개인정보 해킹이 방치되고 있다

017 SK텔레콤 가입자 H씨(30)는 최근 쓰지도 않는 유료 서비스 요금 고지서가 날아와 깜짝 놀랐다. 뒤늦게 알아보니 누군가 인터넷을 통해 H씨의 아이디와 비밀번호를 도용한 뒤 유료 서비스를 사용했던 것으로 드러났다.

하지만 H씨는 어디에서도 이같은 피해를 구제받지 못했다.

해킹 기술이 발전하면서 H씨처럼 개인 정보를 해킹당하는 사례가 갈수록 늘고 있다. 개인정보침해신고센터에 따르면 지금까지 개인정보 유출 사건으로 신고된 사례는 1만5천여건에 달한다. 이 센터에 따르면 이중 30% 정도가 해킹으로 인한 명의도용 피해를 입은 것으로 조사됐다.

하지만 더 큰 문제는 현실적으로 피해자가 구제받을 수 있는 방법은 별로 없다는 점이다. 정부나 기업이 개인정보 보호를 강조하고 있지만 현실은 전혀 그렇지 않은 것이다. 복잡한 인증절차와 해당 업체의 무성의, 그리고 법제도의 미비함 때문에 피해자는 구제를 받기 전에 지쳐버리는 경우가 많다.

따라서 각 업체들은 해킹을 방지하기 위한 기술적인 노력에 더 경주해야 하고 정부도 이를 더 강제해야 한다는 목소리가 높아지고 있다.

◆네티즌 피해 사례 는다

SK텔레콤 017 가입자 H씨(30)는 최근 인터넷 아이디와 비밀번호를 해킹당해 쓰지도 않은 유료서비스 요금을 냈다.

H씨가 개인정보가 유출됐다는 것을 감지한 것은 올 1월. SK텔레콤으로부터 날아든 12월 요금청구서를 보니 쓰지도 않은 유료서비스 요금(데이터 정액제 기본요금 4만9천원)이 청구돼 있었다.

고객센터로 전화를 걸어본 결과 누군가 11월 31일 오후 인터넷(http://cyber017.itouch017.com/)을 통해 자신의 아이디와 비밀번호로 유료 서비스를 신청한 사실을 알게 됐다.

당황한 H씨가 고객센터를 통해 비밀번호를 바꾼 것은 1월21일. 억울하지만, 그동안의 요금 9만여원은 내기로 했다.

‘이젠 문제 없겠지...비밀번호를 바꾸었으니 더이상 피해는 없을 것이다...' 그냥 돈을 좀 물고 말아야지 하는 생각이었다.

그러나 이런 기대는 여지없이 무너졌다.

비밀번호를 바꾼 후에도 휴대전화 음성사서함이 연결되지 않고, 휴대폰 요금제도가 또 다시 변경돼 2월분 통신 요금이 청구된 것이다. H씨는 12월과 1월에 이어 2월분에서도 쓰지도 않은 요금(정보이용료 460원, 데이터 기본료 3만750원, 문자생활정보 2천원 등)을 내야 했다.

물론 이같은 피해는 H씨 사례만이 아니다. 개인정보침해신고센터에 따르면 지금까지 개인정보 유출 사건으로 신고된 사례는 1만5천여건에 달한다. 이중 30%정도가 해킹으로 인한 명의도용 피해를 입었다.

개인정보침해센터 김민섭 연구원은 “해킹으로 인한 아이디와 비밀번호 명의도용으로 피해를 입었다는 신고사례가 계속해서 늘고 있지만, 대부분은 보안이 취약한 PC방에서 금융거래를 하는 등 이용자 잘못으로 개인PC가 해킹 당한 경우”라고 설명했다. 그는 그러나 “2000년에 발생했던 웹서버 해킹툴 메테우르 사건처럼 인터넷 포털의 아이디와 패스워드를 뚫은 해킹공격으로 피해를 입은 사례도 있었다”고 말했다.

그는 또 "메테우르 사건은 국내 인터넷 포털 A사를 공격한 일이 밝혀졌지만, 당시 A사는 항의하는 고객들에게 '개인 정보 관리'의 책임을 전가했다"고 말했다.

◆그러나 피해자는 속수무책

H씨는 피해를 구제받기 위해 이곳저곳 찾아다녔지만 방법이 없었다.

해당 기업은 이리저리 부서를 돌리며 외면했으며, 한국소비자보호원이나 경찰청도 시급히 문제를 해결해 주지는 않았다.

H씨는 “1월 21일 SK텔레콤 고객센터를 통해 비밀번호를 바꾼 후에도 계속해서 문제가 잇따르자 3월 11일과 18일 고객센터와 통화하고, 사이버팀에 메일을 띄우는 등 오랫 동안 고생한 끝에 결국 아이디까지 삭제했지만 재발되지 않는다는 보장이 없어 걱정"이라고 말했다.

그는 또 “SK텔레콤측에 보안을 강화해주고, 인터넷 신청 후 사후통지해주거나 본인 명의의 번호로는 인터넷 가입이나 변경 신청을 못하도록 해달라고 요청했으나 개인정보 보호는 본인책임이라는 무책임한 답변만 늘어놓았다”고 분통을 터뜨렸다.

매번 비밀번호와 아이디를 바꿔 접속하라는 답변만 들었던 것이다.

해킹을 감지한 소비자는 스스로 해킹 당한 사실을 입증해야만 합당한 대우를 받을 수 있는 것일까.

정통부는 (빠른 문제 해결을 위해) 경찰청 사이버범죄신고센터와 별도로 개인정보침해신고센터와 개인정보분쟁조정위원회를 두고 있지만, 실제 소비자에게는 와닿지 않고 있다. 10여명에 불과한 인원과 과중한 업무, 그리고 수사권 제한 등으로 인해 혜택을 피부로 느끼지 못하고 있는 실정이다.

한국소비자보호원도 마찬가지다. 정보통신망법에는 정보통신서비스제공자의 의무와 이용자의 권리가 명시돼 있지만, 해킹으로 인한 명의도용 문제를 해결하기엔 어려움이 크다.

소보원 관계자는 "인터넷상의 명의도용의 경우 재산상의 피해를 노린 목적범인 경우가 많고, 복잡한 시스템의 불완전성을 소비자가 입증하는게 사실상 불가능하며, 근거규정도 미비해서 결국 형사사건으로 가는 경우가 많다"고 토로했다.

또 "보통 이런 사건이 접수되면 개인정보침해신고센터로 넘기는데, 이 때 해당기업이 과오를 인정하고 문제해결에 나서는 것은 찾아보기 힘들다"며 "결국 소비자 입증책임으로 넘어가 경찰이 IP추적을 통해 해킹수사를 하게 된다"고 말했다.

◆강력한 법, 체감온도는 냉랭

개인정보는 본인이 관리하는 것이니, 개인정보가 해킹으로 유출되는 상황이 벌어졌을 때 해당 기업은 어떠한 책임도 지지 않아도 되는 것일까? 시행중인 '정보통신망이용촉진 및 정보보호에관한 법률'에 따르면 그렇지 않다.

정보통신서비스 제공자는 이용자의 개인정보를 취급함에 있어 안정성 확보에 필요한 기술적, 관리적 조치들을 해야 하고(제28조), 이용자가 손해를 입어 손해배상을 청구할 경우 정보통신 서비스 제공자측에서 고의나 과실이 없음을 입증해야 한다(32조).

뿐만 아니라 이용자가 개인정보 정정을 요구할 경우 개인정보를 수집할 때보다 쉽게 지원해야 한다(30조).

그러나 H씨는 어떠한 도움도 받지 못했다고 주장한다.

SK텔레콤측은 개인정보보호의 의무가 있음에도 개인정보는 본인 관리라고 주장했으며(제 3조, 28조 위반소지), H씨가 자신의 아이디를 삭제하는 데 불편함을 줘 사실상 법 30조를 위반한 셈이다.

특히 H씨가 손해배상을 청구할 경우 SK텔레콤측은 자사 사이트가 해킹당하지 않았다는 점을 입증하지 않으면 처벌받게 된다.

홍성완 정통부 정보이용보호과 사무관은 “정보통신망법 32조에 근거해서 보면 소비자가 손해배상 소송을 제기하면, 해킹 여부에 관한 입증 책임을 해당 기업이 져야 한다”며 "또한 개인정보 유출로 고객이 회원탈퇴 등을 요구할 경우 해당 기업은 신속히 이 문제를 해결해야 한다"고 말했다.

그는 이러한 문제를 해결하지 않았을 경우 500만원 이하의 과태료를 물게 된다고 덧붙였다.

개인정보침해신고센터 관계자는 "H씨 사건의 경우 SK텔레콤 시스템이 아닌 개인 PC가 해킹당했을 가능성이 크지만, 이 경우에라도 SK텔레콤은 개인정보 변경과 온라인 부가 서비스 가입 불가 등의 조치를 성실하게 이행했어야 한다"고 말했다.

◆개인 정보 보호를 위한 기술적 조처도 강화돼야

이번에 문제가 된 017사이트(http://cyber017.itouch017.com/)의 경우 로그인하면 주민등록번호가 그대로 공개돼 있는 등 해킹에 한번 성공하면 본인정보를 쉽게 알 수 있는 만큼 유사범죄의 가능성이 크다.

대부분의 금융사이트가 주민번호 앞자리를 가리는 것과 다르다는 설명이다. 또한 해킹방지를 위한 웹서버 인증서도 설치돼 있지 않은 상태다.

비단 SK텔레콤만의 문제가 아니다. 대부분의 인터넷 사이트가 쿠키 스누핑등 아이디/비밀번호 해킹에 노출돼 있는 상황이다.

쿠키 스누핑이란 해커가 개인 PC에서 사용자 정보를 담고 있는 쿠키를 해킹한 후 이를 통해 사용자 권한을 획득해 내는 기술을 말한다. 즉 다른 사람이 내 PC를 해킹한 후, IP를 불법으로 도용할 수 있다는 설명이다.

2000년 10월 한미르, 네이버 등 국내 대표적인 20여개 인터넷 사이트가 웹메일 본문에 자바 스크립트 사용을 제한하지 않거나, 인증을 하는 사이트와 사용자 홈페이지 주소가 동일하기 때문에 쿠키스누핑과 관련된 보안 취약점에 노출돼 있는 것으로 밝혀져 충격을 준 적이 있다.

이에대해 보안 업체 한 관계자는 "금융 사이트나 유료 가입 사이트의 경우 정부가 해킹 방지를 위해 웹서버 인증서 탑재를 의무화하는 등 특별한 조치가 필요하다"며 "기업이 1년에 최대 120만원만 지불하면, 소비자들이 안심하고 이용할 수 있는데 이를 제도화하지 않는 이유를 잘 모르겠다"고 말했다.

이웃나라 일본의 경우 PG(인터넷 결제대행)와 연결된 유료 사이트의 경우 정부가 웹서버 인증서 탑재를 요구하고 있다. 그러나 우리나라는 유료가입 사이트조차 제대로 도입하지 않은 상황이다.

개인정보 해킹으로 인한 피해는 갈수록 증가할 것이다. 해킹 기술이 고도화되고, 우리 삶에 인터넷이 뿌리내릴수록 금전적 피해는 늘어만 갈 것이다.

이에 따라 정부는 개인정보 보호를 위한 제도적 조치를 강화하고, 서비스 제공자들이 개인 정보 보호를 위해 보다 많은 투자를 하도록 강제해야 한다는 지적이 설득력을 얻고 있다.

이제 정보통신 서비스 제공자들은 자사 시스템 보안 뿐아니라 웹페이지 보안, 고객 PC보안에 대한 관심도 늘려가야 한다는 지적이다.