거듭되는 개인정보 유출, 외양간 안 고치는 기업 탓

가 +
가 -

#1. 최근 악성코드를 이용한 APT 공격으로 인터파크 고객 정보 1030만건이 유출됐다. 인터파크 전체 가입자 수인 2100만명 절반에 가까운 숫자다. 이름과 생년월일, 휴대폰 번호, 이메일, 주소 등 각종 사용자 정보가 나도 모르는 해커에게 넘어갔다.

#2. 지난 2011년 SK커뮤니케이션즈는 네이트, 싸이월드 회원 3500여만명 개인정보가 유출됐다고 밝혔다. 중국발 IP 악성코드 공격이 원인이었다. 아이디, 비밀번호, 이름, 주민등록번호, 휴대폰 번호, 이메일 주소 등이 유출됐다.

‘소 잃고 외양간 고친다’라는 속담이 개인정보 유출 사건에는 통하지 않는 것일까.

5년이라는 시간이 흘렀을 뿐, 이번에도 사용자 정보가 털리긴 마찬가지였다. 사용자 정보가 유출된 뒤 두 기업이 보인 대응 방식은 비슷하다. 두 회사 모두 유출이 일어난 직후 수사기관에 수사를 의뢰하고, 방송통신위원회에 신고했다. 이메일과 웹사이트를 통해 해당 사건을 알리고, 고객센터를 통해 대응하는 방식을 취했다.

비단 SK커뮤니케이션즈와 인터파크만의 얘기가 아니다. 이보다 앞선 2005년엔 엔씨소프트, 2008년엔 옥션과 하나로텔레콤, GS칼렉스, 2010년엔 신세계몰, 아이러브스쿨, 대명리조트, 러시앤캐시 등 30여개가 넘는 곳에서 개인정보가 새어나갔다. 2011년엔 현대캐피탈, 2012년 EBS와 KT, 코웨이, 2013년엔 SC은행과 씨티은행이, 2014년엔 국민카드, NH농협카드, 롯데카드, 신한카드, 시티카드 등이 털렸다.

개인정보 유출 사고는 1년에 한 번은 꼭 일어난다. 지난해엔 아이핀과 뽐뿌에서 개인정보가 유출됐다. 매년 비슷한 사건 사고가 계속해서 반복되고 있다.

interpark main

개인 정보 유출, 기업의 문제인가?

정보통신망법 제2절 제28조에 따르면, 정보통신서비스 제공자가 개인정보를 취급할 때 기업정보 분실, 도난, 누출, 변조 또는 훼손을 방지하기 위해 대통령령으로 정하는 기준에 따라 기술적 관리 조처를 해야 한다.

interpark security

이런 조치를 제대로 취하고도 개인 정보가 유출됐으면, 과실이 크지 않다고 여기는 편이다. 실제로 SK커뮤니케이션즈(SK컴즈)도 지난 2011년 네이트·싸이월드 개인정보 3500만건 유출 사건과 관련해 2013년 1심 재판부로부터 개인정보가 유출된 피해자들에게 20만원씩 배상하라는 판결을 받았지만 항소심에서 뒤집혔다.

당시 SK컴즈는 1심 판결 이후 항소하면 진행된 2심에서 지난해 3월 1심 판결을 깨고 승소했다. 판결문은 “관련 법령에서 요구하는 기술적, 관리적 보호 조치를 모두 충실히 이해한 것으로 판단된다”라고 밝혔다. 법이 정하는 내용만 잘 지키면 개인 정보 유출에 대한 면죄부를 받을 수 있는 셈이다.

한 보안업계 임원은 “개인정보보호 관련 규제가 있다 보니, 해당 규제를 지킬 수 있는 정도로만 보안 정책을 유지하려는 과정에서 사건 사고가 많이 터지는 것 같다”라며 “누구를 위한 보안 정책인지를 생각하고, 법이 아닌, 돈이 아닌 측면에서 보안 정책을 세웠으면 좋겠다”라고 말했다.

다른 의견도 있다. 이번 인터파크 고객 정보 유출과 관련해 법무법인 민후 김경환 대표변호사는 “악성코드 감염은 있을 수 있지만, 악성코드 감염으로 개인 정보가 유출되는 건 다른 일”이라고 설명했다. 보안업계 관계자들은 대체로 비슷한 의견과 반응을 보였다. 보안 솔루션 기술이 발전하는 만큼, 해킹 기술도 발전하고 있다는 이유에서다.

공격 받는 것과 개인정보 유출되는 건 다른 문제

apt_trend

APT 공격 노출률.(이미지 출처 : Fireeye 2015년 보고서)

기업 환경에서 보안은 일종의 방패 역할을 한다. 모든 창을 막는 방패를 구하기란 어렵다. 어린 시절 감기 한번 걸리지 않고 자라는 아이는 드물다. 지금 이 순간에도 각 기업 환경은 크고 작은 공격을 계속 받고, 막아내고 있다.

문제는 크고 작은 공격을 받으면서 내성을 키우고 체력을 키우는 게 아니라 실제로 큰 병에 걸려 치료할 수 없는 수준에 이르는 데 있다. APT 공격이나, 랜섬웨어, 악성코드 공격을 통해서 기업 시스템 침입이 이뤄질 수 있지만, 이로 인해 개인정보 유출과 같은 피해가 발생하는 건 다른 일이라는 얘기다.

예를 들어 조선 시대 궁궐에 개구멍이 하나 만들어졌다고 하자. 이 개구멍이 만들어졌다고 해서 하루아침에 왕을 암살할 수 있는 건 아니다. 왕을 암살하려면, 개구멍뿐만 아니라 왕을 호위하고 있는 무사도 쓰러뜨려야 한다. 개구멍이 만들어졌어도 왕을 호위하는 무사들이 많거나, 개구멍에서 왕까지 접근할 수 있는 거리가 멀면 암살은 이뤄질 수 없다.

인터파크처럼 APT 공격은 기업 시스템에 침투해서 장시간 틈을 노리며 기다린 다음 데이터를 검색해서 정보를 외부로 반출하는 공격이다. 하루아침에 시작되는 공격이 아닌 만큼, 기업 입장에서는 침투당했다는 사실을 빨리 인지하고 그다음 조처를 하는 게 급선무다. 개구멍 하나로 이뤄질 암살이면, 개구멍 하나 막는다고 해서 끝날 문제가 아니다. 개구멍뿐 아니라 전반적인 궁궐 시스템 전체를 다시 정비해야 한다.

또 다른 보안업체 관계자는 “서비스 제공업체 시스템의 보안 문제가 발생한 만큼, 인프라 자체에 대한 추가적인 보안이 향상되지 않으면 똑같은 해킹 공격이 있을 수 있다”라며 “북한 소행이라고 결론을 내리고 안심하기보다는 해킹 상황 당시 추가적인 피해를 방지하는 차원에서, 지금도 충분히 예방 조치를 취해야 한다”라고 의견을 밝혔다.

개인정보 유출 당한 드롭박스와 에버노트, ‘로그인 인증’ 강화

evernote-advisory

2013년 해킹 당시 에버노트의 공지문. 모든 패스워드를 강제 재설정했다는 내용.(이미지 출처 : 에버노트 블로그)

이런 점에서 지난 2012년 해킹당한 드롭박스와 2013년 이용자 정보 데이터 해킹 공격을 받은 에버노트의 움직임을 살펴볼 필요가 있다.

드롭박스 역시 지난 2012년 사용자 이메일 명단을 포함한 문서가 해킹으로 유출된 경험이 있다. 사건 직후 드롭박스는 자사 공식 블로그를 통해 해킹 사실을 공지했다. 이어 피해 사실을 이메일로 사용자에게 알렸다. 더불어 사이트마다 서로 다른 비밀번호를 설정할 것을 당부했다. 여기까지는 우리나라와 개인정보 유출과 상황이 비슷하다.

사건 이후 드롭박스는 자사 보안 수준을 높이기 위해 암호를 휴대전화로 전송해서 일치하는지 확인하는 방식을 도입했고, 구글의 이중 인증용 앱을 활용하는 방법을 적용했다. 소 잃고 외양간 고치는 게 어떤 모습인지를 보여준 사례다.

에버노트는 한발 더 나아갔다. 에버노트는 전세계 5천만 사용자를 보유한 클라우드 메모장 서비스다. 지난 2013년 2월, 에버노트는 해킹 공격을 받았다. 그리고 혹시 있을지 모르는 고객 피해를 방지하기 위해 전 사용자의 에버노트 비밀번호를 강제로 초기화했다.

당시 론다 스콧 에버노트 대변인은 “사용자 개인 데이터를 보호하기 위해 비밀번호 초기화 조치가 불가피했다”라며 “가입 후 실제로 서비스를 이용하지 않는 사용자까지 고려해 추가 피해를 막기 위해 노력하고 있다”라고 설명했다. 실제로 사고 직후 에버노트는 추가 사고를 방지하기 위해 ‘이중인증’을 도입했다.

이중인증은 두 개의 표현을 요구하는 인증 방식이다. 아이디와 비밀번호 외 본인확인 절차를 한 단계 더 추가했다고 보면 된다. 이미 구글과 드롭박스는 일회용 비밀번호(OTP), 스마트폰 OTP를 통해 인증수단을 하나 더 추가해 서비스 중이다.

똑같은 개인정보 유출 사건이더라도 드롭박스와 에버노트가 이 사건을 대하는 모습을 눈여겨볼 필요가 있다. 드롭박스는 해킹 사고 직후 보안 강화에 나섰고, 에버노트는 자사 제품에 대한 업데이트를 시도했다.

인터파크 역시 보안 시스템 대비에 나서겠다고 밝혔다. 그러나 범인 검거에 더 집중한 탓일까. 보안취약점을 검사한 후 대책을 마련하겠다고 밝히며, 구체적인 방법은 알리지 않았다.

인터파크 측은 “보안시스템을 전면 재점검하고 있으며, KISA 및 방송통신위원회의 기술지원을 받아 당사 보안 취약점을 검사한 후 대책을 마련할 계획이다”라며 “인터파크의 경험과 인프라가 업계 최상위 수준을 갖추고 있지만, 이번 사고를 계기로 보다 강력한 수준의 보안 시스템을 적용하고 고객정보 보호를 위해 전면 개선할 것을 약속드린다”라고 밝혔다.

네티즌의견(총 7개)