 기업이 전반적인 대응을 하기 힘들다. 다양한 방식을 통해 목표한 개인의 PC에 키보드 입력을 알아 챌 수 있는 스파이웨어를 심거나 아예 상대방의 작업화면 전체를 원격에서 보고 조작까지 가능한 프로그램을 자연스럽게 설치해두는 방식을 쓴다.

이 방식은 고전적이지만 개인을 대상으로 한다는 점에서 피해자의 대응이 어렵고 개인정보 유출 범위를 추적하기 힘들다는 점에서 고전적이지만 가장 많이 사용되는 수법이다. 지난 2004년 국내를 떠들썩하게 만들었던 중국발 국내 국가기관 무더기 해킹 사건이 이런 사례다. 아직까지 이 사례로 인한 피해 범위는 알려지지도 않았다.
 
지하에서 거래되는 개인정보
이외에 내부자의 실수나 고의에 의한 고객 개인정보 유출도 빈번하게 일어나고 있다. 지난해 정보보호진흥원에 신고된 개인정보 침해 건수가 2만 5천여 건에 이르는 것으로 조사됐지만 이것은 인지된 경우에 불과하다. 2007년 5월 모 통신업체 직원들이 공모해 23만여 건의 개인정보를 빼돌리는 사건이 발생했으며 최근에는 국민건강보험공단이 보관하던 개인정보 72만건이 유출되었으며 대형할인마트의 고객 개인정보 역시 유출사고가 벌어진 바 있다.

세계적인 보안 기업인 시만텍이 매 6개월마다 조사해 발표하는 '인터넷 보안 위협 보고서' 최근호에 따르면 지난해 하반기 동안 원격 공격자의 명령에 의해 움직이는 봇 감염 컴퓨터는 6백만 개를 넘어섰으며 상반기에 비해 29% 이상 증가했다고 밝혔다.

일반적으로 해킹은 특정한 목표를 타게팅 하고 있지만 악성코드는 무작위 피해를 주는 것으로 분류되었다. 하지만 최근에는 악성코드를 이용해 무작위 피해를 주는 동시에 혼란이나 취약점을 틈타 해킹이 동시다발적으로 이뤄지고 있다는 점이 최근 인터넷 위협의 특징이다. 고전적인 수법인 노트북이나 하드디스크를 절취하거나 내부자가 기밀이나 고객 개인정보를 USB나 외장하드디스크로 복사해 빼돌리는 사례도 끊이질 않고 있다.

따라서 최근 옥션을 비롯한 대형 사이트의 보안 사고는 이러한 맥락 속에서 수많은 피해 사례 중 일부에 불과할 것이라는 것이 보안 업계의 시각이다. 인터넷 포털 다음 역시 8개월 동안 개인정보 유출을 쉬쉬하다가 나중에서야 사고를 인정하는 모습을 보였듯이 많은 기업들이 자진해서 보안 침해 사고를 고백하지 않는다는 점도 해커들에게는 유리한 환경인 셈이다. 개인정보를 빼내서 이득을 봐도 되고 해당 기업에게 협박을 해도 먹히고 있기 때문이다.

시만텍 보고서에 따르면 이미 이렇게 유출된 개인정보나 기업 기밀정보는 지하경제서버(Underground economy server)에서 판매되고 있다고 밝혔다. 여기서 거래되는 정보에는 주민등록번호, 신용카드, 은행카드와 개인식별번호, 온라인 사용자 계정, 이메일 주소 리스트 등이 포함돼 있다는 것이다. 지하경제서버에서 거래되는 카드인증번호나 신용카드 번호는 1~6달러, 은행 계좌나 신용카드, 생년월일, 주민등록번호 등을 포함한 세부적인 개인정보의 경우 14~18달러 정도면 구매할 수 있다.

지난 2월에는 국내 인터넷 대출회사 사이트를 해킹해 개인정보 10만건을 25만원에 판매하다 경찰에 붙잡힌 일당도 있있다. 이렇게 구매된 개인정보는 2차 범죄에 악용되거나 명의도용을 위한 재료로 사용되기도 하며 심지어 통계회사나 텔레마케팅회사가 거래 주체로 나서기도 한다는 것이다.
 
만능 패스워드 주민등록번호, 대체수단 서둘러야
보안 관계자들은 100% 보안은 없다고 잘라 말한다. 인터넷으로 오가는 모든 정보는 중간에 가로채일 수 있고 PC에 저장되는 모든 데이터는 흔적없이 복제될 수 있다. 보안 전문가들은 한결같이 사용자들이 비밀번호나 중요한 인증 번호의 흔적을 절대 남겨놓지 말라고 주문한다.

비밀번호를 메모해놓는다거나 인증번호를 주민등록번호나 생일 등 유추가 가능한 조합으로 만드는 것은 아예 명의 도용을 방조하는 행위라고까지 말한다. 메일이나 메신저로 날라오는 이상한 파일을 호기심에 열어보는 것에서부터 피싱 사이트에 접속해 자신의 개인정보를 남기는 행위 역시 위험하기 짝이 없는 행동들이다.

옥션 사건 이후 언론에서는 정보유출 업체에 대한 처벌이나 책임 강화 쪽에 무게를 두고 보도하고 있지만, 그보다 정작 정부의 안일한 개인정보 식별체계 관리의 허술함을 지적하는 목소리가 높다.

특히 악성 댓글 등을 막기 위한 제한적 실명제 같은 제도가 국가가 관리 책임이 있는 주민등록번호를 민간 사업자들에게 저장토록 하면서 개인정보 유출이 명의 도용으로 손쉽게 이어지는 결과를 만들고 있다는 것이다.

주민등록번호 오남용에 대한 대안으로 정부는 그동안 아이핀(I-PIN)이나 지핀(G-PIN) 등의 대체 인증 체계를 준비해왔지만 정보통신부의 해체와 국회의 정치 일정으로 인한 법률 처리가 늦어지면서 사용자는 물론 정부기관과 민간업체들 사이에서 이들 대체 수단 정착이 지연되고 있는 상황이다.

또한 민간 업체들 역시 주소나 집전화번호 등 불필요한 개인정보를 과다하게 필수로 요구해왔다는 점도 개인정보 유출에 의한 피해 범위를 확대시켰다는 비난이 쏟아지고 있다. 정부는 물론 민간 기업들의 개인정보 보유 수준을 낮추고 보안 수준을 높이는 방안 마련이 시급하다.

만일 이번 옥션 사태를 교훈으로 삼지 못한다면 413조원에 이르는 국내 인터넷 상거래 전체가 네티즌의 불안감으로 인해 축소되거나 근본적으로 흔들릴 수도 있다.

------------->
------------------------------------->
이 글은 미디어 전문지 <미디어+미래> 5월호에 기고한 것이므로 무단전재 및 재배포 금지합니다. 해당 잡지의 편집교열을 통해 내용이 완전히 일치하지 않을 수 있습니다. 글이 쓰여진 시점이 4월 중순이므로 현재의 상황과 다른 점이 있을 수 있습니다.

이후 관련 칼럼 하나가 더 있었는데 잡지보다 미리 공개돼 있습니다. 같은 내용입니다.

2008/04/22 해킹한 개인정보가 거래되는 사회

해킹과 관련한 링블로그 글 :
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/06 옥션 해킹 사건 후폭풍, 집단 소송 위기
2008/02/24
해킹한 DB 사겠다는 메일
2008/02/22 개인정보 10만 건 값은 25만원?
2008/02/12
피해자가 더 큰 피해를 받는 사회
2008/02/11 사이버 인질극에 대처하는 우리의 자세
2007/06/16 IPv6 정보 사이트 해킹 당하다
2006/07/19 '악성코드 치료하려면 돈 내라' 사기 프로그램 난립
2006/06/14
게임 ID 유출 악성코드 '숙주 사이트' 통해 유포
2006/03/08
"취약점 정보 사고파는 암시장 형성"
2006/01/20 국내외의 웹사이트 해킹율과 트로이목마 유포상황
2005/12/19 "순수 해커 줄고, 돈 노린 크래커 급증"
2005/05/13 청년 해커 21개월 실형, 美정보당국 총동원된 결과?

요즘 해킹 관련해서 언론의 호들갑이 다시 시작되고 있는데요. 예전에도 사람들의 관심사와 더불어 각종 소설과 사태 부풀리기가 계속되고 있다는 점이 아쉽네요. 문제의 본질은 민간에 의한 과도한 개인정보 위탁 관리가 아닐까 하는 생각을 여전히 지울 수 없습니다. 또한 정보보호와 보안에 대한 전면적인 인식 개선에 적극적인 투자가 있어야 하는 것 역시 지적해야 할 상황이죠. 중국발 해킹이니 사이버 전쟁이니 하는 이야기는 십중팔구 소설의 가능성이 높다고 봅니다. 2004년 당시 관련한 칼럼을 다시 소개합니다. 다행히 몇일 울궈먹던 해킹 전쟁 관련 소설이 이후 잠잠해 졌었죠.

2004/07/16
해킹 사고, SF 소설은 그만 써라
Writer profile
author image
링블로그 주인장 그만입니다. 그만에 대한 설명은 http://ringblog.net/notice/1237 공지글을 참고하세요. 제 글은 CC가 적용된 글로 출처를 표기하시고 원문을 훼손하지 않은 상태로 퍼가셔도 됩니다. 다만 글은 이후에 계속 수정될 수 있습니다.
2008/05/01 22:36 2008/05/01 22:36

TRACKBACK :: 이 글에는 트랙백을 보낼 수 없습니다

  1. 주간 블로고스피어 리포트 70호 - 2008년 5월 1주

    Tracked from GOODgle.kr  삭제

    주간 블로고스피어 리포트 70호 - 2008년 5월 1주 주요 블로깅 : 아이핀으로 해결될까? : 최근 잇단 개인정보유출 사건으로 말미암아 정통부가 대안으로 내놓은 아이핀(i-PIN)입니다. 주민번호를 암호화시킨 방식인데, 기본적으로 주민번호를 기반으로 한다는 점에서 근본적인 해결책은 아니죠. 주민번호를 아이핀으로 대체한다고 해서 문제가 해결되지는 않으며, 광범위한 개인정보 수집 자체를 근절시켜야 한다는 경향신문 사설입니다. 관련하여 개인정보 유출,..

    2008/05/02 23:35
  2. 개인정보보안과 주민등록번호 논란에는 핵심이 빠져 있다!

    Tracked from 인간 중심의 혁신  삭제

    카드사에서 오는 보안 이메일 명세서를 보려면 주민등록번호 뒷자리를 입력해야한다. 그것은 주민등록번호 뒷자리를 입력하면 그것이 나라고 믿겠다는 것이다. 얼마전 제한적 실명제를 실시한다고 모든 포탈에 로그인을 하면 이름과 주민등록번호를 입력받았다. 그 것 또한 로그인 당사자가 본인인지를 확인하겠다는 의도 였다. 내 이름과 주민등록번호를 알면 내가 될 수 있었다. 인터넷에서 성인물에 접근할때도 우리는 이름과 주민등록번호만 입력하면 지금 성인물에 접근하려는..

    2008/05/06 22:19
  3. [네이트 해킹] 연이은 해킹, 무엇이 진짜 문제인가 ? 해결책은 ?

    Tracked from 숲속얘기의 조용한 카페  삭제

    이번 네이트 해킹

    2011/08/04 18:34
1  ... 772 773 774 775 776 777 778 779 780  ... 1951 

카테고리

전체 (1951)
News Ring (644)
Column Ring (295)
Ring Idea (1004)
Ring Blog Net (8)
Scrap BOX(blinded) (0)

달력

«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

링블로그-그만의 아이디어

그만's Blog is powered by TEXTCUBE / Supported by TNM
Copyright by 그만 [ http://www.ringblog.net ]. All rights reserved.