個人情報는 公共財? 해킹으로, 或은 擔當者失手로 줄줄 새는 個人情報

東亞닷컴
入力 2023年 1月 16日 21時 08分

코멘트: 個

좋아요: 個

코멘트: 個

잊을 만하면 다시 터지는 것이 各種 온라인 서비스의 保安事故다. 特히 그 中에서도 個人情報流出은 워낙 頻繁하게 일어나 ‘現代人의 個人情報는 事實上公共財’라는 웃지 못할 弄談이 膾炙될 程度다.

最近에도 이러한 思考는 이어지고 있다. 지난 10日, LG유플러스는 自社 홈페이지 公知事項을 통해 一部顧客의 個人情報가 流出되는 事故가 일어났음을 밝혔다. 이를 통해 18萬名假量의 聲明과 生年月日, 電話番號等의 情報가 流出된 것으로 알려졌다. 事件의 原因은 아직 正確히 밝혀지지 않았으며 LG유플러스는 警察에 搜査를 依賴한 狀態다.

또한 지난 13日에는 名銜管理 서비스 ‘리멤버’에서 顧客相談에 應하는 答狀 메일을 電送하는 過程에서 다른 300餘名相談顧客들의 이메일 住所까지 露出되기도 했다. 이 亦是個人情報流出事故의 事例다.

이러한 思考는 當事者가 公開를 願하지 않는 個人情報가 第3者에게 露出되었다는 點에서는 같지만 事故의 原因이나 流出規模, 被害樣相等은 各其 다르다. 個人情報流出思考의 類型別事例 및 對應方法에 對해 살펴보자.

해킹에 依한 個人情報流出

온라인 서비스를 運營하는 大部分의 企業들은 各種保安 솔루션을 動員해 外部接近을 制限하거나, 데이터 暗號化를 통해 或是 일어날 수 있는 事故에도 顧客의 情報가 惡用되지 않는 措置를 取하고 있다. 하지만 그럼에도 不拘하고 各種惡性 코드 및 해킹 技法은 날이 갈수록 高度化 되고 있어 이를 통한 個人情報流出事故는 끊이지 않고 있다.

過去國內에서 일어난 해킹 思考中代表的인 것은 2014年 3月에 일어난 KT 홈페이지 해킹 事件이다. 이는 해커 金某氏를 비롯한 一黨 3名이 KT 홈페이지를 해킹해 約 1,200萬名에 達하는 KT 顧客의 個人情報를 流出시킨 事件이다. 이들은 이러한 手法으로 이름 및 住民登錄番號, 電話番號等의 廣範圍한 個人情報를 얻었다. 이들은 이를 통해 自身들의 텔레마케팅에 利用하거나 다른 곳에 情報를 팔아 100億臺의 賣出을 올리기도 했다.

이와 類似한 海外의 事例로는 2011年 4月, 소니의 플레이스테이션 네트워크(以下 PSN)가 해킹을 當해 顧客情報가 流出되고 서비스가 수주일間中斷된 事件이다. 이를 通해 流出된 個人情報는 1億名分에 達한 것으로 알려졌다.

이러한 해킹 事故가 일어나는 1次的理由는 서비스를 허술하게 運營하는 企業側에 있다. 앞서 紹介한 KT 홈페이지 事件의 境遇, 해커들은 顧客의 固有番號 9자리를 無作爲로 自動入力하는 프로그램을 만들어 이를 KT 홈페이지의 利用代金照會메뉴에 適用, 個人情報를 알아채는 比較的單純한 手法을 利用했다. 하지만 當時 KT 홈페이지는 이런 非正常的인 接近을 感知 및 對應할 수 있는 시스템을 갖추지 않는 等의 脆弱點을 드러냈다고 民官合同調査團은 發表한 바 있다.

또한 소니 PSN 해킹 事件의 境遇, 해커들이 소니 플레이스테이션 하드웨어의 保安脆弱點을 利用해 해킹 포인트를 알아낸 後 이를 基盤으로 해킹 作戰을 構想, 글로벌 네트워크에 侵入해 해킹에 成功한 事件으로 알려졌다. 소프트웨어 및 서비스 政策 뿐 아니라 하드웨어의 保安脆弱點까지 神經 쓰지 않으면 해킹의 被害를 벗어나기 힘들다는 것을 알 수 있다.

內部者의 故意, 或은 失手로 인한 個人情報流出

企業의 內部 시스템에 直接接近이 可能한 內部關係者의 故意的인 行爲에 依해 個人情報가 流出되는 事件도 많다. 이는 顧客의 個人情報를 팔아 넘기거나 寫眞의 事業에 利用하는 等의 方法으로 金錢的인 利得을 챙길 수 있기 때문이다. 이러한 內部者所行은 外部 해커와의 公募를 통해 이루어지기도 한다. 警察廳國家搜査本部의 昨年 11月發表에 따르면, 産業스파이 10名中 9名에 達하는 91%가 內部者였다.

또한, 該當內部者가 全혀 惡意를 가지고 있지 않았음에도 不拘하고 單純한 業務失手, 或은 사내 業務體系의 問題로 인해 顧客의 個人情報가 流出되기도 한다. 이番에 顧客의 이메일 住所를 流出한 리멤버 關聯事件도 이러한 境遇다.

이는 리멤버가 지난 5日公開한 年俸 1億以上採用公告만 모아서 提供하는 ‘리멤버 블랙’ 서비스를 出市하는 過程에서 該當 서비스의 加入을 問議하던 豫備顧客들에게 案內 메일을 보내는 過程에서 發生했다. 擔當者는 個別受信으로 答狀을 해야함에도 不拘하고 全體受信으로 메일을 發送했으며, 이를 통해 메일을 받은 豫備顧客은 300餘名에 達하는 다른 問議顧客의 이메일 住所까지 볼 수 있었다.

또한 리멤버 커뮤니티에 올라온 內容에 따르면, 一部豫備顧客은 이렇게 받은 메일에 또 다시 全體答狀으로 本人의 個人情報가 담긴 文書(勤勞契約書等)을 添附해서 보내는 境遇도 있었다. 이러한 흐름은 또 다른 個人情報流出로 이어진다.

類似한 事故로는 지난 2019年 4月, 네이버가 블로거들에게 提供하는 廣告收益共有 서비스인 ‘애드포스트’와 關聯한 個人情報流出事故가 있다. 네이버가 애드포스트 會員에게 源泉진수영水中을 發給하면서 다른 2,000餘名의 個人情報까지 다른 會員들에게 失手로 發送하는 事件이 일어났다. 이를 통해 各會員의 이름과 住所, 住民登錄番號, 애드포스트 收益額等의 情報가 流出되어 네이버는 放送通信委員會로부터 課徵金을 賦課받기도 했다.

個人情報流出에 對應하는 利用者들의 姿勢

한便, 利用者立場에서 이런 해킹이나 서비스 業體의 失手로 인한 個人情報流出事態를 막을 수 있는 方法은 많지 않다. 流出이 確認되거나 疑心되면 警察 사이버搜査隊나 韓國인터넷振興院, 放送通信委員會等에 빠르게 申告하는 것이 優先이다.

그 外에 利用하고 있는 各 사이트의 ID나 祕密番號를 모두 같은 것으로 하는 것도 고쳐야 할 習慣이다. 이 境遇, 사이트 한 곳에서 個人情報가 流出되더라도 다른 서비스까지 連달아 해킹 被害를 입을 可能性이 커진다.

이와 더불어, 出處가 不分明한 이메일이나 文字 메시지로 電送되는 URL 住所를 생각없이 클릭하는 것도 고쳐야 할 習慣이다. 이러한 URL을 통해 惡性코드를 配布하는 境遇가 많으며, 有名 서비스와 類似한 로그인 窓을 띄워 使用者 ID와 祕密番號入力을 誘導하는 피싱(phishing) 四起를 試圖하는 境遇가 적지 않기 때문이다.

勿論, 이러한 利用者들의 努力으로 被害를 줄이는 데는 限界가 분명하다. 가장 重要한 건 서비스를 提供하는 企業에서 保安政策을 强化하고 脆弱點을 最少化하는 것이라고 專門家들은 指摘하고 있다.

東亞닷컴 IT專門金榮宇記者 pengo@itdonga.com