아주 프리한 한국인의 개인정보

현대캐피탈 고객정보 유출로 또다시 드러난 기업의 허술한 정보보호… 조사 대상 사이트 10% 넘게 악성코드 감염

현대캐피탈 정태영 사장은 지난 4월10일 고개를 숙였다. 해킹으로 고객 정보가 빠져나가서다. 피해 고객은 현대캐피탈의 전체 고객 180만 명 중 42만 명과 신용대출 상품인 프라임론패스 고객 1만3천 명이었다. 42만 명의 이름·주민등록번호·전화번호·주소·전자우편 주소가, 1만3천 명의 대출계좌번호·비밀번호가 외부로 유출됐다. 정 사장은 머리 숙여 “개인적으로 죄송스럽고 수치스럽다”고 말했다. “책임질 일이 있으면 책임지겠다”고도 했다.

국내 상당수 사이트 개인정보 유출 위험

현대캐피탈의 해킹 사건은 지난 2월 시작됐다. 하지만 이를 인지한 것은 개인정보가 이미 새나간 뒤였다. 현대캐피탈은 “지난 (4월)7일 오전 해킹했다며 금전을 요구하는 협박 이메일을 받았다”고 밝혔다. 협박 전까지 아무런 사실을 몰랐다는 얘기로 들린다.
고객 정보가 유출돼 머리를 조아려야 할 사람이 정 사장뿐일까? 카이스트 글로벌사이버보안연구소의 전상훈 R&D 팀장은 국내 상당수 사이트에서 개인정보가 이미 유출됐거나 유출될 위험에 처해 있다고 밝혔다. 지난 4월12일 서울 도곡동 카이스트 글로벌 사이버보안연구소에서 전 팀장은 국내 상당수 사이트가 악성코드(Malicious Code)에 감염된 사실을 보여줬다.
그가 보여준 사이트에는 몇 해 전 1천만 명이 넘는 고객 정보가 유출돼 고객에게 피해를 입힌 계열사를 둔 그룹도 있었다. 누리집에는 ‘고객 가치를 최우선으로 생각한다’는 로고가 있었다. 하지만 그 누리집을 방문한 고객은 악성코드를 내려받아야 할 처지다. 매출 순위 10위권의 국내 제약사도, 하루 방문자가 약 5만 명에 이르는 동호회도, 영화나 뮤직비디오 등을 공짜로 내려받을 수 있는 사이트도 예외는 아니었다.

» 현대캐피탈 정태영 사장이 지난 4월10일 서울 여의도동 현대캐피탈 본사에서 해킹 사건과 관련해 기자회견을 열어 고개 숙여 사과하고 있다. 연합

누리집의 악성코드는 홈페이지를 구성하는 기호로 된 소스코드에 숨겨져 있었다. 소스코드는 홈페이지 제작자 등 내부자만 변경할 수 있는데, 악성코드가 심어졌다는 것은 이미 해킹을 당했음을 뜻한다. 해커가 누리집에 담긴 개인정보를 빼내간 뒤인 것이다. 지금은 누리집을 방문하는 고객이나 회원들에게 악성코드를 전파하는 중이다. 악성코드는 별도의 경고 없이 방문하면 자동적으로 내려받아진다. PC가 악성코드에 감염되면 해커의 의도에 따라 조정당하는 ‘좀비 PC’가 되거나 금융정보 등 개인정보의 유출 위험을 안게 된다.

전상훈 팀장의 조사 대상은 구글·버라이즌 등 외국 정보통신업체가 후원하는 비영리 단체인 ‘스톱배드웨어’(www.stopbadware.org)에 감염 우려가 있다고 등록된 국내 사이트 2천여 개였다. 전 팀장은 “공공기관을 제외한 민간 부문의 2천여 개 사이트를 조사한 결과 10% 이상이 홈페이지에 악성코드가 숨겨져 있었다”며 “일부 사이트가 악성코드를 발견해 지운다고 해도 다른 사이트가 감염돼 그 정도 수치는 계속 유지되고 있다”고 말했다. 또 “홈페이지에 악성코드가 있다는 것은 오래전에 해킹을 당했다는 것이며, 누리집에 있던 개인정보는 이미 빠져나갔다고 보면 된다”며 “조사 대상을 확대할 경우 훨씬 더 많은 사이트가 감염됐을 것”이라고 말했다.

종사자 5명 이상 업체 63%, 정보보호 예산 0원

이처럼 상당수 사이트가 해킹을 당하고 개인정보가 빠져나가고 있는데도 기업들은 보안에 힘쓰지 않는다. 방송통신위원회가 최근 발표한 ‘2010년 정보보호 실태조사’를 보면 종사자 수 5명 이상의 6529개 업체를 대상으로 한 조사에서 정보보호에 돈을 투자한 기업은 전체의 36.5%에 불과했다. 나머지 63.5%는 한 푼도 투자를 안 했다. 투자한 기업도 대부분 전년 수준을 유지(77.7%)하거나 줄였다(2.4%). 전년도 같은 조사에서도 거의 같은 수(63.6%)의 기업이 정보보호에 전혀 투자하지 않았다. 이 기업들은 ‘정보보호 투자가 없는 이유’로 ‘보안사고가 거의 없어서’(65.1%)를 가장 많이 꼽았다. 다음으로 ‘정보보호에 관심이 없어서’(16.2%), ‘방법을 몰라서’(5.5%), ‘예산 부족’(4.3%) 등이 뒤를 이었다.

더욱이 상당수 금융기관들은 오히려 예산을 줄인 것으로 나타났다. 금융감독원이 한나라당 이성헌 의원에게 제출한 자료를 보면, 이번에 전산장애를 일으킨 농협은 2008년 48억여원에서 2010년 14억5천만원으로 3분의1 수준으로 줄었다. 국민은행은 같은 기간 147억여원에서 103억원으로, 외환은행은 18억여원에서 14억여원으로 줄였다. 이는 증권사와 보험회사도 마찬가지였다. 교보증권은 2008년 13억여원에서 2010년 7억여원으로, 대신증권은 15억여원에서 10억여원으로 보안예산을 줄였다. 한양증권, 솔로몬투자증권, 하나대투증권 등도 마찬가지였다. 보험사인 KB생명, 삼성화재, 흥국화재, 동양생명 등도 보안예산을 줄였다.

보안담당 인력도 빈약했다. 시중은행 가운데 보안담당 인원은 국민·산업·중소기업·농협만이 10명을 넘었고, 나머지 은행들은 10명 미만이었다. 증권사에선 하나대투증권과 이트레이드증권이 7명으로 가장 많았고 대부분 1~5명 수준이었다. 보험·카드 쪽 역시 동부화재와 BC카드를 제외하고는 10명이 채 되지 않은 상황이었다.

이에 대해 익명을 요구한 보안업계 관계자는 “보안예산이나 보안인력의 경우 투자를 해도 사고가 발생하지 않는 이상 그 효과가 입증되기 어렵다”며 “대부분의 기업들이 성과 위주의 경영을 하다 보니 보안에 신경을 쓰는 경우가 드물다”고 말했다.

정보보호관리체계(ISMS) 도입 필요

자신의 정보를 삭제하고 싶어도 가입 때와는 달리 복잡한 절차를 도입하는 경우도 있다. 방통위 관계자는 “정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 이용 목적이 끝나면 개인정보를 바로 삭제해야 하지만 이를 지키는 경우가 드물다”며 “직접 사이트를 방문한 뒤 직접 탈퇴한 뒤 삭제 요청을 해야 지워지는 경우가 많고, 이마저도 직접 회사를 방문해야만 하는 경우도 있다”고 말했다. 실제로 방통위는 지난해 I캐피탈, ㅎ캐피탈 등에 소비자의 탈퇴를 까다롭게 했다는 이유로 과징금 300만원을 부과했다.

» 국내 주요 사이트의 소스코드에 악성코드가 심어져 있는 경우가 많다. 악성코드(파란색 부분)에 감염된 사이트.

이런 상황에서 보안사고는 수시로 일어났다. 한번 일어난 사고는 그 피해자가 국민 상당수에 이른다. 2008년 인터넷 상거래 사이트인 옥션은 해킹으로 1081만 명의 이용자 정보 유출 사고를 당했다. 이어 GS칼텍스도 1125만 명의 고객 정보가 유출됐다. 지난해에도 신세계백화점(신세계몰)에서 2천만 건의 개인정보가 빠져나갔다. 지난달에는 청와대를 비롯한 국가기관과 금융회사, 주요 포털 등 40개 사이트에 대한 대규모 디도스(DDoS·분산서비스 거부) 공격으로 서버가 다운되는 등 피해가 발생했다.

한국 사회에서 통용되는 주민등록번호의 특성상 그 피해는 다른 나라보다 심각하다. 주민등록번호에는 생년월일은 물론 출신지역·성별 등 기본 정보가 담겨 있다. 더군다나 출생 때 받은 번호가 죽을 때까지 유지된다. 이런 이유로 각 사이트에서 자신도 모르는 아이디가 생성돼 있거나 메신저를 통한 피싱 사고가 빈번하다.

그래서 개인정보 보호에 대한 새로운 대책이 필요하다고 전문가들은 지적한다. 현재 정부는 2009년 개정한 ‘정보통신기반보호법’에 따라 10개 중앙부처와 126개 기반시설을 주요정보통신기반시설로 지정한 상태다. 기반시설 가운데 방송통신시설과 금융기관 등이 있다. 하지만 이번에 해킹을 당한 제2금융권은 포함돼 있지 않다. 윤창훈 건국대 교수(컴퓨터공학)는 “우선 주요정보통신기반시설 범위에 현대캐피탈을 비롯한 제2금융권 등을 포함시킬 필요가 있다”며 “아울러 현행 정보체계를 점검하는 시스템인 정보보호안전진단을 좀더 강화된 정보보호관리체계(ISMS·Information Security Management System)로 발전시킬 필요가 있다”고 말했다. ISMS는 기업의 정보보호 체계를 하나의 시스템으로 보고 총괄적인 안전을 점검하는 체계다.

인터넷 실명제가 정보보호 방해해

기술적인 보완으로도 나날이 발전하는 해킹 기술을 막기에는 역부족일 수 있다. 이 때문에 주민등록번호 등 개인정보 수집을 최소화하는 제도적 보완이 필요하다는 지적도 있다. ‘경제협력개발기구(OECD) 가이드라인’이나 ‘유엔 가이드라인’ 등에서도 개인정보 수집을 최소화해야 한다고 밝힌다. 오는 9월30일부터 시행되는 ‘개인정보보호법’도 이 원칙을 따르고 있다.

진보네트워크센터의 장여경 활동가는 “개인정보를 보호하기 위한 법 취지는 훌륭하지만 정보통신망법 등 기존 법률에서 인정하는 경우나 신용정보 조회 등을 위한 금융기관의 개인정보 수집까지는 막지 못한다”며 “법률의 취지를 살리고 개인정보 유출에 따른 피해를 막으려면 제도적 보완이 필요하다”고 말했다. 또 “굳이 필요하지 않은 사이트에서 회원 가입을 위한 주민등록번호 등을 요구하는 것을 막고, 금융기관에서도 주민등록번호 대신 다른 방법의 식별번호를 개발해야 한다”며 “주민등록번호가 유출돼 피해가 우려되는 경우에는 원하면 주민등록번호를 변경해주는 것도 대안이 될 수 있다”고 덧붙였다. 이름을 밝히지 말아달라는 정부기관의 보안전문가 역시 “필요 없는 사이트에서도 주민등록번호 등 개인정보를 요구해 해킹 위험을 키우고 있다”며 “사이트의 필요에 따라 차등적인 적용이 필요한데, 정부가 추진하는 인터넷 실명제로 인해 이를 적용하기 힘든 상황”이라고 말했다. 인터넷 실명제는 하루 방문자 10만 명이 넘는 사이트에 의견을 남기려면 실명 인증을 의무적으로 하도록 하고 있다.

이정훈 기자 ljh9242@hani.co.kr