Menu

Search

웰페어 투게더 정치 경제 사회 시사포커스 사설·칼럼

Search

예견된 ‘탈잉’ 개인정보 해킹, IT보안 ‘빨간불’

현지용 기자 l 기사입력 2019-10-08 18:06

본문듣기 트위터 아이콘

가 -가 +

사진 / 셔터스톡

 

[시사주간=현지용 기자] 재능공유 플랫폼 ‘탈잉’에서 일어난 해킹 사태가 사실상 허술한 관리·감독과 방비의 결과인 것으로 나타났다. 

 

지난달 30일 해외 IP로 탈잉 간이 서버에 신원미상의 해킹 침입이 벌어졌다. 이후 탈잉 측은 다음날인 지난 1일 법무법인에 의뢰해, 당일 오후 7시 30분께 한국인터넷진흥원(KISA)에 신고 및 해당 서버에 대한 작동 중단을 결정했다. 

 

탈잉 측은 사과문 공지를 통해 ‘개인정보 유출 사건이 발생했고, 원인은 부족했던 보안 의식’이라 밝히며 경찰청 사이버수사대에 해킹 사건 수사를 의뢰했다. 

 

탈잉 측은 추가피해를 최소화 하고자 정보유출대응 TF팀을 가동하고 전담 상담센터를 운영하며 해킹 피해 제보를 받고 있다. 하지만 38만명의 개인정보가 노출됐고 튜터 1900명의 주민등록번호, 계좌번호와 회원 3000명의 계좌번호가 해킹 침입을 당한 것으로 나타나, IT 기업들의 보안 실태가 허술하다는 지적을 피하기 어려울 것으로 보인다. 

 

사진 / 탈잉

 

탈잉 측은 8일 본지와의 통화에서 사과문, 언론 보도와 달리 “현재 수사 중인 상태라 고객정보가 유출됐다고 단정 지을 수는 없다”는 입장을 밝혔다. 탈잉 관계자는 “본 서버 과부하를 막기 위해 둔 간이 서버에 해커가 침입했다”며 “침입 후 해당 서버 내의 정보들은 해커에 의해 삭제됐으나, 그 과정에서 DB를 빼갔는지는 수사 당국으로부터 확실한 답을 듣지 못한 상태”라 답했다. 

 

이어 “수집하는 개인정보는 고객정보 등록 시 신분확인 검증이 필요한 부분(학력, 경력 등)은 검증 후 바로 파기한다. 이메일, 연락처 등 회원-고객이 사용해야할 수단은 보유하고 있다”며 “이번 침입당한 서버에 탈퇴자 정보는 없다. 현재는 사이버수사대, 법무법인, 인터넷진흥원 등 유관기관의 가이드를 따르고 있다”고 설명했다. 

 

해킹 사태 이전까지 탈잉은 해킹 방지를 위한 모니터링 인력에 서버 개발자 3명을 배치한 것이 전부인 것으로 전해졌다. 탈잉 측은 “현재 TF팀 등으로 구성해 모니터링 인력에 20명을 배치하고 있다”고 설명했다. 하지만 이번 해킹 사태에서 이용된 해킹 수법 파악이나 고객 보상 여부는 “수사 당국의 수사 결과가 끝나지 않은 상태”라는 불투명한 답변을 전했다. 

 

탈잉 측과의 인터뷰에서 드러난 점은 IT 기업의 허술한 개인정보 관리 보안 실태였다. 탈잉은 해킹시도가 이번이 처음이라 밝혔으나, 해킹 의심이 발견된 지 24시간이 지나서야 서버 중단 결정을 내렸다. 인터뷰 결과 탈잉 측은 해킹 대비 시뮬레이션은 전무한데다, 연 1회의 보안 컨설팅만을 받을 뿐, 해킹 방지를 위한 암호화 장비 등은 구비하지 않은 것으로 나타났다. 

 

이번에 해킹 침입을 당한 개인정보는 성명, 직업, 전화번호 등 개인 신상이라는 점의 문제도 크나, 무엇보다 큰 것은 계좌번호 및 주민등록번호 등 금융범죄로 악용될 가능성이 큰 민감한 정보들이 다수 포함됐다는 점이다. 민감한 개인정보들이 허술한 관리 실태에 의해 유출될 가능성을 애초부터 높이고 있었다고 볼 수 있다. 

 

사진 / 탈잉

 

참여연대에 따르면 지난 2007년부터 2017년까지 벌어진 개인정보 침해사례 44건 중 개인정보가 유출되거나 무단 활용, 제공된 건수는 60억 건이 넘는 것으로 나타났다. 특히 개인정보를 대량으로 보유한 통신, 카드, 금융 기업에서 빈번히 발생하는 것이었다. 

 

현행 개인정보보호법에 따르면 안전성 확보 조치를 하지 않아 개인정보를 분실·유출·훼손당한 자는 2년 이하의 징역 또는 2000만원 이하의 벌금을 받도록 하고 있다. 하지만 이들에 대한 감독기관의 행정제재는 매우 낮은 수준인 것으로 보인다. 참여연대는 자료에서 1억 건이 넘는 개인정보를 유출한 신용카드사들이 받은 행정처분이 과태료 600만원 수준이라 밝혔다. 사실상 솜방망이 행정제재가 개인정보 유출을 방치하고 있다는 지적이다. 

 

인터넷 보안업계 관계자 A씨는 이 같은 기업의 개인정보 유출 실태에 대해 “이미 업계에서는 기업의 허술한 보안경시 문제가 빈번한 상황”이라며 “모 기업은 형식적으로 방화벽을 놓으면서, 출입기록 시스템 구축은 보안 필요성에도 관리의 번거로움으로 거부하기도 한다”고 말했다. 

 

한 기업 또는 커뮤니티에서 해킹과 같은 사태가 벌어졌을 때, 발생하는 회원 탈퇴 움직임은 해킹에 대한 대중의 반응을 의미한다. 그럼에도 탈잉 측은 해킹 사태 이후 탈퇴한 회원 수에 대해 “파악이 필요하다”고 답했다. 

 

온라인상에는 ‘한국인의 주민등록번호는 중국 검색 포털 QQ에서 심심치 않게 검색할 수 있다’는 우스갯소리가 수년 전부터 돌아다니고 있다. ‘소 잃고 외양간 고친다’는 방식은 여전히 민감한 개인정보에는 적용되지 않고 있어, 이에 대한 전반적인 실태 점검이 필요해 보인다. SW

 

hjy@economicpost.co.kr

시사주간 현지용 취재부 기자입니다.

"미래는 타협하지 않는 오늘이 만듭니다"
트위터 페이스북 카카오톡 카카오스토리 Share on Google+ band URL복사

URL 복사
x
  • 위에의 URL을 누르면 복사하실수 있습니다.

PC버전

Copyright ⓒ 시사주간. All rights reserved.