1명의 해커가 수백만명에 이르는 시민 개인정보를 유출해 달아났다.
영화나 드라마 속 같은 일이 미국 남부에 있는 사우스캐롤라이나주에서 실제로 일어났다. 이 해커는 사우스캐롤라이나주 IT 부서에 침입해 360만명의 사회보장번호와 38만7천건의 신용·직불카드 번호를 훔친 뒤 사라졌다.
사우스캐롤라이나주는 460만명이 사는 도시로 미국에서 26번째로 인구가 많다. 이번 해킹으로 주민 반 이상의 개인정보가 유출된 셈이다. 게다가 해커가 훔쳐 달아난 개인 정보 중 1만6천개만 암호화돼 보관된 것으로 알려져 개인정보 유출 피해는 커질 것으로 보인다.
니키 헤일리 사우스캐롤라이나 주지사는 해킹 사실을 알아챈 10월26일(현지기준) 즉각 기자간담회를 열고 "주에 좋지 않은 일이 일어났다"라며 "유출된 개인정보 때문에 발생한 피해를 최소화하는데 노력을 기울이겠다"라고 발표했다.
사우스캐롤라이나 주 정부는 첫 해킹 시도가 8월27(현지기준)일부터 있었던 것으로 보인다고 전했다. 그 뒤 9월과 10월에 각각 추가 해킹 시도가 있었다. 그러나 해커가 어떤 수법으로 주 정부 시스템에 침입해 자료를 빼내갔는지는 자세히 알려지지 않았다.
국내에도 해킹으로 말마임은 개인정보 유출 사건이 여럿 있었다. 지난 4월에 발생한 현대캐피탈 175만명의 개인정보 유출 사건을 시작으로 SK커뮤니케이션즈 3500만명, 한국엡손 35만명, 지난 6월 EBS 422만명, KT 870만명 등 지난 1년 동안 총 5030만명의 개인정보가 유출됐다. 개인정보에 대한 경각심은 해킹 사고가 일어날 때만 생기는지, 해킹 방지를 위한 후속 대책도, 해킹 피해 접수도 시간이 지나면서 자연스레 사라진다. 정부 차원에서 논의하는 개인정보 보호 문제도 한때뿐이다.
사건 직후 사우스캐롤라이나주는 자사 시스템 보안 프로토콜을 강화했으며, 주민 피해를 접수하는 창구를 만들었다. 유출된 개인정보 때문에 카드나 세금 등 2차 피해가 발생하는 걸 막기 위해서다. 주 정보는 각종 매체를 통해 피해 사실을 확인한 주민은 연락 바란다며 광고도 했다. 여기에 그치지 않고 FBI와 손을 잡고 범인 색출 작업에 나섰다. 주지사는 사이버 보안 방지를 위한 법률을 제정해 국가적인 차원에서 사이버 보안에 대한 대비 정책을 만들겠다고 나섰다.
한 기업에서 일어난 유출과 한 정부에서 일어난 유출은 분명 그 무게가 다르다. 하지만 후속 대책은 더 꼼꼼하게 세울 수 있는 거 아닌가.
지난 26일 서울중앙지법은 KT 고객정보조회시스템에 자동 접속되는 프로그램을 이용해 870만여명의 개인정보를 무단으로 유출한 사업자와 해커에게 실형을 선고했다. 앞서 방송통신위원회는 KT 가입자 개인정보 유출사건과 관련해 현행법률에 개인정보 유출에 대한 피해보상 규정이 없는만큼 KT에게 피해보상을 명령할 계획이 없다고 밝혔다.
자신도 모르게 개인정보가 털린 870만여명에 대한 조치는 범인 실형으로 끝났다. 피해 핫 라인을 개설하고 추가 피해를 막기 위해 법률 제정에 적극 뛰어드는 사우스캐롤라이나주와 비교된다.