‘퇴사 후에도 사용 가능한 ID, 사내 관계자들의 정보 관리에 대한 안이한 의식, 어디서든 기밀 정보에 접속 가능한 시스템’
460만건에 달하는 고객 정보 유출로 일본 사회에 큰 파문을 던진 야후BB의 개인정보 유출 사건은 이같은 허술한 고객종보관리체계 때문에 일어났다고 니혼게이자이신문등 일본 언론들이 1일 일제히 보도했다.
일본 경시청에 따르면 이 사건 용의자로 체포된 K씨는 야후BB의 파견 근무자로부터 알게 된 패스워드와 ID를 이용해 지난해 6월부터 수차례에 걸쳐 야후BB의 개인정보 데이터베이스(DB)에 접속해 고객 정보를 입수했고, 이를 미끼로 돈을 요구하다 미수에 그쳤다.
경시청 조사에서 용의자 K씨는 지난해 5월 야후BB의 한 파견 근무자가 도쿄의 한 인터넷 카페에서 이 회사에 접속할 때 사용했던 패스워드와 ID를 기억해 두었다 그 다음 달부터 올 1월까지 수 차례에 걸쳐 이 회사의 정보시스템에 접속해 약 460만 건의 고객정보를 취득했다.
또 당시 야후BB 시스템은 패스워드와 ID만 알면 누구나 어디서든 자유롭게 고객정보에 접근할 수 있는 상태였던 것으로 밝혀졌다. 야후BB도 당시 정보관리에 문제가 있음을 인식하고는 있었지만 사건이 발생하기 전까지는 어떤 대책도 마련하지 않았고, 사건 직후에야 비로소 긴급히 한정된 정보관리자만 안정지대에서 정보열람을 할 수 있도록 시스템을 변경하고, 고객 정보에 상시 접속할 수 있는 사람도 3명으로 제한하는 등의 안전 조치를 취했다.
이와 관련 보안업체 락의 미와 노부오 사장은 “이같은 상황은 야후BB에만 한정된 일이 아니다”라고 지적했다. 야후BB의 고객정보 유출 건으로 체포된 용의자는 공무원 신분이 아니기 때문에 업무상 취득한 정보를 유출해도 ‘현행 관계법으로 처벌하기는 곤란’한 것으로 전해지고 있다. 이 때문에 미와 사장은 “업무를 위탁할 경우 파견업체와 파견 근무자와의 계약을 보다 철저히 하는 것은 물론이고 신뢰할 수 있는 사람에게만 일을 맡기는 것이 중요하다”고 강조했다.
한편 이번 사건이 공갈미수로 밝혀진 것과 관련해 소프트뱅크의 손정의 사장은 31일 기자회견을 갖고 “사내에 축적된 개인정보에 사외에서도 접속할 수 있는 ID나 패스워드가 퇴사 후에도 사용 가능하기 때문에 빚어진 결과”라며 개인정보 관리 체계의 미비를 인정했다.
이에 따라 개인정보 DB에 접속할 수 있는 관계자를 대폭 줄이고, 지문인증 제도도 도입하는 등 대책을 한층 강화했다고 손 사장을 밝혔다.
<명승욱기자 swmay@etnews.co.kr>