끝나지 않은 '옥션'사태<br>돈 되는 정보는 많은데 보안은 허술<br>올들어 다음·미래에셋·KT등 피해 잇달아<br>빼낸 개인정보 무기로 업체 협박 돈 뜯어내<br>'사고때만 반짝투자' 기업들 보안의식 문제
지난 2월 발생한 옥션의 해킹사건이 의 사상 최대 피해규모의 보안사고로 드러나면서 허술한 국내기업들의 허술한 보안실태와 보안의식이 다시 도마에 오르고 있다. 보안사고가 터질 때마다 많은 기업들이 보안에 대한 투자 강화를 한 목소리로 이야기하지만 사건이 수면아래로 가라앉으면 언제 그랬냐는 듯 정보보호 비용을 줄이기 일수다. 그래서 옥션의 개인정보 유출사태는 단순히 한 기업의 문제가 아니라 이용자들뿐만 아니라 IT 산업 전반에 큰 숙제를 남겨준 것이다.
20일 관련업계에 따르면 올 해 개인정보 유출이나 해킹 피해를 당한 것으로 알려진 기업만 해도 다음커뮤니케이션, 블리자드, 미래에셋, 하나로텔레콤, KT 등 국내 굴지의 대기업들이 모두 포함되어 있다. 한국의 인터넷 사이트들은 전 세계 해커들이 노리는 1순위 표적으로 꼽힌다. 돈이 되는 정보는 많은데 보안에 대한 투자는 허술해 ‘열려고 마음만 먹으면 열리는’ 곳이기 때문이다.
많은 나라들 중 중국은 한국의 인터넷 안전을 가장 위협하는 나라로 꼽힌다. 지난 3월 해외에서 발생한 해킹 시도 중 중국이 차지하는 비율이 절반을 넘어설 정도다. 옥션의 해킹 과정에서도 중국의 공격이 존재했다. 경찰청 사이버테러대응센터는 옥션의 해킹 과정에서 중국에서 접근한 흔적을 발견해 중국 공안당국과 공조수사를 벌이고 있다. 현재 중국의 생활정보 사이트에서는 옥션의 아이디를 판매하겠다는 글들도 올라오고 있는 상황이다.
실제 중국에서는 한국인의 주민등록번호가 건당 50원 수준에서 판매되고 있으며 집주소와 전화번호, 금융정보 등이 포함된 정보들은 이보다 비싼 가격에 거래되고 있다.
해킹을 통해 얻은 개인정보를 팔거나 해킹에 성공한 이후 업체들을 협박해 돈을 뜯어내는 것이 해커들의 수법이다.
지난 해부터는 해킹 뿐 아니라 네트워크가 감당하기 어려울 정도의 대규모 접속신호를 보내 사이트를 마비시키는 분산서비스거부공격(DDoS)를 통해 사이트를 마비시키고 이를 풀어주겠다며 돈을 뜯어내는 협박도 기승을 부리고 있다.
해커들이 입수한 개인 정보는 명의도용이나 텔레마케팅, 보이스피싱 등에 사용된다. 온라인 게임의 경우 현금거래가 활발한 한국에서 게임 계정을 만들기 위해 입수된 개인 정보가 이용된다. 각종 텔레마케팅은 물론 전화사기에도 이용될 가능성이 높다.
보안업계 관계자는 “중국을 비롯해 해외에서의 공격이 갈수록 기승을 부리고 있다”면서 “국내 보안상황은 이를 따라가지 못하고 있어 피해가 커지고 있다”고 말했다.
/최광기자 chk0112@sed.co.kr
기업 절반 정보보호 투자비 '0'
개인정보 과다요구가 해킹 유발 주요인
사용자도 I-PIN발급등 정보보호 노력을
옥션측에 개인정보 유출의 책임이 있다고 인정될 경우 옥션이 지불해야 할 배상금은 적게 잡아도 수백억원에서 수천억원에 이를 수 있다는 것이 전문가들의 견해다. 연간 매출이 1,000억원 수준인 옥션이 감당하기는 어려운 수준이다.
그래서 업계 전문가들은 보안에 대한 투자는 매우 핵심적인 보험이라는 차원에서 접근해야 한다고 주장한다. 하지만 국내 기업들의 보안에 대한 투자는 인색하기 그지없다. 한국정보보호진흥원에 따르면 지난 해 정보화에 투자한 비용 중 정보보호를 위해 단 한푼도 사용하지 않은 기업들이 절반에 달한다. 선진국 수준인 7% 이상을 투자한 기업은 3%에 불과한 실정이다.
보안에는 신경을 쓰지 않는 기업들이 서비스와는 큰 상관도 없는 개인정보를 너무 많이 요구하는 것이 해킹을 유발하는 주요요인으로 지적된다. 돈이 되는 개인정보는 잔뜩 보관하면서도 이를 허술하게 관리하다보니 해커들의 공격이 집중될 수 밖에 없다는 것이다. 보안업계 전문가들은 "기업이 보관하는 개인정보는 최소한으로 줄이고 입수한 정보들도 계정정보, 주민등록번호, 금융정보 등을 각각 분리해서 관리해야 대형사고를 막을 수 있을 것"이라고 지적했다.
기업들만큼 사용자들도 자신들의 개인정보를 지키는 데 노력을 하지 않고 있다. 주민등록번호 대체수단인 I-PIN은 지난 2005년 10월 도입됐지만 발급건수는 6만 건에 불과할 정도로 사용실적이 저조하다. 게다가 각종 경품이벤트에 참여하면서 자신의 개인정보를 제출하는 것에도 큰 거부감이 없을 뿐 아니라 계정이나 비밀번호를 허술하게 관리하는 경우가 적지 않다.
보안업계 관계자는 "한국으로 집중된 해킹은 기업들과 사용자 모두의 책임이 있다"면서 "제도적으로 개인정보 요구를 최소화하고 사용자 스스로도 자신의 정보를 지키는 데 노력할 필요가 있다"고 말했다.
|
