[100대 사건_077] 대규모 개인정보 유출 사고 <2008년 2월>

글자 작게 글자 크게 인쇄하기

2008년 2월 인터넷 오픈마켓 사이트 옥션에서 해킹으로 인해 개인정보 유출사고 중 가장 큰 규모의 회원 개인정보가 유출되는 사태가 발생했다. 당초 전체 회원 수의 60%인 1081만명의 정보만 빠져 나갔다고 밝힌 옥션은 2010년 3월 유출 피해 대상이 전체 회원인 1860만명이라고 최종 발표해 큰 충격을 줬다.

[100대 사건_077] 대규모 개인정보 유출 사고 <2008년 2월>
2008년 2월 당시 옥션 로고
<2008년 2월 당시 옥션 로고>

중국인 해커 홍모씨(당시 20세)는 2008년 1월, 옥션의 웹 서버에 침입해 메인 데이터베이스 서버에 저장된 회원 개인정보를 빼냈다. 당시 중국에 거주하던 한국인 김모씨(당시 33세)가 유출된 개인정보가 담긴 파일을 입수했고, 해킹당한 사실과 회원 정보를 언론과 인터넷에 공개하겠다며 옥션을 협박해 14억원을 요구했다. 옥션은 정보유출 피해 진위를 확인한 후 신속히 경찰에 수사를 의뢰하는 한편 회원들에게 사과 공지를 내보냈지만 회원 정보 관리에 소홀했다는 비난은 피할 수 없었다. 특히 범인들이 접근할 때까지 피해 사실을 인지하지 못했던 것은 피해자들의 공분을 사기에 충분했다.

경찰조사에 따르면 범인으로 지목된 홍씨는 옥션의 서버 관리자 페이지에 침입해 `job.war`라는 백 도어(back door) 프로그램을 올렸다. 백 도어 프로그램은 컴퓨터 시스템이나 응용프로그램에 사용자 인증 등 정상적인 절차를 거치지 않고도 접근을 가능하게 해주는 프로그램이다. 백도어 프로그램을 사용해 IP 주소 등 시스템 정보를 획득한 범인은 옥션 내부 웹 서버인 이노믹스 서버에 접속해 개인정보가 담긴 메인 데이터베이스를 해킹했다. 자신의 IP주소 세탁을 위해 빼돌린 개인정보는 다른 서버로 전송하고 다시 그 서버에서 자신의 컴퓨터로 전송하는 치밀함도 보였다.

경찰청 사이버테러대응센터는 수사 초기부터 중국 공안과의 공조 수사를 진행했고 그 결과 홍씨를 포함한 중국인 용의자 세 명과 해킹을 공모한 한국인 용의자 두 명을 검거하는 데 성공했다. 중국 공안으로부터 한국인 용의자인 김씨를 넘겨받은 서울중앙지방검찰청은 공갈미수죄 등의 혐의로 기소했고, 법원은 유죄를 인정해 징역 1년을 선고했다. 김씨는 항소했지만 재판부는 항소를 기각했다. 경찰청 사이버테러대응센터에 따르면 중국인 범인 세 명은 중국 법에 따라 처벌을 받았다. 당시 수사를 지휘했던 정석화 경찰청 사이버테러대응센터 수사실장은 “옥션 개인정보 유출은 중국 공안과 처음으로 사이버범죄 공조 수사를 진행해 범인을 검거한 사건”이라며 의미를 부여했다.

2010년 3월 25일 옥션이 게시한 전 회원 개인정보 유출 최종 확인 관련 공지<출처=옥션 홈페이지>
<2010년 3월 25일 옥션이 게시한 전 회원 개인정보 유출 최종 확인 관련 공지<출처=옥션 홈페이지>>

옥션은 지난 2008년 4월 회원별로 정보 유출 확인 내용을 공개했다. 이에 피해를 본 회원들과 시민단체가 나서 피해보상을 요구하는 민사소송이 줄을 이었다.

지난 2010년 1월 재판부는 피해자들이 옥션의 과실로 주장한 △보안 전담 부서 미운용 △웹 방화벽 미설치 △개인정보 암호화 미이행 △인증 및 접근 제어 시스템 미도입 △기타 정보보호 조치에 관한 주의 의무 위반 등을 해킹 피해와 무관한 것으로 보고 손해배상 청구를 모두 기각했다. 판결문은 “정보통신망 서비스 제공자에게 해킹으로 개인 정보가 도난당한 것에 대한 책임을 지게 하려면 제공자가 해킹 방지 의무를 위반해 이를 예방하지 못한 경우에 한해야 한다”고 밝혔다. 옥션은 관리자의 의무를 다했으며, 해킹에 의한 개인 정보 유출은 불가항력이었음을 인정한 셈이다. 패소 결과에 불복한 피해자들은 항소했고 2012년 8월 현재 2심 재판이 진행 중이다.

2011년 4월 11일 현대캐피탈 고객 개인정보 해킹 사건을 수사 중인 이병하 서울지방경찰청 수사과장이 중간수사 결과를 발표했다. 경찰은 이날 해커 일당 중 한 명이 농협 동구로지점과 외환은행 한 지점의 현금인출기에서 돈을 찾는 모습이 찍힌 CCTV 영상을 확보했다고 밝혔다.
<2011년 4월 11일 현대캐피탈 고객 개인정보 해킹 사건을 수사 중인 이병하 서울지방경찰청 수사과장이 중간수사 결과를 발표했다. 경찰은 이날 해커 일당 중 한 명이 농협 동구로지점과 외환은행 한 지점의 현금인출기에서 돈을 찾는 모습이 찍힌 CCTV 영상을 확보했다고 밝혔다.>

2008년은 개인정보 유출 사고로 얼룩진 한 해였다. 2월 옥션을 시작으로 4월에는 하나로텔레콤·LG파워콤·KT 등 8개 국내 대형 통신업체 서버를 해킹해 개인정보 100만건을 팔아온 일당이 검거됐다. 같은 해 9월에는 GS칼텍스 내부 관계자 4인이 보너스카드 고객 1125만명의 주민등록번호와 휴대폰 번호 등 개인정보를 빼낸 사건이 발생했다.

정부는 이처럼 개인정보 유출 사고가 사회적 이슈로 떠오르자 하루 평균 1만명 이상이 이용하는 게임 사이트와 5만명 이상 방문하는 포털 사이트는 주민등록번호를 대체해 공인인증서·휴대폰 인증·아이핀(인터넷 개인 식별번호)으로 회원에 가입할 수 있도록 했다.

그러나 정부의 이 같은 조치에도 불구하고 2008년 이후 개인정보 유출 사고가 속출하며 기업의 `보안 불감증`은 연일 여론의 뭇매를 맞고 있다. 2010년 8월에는 포털사이트 네이트와 소셜네트워크서비스 싸이월드를 운영하는 SK커뮤니케이션즈가 중국 해커의 공격을 받아 무려 3500만 명의 개인정보가 유출됐다. 단일 사고로는 옥션 피해자 수를 훨씬 뛰어넘는 최대 규모다. 해커는 신종 수법으로 SK커뮤니케이션즈 내부 망을 좀비PC로 감염시켜 데이터베이스에 접근한 것으로 알려졌다.

2012년에는 국내 3대 무선통신사업자 중의 하나인 KT의 영업전산망을 해킹해 870만건의 개인정보를 빼돌린 텔레마케팅 업체 대표가 구속되는 일도 벌어졌다. KT는 5개월간 고객정보 유출을 전혀 눈치 채지 못했다. SK커뮤니케이션즈와 KT의 개인정보유출을 확인한 가입자들은 옥션 사고 때와 마찬가지로 온라인 카페 등을 개설해 집단 소송 움직임을 보이고 있다.


[표] 2008년 이후 주요 개인정보 유출 사고

(자료: 언론보도 취합)

2008년 2월 옥션 개인정보 유출사건을 지휘했던 정석화 경찰청 사이버테러대응센터 수사실장.
<2008년 2월 옥션 개인정보 유출사건을 지휘했던 정석화 경찰청 사이버테러대응센터 수사실장.>

◆ 정석화 경찰청 사이버테러대응센터 수사실장

“예전에는 기업이 소유한 개인정보가 자산으로 평가받았습니다. 하지만 지금은 한순간의 관리 실수로 기업의 존폐까지 영향을 미치는 위험 요소입니다. 개인보다 기업이 책임감을 갖고 개인정보 보안을 강화해야 합니다.”

정석화 경찰청 사이버테러대응센터 수사실장은 기업이 개인정보 관리에 최선을 다해야 한다고 강조했다. 정 실장은 지난 2008년 옥션의 대규모 개인정보 유출 사건 수사를 총괄 지휘했다.

정 실장은 “옥션 사고와 같은 개인정보 유출 사건은 사이버 범죄 특성상 외국인이 범인인 초국경적 범죄기 때문에 범죄영역에 제한이 없어 수사에 애로사항이 있었다”며 “사법권이 미치지 않는 해외에서 범죄행위가 발생하면 해당국의 협조가 필수지만 많은 난관이 있다”고 말했다.

경찰청 사이버테러대응센터에 옥션 사건은 큰 의미를 가진다. 사건 발생 직후, 중국 해커의 침입을 확인한 경찰은 중국 공안(公安)에 수사 협조를 요청했다. 하지만 당시까지만 해도 중국 공안은 폐쇄적인 분위기로 한국 경찰의 공조 수사 요청에 미온적인 반응을 보이기 일쑤였다. 옥션과 같은 인터넷 쇼핑몰 회원은 경제 활동 인구가 대부분이어서 개인정보 유출은 치명적이다. 한국 경찰은 이 사건이 개인이 아닌 한국인 대다수의 피해가 예상된다고 강력하게 요청해 공안의 수사 협조를 얻어냈다. 정 실장은 “대한민국 국민 전체가 관계된 중요한 사건임을 중국 측에 분명히 전달해 수사 협조를 받아낼 수 있었다”며 “한국 경찰과 중국 공안이 사이버 범죄 수사 분야에서 처음으로 협력한 의미 있는 사건”이라고 말했다.

중국 공안은 사건 발생 3개월 만에 범행에 가담한 중국인 해커 세 명과 범행을 주도한 한국인 두 명을 검거하는 데 성공했다. 중국인 해커는 현지 사법권이 적용돼 중국 법정에서 재판에 따라 처벌받은 것으로 알려졌다. 중국인 공범으로부터 개인정보가 담긴 파일을 건네받아 옥션 측에 금품을 요구한 한국인 용의자는 한국으로 송환돼 재판에서 실형을 선고받았다. 현재 국내 법은 사이버 범죄에 법정 최고형을 5년 이하의 징역 또는 5000만원 이하의 벌금으로 정하고 있다.

정 실장은 개인정보 유출 사고를 예방하기 위해 기업들의 투자가 절실하다고 지적했다. 특히 보안 전문 인력 확충과 내부 보안 시스템·자원에 대한 투자, 기업 구성원을 대상으로 한 보안교육 강화를 선결과제로 꼽았다. 정 실장은 “보안을 중시한다고 해서 매출과 같은 당장의 성과를 볼 수 있는 게 아니어서 기업들이 개인정보 보안에 대한 투자를 도외시하는 경향이 있다”며 “그러나 기업의 개인정보 유출 사고는 돌이킬 수 없는 피해를 가져오기 때문에 보안은 아무리 강조해도 지나치지 않다”고 당부했다.


윤희석기자 pioneer@etnews.com