국내 양대 포털 중 하나인 다음이 고객 상담 시스템을 해킹당하는 사건이 발생했다.
최근 옥션과 주요 통신사들의 개인 정보 해킹 사건이 터진 데 이어 다음의 고객상담 시스템 해킹이 추가로 드러나면서 대형 온라인 서비스 업체의 보안 불감증이 다시 도마에 올랐다.
26일 다음커뮤니케이션과 경찰에 따르면 포털 사이트 다음의 고객상담 관리 시스템이 작년 7월께 전문 해커 A씨에게 해킹당했다. 그는 다음 고객상담 관리자의 아이디와 비밀번호를 알아내 관리자 권한을 얻은 것으로 추정된다. 다음은 고객상담 관리를 외주 업체에 맡기고 있었으나 적절한 보안시스템을 구축하지 않아 외부 IP에서 접근이 가능했다.
당시 다음은 A씨에게서 고객 정보를 외부에 팔겠다며 금품을 요구하는 협박을 받고 이를 경찰에 신고했다. 고객상담 내용에는 이용자 확인을 위해 주민등록번호 등 개인정보가 포함되는 일이 많아 당시 해커가 개인정보를 손에 넣었을 가능성은 높은 것으로 보인다. 다음 측은 “피해 가능성이 있는 이용자에게 고지, 피해를 최소화했다”며 “회원정보 데이터베이스는 안전해 다른 이용자의 피해는 전혀 없었다”고 설명했다.
지난달에는 회원 수가 1800만명에 이르는 국내 최대 오픈마켓 옥션에서 중국발 해킹이 발생, 개인정보가 유출되는 사고가 발생했고 지난주에는 KT·하나로텔레콤·LG파워콤 등 8개 국내 대형 통신업체 서버를 해킹, 개인정보 100만여건을 팔아온 일당이 검거되는 등 최근 대형 온라인 및 통신 서비스 업체의 개인정보 유출 사고가 잇따르고 있다.
이들 서비스의 회원 규모를 고려하면 실질적으로 전 국민의 개인정보가 해커의 손에 넘어가고 있는 셈이다.
이처럼 대형 개인정보 유출 사고가 잇따르면서 온라인 서비스 업체의 정보보호 대책 수준이 논란이다. 아직 정확한 수사 결과가 나오지는 않았지만 옥션은 내부 관리자가 악성코드가 심겨진 e메일을 무심코 열어본 것이 단초가 됐을 것으로 추정된다. 다음도 외부 IP에서 서버에 접근이 가능할 정도로 관리가 허술했다. 다음은 해킹 사실을 파악한 후에도 피해 가능성이 있는 일부 회원에게만 개별적으로 아이디와 비밀번호를 바꾸도록 통보하는 등 소극적으로 대응했다.
민감한 정보를 취급하는 온라인 서비스 업체 종사자부터 정보보호 인식이 부족하고 회사에서도 보안 관련 투자를 번거로운 비용으로만 인식하는 경향이 문제가 된다는 것. 그러나 최근 옥션 회원의 집단소송 움직임에서 보듯 개인정보 관련 사고는 기업 경영에 치명타가 될 수도 있는 상황이다.
또 국내 온라인 서비스가 초기부터 주민번호를 활용하는 방향으로 설계된 것이 문제라는 지적도 있다. 사이트마다 회원에게 과도한 정보를 요구하면서 민감한 개인정보가 많이 쌓이게 됐고 이를 획득해 금전적 이득을 취하려는 국내외 해커의 활동도 활발해질 수밖에 없다는 설명이다.
임종인 고려대 교수는 “사회 전체가 IT화되면서 정보보호는 사회 인프라의 문제가 됐다”며 “적절한 정보보호 대책을 마련하는 것은 기업 경영의 핵심 요소”라고 말했다.
강병준·한세희기자@전자신문, bjkang·hahn@