3300만건 개인정보 유출, 해커 검거 전까지 몰랐다
[디지털데일리 최민지기자] 국내 개인정보 3300만건이 유출됐다. 2011년부터 2017년까지 발생한 개인정보 유출 사건 중 손꼽을만한 규모다. 카드3사 개인정보 유출 1억400만건, SK컴즈 3500만건에 이어 가장 많은 수준의 개인정보가 털렸다.
최근 경찰은 국내 20여개 업체가 보유한 3300만건에 이르는 개인정보를 빼돌린 20대 해커 송모씨를 검거해 구속했다. 경찰이 수사 과정에서 유출사실을 기업에 알려주기 전까지 해킹당한 업체들은 개인정보 유출에 대해 모르고 있었다.
특히, 유진투자선물은 30만건에 달하는 개인정보가 털렸다. 해킹은 지난해 10월 이뤄졌다. 송모씨는 중국인 해커 등을 고용해 유진투자선물의 데이터베이스 보안망을 뚫고 서버에 저장된 상속인 금융거래조회 민원서비스 신청인 등 개인정보를 빼돌렸다.
지난해 10월부터 해커가 검거된 7월까지 회사 측은 해킹 사실을 전혀 인지하지 못하고 있었다. 해킹당한 개인정보는 2013년 9월4일부터 2016년 10월19일 사이 상속인 금융거래조회 민원서비스 이용과정에서 제출된 신청인 등의 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소다.
심지어 개인정보 유출정보를 확인하는 과정에서 또다시 주민등록번호를 기재하라고 해 논란이 불거지기도 했다. 유진투자선물 측은 급하게 만드는 과정에서 주민등록번호를 포함시켰으나, 수집하거나 키값으로 쓰는 것은 아니라며 수정할 예정이라고 밝혔다.
국내 1위 학술논문 사이트 디비피아(DBpia)도 마찬가지다. 디비피아에서 유출된 회원정보는 2014년 12월31일 이전 가입한 개인회원의 이름, 아이디, 생년월일, 전화번호 이메일이다. 디비피아 또한 경찰이 알리기 전까지 해킹 사실을 몰랐던 것으로 전해졌다.
인천지방경찰청 사이버수사대 측은 “해당 업체들은 해킹이 됐는지 몰랐었고, 송모씨로부터 압수한 개인정보와 해당 기업의 개인정보가 맞아 떨어지니 인정했다”며 “유진투자선물은 지난해 10월에 송모씨가 사람을 고용해 해킹했으며, 회사 측에서는 DB 암호화 조치 등을 했다고 하나 보안의 허점이 있었던 것으로 보인다”고 말했다.
이어 “3300만건에 대한 개인정보를 대조·확인한 후, 기업들이 적정한 개인정보보호법상 보호조치 의무를 성실히 이행했는지 등을 파악할 것”이라고 덧붙였다.
공격 후 약 9개월 이상 침해사실을 몰랐다는 점, 경찰이 통보한 후에야 알게 됐다는 사실은 해커가 검거되지 못했다면 앞으로도 계속 개인정보 유출에 대해 인지할 수 없었을 것이라는 해석을 가능케 하는 대목이다.
보안업계는 위협 침해와 탐지 사이의 시간을 단축시키는 것이 중요하다고 강조해 왔다. 공격에 대한 시도가 시작된 후 직접적 피해 전에 탐지하고 대응하려면 위협 침해와 탐지 사이의 시간을 줄여야 한다는 것. 이 시간을 줄일수록 공격자의 활동 공간을 제한하고 침입 피해를 최소화할 수 있다.
보안업계 관계자는 “피해사실을 모르는 것 자체가 조금 더 성실의 의무를 다했어야 했다는 방증”이라며 “유진투자선물만의 문제만으로 치부하지 말고, 다른 업체들도 똑같이 침해사실을 인지하고 대응할 수 있었을까에 대해 많은 기업들이 고민해야 한다”고 지적했다.
2차 피해도 우려되고 있다. 경찰에 따르면 송씨는 유진투자선물 외의 건은 돈을 주고 사거나 공짜로 받았다고 주장하고 있다. 쉽게 개인정보를 획득한 만큼 유출된 개인정보의 유통 또한 배제할 수 없는 상황이다. 보이스피싱, 대출사기, 명의도용 등 추가 피해도 염려되고 있다.
송씨는 친한 해커들과 채팅방에서 서로 빼돌린 개인정보를 주고받으며 각자의 실력을 과시한 것으로 알려졌다. 이를 통해 공짜로 개인정보를 취득할 수 있었다.
인천지방경찰청 사이버수사대 측은 “해커들은 금전 목적이 아니라 실력을 과시하기 위해 해킹을 하기도 하는데, 채팅방에서 친한 해커들과 서로 자랑하며 정보를 주고받는다고 한다”며 “유출된 개인정보가 유통되고 있느냐에 대해 송씨는 판매사실이 없다고 말하고 있지만, 채팅방에서 쉽게 개인정보를 얻을 수 있다는 점을 봤을 때 배제할 수는 없다”고 설명했다.
해커를 잡아 개인정보를 압수했지만, 이 정보가 이미 중국시장에 유통될 수 있을지도 모른다는 시나리오를 간과할 수 없는 상황이다. 유출된 정보에는 주민등록번호를 비롯해 주소 등이 포함돼 있어 보이스피싱 등 2차 피해도 이어질 수 있다.
보안업계 관계자는 “전자정보는 쉽게 복사되고 이용될 수 있고 완벽하게 제거되기 어렵다”며 “명의도용, 대출사기, 보이스피싱 등 2차 피해를 주의해야 한다”고 전했다.
<최민지 기자>cmj@ddaily.co.kr
[IT백과] 생성형AI의 진화 ‘AI 에이전트’, 기존 AI 비서와 뭐가 다를까?
2024-12-21 13:27:59[종합] AI 초격차 확보 공고히 한 오픈AI…12일간 여정 끝엔 ‘쩐의전쟁’ 남았다
2024-12-21 11:15:25오픈AI, o1보다 더 강력한 o3 예고…개발자·연구자 대상 사전 테스트 실시
2024-12-21 08:02:48