[뉴스토마토 최용식 기자] 앵커 : 어제 KT 올레닷컴의 가입자 개인정보가 대거 해킹됐다는 소식이 전해졌는데요. 최근 IT업계에서는 보안에 대한 방비가 새로운 화두로 떠오르고 있습니다.
하지만 보안 인프라가 부족한 반면 해킹기술이 고도화되면서 사태는 더욱 심각해지고 있는데요.
왜 해킹사태가 늘어나고 있는 것인지, 아울러 현실적으로 해킹사태를 줄일 수 있는 방안과 국가적 차원의 대응에 관해 IT부 최용식 기자와 만나 이야기 나누도록 하겠습니다.
최 기자. 먼저 이번 KT 해킹사태에 대해 간략히 설명해주시죠.
기자 : 예. 어제 경찰청은
KT(030200) 고객정보를 유출한 해커 2명과 이를 텔레마케팅에 이용한 업자 몇 명을 불구속 입건했습니다. 이들이 무단으로 해킹한 개인정보는 무려 870만건인데요.
숫자상으로는 얼마나 많은지 감이 잡히진 않지만 간명하게 말씀드리자면 KT 이동통신전화 가입자 반이 피해자라는 이야기입니다.
유출된 정보를 살펴보면 이름, 주민등록번호, 휴대폰 번호는 물론이고, 심지어 휴대폰 모델명, 사용요금제, 요금합계액, 기기변경일 등까지 해킹됐는데요.
지금까지 보안사고 중에서 상당히 수위가 높다고 볼 수 있겠습니다.
앞서 언급했듯이 정보를 구매한 업자들은 이를 영리활동에 이용했다고 하는데요. 예컨대 휴대폰 약정 만료일이 다가온 가입자들을 골라 기기변경을 권유하곤 했습니다.
앵커 : 작년에도 정말 많은 일들이 있었죠?
기자 : 예. 맞습니다. 지난해 7월 국내 최대 사회관계망서비스인 싸이월드가 중국발 악성코드에 의해 가입자 정보가 유출된 적이 있었습니다.
ID, 이름, 핸드폰번호, 이메일주소, 암호화된 비밀번호와 주민번호 등이 해킹됐고요. 이에 SK컴즈는 긴급 기자간담회를 열어 고객들에게 사과하는 한편 대응책을 내놓았습니다.
최고보안책임자를 사장 직속으로 승격시키고, 고객 데이터베이스에 대한 물리적 접근 차단을 추진하는 등 대응에 나섰지만 결국 ‘소 잃고 외양간 고치기’라는 비판을 피하지 못했습니다.
이후 국내 최대 게임사인 넥슨에서도 해킹사태가 터졌는데요. 인기게임 메이플스토리의 1300만명 개인정보가 유출이 된 바 있습니다.
이밖에도 옥션, GS칼텍스, 현대캐피털, EBS 등 다양한 기업들이 보안사고를 맞은 바 있습니다.
앵커 : 개인정보가 유출된다면 어떤 문제들이 발생할 수 있습니까. 단순히 해킹사태라는 말로는 실감이 나지 않는데요.
기자 : 사실 지금까지 보안사고로 인한 유출건수를 종합해보면 거의 대한민국 모든 사람들의 정보가 한번씩은 해킹됐다 말할 수 있을 것 같습니다. 모두가 피해자라고 볼 수 있고요.
해커들이 개인정보를 얻고자 하는 이유는 이들이 모두 돈이 되기 때문입니다. 대부분 바람직하지 못한 일에 쓰이곤 하는데요.
먼저 KT의 사례에서 볼 수 있듯이 기본적으로 텔레마케팅 같은 영업판촉 행위에 이용됩니다. 이밖에도 보이스피싱 같은 범죄에도 이용될 수 있고요.
더 나아가 전문가들은 금융이나 사회 인프라에 대한 사이버테러가 이뤄질 수 있다고 경고합니다.
앵커 : 상당히 심각해보이는데요. 그렇다면 이같은 해킹행위, 왜 자꾸 발생하는 것입니까.
기자 : 쉽게 생각하면 해당 기업이 부주의했기 때문에 일어난 일인데요. 사고를 낸 기업들은 당연히 많은 비판을 받아야 마땅합니다. 하지만 이는 기존 언론보도에서도 많이 나왔으니 예방 측면에서 좀 더 현실적인 접근을 하고 싶은데요.
KT나 넥슨, SK컴즈는 다들 규모가 큰 회사로서 타 기업들보다 보안에 관한 방비를 많이 합니다. 그럼에도 불구하고 이들마저 뚫리는 이유는 해킹기술이 굉장히 고도화됐기 때문이라고 말할 수 있겠습니다.
보안업체 시만텍에 따르면 하루 75만개의 신종 악성코드가 생성되고 있는데요. 현 기술로는 100% 대응이 어렵다는 것을 의미합니다.
이와 관련해 전문가들은 유수 인력들의 보안직종 회피 현상을 지적하는데요. 만약 사고가 난다면 보안담당자 개인 커리어에게는 치명적이기 때문에 애초에 지원을 하지 않는다는 것입니다.
앵커 : 그렇다면 정부에서는 해킹사태를 막기 위해 어떤 대응을 하고 있습니까.
기자 : 관련 법규를 재정하거나 혹은 개정함으로써 해킹사태를 방지하겠다는 기조입니다. 작은 기업이라 하더라도 고객정보를 보호해야할 의무를 두도록 하는 한편 보호조치 역시 기존보다 더욱 세밀한 기준을 요구하는 것입니다.
예컨대 개인정보책임자를 선임케 하거나 암호화 등 기술적 조치를 강화하는 것입니다. 아울러 불필요한 정보에 대해서는 수집을 못하도록 하는 방법도 제시하고 있습니다.
하지만 기업 입장에서는 계속 부담만 늘어나는 형국인데요. 정부에서 제시하는 보안대책 방향에 대해 불만을 토로하기도 합니다.
앵커 : 어떤 불만을 이야기하죠?
기자 : 거시적인 대책을 요구하는 목소리가 큽니다. 예컨대 현 관련 법규는 개인정보보호법과 정통망법이 동시에 있기 때문에 중복 규제라는 비판이 있고요.
좀 더 미래지향적인 대책을 바라기도 합니다. 예컨대 지금 우수한 보안인력이 점점 줄고 있는데 이들을 육성해야할 필요성을 제기하는 것이죠. 이밖에도 해킹에 방어 여력이 없는 중소기업에 대한 지원을 요구하기도 합니다.
하지만 기업에서도 지나친 고객정보 기반의 마케팅을 줄일 필요가 있고요. 보안에 대한 투자를 강화할 필요가 있다고 봅니다.