개인정보 2000만건 또 털렸다… 중국사이트서 버젓이 유통

개인정보 2000만건 또 털렸다… 중국사이트서 버젓이 유통
중국해커, 국내 중견ㆍ중소기업 해킹… 비번까지 탈취 2ㆍ3차 피해확산 우려 

해커가 보안이 취약한 중견 중소기업을 집중적으로 해킹해 우리 국민의 개인정보 2000여만건을 탈취, 중국 인터넷 사이트에 올려 판매한 정황이 드러났다. 해킹 대상은 주로 보안 관리가 허술한 중소형 온라인 서비스 업체를 비롯해 교육, 유통, 상거래 등의 40여개 기업인 것으로 나타났다. 

24일 정부와 경찰 관계자에 따르면 최근 중국 인터넷사이트에 우리나라 국민 개인정보 2000여만건이 통째로 올라와 조사가 진행되고 있다. 방통위 측은 "40여개 중소기업 고객 정보가 탈취된 정황을 확인했으며 긴급 조사단을 구성, 파견해 상황을 조사할 예정"이라고 밝혔다. 정부는 지난해 중국 인터넷진흥원과 한국인터넷진흥원의 협약에 따라 운영하고 있는 '한중인터넷센터'를 통해 유출된 개인정보 규모와 내용을 파악하는 한편 중국 인터넷사업자들에게 우리 국민의 개인정보를 즉각 삭제해 달라고 요청한 상태다. 

이번 해킹은 해커가 단순히 개인정보를 빼돌린 것이 아니라 기업의 전산시스템을 마음대로 주무를 수 있는 '관리자 계정'을 탈취한 것으로 파악돼 사태가 심각하다. 실제로 유출된 정보 중에는 이름과 주소, 아이디는 물론 비밀번호까지 포함된 것으로 알려졌다. 비밀번호는 그간 빈발했던 대형 정보유출 사고에서도 쉽게 유출되지 않은 항목이다. 개인정보보호법이나 정보통신망이용촉진및정보보호등에관한법률(이하 망법) 등 국내법은 비밀번호에 대해 저장 자체를 따로 하도록 규정하고 일방향 암호화로 복구 자체를 불가능하게 조치하도록 권고하고 있다. 설령 비밀번호가 유출되더라도 그 값을 알아낼 수 없도록 해 2차 피해를 최소화하기 위해서다.

하지만 정보가 유출된 기업들은 보안 투자가 상대적으로 미흡하고 그 중요성에 대한 인식도 열악한 중견 중소기업이 주를 이루고 있다. 한 보안 전문가는 "비밀번호에 대한 일방향 암호화나 별도 서버 저장과 같은 조처를 하지 않았고, 이 때문에 관리자 계정 탈취 시 비밀번호라는 민감 정보까지 유출된 것으로 보인다"고 분석했다. 

정보가 유출된 것으로 추정되는 기업의 대응도 빈축을 사고 있다. 온라인 서비스 기업의 경우 망법 제27조의3에 따라 정보유출 사실을 인지한 즉시 관계기관(방송통신위원회)에 지체 없이 신고하고 고객들에게 해당 사실을 알려야 한다. 하지만 40여개 기업 중 이 사실을 고객들에게 자발적으로 알린 기업은 아직 많지 않다.

보안 전문가는 "비밀번호가 탈취된 이상 해당 사이트 가입 이용자는 즉각 비밀번호를 교체하거나, 이용률이 낮은 사이트의 경우 아예 회원 탈퇴를 하는 것이 좋다"면서 "기업 이미지 타격을 우려해 정보 유출 사실을 고객들에게 적극적으로 알리지 않는 기업은 정보를 빼낸 해커만큼이나 나쁜 기업"이라고 강하게 말했다.