[Internet]3천500만 개인정보 다 털렸다


네이트·싸이월드 해킹

[김영리기자] 사상 최악의 개인정보 유출 사태가 또 다시 발생했다. SK커뮤니케이션즈의 네이트와 싸이월드 가입자 3천500만 명의 개인정보가 중국 발 해킹으로 유출된 것이다. 우리나라 전체 인구 5천51만명 가운데 인터넷을 이용하지 않는 영·유아와 노년층을 제외하면 사실상 전 국민의 개인정보가 노출된 셈이어서 큰 충격을 주고 있다. 특히 이번 해킹사태는 이름과 ID는 물론, 비밀번호와 주민등록번호, 개인 휴대폰 번호, 이메일 주소까지 포함돼 사태는 더욱 심각하다.

SK컴즈는 “지난 7월 26일 새벽, 네이트와 싸이월드에 대한 대규모 해킹으로 가입자 정보가 유출된 사실을 확인했다”며 “해킹 경로와 범인을 추적하기 위해 경찰청에 수사를 의뢰했다”고 사건 발생일 이틀 뒤인 28일에 발표했다. 이번 사건은 지난 2008년 2월 발생한 옥션의 고객정보(1천81만 명) 유출 사건을 뛰어넘는 사상 최대 규모 해킹이다.

유출된 개인정보 가운데 비밀번호와 주민번호는 암호화 상태로 빠져나갔다. SK컴즈는 보안 수준이 높아 암호를 푸는 것은 불가능하다고 해명했지만 암호 해독 가능성도 100% 배제할 수 없어 보이스 피싱, 메신저 피싱 등 2차, 3차 피해가 우려된다.

경찰 조사에 따르면 해킹 경로는 이스트소프트의 서버를 통한 것으로 밝혀졌다. 경찰청 사이버테러대응센터는 SK컴즈 및 이스트소프트의 PC와 서버 40여대를 확보해 분석한 결과 해킹 용의자가 중국에서 이스트소프트의 파일압축프로그램인 ‘알집’서버를 이용해 회원정보를 해킹한 것으로 확인했다.

해킹 용의자는 공개용 알집 업데이트 서버를 해킹한 뒤 정상적인 파일을 악성파일로 바꿔 SK컴즈 사내 PC 62대를 감염시켜 이른바 ‘좀비PC’로 만들었다. 이후 악성코드에 감염된 좀비PC를 이용해 SK컴즈 데이터베이스 서버에 접근할 수 있는 관리자 ID와 비밀번호를 알아낸 뒤 네이트와 싸이월드 회원들의 개인정보를 빼돌렸다.

경찰은 악성코드 유포 경로를 역추적한 결과 공격의 근원지가 중국이라는 사실이 확임됨에 따라 중국 당국과 공조수사를 진행 중이다. 수사 진행 상황을 고려해 직접 현지로 수사관을 파견하는 방안도 검토 중이다. 특히 경찰은 개인정보가 유출되는 과정에서 SK컴즈의 관리상 또는 기술적인 과실이 있었는지 여부에 대해서도 수사를 진행할 방침이다.

집단소송 움직임

이에 개인정보유출 피해자들은 잇따라 법적 책임을 묻고 나서고 있다. 사상 최대 규모의 개인정보 유출 사건인 만큼 대규모 집단소송 움직임도 시작됐다.

먼저 8월 1일 네이트 회원 정모씨는 서울중앙지법에 SK컴즈를 상대로 위자료 100만원을 청구하는 지급명령을 신청했다. 지급명령은 정식재판을 거치지 않고 상대방에게 채권을 갚으라고 요구하는 간이절차다.

앞서 네이트 회원 이모 변호사도 SK컴즈를 상대로 300만원의 손해배상을 청구하는 소송을 냈다. 이 변호사는 소장에서 “SK커뮤니케이션즈가 정보통신망법상의 개인정보 보호의무를 다하지 못하고 관리를 소홀히 했다”며 “이름과 주민등록번호, 연락처 등 개인정보 유출에 따른 심각한 불안감 등의 정신적 고통을 당하고 있다”고 주장했다.

8월 14일 법원이 정 모씨의 지급명령 신청을 받아들이면서 SK컴즈 측에 100만원을 지급하라고 결정을 내리자 피해자들은 법무법인 선임절차를 완료하는 등 SK컴즈에 대한 본격적인 집단소송 절차에 들어갔다.

6만 명의 피해자들이 모인 네이버의 ‘네이트 해킹 피해자 카페’는 회원들에게 법무법인을 소개하는 등 온라인 설명회를 진행할 예정이다. 이 카페는 소송 제기 시점을 경찰의 해킹 조사 결과가 나오는 직후로 잡고 있다. SK컴즈의 과실이나 기술적인 책임이 밝혀지는 대로 진행하겠다는 것이다. 경찰조사에서 혐의점이 드러나지 않는다면 방통위에 진정서를 내거나 형사 고발도 불사한다는 계획이다.

개인정보 과다 수집 원인

후폭풍이 거세게 부는 가운데 이번 개인정보 유출의 근본적인 원인은 온라인서비스 사업자들의 과도한 개인정보 수집과 제한적 본인확인제(인터넷 실명제) 등을 통해 이를 방치한 정부에도 책임이 있다는 주장도 나오고 있다.

인터넷 사이트에 가입하려면 주민번호와 이름은 물론 생년월일, 성별, 주소, 전화번호 등 각종 정보를 기입해야 한다. 온라인서비스 사업자들은 수집한 개인정보를 마케팅 및 서비스 연동에 활용해왔다.

그러나 이번 해킹 사태를 계기로 SK컴즈가 보관 중인 주민번호를 삭제한다는 방침을 내놓으면서 네이버나 다음 역시 개인정보 수집 최소화에 동참하는 움직임을 보이고 있다.

또한 주민등록번호를 통한 제한적 본인확인제에 대한 비판의 목소리도 높다. 인터넷 사업자들은 제한적 본인확인제를 통해 주민번호와 같은 개인정보를 수집할 수 있는 명분을 갖게 됐고 과도한 개인정보 수집이 관행이 됐다는 이유에서다.

오병일 진보네트워크센터 활동가는 8월 16일 열린 ‘3천500만명 개인정보 유출 사태의 원인 및 대책 마련을 위한 토론회’에서 “정부가 기업의 과도한 개인정보 수집을 규제하기는커녕 인터넷 실명제를 위해 이를 방치했다”고 주장했다.

방통위 측이 “온라인서비스 기업은 신용정보회사로부터 본인 인증을 받은 후 확인정보 값만 보관하면 되므로 제한적 본인확인제가 주민번호 수집을 의무화하는 것은 아니다”라고 설명한 것에 대해 반박한 것이다.

오 활동가는 “인터넷 기업은 그동안 인터넷실명제에 따라 개인정보를 보관해야 하는 것으로 인식해왔다”며 “정부는 인터넷실명제가 주민등록번호 보관을 의무화하는 것이 아님을 기업에 설명하고 다른 방법을 찾도록 계도한 바 없다”고 지적했다.

또한 이날 토론회에 참석한 김학웅 변호사도 “방통위 정책을 거부할 수 있는 국내 인터넷 기업은 없다”며 “인터넷 기업은 법에 규정된 제한적 본인확인제를 억지로 시행하고 해킹 사건이 터지면 손해 배상 소송 피고가 돼야하는 상황”이라고 말했다.

이에 정부는 인터넷상 주민번호의 수집·이용을 제한하는 인터넷상 개인정보보호 강화방안을 마련했다. 온라인서비스 사업자는 앞으로 이용자의 주민등록번호를 수집할 수 없게 된다.

방통위 관계자는 “이번 SK컴즈 사고와 같은 개인정보 해킹 유출의 원인을 검토한 결과, 인터넷 기업은 중요 개인정보를 대량 보유해 지속적으로 해킹 공격을 받고 있는 반면, 기업의 대응은 날로 발전하는 해킹 기술에 비해 상대적으로 미흡한 것으로 판단됐다”며 “앞으로는 과도한 개인정보 수집 제한, 기업의 개인정보 관리 강화 대책을 만들겠다”고 말했다. M

김영리기자 miracle@inews24.com







포토뉴스