KT 電算網이 해킹당해 携帶電話 加入者 870萬 名의 個人情報가 流出됐다. KT 全體 加入者 1600萬 名 中 折半이 넘는 數値다. 警察과 KT는 犯人을 檢擧하면서 流出된 個人情報를 모두 回收했다고 밝혔다. 하지만 不安은 사라지지 않는다. 住民登錄番號와 電話番號 等 重要한 情報를 모두 包含해 보이스피싱 等 2次 被害도 憂慮된다.

앞서 지난해에는 인터넷 포털사이트 네이트에서 3500萬 名, 게임사이트 넥슨에서 1320萬 名의 個人情報가 流出되는 事故가 發生했다. 지난해와 올해 일어난 大型 個人情報 流出 事故 被害 件數만 5690萬 건. 알려지지 않은 小規模 個人情報 流出까지 合치면 셀 수 없을 程度로 많다. 이미 우리나라 國民의 個人情報가 한 番 異常은 流出됐다는 말이 나올 程度다.

이름, 住民登錄番號, 電話番號, 住所는 基本이고 職場과 出身學校 等 企業이 顧客으로부터 蒐集하는 情報는 過度하게 많고, 이를 管理하는 體系는 허술하기 때문에 이런 事故가 反復的으로 發生한다. 이番 KT 事件도 마찬가지다.

警察廳 사이버테러對應센터는 7月 29日 KT 携帶電話 加入者의 個人情報를 流出해 텔레마케팅에 活用한 嫌疑(情報通信網 利用促進 및 情報保護 等에 關한 法律 違反)로 해커 崔某(40) 氏 等 2名을 拘束했다. 崔氏 等으로부터 加入者의 個人情報를 사들여 販促營業에 活用한 于某(36) 氏 等 業者 7名도 不拘束 立件했다.

過度한 情報蒐集에 管理는 허술



警察에 따르면 KT 加入者의 個人情報를 流出한 崔氏 等은 5個月間 緻密하게 犯罪를 저질렀다. 이들이 빼낸 情報는 約定이 끝나가는 加入者를 相對로 한 携帶電話 販賣(텔레마케팅)에 使用했다. KT 加入者들이 最近 過度한 텔레마케팅 電話를 받은 理由는 이 때문이다.

專門 프로그래머 出身인 崔氏 等은 KT 加入者의 個人情報를 照會할 수 있는 해킹 프로그램을 製作하고, 2月부터 犯行을 始作했다. 崔氏 一黨의 犯行은 5個月이나 持續된 後에 드러났다. 旣存 해커와 다른 方式으로 接近했기 때문에 5個月이나 犯行을 繼續할 수 있었다.

旣存에는 해킹 프로그램을 만든 犯人들이 한 番에 最大限 많은 情報를 빼내려고 試圖했다. 그래서 成功하든 失敗하든 犯行 對象이 된 企業이 그 事實을 알 수 있었다. 하지만 崔氏 日當은 KT 代理店이 情報를 照會하는 것처럼 假裝해 조금씩 持續的으로 情報를 빼냈다. KT 側에서 把握하기 어려웠던 理由다.

流出된 個人情報에는 이름, 住民登錄番號, 携帶電話番號, 携帶電話 모델名, 料金制, 使用 金額, 機器變更일 等 核心 情報가 大部分 包含됐다. 텔레마케팅에 活用할 수 있는 核心 情報다. 이 때문에 個人情報를 사들인 業者들은 約定 滿了日이 다가오거나 料金制 變更이 必要한 加入者만 골라 營業하는 것이 可能했다.

정석화 사이버테러對應센터 搜査室長은 “해킹 프로그램 開發에만 7個月을 逍遙했을 程度로 緻密하게 準備했고, 해킹 方式도 相當히 높은 水準인 것으로 드러났다”고 說明했다. 警察은 KT 過失을 調査하는 한便, SK텔레콤과 LG유플러스에도 個人情報 照會시스템 保安을 强化하라고 勸告했다.

KT는 加入者 個人情報 流出 事件과 關聯해 卽刻 謝過文을 發表했다. KT는 謝過文에서 “內部保安 點檢을 통해 加入者 個人情報 侵害 事故를 感知하고, 卽時 搜査機關에 依賴해 警察搜査가 進行됐다”면서 “侵害 事實을 申告한 後 迅速히 不法 接近 試圖를 遮斷하는 等 保安을 한層 强化하는 한便, 持續的인 監視로 被害가 더는 發生하지 않도록 措置를 完了했다”고 밝혔다. 이어 “內部 保安體系 强化와 全 職員의 保安 意識을 높여 向後 이런 일이 다시는 發生하지 않도록 最善의 努力을 다하겠다”고 强調했다.

主務部處인 放送通信委員會(以下 放通委)도 나섰다. 放通委는 KT의 過失이 있었는지와 個人情報保護 關聯 違法 事項 等을 調査해 違反 事實을 摘發하면 嚴格히 措置하겠다고 發表했다. 關聯 規定에 따라 是正命令에서부터 課徵金 賦課까지 이뤄질 수 있다.

實際로 個人情報 流出 事故 以後 KT는 代理店 認證시스템 交替 等을 進行했다. KT가 새로 交替하는 시스템은 不法 接續을 試圖하는 代理店 現況을 把握할 수 있는 機能이 包含될 豫定이다. 이番 個人情報 流出 같은 事故의 再發을 막으려는 措置로 解釋된다. 放通委度 個人情報를 많이 保有한 移動通信社들에 對해 個人情報 保護體系를 改善해 適用하기로 했다.

하지만 이 같은 措置는 蘇 잃고 외양間 고치는 것과 다를 바 없다. 다음에 다른 企業에서 個人情報가 流出돼도 이 같은 節次를 되풀이할 것이다. 專門家들은 企業들 自體가 保安 認識을 改善할 必要가 있다고 强調한다.

强力한 對策 없으면 事件 또 發生

市民團體도 强力한 對策이 없으면 企業들의 安易한 對處로 個人情報 流出 事故가 反復해서 일어날 것이라고 指摘했다. 經濟正義實踐市民聯合은 KT 加入者 個人情報 流出 事件에 對한 聲明을 내고 △移動通信社의 住民登錄番號 蒐集 行爲 中斷 △企業의 無分別한 個人情報 蒐集과 마케팅 利用 禁止 △個人情報 流出에 따른 集團訴訟制度 導入, 個人情報 保護를 위한 決斷 等을 要求했다.

實際로 많은 企業은 個人情報 流出 事故를 남의 일처럼 여긴다. 그러다 直接 事故를 當하고 나서야 뒤늦게 保安措置를 强化한다. KT 亦是 이런 一般的인 過程을 그대로 따랐다.

專門家들은 內部統制 시스템을 强化해야 한다고 指摘한다. KT 境遇도 內部統制 시스템만 잘 갖췄으면 大量의 個人情報가 流出되지 않았으리라는 說明이다. 한 情報保護 分野 專門家는 “KT가 情報通信網法에서 規定한 技術的, 管理的 保護措置를 제대로 履行하지 않았을 蓋然性이 있다”면서 “放通委가 이 部分을 明確히 調査해야 한다”고 밝혔다.

좀 더 根本的인 解決策은 過度한 個人情報 蒐集을 制限하는 것이다. 8月 18日부터 施行하는 인터넷上 住民登錄番號 蒐集 禁止 措置가 代表的인 例다. 改正된 情報通信網法 施行에 따라 8月 18日부터 인터넷上 住民登錄番號 使用을 制限한다. 只今까지 情報通信서비스 提供者는 利用者 同意를 얻어 住民登錄番號를 蒐集 및 利用하거나 第三者에게 提供할 수 있었지만, 18日부터는 온라인에서 住民登錄番號 新規 蒐集 行爲가 禁止된다. 旣存에 保有한 住民登錄番號도 法 施行 後 2年 以內에 破棄해야 한다.

專門家들은 또 蒐集韓 個人情報를 반드시 暗號化하고, 個人情報 管理 人力에 對한 徹底한 敎育이 重要하다고 强調한다.