최근 옥션이 해킹을 당해 1081만명의 회원 개인정보가 유출됐다는 소식에 네티즌들이 갈팡질팡하고 있다. 이렇게 유출된 정보 가운데 계좌번호 등 은행 거래정보가 100만 여건이 포함돼 있다는 소식이 더욱 충격적이다. 이미 중국 등지의 게시판에서는 확인할 수는 없지만 옥션 등에서 유출된 개인정보를 판다는 소식까지 전해지면서 사태는 점차 확대되고 있다.
더구나 이러한 상황에 곳곳에서 개인정보 유출과 도용 사건 사고가 끊이질 않는다는 소식이 속속 전해지면서 413조원 규모의 국내 전자상거래 전체에 대한 위기감이 고조되고 있다.
예고된 보안 사고, 불감증만 탓할 수 없다
보안 전문가들은 오래 전부터 대형 사이트들의 개인정보를 유출하거나 사이트를 마비시키는 등의 수법을 동원하는 해킹 기법이 정교화되고 있다고 경고해왔다. 특히 해커들은 예전처럼 자신의 기술이나 지식을 자랑하기 위한 '순수한(?)' 목적을 상실한 채 돈 벌기 위한 기술로 해킹을 시도하는 경향이 뚜렷해지고 있다.
해커들은 대형 금융 사이트나 개인정보를 많이 다루는 대형 포털 서비스, 아이템 현금 거래 등을 이용하기 위해 노리는 게임 사이트를 주요 목표로 설정하고 있다.
이러한 공격에는 보안이 허술한 서버나 PC 등 '좀비'를 경유지로 이용한 공격이 주로 사용되고 있다. 세계적인 보안 기업인 시만텍이 매 6개월마다 조사해 발표하는 '인터넷 보안 위협 보고서' 최근호에 따르면 지난해 하반기 동안 원격 공격자의 명령에 의해 움직이는 봇 감염 컴퓨터는 6백만 개를 넘어섰으며 상반기에 비해 29% 이상 증가했다고 밝혔다.
해킹 이외에도 내부자의 실수나 고의에 의한 고객 개인정보 유출 등 보안 사고는 빈번하게 일어나고 있다. 지난해 정보보호진흥원에 신고된 개인정보 침해 건수가 2만 5천여 건에 이르는 것으로 조사됐지만 이것은 인지된 경우에 불과하다. 2007년 5월 모 통신업체 직원들이 공모해 23만여 건의 개인정보를 빼돌리는 사건이 발생했으며 최근에는 국민건강보험공단이 보관하던 개인정보 72만건이 유출되었으며 대형할인마트의 고객 개인정보 역시 유출사고가 벌어진 바 있다.
고전적인 수법인 노트북이나 하드디스크를 절취하거나 내부자가 기밀이나 고객 개인정보를 USB나 외장하드디스크로 복사해 빼돌리는 사례는 IT업계에서 흔하게 벌어지는 일이다.
따라서 최근 옥션을 비롯한 대형 사이트의 보안 사고는 이러한 맥락 속에서 수많은 피해 사례 중 일부에 불과할 것이라는 것이 보안 업계의 시각이다. 인터넷 포털 다음 역시 8개월 동안 개인정보 유출을 쉬쉬하다가 나중에서야 사고를 인정하는 모습을 보였듯이 많은 기업들이 자진해서 보안 침해 사고를 고백하지 않는다는 점도 해커들에게는 유리한 환경이다. 개인정보를 빼내서 이득을 봐도 되고 해당 기업에게 협박을 해도 먹히고 있기 때문이다.
시만텍 보고서에 따르면 이미 이렇게 유출된 개인정보나 기업 기밀정보는 지하경제서버(Underground economy server)에서 판매되고 있는 것으로 밝혀져 충격을 더해주고 있다. 여기서 거래되는 정보에는 주민등록번호, 신용카드, 은행카드와 개인식별번호, 온라인 사용자 계정, 이메일 주소 리스트 등이 포함돼 있다는 것이다. 지하경제서버에서 거래되는 카드인증번호나 신용카드 번호는 1~6달러, 은행 계좌나 신용카드, 생년월일, 주민등록번호 등을 포함한 세부적인 개인정보의 경우 14~18달러 정도면 구매할 수 있다.
지난 2월에는 국내 인터넷 대출회사 사이트를 해킹해 개인정보 10만건을 25만원에 판매하다 경찰에 붙잡힌 일당도 있있다. 이렇게 구매된 개인정보는 2차 범죄에 악용되거나 명의도용을 위한 재료로 사용되기도 하며 심지어 통계회사나 텔레마케팅회사가 이 같은 자료를 사주는 판매자로 나서기도 한다.
만능 패스워드 주민등록번호, 대체수단 서둘러야
인터넷으로 오가는 모든 정보는 중간에 가로채일 수 있고 PC에 저장되는 모든 데이터는 흔적없이 복제될 수 있다고 그동안 보안 전문가들의 줄기차게 경고해왔다. 어쩌면 보안 사고를 100% 예방할 수 없고 그 피해 또한 100% 복원할 수 없다는 것이 정답일 것이다. 그래서 예방이 더 중요하다.
옥션 사건 이후 언론에서는 정보유출 업체에 대한 처벌이나 책임 강화 쪽에 무게를 두고 보도하고 있다. 하지만 달리 보면 정작 정부의 안일한 개인정보 식별체계 관리의 허술함이 근본 문제일 수 있다는 지적이 나오고 있다.
특히 악성 댓글 등을 막기 위한 제한적 실명제 같은 제도가 국가가 관리 책임이 있는 주민등록번호를 민간 사업자들에게 저장토록 하면서 개인정보 유출이 명의 도용으로 손쉽게 이어지는 결과를 만들고 있다는 것이다. 해외에서는 인터넷 서비스 가입 절차에 주민등록번호 등 국가가 관리하는 개인 식별 번호를 요구한다거나 전화번호 등을 필수로 요구하는 경우는 극히 드물다.
주민등록번호 오남용에 대한 대안으로 정부는 그동안 아이핀(I-PIN)이나 지핀(G-PIN) 등의 대체 인증 체계를 준비해왔지만 새 정부 들어서 정보통신부의 해체 등의 문제가 겹치면서 정부기관과 민간업체들 사이에서 이들 대체 수단 정착이 지연되고 있는 상황이다. 사용자들 역시 이 대체 수단에 대한 인지도도 낮은 상태인데다 대체수단 사용을 의무화하는 법안은 국회에서 표류되다 폐기 처분될 처지에 놓여 있다.
또한 민간 업체들 역시 주소나 집전화번호 등 불필요한 개인정보를 과다하게 필수로 요구해왔다는 점도 개인정보 유출에 의한 피해 범위를 확대시켰다는 비난이 쏟아지고 있다. 정부는 물론 민간 기업들의 개인정보 보유 수준을 낮추고 보안 수준을 높이는 방안 마련이 시급하다.
실명제 추진은 일사천리인데 보완책 마련은 지지부진이다. 이게 IT강국 한국의 현재다.
■ 참고 : 시만텍 인터넷 보안 위협 보고서(ISTR)
-------------------------------------------->
이 내용은 전자신문인터넷 쇼핑저널 이버즈에 칼럼으로 기고된 내용입니다.
** 덧, 보완책이라고 정부가 내놓은 방안 좀 보소. 이런 것들이 무슨 정보통신 강국을 이끌겠다고 나서는지. 한심한 작자들...
개인정보 유출땐 인터넷사 대표 징역[조선일보]
해킹 보안 관련 글 :
2008/04/18 걱정마세요. 이미 우리 정보는 다 유출돼 있으니
2008/03/02 닥터 바이러스의 추억
2008/02/24 해킹한 DB 사겠다는 메일
2008/02/22 개인정보 10만 건 값은 25만원?
2008/02/11 사이버 인질극에 대처하는 우리의 자세
2007/10/22 한국 웹, IE 종속 [폐쇄형 공인인증서 한몫]
2007/06/16 IPv6 정보 사이트 해킹 당하다
2006/09/25 바이러스 치료, 패치관리까지 '무료시대'
2006/09/12 [간단 정보] 美 삼성통신(?) 사이트가 악성코드에 감염됐다는군요.
2006/07/19 '악성코드 치료하려면 돈 내라' 사기 프로그램 난립
2006/06/14 게임 ID 유출 악성코드 '숙주 사이트' 통해 유포
2006/03/08 "취약점 정보 사고파는 암시장 형성"