해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 



구분: 보안
장르: 개인정보
2019/8/15(목)
조회: 103
공공재가 되어 버린 개인정보(1/2)  

몇 년 전까지 우리나라는 웹사 이트에 가입하기 위해 주민등록번호를 필히 기재해야 했다. 하지만 개인정보 유출사고가 빈번하 게 발생해 국민들의 주민등록번호가 해외로 대량 유출되자, 이제는 반대로 웹사이트에서 주민등 록번호를 수집할 수 없도록 법이 바뀌었다. 그러나 정작 개인정보 유출의 책임자들은 별다른 처벌 도 받지 않고 넘어가는 것이 일반적이다. 국내외에서 발생했던 대표적인 개인정보 유출 사고와 후 속 조치를 살펴보고, 개인이 할 수 있는 개인정보 관리 방법을 정리해봤다.


■ 국민 소셜 미디어의 몰락, 싸이월드 회원 정보 유출 사건

아마도 국내에서 발생한 가장 대규모의 개인정보 유 출사건이 아닐까 싶다. 싸이월드는 1999년 시작된 소셜 네트워크 서비스로 한때 국민적인 인기를 누리기도 했다. 2004년에 시작한 페이스북, 2006년에 시작한 트위터보다 훨씬 일찍부터 서비스를 시작한 선구적인 소셜 미디어라고 할 수 있다. 싸이월드는 미니홈피를 통해 서로의 일상을 공유하 고, 친한 사람들끼리 ‘일촌’을 맺어 친목을 도모하는 등 인터넷 세대의 새로운 문화로 자리잡았 다. 당시 국내에서 인터넷을 사용하는 대부분의 사람들은 싸이월드 계정을 갖고 있다고 봐도 무방 할 정도였다. 싸이월드는 2003년 8월 SK커뮤니케이션즈에 인수되면서 SK텔레콤의 여러 서비스 와도 연동되었다.
문제의 사건이 터진 것은 2011년 7월. SK커뮤니케이션즈의 해킹 사건이 발 생하면서 싸이월드와 네이트의 회원 정보가 유출됐는데, 이때 유출된 회원들의 개인정보가 무려 3500 3500만 건에 달했다. 사건의 전말을 살펴보면 해커가 국내의 유명 압축 프로그램의 업데이트 서버 를 해킹해 악성 프로그램을 심어 두었는데, SK커뮤니케이션즈 직원들 중 일부가 해당 프로그램 을 업데이트하면서 SK커뮤니케이션즈 내부 컴퓨터가 해킹당해 문제가 발생했다고 한다. 해커는 SK SK커뮤니케이션즈 내부의 관리자 계정을 탈취한 후 회원들의 정보를 빼갔다고 하며, 이때 유출 된 정보는 주민등록번호, 이름, 비밀번호, 휴대전화 번호, 메일 주소, 심지어 혈액형 정보까지 포 함되어 있었다.
SK커뮤니케이션즈 측에서는 비밀번호와 주민등록번호 같은 중요한 정보는 암호화돼 저장되기 때문에 유출되었어도 사용하지 못했을 것이라고 주장했지만, 일부 전문가들 은 이런 주장에 대해 의구심을 보내고 있다. 실제로 이 유출사건 이후 중국 웹사이트에서 우리나 라 사람들의 이름과 주민등록번호를 손쉽게 검색할 수 있게 되었고, 이 정보를 이용한 것으로 추 정되는 국내 사이트 해킹 및 계정 탈취 시도 사건들이 다수 발생하기도 했다.
또한, 이 사건 이후 피해자 모임이 만들어졌고, 단체로 SK커뮤니케이션즈를 상대로 손해배상 소송을 진행하기 도 했다. 이 소송은 2012년 4월에 시작되어 1심에서는 원고가 승리를 거두었지만, 2018년 6월에 열린 대법원 판결에서 최종적으로 원고가 패소하면서 SK커뮤니케이션즈는 법적 책임을 면하게 됐다. 이 소송에는 또 하나의 재미있는 일화가 있다. 법원은 중립의 원칙을 지키기 위해 이 사건 과 관련이 없는 판사를 배정해야 했는데, 개인정보 유출 피해를 당하지 않은 판사를 찾기가 쉽지 않았다고 한다.
이 사건은 인터넷 웹사이트들의 개인정보 수집 정책에도 영향을 미쳤는데, 인 터넷 웹사이트들이 더 이상 주민등록번호를 수집할 수 없도록 하는 법이 제정된 것이다. 하지만 이미 주민등록번호가 유출될 만큼 유출된 후에 제정된 법이다 보니 소 잃고 외양간 고친다는 평 이 많았다. 이후 웹사이트들은 가입자의 실명 정보를 확인하기 위해 카드사 정보나 이동통신 가 입 정보를 활용하는 방식을 취하게 됐다.

< p style='text-align: justify; color: rgb(32, 32, 32); text-transform: none; text-indent: 0px; letter- -spacing: -0.6px; font-family: "Malgun Gothic", nanumgothic, Dotum; font-size: 15px; font-s tyle: normal; font-weight: 400; word-spacing: 3px; white-space: normal; orphans: 2; widow s: 2; font-variant-ligatures: normal; font-variant-caps: normal; -webkit-text-stroke-width: 0p x; text-decoration-style: initial; text-decoration-color: initial;'>

■ 역대 최대 규모, 카드사 개인정보 유출 사건

앞서 살펴본 싸이월드 사건이 해킹과 내부 직원들의 안일한 보안 의식이 만들어 낸 사고였다면, 이번에 소개할 카드사 개인정보 유출 사건은 내부 관계자가 의도적으로 개인정보를 빼돌려 이득을 챙긴 사건이다 이번에 소개할 카드사 개인정보 유출 사건은 내부 관계자가 의도적으로 개인정보를 빼돌려 이득 을 챙긴 사건이다. 문제가 된 카드사는 KB국민카드, NH농협카드, 롯데카드의 3사로, 이 3사에서 유출된 개인정보가 무려 1억 건이 넘으면서 국내 최대의 개인정보 유출 사건으로 기록돼 있다.
이 사건은 신용과 보안이 생명인 금융 회사에서 발생한 사건이라는 점에서 앞선 싸이월드 사건 보다 파장이 더 컸다. 게다가 이 사건의 범인이 1년이 넘는 기간 동안 지속적으로 개인정보를 빼 돌렸음에도 뒤늦게 범죄행위를 발견했다는 점에서, 금융회사들이 내부 보안 시스템을 얼마나 허 술하게 관리하고 있는지 그 부끄러운 민낯을 만천하에 공개한 셈이었다.
유출된 개인정보의 종류도 심각했다. 이름과 주민등록번호, 연락처, 주소 등은 기본이고, 연봉, 결혼여부, 자동차 소 유 여부, 신용등급, 결제 계좌에 이르기까지 매우 중요한 개인 금융 정보도 전부 유출된 것으로 확 인됐다. 국민카드의 경우 계열사인 국민은행의 사용자 정보까지 유출된 것으로 드러났다. 당시 언 론에서는 우리나라 경제 인구 75%의 개인정보가 유출됐다는 보도를 내기도 했다.
이 사건의 범인은 아이핀을 관리하는 신용평가 업체 코리아크레딧 뷰(KCB)에 근무하는 차장으로 밝혀졌 다. 범인은 카드사의 분실ㆍ위변조 탐지 시스템 개발 프로젝트의 책임자였는데, 시스템 테스트용 으로 받은 고객 정보들을 USB에 담아 외부로 유출했다. 이렇게 빼돌린 개인정보 중 일부는 마케 팅 회사 등에 팔아 금전적 이득을 취한 것으로 알려졌다. 범인은 피해가 밝혀진 카드 3사 외에 신 한카드와 삼성카드에서도 파견 근무를 했다고 하는데, 이 두 회사는 강력한 보안 규정을 적용함으 로써 범인의 마수에 걸리지 않았다고 한다.
이 사건은 유출 피해 확인 과정에서도 허술한 보 안 의식을 노출한 바 있다. KB국민카드는 자신의 정보가 유출됐는지 확인하기 위해 이름과 생년 월일, 그리고 주민등록번호 맨 끝의 한 자리만 입력하도록 했는데, 이는 이름과 생년월일만 알고 있으면 누구나 단 10번의 시도로 다른 사람의 유출 정보를 조회해 볼 수 있다는 걸 의미한다. 네티 즌들은 이 허술한 시스템을 이용해 전ㆍ현직 대통령부터 재벌그룹 총수 등 정ㆍ재계 주요 인사들 의 개인정보가 모두 유출됐다는 사실을 확인하기도 했다.
그리고 이 사건 역시 제대로 된 보 상도, 처벌도 이루어지지 않고 흐지부지 마무리됐다.



■ 아이클라우드 사진 유출 사건
이러한 개인정보 유출 사건이 우리나라에만 국한된 이야기는 아니다. 미국에서는 2014년 에 할리우드 여성 스타들의 나체 사진이 대량으로 유출되는 사건이 발생한 바 있다. 당시 사진을 유포한 범인은 애플의 아이클라우드를 해킹해 사진을 얻었다고 주장했는데, 조사결과 직접적인 해킹은 아닌 것으로 밝혀졌다. 범인은 할리우드 스타들의 소셜미디어 등을 통해 이메일 주소를 수 집하고, 해당 이메일로 피싱 메일을 보내 비밀번호와 본인 확인 질문에 대한 답변 등을 알아냈다 고 한다.
다행히 애플의 보안 시스템에 문제가 있는 것은 아닌 것으로 밝혀졌지만, 그럼에도 애플의 보안 검증 시스템이 약하다는 지적을 받아야 했다. 그리고 이를 계기로 애플은 아이클라우 드의 보안 정책을 강화했다. 어쨌든 이 사건은 시스템이 아무리 잘 갖추어져 있다고 해도 결국은 스스로 개인정보 관리를 잘 하지 않으면 피해를 입을 수 있다는 교훈을 남겼다. 참고로 이 사건의 범인은 36살의 남자인 것으로 밝혀졌고, 미국 법원에서 징역 18개월의 실형을 선고받았다.
< br>
■ 50억 달러의 벌금을 물게 된 페이스북

이번에는 최근에 발생한 따끈따끈한 사례다. 지난 7월 12일(현지시간) 미 국 월스트리트저널은 세계 최대의 소셜미디어 페이스북이 미국 연방거래위원회(FTC)의 명령을 위반해 50억 달러의 벌금을 내야한다고 보도했다. 50억 달러는 우리 돈 9조 5천억 원에 이르는 어 마어마한 금액으로, 미국 정부가 IT기업에 부과한 금액으로는 최대 규모라고 한다. 이처럼 막대 한 벌금이 부과된 이유는 페이스북이 이용자들의 개인정보를 허락 없이 사용했기 때문으로 알려 졌다.
FTC는 2016년 미국 대선 당시, 영국의 정치컨설팅업체가 페이스북 이용자 8700만 명 의 개인정보를 부적절하게 이용했다고 밝혔다. 이는 페이스북이 2012년에 FTC와 맺은, ‘이용자 의 개인정보 설정을 존중하고 명백한 허락 없이는 이용자 정보를 공유하지 않겠다’는 합의를 어 긴 것이라고 FTC는 판단했다. 페이스북의 창업자이자 CEO인 마크 주커버그는 FTC 조사에서 혐 의를 인정했으며, “우리 산업에 새로운 기준이 마련되길 바란다”는 말을 남겼다고 한다. 이 말의 의미는 개인정보 활용에 대한 법 개정을 촉구한 것으로 해석할 수 있다.
어쨌든 이 사례는 미 국 정부가 개인정보 보호에 얼마나 강한 의지를 보이는지 확인할 수 있는 계기가 되었고, 한편으 로 규정을 어긴 개인정보처리자가 어떤 대가를 치르게 되는지 본보기를 보여주었다. 또한 앞서 소 개한 국내의 정보보안 유출사고에서 기업들이 별다른 처벌도 받지 않고 넘어간 것과 대조되는 모 습이기도 하다.

*이 기사는 SecuN 8월호에 실린 커버스토리로 온라인판에는 2부로 나 누어 업로드됩니다. 


                    수정/삭제     이전글 다음글    
번호구분장르제 목작성일
8425 해킹  기타    F-15전투기 해커에 뚫렸다 2019/08/17
8424 정보  기타    갤럭시노트10에서 살펴본 MS 모바일 전략 2019/08/16
8423 보안  개인정보    공공재가 되어 버린 개인정보(1/2) 2019/08/15
8422 정보  기타    북한이 독자 개발했다는 운영체제, '이것'과 닮았다 2019/08/14
8421 보안  취약점    윈도우 PC가 위험하다, 40개 이상 제조사 '드라이버'에서 취약점... 2019/08/13
8420 정보  기타    외산 윈도 대신에 국산 티맥스 도입! 2019/08/12

 
처음 이전 다음       목록