국내 78개 인증기관의 평가 능력을 인정하는 한국인정지원센터(KAB)의 서버가 중국 해커 조직에 뚫리면서 회원사 직원들의 개인정보가 다량 유출되는 피해가 발생했다. 특히 KAB는 회원사 직원들의 주민등록번호 등 고유식별정보를 암호화하지 않아 개인정보보호법을 위반한 것으로 나타났다. 올 들어 중국 해커 조직이 학술단체와 대학·기업들을 공격해 홈페이지를 변조하는 수준의 해킹 사건이 발생했으나 이번에는 정부와 산업계 주도로 설립한 인정기관의 서버가 뚫리면서 수만 명의 개인정보가 줄줄이 샌 것으로 드러나 추가 피해가 우려된다.
20일 정보보안 업계에 따르면 중국 해커 조직 ‘샤오치잉’은 18일 오후 KAB 회원사 직원들의 개인정보 데이터를 텔레그램에 유포했다. 해당 파일에는 삼성전자·LG전자·산업통상자원부·환경부·국방과학연구소·검찰청 등 수십 곳의 기업·정부기관의 품질 관련 부서 전현직 담당자들의 개인정보가 담겼다. 기관명과 부서·주소는 물론 ID·비밀번호·e메일·전화번호·주민등록번호 등을 식별할 수 있다. 한국인터넷진흥원(KISA) 관계자는 “해킹 사실을 파악하자마자 산업부·국정원과 공유해 조치를 취하도록 했다"고 말했다.
유출된 정보는 총 4만 9000여 건이며 특히 1만 6800여 명은 주민등록번호까지 유출된 것으로 나타났다. 개인정보보호법 제 24조에 따르면 개인정보처리자는 주민등록번호 등 고유식별정보를 암호화해 저장해야 하지만 KAB는 이 같은 조치를 하지 않은 것으로 파악됐다. KAB 관계자는 “해킹 사실을 인지하고 19일 회원들에게 메일로 유출 사실을 안내했다"면서 “관련 데이터베이스를 모두 삭제했다”고 말했다.
KAB에 따르면 개인정보 외에 기타 중요 데이터의 유출 피해는 없는 것으로 알려졌다. 하지만 유출된 정보가 텔레그램 등에서 공유된 상황이라 추가 피해가 발생할 가능성을 배제할 수 없다. 인터넷 사용자는 흔히 여러 사이트에서 같은 ID와 패스워드를 사용하는 경우가 많아 유출된 정보를 이용한 2차 피해도 우려된다. 보안 업계 관계자는 “샤오치잉의 공개 이후 중국 해커들 사이에서 해당 파일들이 공유되고 있다”며 “기업·기관의 주요 제품 담당자 정보가 유출돼 해커들이 유출 정보로 추가 해킹하면 국내 기술·산업 경쟁력에도 치명적이고 산업 스파이들에게 좋은 재료가 될 수도 있다”고 지적했다.