#포털 사이트를 비롯해 온라인 마켓 웹 사이트를 자주 접속하는 30대 직장인 A씨는 매번 계정(ID)과 비밀번호를 입력하는 데 애를 먹는다. 개인정보 보호를 위해 모든 웹 사이트의 ID와 비밀번호를 다르게 설정했기 때문이다. 불편함을 느낀 A씨는 여러 웹 사이트의 ID와 비밀번호를 저장해두고 쉽게 접속할 수 있도록 관리해주는 소프트웨어(SW) ‘알패스’의 존재를 알게 돼 가입 후 편리하게 인터넷 서비스를 이용했다. 해당 SW의 개발사(이스트소프트(047560))가 국내 대표 보안업체여서 개인정보를 확실히 관리해줄 것이라는 믿음도 가졌다. 하지만 A씨는 얼마 지나지 않아 자신의 주민등록번호 등이 이른바 ‘대포폰’ 개통 등에 악용되고 있다는 사실을 알았다. 알패스에 담긴 대규모 개인정보가 해커의 공격으로 유출됐기 때문이다. A씨는 “보안업체조차 가입자의 개인정보를 지키지 못했다”며 분통을 터뜨리고 있다.
해커의 공격을 막지 못해 알패스에 저장된 ID와 비밀번호 등 총 2,546만 건의 개인정보를 유출한 이스트소프트가 중징계를 받는다.
방송통신위원회는 28일 전체회의를 열어 알패스 개발사 이스트소프트에 과징금 1억1,200만원과 과태료 1,000만원, 재발방지 대책 수립 시정명령 등의 징계를 내리는 행정처분 안건을 의결했다.
방통위와 한국인터넷진흥원(KISA)의 조사 결과를 보면 해커는 지난해 2월 9일부터 9월 25일까지 자체 제작한 해킹 프로그램과 온라인 등에서 사전에 확보한 일부 개인정보를 활용해 알패스에 대입하는 방식으로 개인정보를 빼돌린 것으로 나타났다. 이로 인해 알패스 사용자 16만6,179명(1인당 약 150여건)의 개인정보가 해커의 손으로 들어갔다.
해커는 이 개인정보를 악용해 사용자가 가입한 포털 사이트에 접속한 뒤 주민등록증과 신용카드 촬영 사진 등을 확보해 대포폰을 개통하거나 사이버 공격에 사용할 서버 5대를 임대했다. 또한 가상화폐 거래소에도 부정 접속해 사용자가 보유 중인 가상화폐를 출금했다. 이 해커는 지난해 12월 검거됐다.
방통위는 “국내 대표 보안업체인 이스트소프트가 제공하는 알패스는 외부 웹 사이트의 ID와 비밀번호 등을 관리하는 서비스로 보관하는 정보가 수천 만 건에 이르는데도 규정을 준수하지 않아 사용자에게 상당한 피해를 줬다”고 지적했다.
특히 이스트소프트는 적절한 수준의 침입 차단 시스템을 설치하지 않은데다 개인정보가 빠져나가지 않도록 구체적인 보안 대책을 마련하지 않은 점이 이번 방통위와 KISA의 조사 과정에서 드러났다. 이스트소프트는 알패스 서비스를 지난 26일 공식적으로 종료했다.
이효성 방통위원장은 “최근 해커의 웹 사이트 공격이 유행하는 만큼 국내 정보기술(IT) 기업이 보안을 강화할 필요가 있다”면서 “사용자도 서비스를 이용할 때 비밀번호 등 개인정보 관리에 특별히 유념해야 할 것”이라고 말했다.
