앞서 지난해에는 인터넷 포털사이트 네이트에서 3500만 명, 게임사이트 넥슨에서 1320만 명의 개인정보가 유출되는 사고가 발생했다. 지난해와 올해 일어난 대형 개인정보 유출 사고 피해 건수만 5690만 건. 알려지지 않은 소규모 개인정보 유출까지 합치면 셀 수 없을 정도로 많다. 이미 우리나라 국민의 개인정보가 한 번 이상은 유출됐다는 말이 나올 정도다.
이름, 주민등록번호, 전화번호, 주소는 기본이고 직장과 출신학교 등 기업이 고객으로부터 수집하는 정보는 과도하게 많고, 이를 관리하는 체계는 허술하기 때문에 이런 사고가 반복적으로 발생한다. 이번 KT 사건도 마찬가지다.
경찰청 사이버테러대응센터는 7월 29일 KT 휴대전화 가입자의 개인정보를 유출해 텔레마케팅에 활용한 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반)로 해커 최모(40) 씨 등 2명을 구속했다. 최씨 등으로부터 가입자의 개인정보를 사들여 판촉영업에 활용한 우모(36) 씨 등 업자 7명도 불구속 입건했다.
과도한 정보수집에 관리는 허술
경찰에 따르면 KT 가입자의 개인정보를 유출한 최씨 등은 5개월간 치밀하게 범죄를 저질렀다. 이들이 빼낸 정보는 약정이 끝나가는 가입자를 상대로 한 휴대전화 판매(텔레마케팅)에 사용했다. KT 가입자들이 최근 과도한 텔레마케팅 전화를 받은 이유는 이 때문이다.
전문 프로그래머 출신인 최씨 등은 KT 가입자의 개인정보를 조회할 수 있는 해킹 프로그램을 제작하고, 2월부터 범행을 시작했다. 최씨 일당의 범행은 5개월이나 지속된 후에 드러났다. 기존 해커와 다른 방식으로 접근했기 때문에 5개월이나 범행을 계속할 수 있었다.
기존에는 해킹 프로그램을 만든 범인들이 한 번에 최대한 많은 정보를 빼내려고 시도했다. 그래서 성공하든 실패하든 범행 대상이 된 기업이 그 사실을 알 수 있었다. 하지만 최씨 일당은 KT 대리점이 정보를 조회하는 것처럼 가장해 조금씩 지속적으로 정보를 빼냈다. KT 측에서 파악하기 어려웠던 이유다.
유출된 개인정보에는 이름, 주민등록번호, 휴대전화번호, 휴대전화 모델명, 요금제, 사용 금액, 기기변경일 등 핵심 정보가 대부분 포함됐다. 텔레마케팅에 활용할 수 있는 핵심 정보다. 이 때문에 개인정보를 사들인 업자들은 약정 만료일이 다가오거나 요금제 변경이 필요한 가입자만 골라 영업하는 것이 가능했다.
정석화 사이버테러대응센터 수사실장은 “해킹 프로그램 개발에만 7개월을 소요했을 정도로 치밀하게 준비했고, 해킹 방식도 상당히 높은 수준인 것으로 드러났다”고 설명했다. 경찰은 KT 과실을 조사하는 한편, SK텔레콤과 LG유플러스에도 개인정보 조회시스템 보안을 강화하라고 권고했다.
KT는 가입자 개인정보 유출 사건과 관련해 즉각 사과문을 발표했다. KT는 사과문에서 “내부보안 점검을 통해 가입자 개인정보 침해 사고를 감지하고, 즉시 수사기관에 의뢰해 경찰수사가 진행됐다”면서 “침해 사실을 신고한 후 신속히 불법 접근 시도를 차단하는 등 보안을 한층 강화하는 한편, 지속적인 감시로 피해가 더는 발생하지 않도록 조치를 완료했다”고 밝혔다. 이어 “내부 보안체계 강화와 전 직원의 보안 의식을 높여 향후 이런 일이 다시는 발생하지 않도록 최선의 노력을 다하겠다”고 강조했다.
주무부처인 방송통신위원회(이하 방통위)도 나섰다. 방통위는 KT의 과실이 있었는지와 개인정보보호 관련 위법 사항 등을 조사해 위반 사실을 적발하면 엄격히 조치하겠다고 발표했다. 관련 규정에 따라 시정명령에서부터 과징금 부과까지 이뤄질 수 있다.
실제로 개인정보 유출 사고 이후 KT는 대리점 인증시스템 교체 등을 진행했다. KT가 새로 교체하는 시스템은 불법 접속을 시도하는 대리점 현황을 파악할 수 있는 기능이 포함될 예정이다. 이번 개인정보 유출 같은 사고의 재발을 막으려는 조치로 해석된다. 방통위도 개인정보를 많이 보유한 이동통신사들에 대해 개인정보 보호체계를 개선해 적용하기로 했다.
하지만 이 같은 조치는 소 잃고 외양간 고치는 것과 다를 바 없다. 다음에 다른 기업에서 개인정보가 유출돼도 이 같은 절차를 되풀이할 것이다. 전문가들은 기업들 자체가 보안 인식을 개선할 필요가 있다고 강조한다.
2011년 7월 29일 네이트와 싸이월드 회원 약 3500만 명의 개인정보 유출 해킹사고와 관련해 향후 대책을 발표하는 주형철 SK컴즈 대표(맨 왼쪽).
시민단체도 강력한 대책이 없으면 기업들의 안이한 대처로 개인정보 유출 사고가 반복해서 일어날 것이라고 지적했다. 경제정의실천시민연합은 KT 가입자 개인정보 유출 사건에 대한 성명을 내고 △이동통신사의 주민등록번호 수집 행위 중단 △기업의 무분별한 개인정보 수집과 마케팅 이용 금지 △개인정보 유출에 따른 집단소송제도 도입, 개인정보 보호를 위한 결단 등을 요구했다.
실제로 많은 기업은 개인정보 유출 사고를 남의 일처럼 여긴다. 그러다 직접 사고를 당하고 나서야 뒤늦게 보안조치를 강화한다. KT 역시 이런 일반적인 과정을 그대로 따랐다.
전문가들은 내부통제 시스템을 강화해야 한다고 지적한다. KT 경우도 내부통제 시스템만 잘 갖췄으면 대량의 개인정보가 유출되지 않았으리라는 설명이다. 한 정보보호 분야 전문가는 “KT가 정보통신망법에서 규정한 기술적, 관리적 보호조치를 제대로 이행하지 않았을 개연성이 있다”면서 “방통위가 이 부분을 명확히 조사해야 한다”고 밝혔다.
좀 더 근본적인 해결책은 과도한 개인정보 수집을 제한하는 것이다. 8월 18일부터 시행하는 인터넷상 주민등록번호 수집 금지 조치가 대표적인 예다. 개정된 정보통신망법 시행에 따라 8월 18일부터 인터넷상 주민등록번호 사용을 제한한다. 지금까지 정보통신서비스 제공자는 이용자 동의를 얻어 주민등록번호를 수집 및 이용하거나 제삼자에게 제공할 수 있었지만, 18일부터는 온라인에서 주민등록번호 신규 수집 행위가 금지된다. 기존에 보유한 주민등록번호도 법 시행 후 2년 이내에 파기해야 한다.
전문가들은 또 수집한 개인정보를 반드시 암호화하고, 개인정보 관리 인력에 대한 철저한 교육이 중요하다고 강조한다.