국내 커뮤니티도 해커들의 손아귀에 있었다. 온라인 중고장터 커뮤니티인 ‘뽐뿌(PPOMPPU)’의 회원 정보가 해킹돼 다시 한 번 국내 보안 체계에 빨간불이 켜졌다.

■ 190만여개 정보 유출…늑장대응-구멍 보안 탓

11일 뽐뿌 운영진은 이날 오전 11시쯤 공지사항을 통해 “오전 1시, 사이트 보안 취약점을 이용한 해킹이 발생해 회원들의 개인정보가 유출됐다”고 밝혔다. 뽐뿌는 오후 9시 30분까지 해당 취약점을 보완한 후 한국인터넷진흥원에 피해 사실을 신고한 것으로 나타났다.

이를 통해 아이디, 비밀번호, 생년월일, 메일 주소 등 190만여건에 달하는 정보들이 빠져나간 것으로 확인됐다. 뽐뿌 측은 주민등록번호의 경우 회원 가입 시 수집하지 않아 유출되지 않았다고 전했다.

커뮤니티 해킹을 둘러싸고 일부 회원들은 운영진의 늑장 대처에 불만을 드러냈다. 해킹 사실이 밝혀진 직후 회원들은 자신의 게시물을 지우는 한편 운영진에 항의하는 글을 올리며 사태에 대한 정확한 해명을 요구했다.

그러나 운영진 측은 별도의 대책을 제시하지 않고 오히려 항의글을 삭제하면서 사태의 심각성을 키웠다.

여기에 해킹에 사용된 공격이 SQL 인젝션이라는 것이 밝혀지면서 운영진에 대한 비난 여론은 더욱 심화되고 있다. 이 공격 방법은 공격자가 주소창이나 아이디·패스워드 입력창에 특정 명령어를 입력한 후 웹사이트 서버를 제어하는 시스템이다. 방화벽, 침입방지시스템(IPS) 등을 설치하거나 사용자 입력 필터링 등의 기초적인 보안 수준만 유지하면 얼마든지 막을 수 있다는 것이다.

결국 이날 오후 뽐뿌는 홈페이지 팝업 공지를 통해 “회원님의 계정 해킹 사실이 확인돼 이에 따른 안내 및 사과의 말씀을 드린다”며 “뽐뿌와 타 사이트의 아이디·비밀번호가 동일한 경우 영문 대소문자와 특수문자, 숫자를 혼합해 8자리 이상으로 변경 부탁드린다. 뽐뿌는 문제 확산이 이루어지지 않도록 최선을 다할 것이며, 모든 수단과 방법을 강구하겠다”고 전했다.

미래창조과학부는 이번 해킹에 대한 원인을 조사하기 위해 공무원 및 민간 전문가로 구성된 민·관합동조사단과 방송통신위원회 합동팀을 운영한다고 밝혔다.

그러나 피해 회원들의 반응은 싸늘하다. 최근 몇 년간 홈페이지 해킹 사건이 일어났지만, 제대로 된 원인 규명이 이뤄지지 않았을 뿐 아니라 보상도 없었기 때문이다. 이번 사건에서도 사후약방문(死後藥方文)식 행정 처리에 대한 지적이 뒤따랐다.

■ 기업은 숨기고, 정부는 솜방망이…이용자만 피해

개인정보 유출은 그 자체만 해도 위험성이 크지만 추가 피해가 이뤄질 수 있어 심각성을 더하고 있다. 보이스피싱 등의 피해는 물론, 사기성 범죄에 악용될 가능성이 높기 때문이다. 특히 최근 몇 년간 개인정보를 해킹한 사례가 급속도로 늘어나면서 제2의 피해자가 속출하는 상황이다.

우상호 새정치민주연합 의원이 최근 방통위로부터 확보한 자료에 따르면 2011년 7월부터 2015년 7월까지 5년간 발생한 개인정보 누출사고는 총 107건으로 나타났다. 개별 개인정보 유출 건으로 분류하면 9,218만건으로 우리나라 국민 1인당 평균 2건에 달하는 피해량이다.

연도별로는 2012년 1,385만건을 기록한 이후 지난해 2,874만건으로 정점을 찍었다. 올해도 7월말까지 85만건에 달하는 개인정보 유출이 있을 정도로 사태는 악화되고 있다.

기업별로 보면 KT가 1,170만건으로 최근 1년간 개인정보 유출이 가장 많았다. 다음으로 판도라TV(745만건), 티켓몬스터(113만건), 부동산114(75만9,623건) 순으로 이어졌다.

문제는 피해 기업들이 해킹 사실을 인지하고도 이미지 악화를 우려해 사실을 은폐한다는 것이다.

2011년 7월, SK커뮤니케이션즈(SK컴즈)가 운영하는 네이트와 싸이월드가 해킹당하면서 3,500만 회원들의 주민등록번호, 이름 등이 유출됐다. 그러나 SK컴즈는 사건이 일어난지 이틀이 지나서야 사태를 파악하고 개인정보 유출 사실을 알려 논란이 된 바 있다.

티켓몬스터 역시 마찬가지다. 113만명의 개인정보를 유출당한 티켓몬스터도 지난해 이러한 사실을 밝혔지만 해킹 시점은 약 3년 전인 2011년으로 파악됐다.

관련 기관인 미래부와 방통위의 대처도 미흡하다는 지적이다.

가령 KT에선 2012년, 2014년 두 번에 걸쳐 모두 2,043만건의 개인정보가 빠져나갔지만 방통위는 그때마다 과징금 처분 수준의 징계로 사안을 정리했다. 피해자들의 개인정보 데이터가 제3국으로 팔려나가거나, 각종 범죄에 악용될 수 있다는 지적에도 보안 체계에 대한 실효성 있는 정책은 마련되지 않는 실정이다.

시민단체의 관계자는 “우리나라의 해킹 피해 사례를 보면, 정작 피해 당사자들에 대한 보상이나 대책은 전혀 이뤄지지 않음을 알 수 있다”며 “기업은 적당히 과징금으로 무마하고, 관련 기관 역시 안일한 대응으로 매년 피해를 키우고 있는 셈”이라고 말했다.

채성오기자

저작권자 © 한스경제 무단전재 및 재배포 금지