AD
7월 30일 (월) KT 해킹. 870만 고객 정보 유출, 뛰는 기업 위에 나는 해킹 -서울여대 정보보호학과 김명주 교수
[YTN FM 94.5 '출발 새아침'] (오전 07:00~09:00)
김갑수 앵커 (이하 앵커) : KT 휴대전화 가입자의 절반에 달하는 870만 명의 개인정보가 유출됐습니다. 경찰청 사이버테러 대응센터는 KT 전산망을 해킹해 휴대전화 가입자 정보를 빼낸 뒤 이를 전화판촉업자에게 팔아넘긴 혐의로 해커 최모 씨 등 2명을 구속했는데요. 그동안 소비자를 피곤하게 했던 이동통신사의 텔레마케팅 전화도 이렇게 유출된 정보를 통해 이뤄져 온 것이라고 하죠. 개인정보 유출사건, 자꾸 반복되는 이유와, 대책은 없는지 두루두루 알아보도록 하겠습니다. 서울여대 정보보호학과 김명주 교수 연결돼있습니다. 김 교수님?
☎ 서울여대 정보보호학과 김명주 교수 (이하 김명주) : 네, 안녕하세요.
앵커 : 이번에 870만 명의 개인정보 유출된 것에는 어떤 정보들이 담겨 있나요?
김명주 : 이동통신사에서 휴대폰 가입자들의 정보들이 대략 10여개 이상이 되는데, 핵심적인 정보들이 담겨져 있습니다. 이름, 주민등록번호는 말할 것도 없고, 휴대전화번호, 휴대전화 가입자가 사용하고 있는 휴대전화 모델, 사용요금제, 기기를 언제 변경하는지 기기변경일, 가입일시까지 다 포함이 돼 있습니다.
앵커 : 이렇게 불법적으로 빼돌린 개인정보는 시장에서 어떻게 유통되고 있나요?
김명주 : 이 정보가 통신판매회사들이죠, 대리점이라고 보통 이야기하는데 대리점으로 넘어가서 고객들이 언제 휴대전화를 바꾸는지 정보를 이용해서 휴대전화를 바꾸라고 마케팅 하는데 사용하기도 하고요. 어떤 경우에는 통신사를 바꿔서 번호이동 서비스라고 하죠, 새로 번호 이동하는 서비스를 제공해주고 상대편 통신사로부터 이득을 받는데 사용이 되기도 하고, 요금제를 변경하는 데에 사용하기도 했습니다.
앵커 : 총선 때인데 새누리당 당원 220만 명의 명부가 유출됐다, 이게 처벌까지 받은 건데, 그런데 유출된 정보를 팔았는데, 400만 원이었다고 해요, 즉 1인당 가치가 2원이라는 거예요?
김명주 : 그렇죠. 200만 명을 400만원에 팔았으니까 2원 정도가 나왔는데요. 이번에 KT 같은 경우 870만 명의 고객정보가 유출됐고, 5개월 동안 경찰추산으로 10억 원 정도의 부당이득이 제시가 됐거든요. 그 경우는 계산해보면 1인당 100원 꼴로 팔아넘겼다고 볼 수 있는데, 이 부분은 도중에 잡혔기 때문에 그렇고, 앞으로 고객정보가 어떻게 활용되는가에 따라서 더 많은 잠재적 가치가 있기 때문에 이런 경우는 1인당 얼마일까를 계산하는가가 달라질 수도 있을 것 같습니다.
앵커 : KT 홈페이지에서 직접 확인해 보니 "고객님의 정보는 유출되었으나 경찰에 의해 전량 회수조치 되었습니다."라고 하던데, 회수가 무슨 의미가 있을까요? 정보라는 게 계속 카피하면 되는 건데 말이죠?
김명주 : 네, 그렇습니다. 사건의 내용을 보면 이 사건을 저질렀던 해커죠, 주모자와 주모자에게 돈을 주고 사왔던 이용자들이죠, 9명을 전부 검거하면서 이 사람들 PC에 저장됐던 데이터나 모든 정보를 경찰이 압수를 했기 때문에 전량 회수라는 표현을 쓴 것 같아요. 하지만 이 사람들이 어떻게 다른 데에 카피를 했는지, 보통 백업이라고 하죠, 데이터를 다른 데에 저장을 해놓기 때문에 디지털 정보의 특성상 전량회수라는 게 함부로 쓸 수 있는 표현인가 의심을 해볼 수 있을 것 같습니다.
앵커 : 이런 개인정보 유출 사건이 그전에도 많았었습니다. 2008년 옥션에 1천 800만 명부터 어마어마하죠. 작년에도 SK커뮤니케이션즈 3천 500만 명 넥슨이 1천 300만 명 등 개인정보 유출 사고가 계속 있어왔는데요. 이런 일이 반복돼는 이유는 뭘까요?
김명주 : 그 이유를 크게 세 가지 정도로 꼽을 수 있을 것 같은데요. 첫 번째로 개인정보라는 게 아무래도 자본주의 사회에서는 특히 정보가 발달된 사회에서는 어떻게 활용되는지에 따라서 잠재적인 가치가 대단히 큽니다. 그러다보니까 해커나 이런 불법이윤을 추구하는 사람 입장에서는 자기 기술을 이용해서 그냥 놔둘 수 없는 아주 매력적인 대상이 되기 때문에 계속 반복되고 있고요. 또 하나는 해킹 기술도 IT 기술의 발전과 맞물려서 계속 발전하고 있습니다. 그래서 해킹 기술을 막으면 또 다른 해킹기술이 나오고 있고, 마지막으로 고객정보를 관리하고 있는 기업 입장에서 볼 때 개인정보를 유출해도 아직까지는 법적으로 큰 책임을 지지 않기 때문에 심각성을 아직 깨닫지 못해서 이런 3박자가 맞아서 앞으로도 계속 이런 개인정보 유출이 반복되지 않을까 생각됩니다.
앵커 : 지금 말씀하신 3박자 가운데 기업의 책임이 말이죠. 기업의 보안의식 투철해야 할 것 같아요. 남의 정보를 모아갖고 있는 덴데, 처벌도 신통치 않고 하니까 보안 제대로 하려면 돈도 많이 들고 하니까 보안 대충하는 것 아닙니까?
김명주 : 아무래도 기업은 이윤추구가 목적이기 때문에 이윤추구에서 필요한 비용을 최소화하려고 하는데 보안 쪽에 투자하는 부분은 눈에 보이지 않습니다. 쉽게 말해서 잘해야 본전이기 때문에 아무리 잘한다고 해도 얼마나 투자하는지 사람들이 못 느끼죠, 사건이 터져야만 기업에서 많이 투자했는지 안 했는지 느끼기 때문에 이런 의식부재에 가장 큰 문제가 있고요. 특히 이런 사건이 생겨도 기업이 계속 운영하는 데는 문제가 없다는 전례를 때문에 이런 문제가 반복되는 것 같습니다.
앵커 : 김명주 교수님 입장에서는 기업들에게 충고해 줄 말이 있을 것 같은데요. 예컨대 개인정보를 보관할 때 암호화해서 보관해야 한다든가 하는 방법도 있을 거 같은데요?
김명주 : 정보보호 기술자, 기술 전문가들이 볼 때는 방법들이 있습니다. 말씀하셨던 2008년 사건, 작년 SK커뮤니케이션 사건들이 있으면서 주로 개인정보를 보관할 때 암호화를 해서 보관하라는 가이드라인이 나오긴 했지만 실제로 암호화해서 보관하는 데에 많은 문제점이 있고요. 이번 사건 같은 경우는 암호화 문제보다는 네트워크를 통해서 정식 대리점이 아닌데도 대리점인 것처럼 해서 개인정보를 조금씩 빼낸 사건이기 때문에 기술적으로 볼 때는 회사의 기밀이 바깥으로 유출되는 것을 방지하는 기술이 있어요. 그 다음에 대리점을 인정하는 기술도 좀 더 보강해야 되지 않을까 생각합니다.
앵커 : 어쨌든 기업 측이 정보보호를 위해서 뭔가 노력을 해야겠다 싶은데 말이에요. 일이 잘못되면 책임지게끔 하는 것도 중요하잖아요. 보니까 특수절도의 경우 최고 형량 징역 10년인데, 개인정보 유출 책임에 대한 최고 형량이 5년 이하 징역, 5000만 원 이하 벌금인데, 그러면 10억 이득 올리고, 5천만 원 벌금 내겠다 이럴 수도 있어서 말이죠, 형량이 좀 약한 것이 아닌가...
김명주 : 말씀하신 것처럼 그런 의견들이 있었습니다. 이런 사건에 대해서 형사적 책임을 추궁하는 것과 민사적 책임을 추궁하는 부분을 꼽을 때 형사책임이 너무 약하다는 의견이 있는 것은 맞고요. 하지만 기업 책임자, 보안실무책임자나 담당회사 경영진들 입장에서 볼 때는 본인입장에서는 많이 투자하고 준비를 많이 했는데 그런 것 때문에 본인의 의지와 상관없이 처벌되는 것은 억울하지 않느냐는 측면이 있습니다. 그래서 기술적·관리적 보호조치를 취하면 약간의 면죄부를 주는 부분도 있고요. 형사사건은 사람마다 기준이 다르기 때문에 형량을 높여야 되지 않을까 하는 의견이 있는 것은 맞습니다. 하지만 아무래도 회사의 특성상 이윤추구가 목적이니까 이런 사건이 발생하면 기업이 더 이상 이윤추구가 불가능하다는 민사상의 조치가 실제로는 실효성이 더 클 것으로 보고 있습니다.
앵커 : 집단소송 얘기가 나오고 있는데, 과거에도 옥션, 네이트 등에서 개인정보 유출 사건이 있었는데 과거 집단 소송 결과는 어떻게 됐었나요?
김명주 : 지금 집단소송이 끝난 경우도 있고 현재 진행 중인 경우도 있습니다. SK 커뮤니케이션은 진행 중에 있고, GS 칼텍스 같은 경우 변호사를 통해서 집단소송을 낼 경우에 개인정보 유출사고에 따라서 1인당 100만원 씩 청구를 했었어요. 재판부가 소위 말해서 집단소송에서 근거가 되는 것이 정신적인 피해인데, 개인정보가 유출돼서 개인이 느끼는 정신적 피해가 그렇게 크지 않다 내지는 없다 그렇게 재판부에서 판결하는 바람에 GS칼텍스 같은 경우 0으로 판결했고요. 국민은행 개인정보 유출 판결의 경우는 300만원 청구에 20만원으로 판결이 났었습니다. 그런데 일반적으로 법원입장에서는 정신적 피해를 잘 인정하려고 하지 않고, 그런 것을 통해서 기업이 재정적 타격을 받기 때문에 아마 기업의 경영에 우선을 두고 있어서 소비자 개인의 이득은 크게 보지 않는 것 같습니다.
앵커 : 기업이나 기관의 노력 외에도 개인이 신상 정보를 보호하기 위해 주의해야 될 사항은 없을까요?
김명주 : 아시겠지만 휴대전화, 은행, 신용카드 가입하다보면 약관이 존재하지 않습니까, 약관에 보면 대부분 나의 개인정보 활용을 동의하겠다는 부분이 곳곳에 나옵니다. 그래서 약관을 잘 읽어보시고 정말 필요한 경우 아니면 동의하지 않으셔도 됩니다. 옛날에는 약관에 동의를 하지 않으면 서비스를 이용 못하게 했는데 지금 법적으로 그렇게 못하도록 돼 있거든요. 그래서 약관을 잘 읽어보시고 불필요한 경우에는 서명하지 마시고요. 또 도중에 지금처럼 텔레마케팅을 통해서 자기 개인정보를 이용하는 서비스가 들어오면 내 개인정보를 어디에서 얻었느냐 라든지 내 개인정보를 이용하지 말았으면 좋겠다는 적극적인 거부의사를 표현하는 것도 상당히 중요할 것 같습니다.
앵커 : 오늘 말씀 감사드립니다. 지금까지 서울여대 정보보호학과 김명주 교수였습니다.
[YTN FM 94.5 '출발 새아침'] (오전 07:00~09:00)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
[YTN FM 94.5 '출발 새아침'] (오전 07:00~09:00)
김갑수 앵커 (이하 앵커) : KT 휴대전화 가입자의 절반에 달하는 870만 명의 개인정보가 유출됐습니다. 경찰청 사이버테러 대응센터는 KT 전산망을 해킹해 휴대전화 가입자 정보를 빼낸 뒤 이를 전화판촉업자에게 팔아넘긴 혐의로 해커 최모 씨 등 2명을 구속했는데요. 그동안 소비자를 피곤하게 했던 이동통신사의 텔레마케팅 전화도 이렇게 유출된 정보를 통해 이뤄져 온 것이라고 하죠. 개인정보 유출사건, 자꾸 반복되는 이유와, 대책은 없는지 두루두루 알아보도록 하겠습니다. 서울여대 정보보호학과 김명주 교수 연결돼있습니다. 김 교수님?
☎ 서울여대 정보보호학과 김명주 교수 (이하 김명주) : 네, 안녕하세요.
앵커 : 이번에 870만 명의 개인정보 유출된 것에는 어떤 정보들이 담겨 있나요?
김명주 : 이동통신사에서 휴대폰 가입자들의 정보들이 대략 10여개 이상이 되는데, 핵심적인 정보들이 담겨져 있습니다. 이름, 주민등록번호는 말할 것도 없고, 휴대전화번호, 휴대전화 가입자가 사용하고 있는 휴대전화 모델, 사용요금제, 기기를 언제 변경하는지 기기변경일, 가입일시까지 다 포함이 돼 있습니다.
앵커 : 이렇게 불법적으로 빼돌린 개인정보는 시장에서 어떻게 유통되고 있나요?
김명주 : 이 정보가 통신판매회사들이죠, 대리점이라고 보통 이야기하는데 대리점으로 넘어가서 고객들이 언제 휴대전화를 바꾸는지 정보를 이용해서 휴대전화를 바꾸라고 마케팅 하는데 사용하기도 하고요. 어떤 경우에는 통신사를 바꿔서 번호이동 서비스라고 하죠, 새로 번호 이동하는 서비스를 제공해주고 상대편 통신사로부터 이득을 받는데 사용이 되기도 하고, 요금제를 변경하는 데에 사용하기도 했습니다.
앵커 : 총선 때인데 새누리당 당원 220만 명의 명부가 유출됐다, 이게 처벌까지 받은 건데, 그런데 유출된 정보를 팔았는데, 400만 원이었다고 해요, 즉 1인당 가치가 2원이라는 거예요?
김명주 : 그렇죠. 200만 명을 400만원에 팔았으니까 2원 정도가 나왔는데요. 이번에 KT 같은 경우 870만 명의 고객정보가 유출됐고, 5개월 동안 경찰추산으로 10억 원 정도의 부당이득이 제시가 됐거든요. 그 경우는 계산해보면 1인당 100원 꼴로 팔아넘겼다고 볼 수 있는데, 이 부분은 도중에 잡혔기 때문에 그렇고, 앞으로 고객정보가 어떻게 활용되는가에 따라서 더 많은 잠재적 가치가 있기 때문에 이런 경우는 1인당 얼마일까를 계산하는가가 달라질 수도 있을 것 같습니다.
앵커 : KT 홈페이지에서 직접 확인해 보니 "고객님의 정보는 유출되었으나 경찰에 의해 전량 회수조치 되었습니다."라고 하던데, 회수가 무슨 의미가 있을까요? 정보라는 게 계속 카피하면 되는 건데 말이죠?
김명주 : 네, 그렇습니다. 사건의 내용을 보면 이 사건을 저질렀던 해커죠, 주모자와 주모자에게 돈을 주고 사왔던 이용자들이죠, 9명을 전부 검거하면서 이 사람들 PC에 저장됐던 데이터나 모든 정보를 경찰이 압수를 했기 때문에 전량 회수라는 표현을 쓴 것 같아요. 하지만 이 사람들이 어떻게 다른 데에 카피를 했는지, 보통 백업이라고 하죠, 데이터를 다른 데에 저장을 해놓기 때문에 디지털 정보의 특성상 전량회수라는 게 함부로 쓸 수 있는 표현인가 의심을 해볼 수 있을 것 같습니다.
앵커 : 이런 개인정보 유출 사건이 그전에도 많았었습니다. 2008년 옥션에 1천 800만 명부터 어마어마하죠. 작년에도 SK커뮤니케이션즈 3천 500만 명 넥슨이 1천 300만 명 등 개인정보 유출 사고가 계속 있어왔는데요. 이런 일이 반복돼는 이유는 뭘까요?
김명주 : 그 이유를 크게 세 가지 정도로 꼽을 수 있을 것 같은데요. 첫 번째로 개인정보라는 게 아무래도 자본주의 사회에서는 특히 정보가 발달된 사회에서는 어떻게 활용되는지에 따라서 잠재적인 가치가 대단히 큽니다. 그러다보니까 해커나 이런 불법이윤을 추구하는 사람 입장에서는 자기 기술을 이용해서 그냥 놔둘 수 없는 아주 매력적인 대상이 되기 때문에 계속 반복되고 있고요. 또 하나는 해킹 기술도 IT 기술의 발전과 맞물려서 계속 발전하고 있습니다. 그래서 해킹 기술을 막으면 또 다른 해킹기술이 나오고 있고, 마지막으로 고객정보를 관리하고 있는 기업 입장에서 볼 때 개인정보를 유출해도 아직까지는 법적으로 큰 책임을 지지 않기 때문에 심각성을 아직 깨닫지 못해서 이런 3박자가 맞아서 앞으로도 계속 이런 개인정보 유출이 반복되지 않을까 생각됩니다.
앵커 : 지금 말씀하신 3박자 가운데 기업의 책임이 말이죠. 기업의 보안의식 투철해야 할 것 같아요. 남의 정보를 모아갖고 있는 덴데, 처벌도 신통치 않고 하니까 보안 제대로 하려면 돈도 많이 들고 하니까 보안 대충하는 것 아닙니까?
김명주 : 아무래도 기업은 이윤추구가 목적이기 때문에 이윤추구에서 필요한 비용을 최소화하려고 하는데 보안 쪽에 투자하는 부분은 눈에 보이지 않습니다. 쉽게 말해서 잘해야 본전이기 때문에 아무리 잘한다고 해도 얼마나 투자하는지 사람들이 못 느끼죠, 사건이 터져야만 기업에서 많이 투자했는지 안 했는지 느끼기 때문에 이런 의식부재에 가장 큰 문제가 있고요. 특히 이런 사건이 생겨도 기업이 계속 운영하는 데는 문제가 없다는 전례를 때문에 이런 문제가 반복되는 것 같습니다.
앵커 : 김명주 교수님 입장에서는 기업들에게 충고해 줄 말이 있을 것 같은데요. 예컨대 개인정보를 보관할 때 암호화해서 보관해야 한다든가 하는 방법도 있을 거 같은데요?
김명주 : 정보보호 기술자, 기술 전문가들이 볼 때는 방법들이 있습니다. 말씀하셨던 2008년 사건, 작년 SK커뮤니케이션 사건들이 있으면서 주로 개인정보를 보관할 때 암호화를 해서 보관하라는 가이드라인이 나오긴 했지만 실제로 암호화해서 보관하는 데에 많은 문제점이 있고요. 이번 사건 같은 경우는 암호화 문제보다는 네트워크를 통해서 정식 대리점이 아닌데도 대리점인 것처럼 해서 개인정보를 조금씩 빼낸 사건이기 때문에 기술적으로 볼 때는 회사의 기밀이 바깥으로 유출되는 것을 방지하는 기술이 있어요. 그 다음에 대리점을 인정하는 기술도 좀 더 보강해야 되지 않을까 생각합니다.
앵커 : 어쨌든 기업 측이 정보보호를 위해서 뭔가 노력을 해야겠다 싶은데 말이에요. 일이 잘못되면 책임지게끔 하는 것도 중요하잖아요. 보니까 특수절도의 경우 최고 형량 징역 10년인데, 개인정보 유출 책임에 대한 최고 형량이 5년 이하 징역, 5000만 원 이하 벌금인데, 그러면 10억 이득 올리고, 5천만 원 벌금 내겠다 이럴 수도 있어서 말이죠, 형량이 좀 약한 것이 아닌가...
김명주 : 말씀하신 것처럼 그런 의견들이 있었습니다. 이런 사건에 대해서 형사적 책임을 추궁하는 것과 민사적 책임을 추궁하는 부분을 꼽을 때 형사책임이 너무 약하다는 의견이 있는 것은 맞고요. 하지만 기업 책임자, 보안실무책임자나 담당회사 경영진들 입장에서 볼 때는 본인입장에서는 많이 투자하고 준비를 많이 했는데 그런 것 때문에 본인의 의지와 상관없이 처벌되는 것은 억울하지 않느냐는 측면이 있습니다. 그래서 기술적·관리적 보호조치를 취하면 약간의 면죄부를 주는 부분도 있고요. 형사사건은 사람마다 기준이 다르기 때문에 형량을 높여야 되지 않을까 하는 의견이 있는 것은 맞습니다. 하지만 아무래도 회사의 특성상 이윤추구가 목적이니까 이런 사건이 발생하면 기업이 더 이상 이윤추구가 불가능하다는 민사상의 조치가 실제로는 실효성이 더 클 것으로 보고 있습니다.
앵커 : 집단소송 얘기가 나오고 있는데, 과거에도 옥션, 네이트 등에서 개인정보 유출 사건이 있었는데 과거 집단 소송 결과는 어떻게 됐었나요?
김명주 : 지금 집단소송이 끝난 경우도 있고 현재 진행 중인 경우도 있습니다. SK 커뮤니케이션은 진행 중에 있고, GS 칼텍스 같은 경우 변호사를 통해서 집단소송을 낼 경우에 개인정보 유출사고에 따라서 1인당 100만원 씩 청구를 했었어요. 재판부가 소위 말해서 집단소송에서 근거가 되는 것이 정신적인 피해인데, 개인정보가 유출돼서 개인이 느끼는 정신적 피해가 그렇게 크지 않다 내지는 없다 그렇게 재판부에서 판결하는 바람에 GS칼텍스 같은 경우 0으로 판결했고요. 국민은행 개인정보 유출 판결의 경우는 300만원 청구에 20만원으로 판결이 났었습니다. 그런데 일반적으로 법원입장에서는 정신적 피해를 잘 인정하려고 하지 않고, 그런 것을 통해서 기업이 재정적 타격을 받기 때문에 아마 기업의 경영에 우선을 두고 있어서 소비자 개인의 이득은 크게 보지 않는 것 같습니다.
앵커 : 기업이나 기관의 노력 외에도 개인이 신상 정보를 보호하기 위해 주의해야 될 사항은 없을까요?
김명주 : 아시겠지만 휴대전화, 은행, 신용카드 가입하다보면 약관이 존재하지 않습니까, 약관에 보면 대부분 나의 개인정보 활용을 동의하겠다는 부분이 곳곳에 나옵니다. 그래서 약관을 잘 읽어보시고 정말 필요한 경우 아니면 동의하지 않으셔도 됩니다. 옛날에는 약관에 동의를 하지 않으면 서비스를 이용 못하게 했는데 지금 법적으로 그렇게 못하도록 돼 있거든요. 그래서 약관을 잘 읽어보시고 불필요한 경우에는 서명하지 마시고요. 또 도중에 지금처럼 텔레마케팅을 통해서 자기 개인정보를 이용하는 서비스가 들어오면 내 개인정보를 어디에서 얻었느냐 라든지 내 개인정보를 이용하지 말았으면 좋겠다는 적극적인 거부의사를 표현하는 것도 상당히 중요할 것 같습니다.
앵커 : 오늘 말씀 감사드립니다. 지금까지 서울여대 정보보호학과 김명주 교수였습니다.
[YTN FM 94.5 '출발 새아침'] (오전 07:00~09:00)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]