트렌드

게임부터 은행까지…개인정보 유출 흑역사

2013.12.18

12월11일, 한국스탠타드차타드은행과 한국씨티은행에서 개인정보 13만건이 유출됐다는 소식이 나왔다. 무엇보다 믿음직해야 할 은행이 뚫렸지만 세상은 이전 사건들에 비해 조용하다. 쇼핑몰이 털렸을 때도 이보다는 시끄러웠다. 세상은 왜 개인정보 유출에 무뎌진 것일까. 이게 처음이 아니기 때문이다. 돌이켜보니 그동안 털려도 너무 많이 털렸다.

2005년엔 엔씨소프트가 ‘리니지2’ 회원 계정과 비밀번호를 암호화하지 않고 서버에 저장했다가 도용당하는 일이 발생했다. 엔씨소프트가 회원 개인정보를 암호화하지 않고 저장하는 기간 동안 서버에 접속한 ‘리니지2’ 회원 수는 40~50만명으로 알려졌지만, 엔씨소프트는 당시 정확한 숫자가 집계된 게 없다며 공개하지 않았다. 이 사건이 터지고 나서야 인터넷과 개인정보를 지켜야 한다는 인식이 생겼다. ‘리니지 사건’ 이후 벌어진 개인정보 유출 흑역사를 돌아본다.

SC은행・씨티은행 고객정보, 대부업자 손에(2013년)

은행을 안 믿으면 어딜 믿어야 할까. SC은행과 씨티은행에서 개인정보 13만건이 새어나가는 사건이 발생했다. 사건의 발생지는 외부가 아니라 내부였다. 창원지검 특수부는 고객정보를 빼돌린 씨티은행 직원과 SC은행 외주 개발업체 직원을 구속했다고 12월11일 밝혔다.

검찰의 사건 브리핑을 들어보자. 씨티은행의 대출담당 직원 박 아무개 씨는 2013년 4월 은행 내부전산망에서 고객 이름과 휴대폰 번호, 대출액과 만기일자 등 개인정보 3만4천건을 문서로 출력했다. SC은행의 전산프로그램 개발을 맡은 외부업체 직원 이 아무개 씨는 2011년 11월부터 3개월 동안 대학 선배 부탁을 받고 고객정보 10만3천건을 USB 메모리에 저장해 전달했다. 검찰은 이들이 유출한 고객정보가 대부중개업자나 대출모집인 사이에서 건당 50~500원에 거래된다고 말했다.

그런데 박 아무개, 이 아무개 씨와 함께 구속된 대출모집인이 가지고 있던 개인정보는 300만건이 넘았다고 한다. 출처가 밝혀진 건 13만건인데 나머지 290만여건은 어디에서 온 걸까. 검찰은 다른 은행으로 수사 범위를 넓히고 있다.

sc은행, 시티은행

코웨이, 정수기 대신 고객정보 판매?(2012년)

코웨이의 주력 사업인 정수기, 공기청정기, 비데 렌탈 서비스 가입 고객 가운데 절반이 넘는 198만명의 정보가 새나간 사실이 뒤늦게 확인됐다. 해킹이 아니라 내부 직원이 저지른 범죄였다. 영업직원 김 아무개 씨가 2012년 6월말 고객 개인정보를 모아 경쟁사에 팔았다. 방문 점검 서비스를 제공하는 직원 ‘코디’들이 개인당 100~200건 정도 개인정보를 갖고 있는데, 이를 모아 빼돌린 것이다. 고객 이름과 전화번호, 주소, 사용 제품 정보 등이 유출됐다. 코웨이는 2012년 12월 제보를 받고서야 이 사실을 알게 됐다.

코웨이는 사내 교육을 강화하고, 사내 직원별 비밀번호를 기존 6~8자리에서 10자리로 늘리고 3개월마나 반드시 변경하도록 하는 등 관리를 강화했다. 고객정보 조회와 접근 권한 체계도 엄격히 제한하는 한편 고객정보를 암호화하고 사내에 웹 방화벽을 설치해 대비 수준도 높인다는 계획을 밝혔다.

경찰은 2013년 2월13일 개인정보를 빼돌린 코웨이 직원 김씨에 사전영장을 청구하고, 김씨로부터 고객정보를 넘겨받아 마케팅에 활용한 LG전자 정수기 위탁판매업자 김모씨 등 15명을 불구속 입건했다.

코웨이

KT 해킹해 판촉 활동 벌인 일당 적발(2012년)

2012년 7월29일 경찰은 KT 휴대폰 가입자 873만명의 정보를 빼돌린 일당을 검거했다고 발표했다.

검거된 일당은 해커와 빼돌린 개인정보를 팔아 넘긴 판매책으로 구성됐다. 이들은 2012년 2월 KT 영업대리점이 회원 정보를 조회하는 것처럼 한 번에 조금씩 빼내는 수법으로 5개월 동안 들키지 않았다. 이렇게 총 873만명의 이름, 고객번호, 주민번호, 휴대폰 번호, 가입일, 단말기 모델명, 기기 변경일, 요금제, 기본요금, 월정액 합계 정보가 새 나갔다.

이 일이 있고 나서 방송통신위원회는 ▲가입자 주민번호를 암호화하지 않았고 ▲가입자 정보를 확인하는 데에 안전한 인증 수단을 마련하지 않았고 ▲외부 업체에 제공하는 개인정보 항목을 구체적으로 명시하지 않았다는 이유로 KT에 과징금 7억5300만원을 부과했다.

KT 가입자 정보를 빼내 판 해커와 텔레마케팅 회사 대표는 징역 1년6개월씩 선고받았고, 이들에게 가입자 정보를 산 3명은 징역 8개월~1년형을 선고받았다.

kt_logo_500_20111208_thumb.jpg

400만명 털렸지만 수험생은 지켜낸 EBS(2012년)

2012년 5월15일, EBS는 중국 IP에서 악성코드가 침투해 회원 5명 중 1명의 개인정보가 빠져나간 사실을 발견했다. 회원 약 400만명의 이름, 아이디, 비밀번호, 전화번호, e메일 주소, 주소가 빠져나갔다. EBS가 회원가입 시 주민번호와 계좌번호를 받지 않은 게 다행이었다. 하지만 EBS는 탈퇴한 회원의 정보를 간직한 탓에, 탈퇴 회원 정보도 함께 빠져나갔다. EBS 수능 웹사이트는 별도로 관리한 덕분에 이 곳 회원정보는 털리지 않았다.

방송통신위원회는 개인정보 보호조치 의무를 위반했다며 EBS에 시정조치를 명령했으며, 탈퇴한 회원의 개인정보를 파기하지 않은 점에 대해 과태료 1천만원을 부과했다.

logo_ebs

전국민 탈탈 털린 SK컴즈(2011년)

SK커뮤니케이션즈(이하 SK컴즈)는 7월28일, 네이트와 싸이월드 첫 페이지에 공지를 띄웠다. “내부 모니터링을 통해 해킹으로 인한 고객의 일부 정보 유출을 감지하였습니다.”

네이트와 싸이월드 회원 3500만명의 계정과 이름, 휴대폰번호, e메일 주소, 암호화된 비밀번호, 암호화된 주민번호가 털렸다. 인원수로만 따지면 한국의 인터넷 사용자 대다수의 정보가 빠져나간 셈이었다. 해커는 SK컴즈에서 고객 데이터를 관리하는 관리하는 직원이 악성코드에 감염될 때까지 기다렸다가 SK컴즈 회원 정보를 빼갔다.

이 사건은 ‘인터넷 실명제’에 대한 비판을 다시금 일으켰고, 이듬해 인터넷 실명제의 위헌 판결을 끌어냈다. 인터넷 실명제는 정보통신망법에 있는 ’제한적 본인확인제’로, 이 제도에 따라 하루 평균 방문자 수가 10만명이 넘는 웹사이트는 본인 확인을 거쳐야 했다.

SK커뮤니케이션즈

해킹에 협박까지, 설상가상 현대캐피탈 (2011년)

2011년 1월, 해커 신 아무개 씨는 1천만원짜리 프로젝트를 제의받았다. 현대캐피탈에서 개인정보를 빼낼 수 있게 해달라는 제안이었다. 그는 해킹에 성공했다. 현대캐피탈 서버에 접속해 해킹 프로그램 ’웹셀’을 설치해, 개인정보를 빼돌릴 수 있는 웹주소를 얻었다.

신 씨에게 일을 의뢰한 허 아무개 씨와 공범 3명은 2011년 2월부터 4월 사이에 1300여회에 걸쳐서 회원 175만명의 개인정보를 빼냈다. 이들은 옥션의 회원 정보를 해킹한 일당과 마찬가지로, 현대캐피탈을 협박했다. 현대캐피탈은 그제서야 해킹 사실을 파악했고 범인들은 1억원을 받아내는 데 성공했으나, 허 씨는 2011년, 신 씨는 2013년 붙잡혔다.

현대캐피탈

신세계몰·아이러브스쿨·대명리조트·러시앤캐시 등 25곳에서 2천만건 유출(2010년)

2010년 3월, 중국 해커로부터 개인정보를 사들여 인터넷에 판매한 최 아무개 씨 등 3명이 검거됐다. 이들이 판매하던 개인정보는 신세계몰과 아이러브스쿨 등 25곳에서 유출된 것으로, 모두 2천만건이 넘었다. 인터넷에 개인정보를 팔다 적발된 채 아무개 씨는 중국 해커에게 70만원을 주고 신세계몰 등 웹사이트 7곳의 회원정보 650만명분을 샀다고 경찰에 진술했다. 신세계몰에서 나온 아이디와 비밀번호, 주민등록번호, e메일 주소, 전화번호, 집 주소는 암호화도 돼 있지 않았다.

개인정보가 공공연하게 거래된다는 사실에 국민들은 경악했다. 들끓는 여론에 개인정보보호법 발의는 탄력을 받았다. 개인정보 DB 암호화를 의무화하는 등 강력한 개인정보 보호 대책을 마련토록 하는 이 법안은 2008년 발의된 채 국회를 떠돌았는데, 이 사건으로 힘을 받아 2011년 통과됐다.

shinsegae_logo

개인정보는 DVD를 타고…GS칼텍스(2008년)

경찰청 사이버테러대응센터는 서울 역삼동 뒷골목에서 GS칼텍스 회원 1125만명의 개인정보가 담긴 CD 1장과 DVD 1장이 버려진 채 발견됐다고 2008년 9월5일 밝혔다. 민감한 개인정보가 골목에서 굴러다녔을 뿐 아니라, CD와 DVD에 저장돼 떠돌았다는 얘기다. 게다가 이 CD와 DVD에는 김형오 전 국회의장과 어청수 전 경찰청장, 이상희 전 국방부 장관 등 정부 고위 인사 개인정보까지 담겼다고 알려져 충격을 줬다.

수사 결과, 이 사건은 GS칼텍스의 외주 업체인 GS넥스테이션 직원이 벌인 일이란 사실이 밝혀졌다. 공모자는 모두 4명이었다. 이들은 고객 정보를 빼내 팔 심산이었다. 이들은 2008년 7월8일부터 20일 사이에 평소 쓰던 컴퓨터에서 GS칼텍스 회원의 이름, 주민번호, 주소, 전화번호, e메일 주소 등을 빼냈다. 변호사 사무실에 팔려고 찾아가니 ’소송을 하려면 언론에 개인정보 유출 사실이 보도돼야’ 한다는 말을 듣고선 기자에게 흘렸다. 언론보도 직후, 경찰 수사가 진행되며 이들은 덜미가 잡혔다.

개인정보 유출 사건이 외부 공격 뿐 아니라 내부 요인으로 발생할 수 있다는 걸 보여준 사건이었다. 개인정보가 판매 대상이라는 것도 새삼 일깨워 주었다.

gscaltex_logo

가입자 정보가 수익모델, 하나로텔레콤(2008년)

하나로텔레콤은 2006년부터 1년 동안 회원 51만명의 정보를 텔레마케팅 회사에 팔았다. 팔아 넘긴 정보는 초고속 인터넷 서비스 ’하나포스’ 가입자의 이름, 전화번호, 생년월일, 주소, 사용 요금 등이었다. 이 사건은 경찰이 2008년 4월 하나로텔레콤 전 대표와 임직원을 불구속 입건하면서 밝혀졌다.

법원은 하나로텔레콤이 판 정보가 상품을 안내하거나 가입자를 유치하는 데 쓰였을 뿐이라며, 하나로텔레콤의 전 부사장에게 2010년 무죄를 선고했다. 이듬해 2심에서는 1심을 뒤집고 유죄를 선고했다. 하나로텔레콤이 개인정보를 수집하고 이용한다는 동의를 회원에게 받았지만, 예상할 수 있는 수준을 넘었다는 게 이유였다. 이후 피고가 항소했지만 기각됐다. 하나로텔레콤은 2008년 SK텔레콤에 인수돼, 회사명을 SK브로드밴드로 바꿨다.

hanarotelecom_logo

주민번호 유출 사건의 시초, 옥션(2008년)

2008년 2월 국내 최대 전자상거래 웹사이트에 해킹 사건이 발생했다. 옥션은 회원정보를 파일째 도둑맞았다. 1860만명 전체 회원의 계정, 이름, 주민번호, e메일 주소, 집 주소, 전화번호가 새 나갔다. 범인으로는 중국인 해커가 지목됐다.

해커의 목적은 해킹 정보를 인질로 옥션에 돈을 뜯어내는 것이었다. 해커 일당은 회원 정보가 담긴 데이터베이스를 확보했고, 이를 가지고 옥션에 ‘해킹 사실을 알리겠다’라며 14억원을 달라고 협박했다. 중국인 용의자 3명과 한국인 용의자 2명이 검거됐지만, 이미 흘러버린 1860만명의 개인정보는 주워담을 수 없었다. 이후 한국인의 주민등록번호는 인터넷에서 건당 거래되는 ‘상품’이 됐다.

auction_logo

“아이디도 개인정보” 인식 심어준 엔씨소프트(2005년)

2005년 5월11일 온라인게임 ‘리니지2’ 회원들의 아이디와 비밀번호가 무방비로 노출됐다. 게임 서버를 판올림하며 이용자 정보를 암호화하지 않은 게 화근이었다. 접속 기록이 암호화되지 않은 채 게임에 접속한 PC에 남아 있었다. 이 사실을 안 몇몇 이용자가 PC방을 돌아다니며 다른 이용자의 아이템을 털어가는 일도 벌어졌다. 엔씨소프트가 뒤늦게 상황을 파악하고 조치를 취할 때까지 ‘리니지2’ 회원 정보는 무방비로 방치됐다. 이 기간동안 ‘리니지2’ 서버에 접속한 회원 수는 40~50만명으로 추산된다.

이때 게임에 접속한 이용자 일부가 “개인정보가 노출돼 정신적 피해를 입었다”며 엔씨소프트를 상대로 피해보상 소송을 제기했다. 이 때문에 게임 아이디와 비밀번호가 개인정보에 해당하느냐는 논쟁이 일었다. 법원은 게임 아이디도 온라인에서 개인의 인격을 대표하기 때문에 개인정보라고 판단했다. 대법원은 2009년 5월28일 원고 일부 승소 판결을 내리고 엔씨소프트에게 ‘원고 44명에게 10만원씩 배상하라’고 명령했다.

ncsoft_logo

nuribit@bloter.net

기술의 중심에서 사람을 봅니다. 쉽고 친절하게 쓰겠습니다. e메일 nuribit@bloter.net / 트위터 @nuri_bit / 페이스북 facebook.com/nuribit0