AD
스튜디오】
▶엄지민
안녕하세요. 엄지민입니다. 현상 이면에 숨겨진 사실을 좇아, 팩트추적! 지금 시작합니다.
【인트로】
[YTN 보도 (지난 4월 22일) : SK텔레콤이 해킹 공격을 받아 이용자의 유심 관련 일부 정보가 유출된 정황이 확인됐습니다.]
국내 최대 이동통신사에서 벌어진 전례 없는 유심 해킹 사고.
[손계준 변호사 / SK텔레콤 유심 해킹 집단 소송 대리인 : 우리나라 통신 역사상 최악의 보안 사고입니다.]
해킹으로 유출된 유심 정보는 2천7백만 건 정도로,
사실상 모든 가입자가 피해를 보았습니다.
[최태원 / SK텔레콤 회장 (지난 5월 7일) : 최근 SK텔레콤의 사이버 침해 사고로 고객, 국민께 불안과 불편을 초래했습니다. SK그룹을 대표해서 사과드립니다.]
업종을 가리지 않는 개인정보 유출.
[박경서(가명) / 개인정보 유출 피해자 : 아주 몇 년 전에 한두 번인가 구매했었는데 개인정보랑 생년월일까지 해서 다 유출이 됐다고….]
나도 모르게 새어나간 정보는 스미싱과 명의도용의 도구가 되고 있습니다.
[이진우(가명) / 개인정보 유출 피해자 : 잘 알고 지내는 사람이라서 (URL을) 클릭했는데 이제 그게 시발점이 된 것 같아서….]
지금 이 순간에도, 누군가
우리의 정보를 노리고 있습니다.
【스튜디오】
▶엄지민
팩트체커 김혜린 기자와 함께합니다. 김 기자, SKT 유심 해킹 사고로 전례 없는 대규모 개인정보 유출 사태가 벌어졌는데, 수습이 쉽지 않은 것 같아요?
▶김혜린
네. 한국 통신사 가운데 가장 많은 가입자를 보유한 SK텔레콤에서 사태가 벌어지면서 그 충격이 더 컸습니다.
제가 지금 들고 있는 게 유심인데요, 이 유심은 휴대전화에 끼워 쓰는 일종의 카드로, '신분증'과 같은 역할을 합니다.
가입자 전화번호나 식별번호 등 민감한 정보가 담겼는데요.
유심 정보뿐 아니라 이름, 생년월일, 전화번호, 이메일 등 가입자 개인정보가 유출됐을 가능성이 확인되면서 불안은 더욱 커졌습니다.
▶엄지민
이후로도 여러 기업에서 고객의 개인정보가 유출됐다는 보도가 자주 나오고 있는데요, 가볍게 볼 사안이 아닌 듯합니다.
▶김혜린
네, <팩트추적> 팀은 갈수록 지능화되는 해킹과 개인정보 유출이 우리 일상 속으로 깊이 파고드는 실태를 파헤쳐 봤습니다.
【 VCR - 1 】
SK텔레콤 매장 앞에 길게 늘어선 줄.
혹시나 정보 유출로 피해를 볼까 우려하는 이용자들이 유심 교체에 나선 겁니다.
[SKT 가입자 : (SK텔레콤) 40년 고객인데 너무 당황스러웠어요. 오늘 8시부터 집에서 나서서 왔는데 여기 와보니까 바로 할 수도 없고.]
[SKT 가입자 : 저뿐만 아니라 모든 사람이 상당히 불안해하고 불편하고 번거롭게 모든 시간 빼앗기고 하는 건 아닌 것 같습니다.]
지난 4월 정보 유출 사태가 불거졌을 당시
SK텔레콤 가입자는 약 2,500만 명.
[최수진 / 국민의힘 의원 : 그러면 2천500만 명 가입자가 다 털렸다는 얘기인가, 그거에 대해서는 어떻게 생각하십니까?]
[유영상 / SK텔레콤 대표이사 : 최악의 경우 그럴 수 있다고 가정하고 준비하고 있습니다.]
아직 직접적인 피해가 확인되지는 않았지만,
불안감은 좀처럼 가라앉지 않았습니다.
[조유진 / SK텔레콤 가입자 : 전혀 생각해 본 일이 아니라서 처음에는 좀 불안하더라고요. 저한테 이런 일이 생기니까. 어떤 일이든 발생할 수 있기는 하지만 (개인정보 유출이) 제 일이 되니까 굉장히 불안하더라고요.]
개인정보 유출 사고, 비단 SKT의 문제만은 아닙니다.
경쟁사인 KT와 LG유플러스 역시 이미 해킹 사고를 겪었고, 통신 3사뿐만 아니라 많은 기업이 해킹을 피하지 못했습니다.
올해 들어 4월까지 넉 달 동안 유출된 개인정보는 SK텔레콤 사례를 제외하고도 1,100만여 건이나 됩니다.
2023년 한 해 동안 유출된 건수를 이미 넘어섰고,
지난해 유출 건수에도 육박하는 수치입니다.
[김승주 / 고려대 정보보호대학원 교수 : 보안도 그렇고 개인정보 보호도 그렇고 그걸 투자로 봐야 된다. 만약에 그게 제대로 안 지켜져서 문제가 발생하면 손해를 입는 사람들도 많고 그것이 전부 다 소송으로 돌아오니까 개인 기업도 그게 부담이 될 (겁니다.) 나중에 뭐 과징금 정도 내는 거 벌금 내는 거 뭐 이런 정도 수준으로 봐서는 안 됩니다.]
【스튜디오】
▶엄지민
이번 SK텔레콤의 유심 해킹 사태, 단순히 한 통신사의 보안 사고로만 볼 문제가 아닌 것 같습니다. 이 기회에 우리 사회 사이버 보안 체계를 다시 들여다봐야 할 것 같은데요.
▶김혜린
맞습니다. 최근 공공과 민간기관 등에서 개인정보 유출 규모가 더욱 확대되고 있는데요.
지난해 개인정보 유출 신고는 총 307건이 접수됐습니다. 공공기관의 유출 신고는 104건, 민간은 203건으로 파악됐는데요. 업무 과실이나 시스템 오류가 원인인 경우도 있었지만, 주된 원인은 56%를 차지한 해킹이었습니다.
정보가 유출되는 경로도 다양합니다.
[김현석 / 안랩 제품기획본부 부장 : 기술적인 유출은 해킹 및 시스템 악성코드 감염 그리고 관리적인 유출은 내부자에 대한 유출 그리고 부주의 또는 실수 권한 설정 오류 그 외 유출은 SNS 공개 게시물이나 버려진 음성 폐기물 중고 IT 기기…. 휴대전화는 제가 만약에 중고(휴대전화를) 판매했을 때 그 정보들을 삭제하지 않고 팔면 그 정보가 (그대로) 유출되는 사례들도 있다고 보시면 될 것 같아요.]
▶김혜린
내 개인정보가 '어디서나', 또 '언제나' 유출이 가능한 상황인 건데요.
해킹으로 개인정보를 얼마나 쉽게 빼낼 수 있는지,
또 어떻게 거래되는지, 그 경로를 취재해 봤습니다.
【 VCR - 2 】
<팩트추적>팀이 한 보안업체를 통해 실제 해킹이
어떻게 이루어지는지 직접 시연해봤습니다.
'그룹웨어 비밀번호 정책 변경 알림'이라는 제목의 이메일 한 통이 도착했습니다.
사내 정보 보안 정책이 변경돼 비밀번호를 재설정해야 한다며, '비밀번호 변경 페이지'라는 부분을 강조해 놨습니다.
[이명수 / 안랩 A-FIRST팀 팀장 : 그룹웨어 비밀번호 정책 변경 알림 메일이 왔고 보안 담당자가 보낸 거니까, 비밀번호를 변경하려고 하겠죠. 악성코드는 없는데 내용을 봐야 하는데 내용이 보이지 않으니 저 버튼을 눌러야 내용을 볼 수 있다…. 저 기법을 '클릭 픽스'라고 불러요. 저거를 누르게 되면 악성코드를 동작시키는 명령 구문이 복사되고 저 구문을 따라서 사용자는 하게 되거든요.]
안내 문구대로 조작하자 '파일이 암호화됐다'는 경고와 함께 붉은색 해골 화면이 뜨며, 어떤 파일에도 접근할 수 없게 됐습니다.
[이명수 / 안랩 A-FIRST팀 팀장 : 누르셨을 때 이미 이 시스템은 랜섬웨어에 감염이 진행되고 있습니다.]
공격 대상을 지목해 해킹을 시도하는,
이른바 '스피어피싱'에 걸려든 겁니다.
이 컴퓨터에 들어 있는 각종 정보는 이제 해킹 조직의 손에 넘어갔습니다.
[이명수 / 안랩 A-FIRST팀 팀장 : 당한 사람 입장에서도 당하기가 쉬운 공격이죠. 그래서 방법적으로도 어렵지 않지만 당하는 쪽에서도 쉽게 당할 수 있어서, 이건 이메일이 출시된 이후에 지금까지 계속 이어져 오고 있는 (여전히 유효한) 방법이고요.]
이렇게 유출된 정보는 어디로 갔을까.
암호화돼 있어 특정 브라우저를 통해서만 접속할 수 있는 온라인 공간 '다크웹'입니다.
한 러시아 사이트에 접속해 'Korea'를 검색해 봤더니, 국내 한 업체가 보유하고 있던
개인정보를 판매하는 모습이 쉽게 확인됐습니다.
[정진성 / 안랩 수석연구원 : (기업과 정보 거래) 협상이 실패되거나 협상이 좀 지연되면 랜섬웨어 공격자들이 이 사이트에다가 유출된 데이터를 게시하기 시작해요.]
게시자는 해당 업체 사용자의 이름과 비밀번호, 성별, 휴대전화 번호 등이 있다며, 샘플까지 제시합니다.
용량은 200여 메가에 약 14만 줄 분량. 가격은 800에서 2,200달러였습니다.
[김현석 / 안랩 제품기획본부 부장 : 일부 공격자들은 샘플을 무료로 배포해서 품질을 보여주기도 하는 그런 과정들이 있습니다.]
이 밖에도 국내 모바일 쿠폰 회사, 대학에서 유출된 것으로 보이는 개인정보들이 판매되거나 아예 무료로 공개돼 있기도 했습니다.
다크웹에서 거래되는 가장 비싼 정보는 여권 정보로 한 건당 최소 100달러가 넘고, 신용카드 관련 정보는 건당 15달러 정도에 거래되고 있었습니다.
[정진성 / 안랩 수석연구원 : 일반적으로 이런 계정 정보들이 있잖아요. 이메일 주소 그다음에 이메일 주소에 해당하는 비밀번호 이런 계정 관련 금액은 그렇게 금액이 비싸지 않죠. 그리고 1건당 판매하는 경우는 없고 아까처럼 몇천 명 단위?]
지난 2월 기준, 다크웹에 유출된 전 세계 개인정보는 약 9백억 건으로 이 가운데 한국인 관련 정보는 4억6천만 건으로 추정됩니다.
【스튜디오】
▶엄지민
개인정보가 해킹으로 유출되는 경위나 암암리에 거래되는 모습이 충격적인데, 개인이 자기 정보가 유통됐는지 직접 다크웹에서 확인하는 건 어려울까요?
▶김혜린
네, 다크웹은 특수 브라우저를 이용해야만 접속할 수 있기 때문에 일반 검색엔진으로는 접근할 수 없습니다. 또, 악성코드 감염 위험도 높아 접속이 권장되지 않는데요,
대신 이런 답답함을 해결하기 위해 정부는 '다크웹에 유출된 내 정보 찾기' 서비스를 운영 중입니다.
이용자가 개인정보 제공에 동의한 뒤,
이메일 인증을 받고, 본인 확인을 거치면
최대 10개까지 아이디·비밀번호가 유출됐는지 확인할 수 있습니다.
▶엄지민
대부분은 피해가 발생하기 전까지 자신의 개인정보가 유출된 사실조차도 알기 힘들지 않습니까?
▶김혜린
맞습니다. 실제 피해가 일어난 뒤에야 유출됐다는 사실을 깨닫게 되는데요.
그 사례들을 살펴봤습니다.
【 VCR - 3 】
60대 이진우(가명) 씨는 지난해 5월,
주유소에서 기름을 넣고 결제하려다 신용카드 2장이 모두 사용 정지가 된 사실을 알았습니다.
대출 이자를 갚지 않았다는 것이 정지 이유였습니다.
[이진우(가명) / 개인정보 유출 피해자 : 카드가 정지됐는데 이게 뭔가 해서 물어봤더니, 이제 대출받아서 이자가 두 달 치가 연체되니까. 거기서 카드를 정지시킨 거죠. 그때 알았죠.]
이 씨도 모르게, 이진우 씨 명의로
증권사에서 실행된 1,600만 원의 신용대출.
또 다른 통장에선 현금 1,000만 원이 인출됐고,
알뜰폰이 하나 개설됐다는 사실도 뒤늦게 알게 됐습니다.
지인이 감사하다며 휴대전화 메시지로 보낸
인터넷 주소 링크를 아무 의심 없이 누른 것이 화근이었습니다.
[이현지(가명) / 개인정보 유출 피해자 딸 : 근데 그때 당시 아버지 휴대전화에 운전면허증 사진이 들어 있었어요. 대출 실행, 휴대전화 개통 (당시) 본인 확인 절차를 확인해 봤더니, 모든 게 다 운전면허증 신분증으로 본인 확인이 됐더라고요.]
지인 역시 자신의 번호가 스미싱에 악용되고 있다는 걸 모르고 있었습니다.
뒤늦게 경찰에 신고하고 추적에 나섰지만, 필리핀에 있는 것으로 추정되는 용의자의 행방은 오리무중입니다.
이 씨는 본인 확인을 제대로 하지 않고 큰돈을 대출해줬다며 증권사를 상대로 소송을 냈지만, 1심에서 패소하고 말았습니다.
[이진우(가명) / 개인정보 유출 피해자 : 내가 뭘 아무것도 못 하니까 그런 게 저한테 온다고 생각은 진짜 전혀 못 해보겠죠. 이렇게 되니까. 아 이게 한 번 한 번에 이제 잠깐의 실수 같은 게 이게 이렇게 크게….]
경서(가명) 씨는 지난해 11월, 그릇 업체에서 온 문자 메시지를 받았습니다.
경서 씨가 회원가입을 할 때 입력했던 성별과 아이디와 비밀번호, 생년월일 등 개인정보가 유출됐다는 것입니다.
[박경서(가명) / 개인정보 유출 피해자 : 막 따지기보다도 일단 전화를 먼저 했어요. 그래서 어떻게 된 거냐 그랬더니, 뭐 죄송하다 이제 뭐 그러면서 저희가 알아보고 있는 중이다… 그렇게 이야기를 하던데….]
그러더니 올해 초부터 의심스러운 일들이 생기기 시작했습니다.
신청하지도 않은 신용카드를 배송 중이라는 전화가 연이어 오기 시작한 것입니다.
상대방은 경서 씨의 생년월일을 언급하며 확인이 필요하면 특정 전화번호로 전화하라고 유도하기도 했습니다.
경서 씨가 직접 카드회사에 발급 여부를 확인하는 등 신중하게 대처해 피해를 입지는 않았지만, 기업에서 유출된 개인정보가 악용됐다는
의심을 지울 수 없습니다.
[박경서(가명) / 개인정보 유출 피해자 : 그때는 진짜 너무 화가 나는 거예요. 심증은 없고 그래 가지고 제가 ○○○측에 다시 전화를 했어요. 너네는 지금 뭘 하고 있니 그랬더니, 아직도 조사 중이라는 거예요."
해킹 피해는 비단 개인에게만 발생하지 않습니다.
사이버 보안에 취약한 중소기업과 기관도 위험에 노출될 수밖에 없습니다.
[개인정보 유출 피해 중소기업 : 이것 때문에 저희도 굉장히 많은 시간을 투자하면서 회의도 계속하고 있고 대책 활동도 하고 있고….]
대기업에 비해 보안에 투자가 빈약하다 보니, 해커들의 대상이 되고는 합니다.
[김승주 / 고려대 정보보호대학원 교수 : 회사를 협박하죠. 내가 너네 회사에서 개인정보 탈취했는데 다크웹에 올려놨으니까 확인해봐. 만약에 너희가 보관하는 정보랑 맞으면 비트코인 몇 개를 보내. 아니면 경찰에 이른다? 이런 식으로 회사를 협박하는데 쓰는 거예요.]
【스튜디오】
▶엄지민
중소·중견기업들은 아무래도 자금 사정이 넉넉하지 않다 보니까 해커들의 요구에 응할 수밖에 없을 것 같기도 합니다.
▶김혜린
네, 대기업보다 시스템 보안에 활용할 수 있는 예산이 제한적이기 때문인데요. 그래서 정부가 중소기업들이 정보보호 시스템을 구축하는데 지원을 더 확대할 필요가 있다는 목소리도 나오고 있습니다. 이외에도 제도적, 법적인 보완 대책으로 어떤 것들이 제시되고 있는지 정리해 봤습니다.
【 VCR - 4 】
[YTN 보도 (지난 5월 21일) : 법인보험대리점 2곳에서 일부 신용정보를 포함해 고객과 임직원 1천여 명의 개인정보가 유출된 것으로 확인됐습니다.]
[YTN 보도 (지난 5월 2일) : 유출된 이력서 정보는 2만 2천473건으로 이름과 휴대전화 번호, 이메일 주소 등이 포함됐다고 설명했습니다.]
[YTN 보도 (지난 4월 30일) : 이번 사고로 유출된 항목은 그룹 일부 임직원들의 회사명과 이름, 사내 업무 시스템의 계정정보, 이메일, 부서명, 직급정보 등입니다.]
지난 4월, 역대 최악의 정보 유출이라고도 불리는
SK텔레콤 사건이 불거져 경각심이 높아진 와중에도 정보 유출은 다른 기업에서도 끊임없이 반복됐습니다.
정보보호를 위한 기업들의 노력이 부족한 것은 아닐까?
지난해 정보보호 공시 기업 746곳이
정보기술에 투자한 금액은 총 35조 원.
이 가운데 정보보호에 쓰인 비중은 6.05%에 불과합니다.
2023년 6.11%보다도 소폭 줄어든 수치입니다.
미국, 독일 등 주요 선진국들의 투자 비중이
20%를 넘는 것과 비교하면 여전히 큰 격차를 보이고 있습니다.
[김승주 / 고려대 정보보호대학원 교수 : 디지털 플랫폼 정부건 아니면 전자정부건 간에 어떤 서비스를 내놓을 때 설계 단계에서부터 보안을 고려하는 보안 내재화를 해야 되는 거고 민간도 그렇게 해야 되는 거예요.]
게다가 공시 기업의 정보보호 전담 인력 35.6%는 외주 인력.
공공기관 가운데 전담 부서를 운영하는 곳도 67%뿐입니다.
이와 함께 기업들이 실질적인 사이버 보안 체계를 구축해야 한다는 목소리도 나옵니다.
기업이 개인정보보호를 위한 체계를 갖추고 있는지 인증받도록 한 제도, 즉 ISMS 제도가 운영되고 있지만, 인증 획득 기업 가운데, 2023년에는 101건, 지난해에도 96건의 정보 유출 사고가 발생하는 등 피해는 이어지고 있습니다.
SK텔레콤 역시 ISMS 인증 취득 기업이었습니다.
최소한의 보안 요건을 갖춘 보안 인증이 기업이나 기관에 '할 일을 다했다'는 마지노선으로 여겨지고, 과징금 감경 사유가 돼서는 안 된다는 지적입니다.
[김승주 / 고려대 정보보호대학원 교수 : 영국의 통신보호법은 통신사만 규제하는 법이에요. 만약에 이걸 제대로 안 따라서 문제가 생길 경우에는 전체 매출의 10%까지 과징금으로 물릴 수 있어요. 우리나라 ISMS라고 하는 것 또는 정보통신망법이라고 하는 것들은 너무 많은 기관을 대상으로 하기 때문에 수준을 높일 수가 없어요.]
이 밖에도 유출 피해자가 특정되지 않아도 모든 가입자 또는 의심자 전체를 대상으로 정보 유출 사실을 개별 통지하고, 가능한 위험 상황과 대응 방법을 안내하도록 개인정보보호법을 개정할 필요가 있다는 제안도 있습니다.
또, 개인정보 유출 피해에 대한 배상 책임을 피해자가 입증해야 하는 구조적인 한계를 개선해야 한단 목소리도 커지고 있습니다.
[박경서(가명) / 개인정보 유출 피해자 : 이제 앞으로 더 생길 거야. 없지는 않을 거란 말이지 개인정보가 너무 많이 이제 다 나가고 있는데, 속이거나 아니면 유출되거나 했을 때 페널티를 국가에서 어마어마하게 줘야 된다고 생각해요.]
【스튜디오】
▶엄지민
해킹과 개인정보 유출, 이제는 일상이 되어버린 듯한 느낌마저 듭니다.
▶김혜린
네, 취재 과정에서 들은 이야기인데요, "이제 개인정보는 공공재다"라는 우스갯소리가 있을 정도입니다. 지극히 사적인 정보들이 하도 모두가 아는 정보가 돼버린 것 같다는 현실을 씁쓸하게 드러낸 표현 같습니다.
▶엄지민
사후 대책이 아닌 사전에 예방할 수 있는 방책을 마련하는 것이 필요하다는 생각이 들었습니다.
▶김혜린
네, 개인정보가 유출되면 당장 피해가 발생하지는 않더라도 장기적으로 피해가 발생할 수 있다는 점, 그리고 한 번 발생하면 그 피해의 정도가 막대하다는 점, 항상 염두에 둬야 할 것 같습니다.
▶엄지민
오늘 팩트추적은 여기까집니다.
저희는 다음 주에도 현상 이면에 숨겨진 사실을 좇아, 시청자 여러분의 목소리에 더욱 귀 기울이겠습니다.
함께 해주셔서 감사합니다.
■YTN <팩트추적> 제보
[메일]:fact@ytn.co.kr
[전화]:02-398-8602~3
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
▶엄지민
안녕하세요. 엄지민입니다. 현상 이면에 숨겨진 사실을 좇아, 팩트추적! 지금 시작합니다.
【인트로】
[YTN 보도 (지난 4월 22일) : SK텔레콤이 해킹 공격을 받아 이용자의 유심 관련 일부 정보가 유출된 정황이 확인됐습니다.]
국내 최대 이동통신사에서 벌어진 전례 없는 유심 해킹 사고.
[손계준 변호사 / SK텔레콤 유심 해킹 집단 소송 대리인 : 우리나라 통신 역사상 최악의 보안 사고입니다.]
해킹으로 유출된 유심 정보는 2천7백만 건 정도로,
사실상 모든 가입자가 피해를 보았습니다.
[최태원 / SK텔레콤 회장 (지난 5월 7일) : 최근 SK텔레콤의 사이버 침해 사고로 고객, 국민께 불안과 불편을 초래했습니다. SK그룹을 대표해서 사과드립니다.]
업종을 가리지 않는 개인정보 유출.
[박경서(가명) / 개인정보 유출 피해자 : 아주 몇 년 전에 한두 번인가 구매했었는데 개인정보랑 생년월일까지 해서 다 유출이 됐다고….]
나도 모르게 새어나간 정보는 스미싱과 명의도용의 도구가 되고 있습니다.
[이진우(가명) / 개인정보 유출 피해자 : 잘 알고 지내는 사람이라서 (URL을) 클릭했는데 이제 그게 시발점이 된 것 같아서….]
지금 이 순간에도, 누군가
우리의 정보를 노리고 있습니다.
【스튜디오】
▶엄지민
팩트체커 김혜린 기자와 함께합니다. 김 기자, SKT 유심 해킹 사고로 전례 없는 대규모 개인정보 유출 사태가 벌어졌는데, 수습이 쉽지 않은 것 같아요?
▶김혜린
네. 한국 통신사 가운데 가장 많은 가입자를 보유한 SK텔레콤에서 사태가 벌어지면서 그 충격이 더 컸습니다.
제가 지금 들고 있는 게 유심인데요, 이 유심은 휴대전화에 끼워 쓰는 일종의 카드로, '신분증'과 같은 역할을 합니다.
가입자 전화번호나 식별번호 등 민감한 정보가 담겼는데요.
유심 정보뿐 아니라 이름, 생년월일, 전화번호, 이메일 등 가입자 개인정보가 유출됐을 가능성이 확인되면서 불안은 더욱 커졌습니다.
▶엄지민
이후로도 여러 기업에서 고객의 개인정보가 유출됐다는 보도가 자주 나오고 있는데요, 가볍게 볼 사안이 아닌 듯합니다.
▶김혜린
네, <팩트추적> 팀은 갈수록 지능화되는 해킹과 개인정보 유출이 우리 일상 속으로 깊이 파고드는 실태를 파헤쳐 봤습니다.
【 VCR - 1 】
SK텔레콤 매장 앞에 길게 늘어선 줄.
혹시나 정보 유출로 피해를 볼까 우려하는 이용자들이 유심 교체에 나선 겁니다.
[SKT 가입자 : (SK텔레콤) 40년 고객인데 너무 당황스러웠어요. 오늘 8시부터 집에서 나서서 왔는데 여기 와보니까 바로 할 수도 없고.]
[SKT 가입자 : 저뿐만 아니라 모든 사람이 상당히 불안해하고 불편하고 번거롭게 모든 시간 빼앗기고 하는 건 아닌 것 같습니다.]
지난 4월 정보 유출 사태가 불거졌을 당시
SK텔레콤 가입자는 약 2,500만 명.
[최수진 / 국민의힘 의원 : 그러면 2천500만 명 가입자가 다 털렸다는 얘기인가, 그거에 대해서는 어떻게 생각하십니까?]
[유영상 / SK텔레콤 대표이사 : 최악의 경우 그럴 수 있다고 가정하고 준비하고 있습니다.]
아직 직접적인 피해가 확인되지는 않았지만,
불안감은 좀처럼 가라앉지 않았습니다.
[조유진 / SK텔레콤 가입자 : 전혀 생각해 본 일이 아니라서 처음에는 좀 불안하더라고요. 저한테 이런 일이 생기니까. 어떤 일이든 발생할 수 있기는 하지만 (개인정보 유출이) 제 일이 되니까 굉장히 불안하더라고요.]
개인정보 유출 사고, 비단 SKT의 문제만은 아닙니다.
경쟁사인 KT와 LG유플러스 역시 이미 해킹 사고를 겪었고, 통신 3사뿐만 아니라 많은 기업이 해킹을 피하지 못했습니다.
올해 들어 4월까지 넉 달 동안 유출된 개인정보는 SK텔레콤 사례를 제외하고도 1,100만여 건이나 됩니다.
2023년 한 해 동안 유출된 건수를 이미 넘어섰고,
지난해 유출 건수에도 육박하는 수치입니다.
[김승주 / 고려대 정보보호대학원 교수 : 보안도 그렇고 개인정보 보호도 그렇고 그걸 투자로 봐야 된다. 만약에 그게 제대로 안 지켜져서 문제가 발생하면 손해를 입는 사람들도 많고 그것이 전부 다 소송으로 돌아오니까 개인 기업도 그게 부담이 될 (겁니다.) 나중에 뭐 과징금 정도 내는 거 벌금 내는 거 뭐 이런 정도 수준으로 봐서는 안 됩니다.]
【스튜디오】
▶엄지민
이번 SK텔레콤의 유심 해킹 사태, 단순히 한 통신사의 보안 사고로만 볼 문제가 아닌 것 같습니다. 이 기회에 우리 사회 사이버 보안 체계를 다시 들여다봐야 할 것 같은데요.
▶김혜린
맞습니다. 최근 공공과 민간기관 등에서 개인정보 유출 규모가 더욱 확대되고 있는데요.
지난해 개인정보 유출 신고는 총 307건이 접수됐습니다. 공공기관의 유출 신고는 104건, 민간은 203건으로 파악됐는데요. 업무 과실이나 시스템 오류가 원인인 경우도 있었지만, 주된 원인은 56%를 차지한 해킹이었습니다.
정보가 유출되는 경로도 다양합니다.
[김현석 / 안랩 제품기획본부 부장 : 기술적인 유출은 해킹 및 시스템 악성코드 감염 그리고 관리적인 유출은 내부자에 대한 유출 그리고 부주의 또는 실수 권한 설정 오류 그 외 유출은 SNS 공개 게시물이나 버려진 음성 폐기물 중고 IT 기기…. 휴대전화는 제가 만약에 중고(휴대전화를) 판매했을 때 그 정보들을 삭제하지 않고 팔면 그 정보가 (그대로) 유출되는 사례들도 있다고 보시면 될 것 같아요.]
▶김혜린
내 개인정보가 '어디서나', 또 '언제나' 유출이 가능한 상황인 건데요.
해킹으로 개인정보를 얼마나 쉽게 빼낼 수 있는지,
또 어떻게 거래되는지, 그 경로를 취재해 봤습니다.
【 VCR - 2 】
<팩트추적>팀이 한 보안업체를 통해 실제 해킹이
어떻게 이루어지는지 직접 시연해봤습니다.
'그룹웨어 비밀번호 정책 변경 알림'이라는 제목의 이메일 한 통이 도착했습니다.
사내 정보 보안 정책이 변경돼 비밀번호를 재설정해야 한다며, '비밀번호 변경 페이지'라는 부분을 강조해 놨습니다.
[이명수 / 안랩 A-FIRST팀 팀장 : 그룹웨어 비밀번호 정책 변경 알림 메일이 왔고 보안 담당자가 보낸 거니까, 비밀번호를 변경하려고 하겠죠. 악성코드는 없는데 내용을 봐야 하는데 내용이 보이지 않으니 저 버튼을 눌러야 내용을 볼 수 있다…. 저 기법을 '클릭 픽스'라고 불러요. 저거를 누르게 되면 악성코드를 동작시키는 명령 구문이 복사되고 저 구문을 따라서 사용자는 하게 되거든요.]
안내 문구대로 조작하자 '파일이 암호화됐다'는 경고와 함께 붉은색 해골 화면이 뜨며, 어떤 파일에도 접근할 수 없게 됐습니다.
[이명수 / 안랩 A-FIRST팀 팀장 : 누르셨을 때 이미 이 시스템은 랜섬웨어에 감염이 진행되고 있습니다.]
공격 대상을 지목해 해킹을 시도하는,
이른바 '스피어피싱'에 걸려든 겁니다.
이 컴퓨터에 들어 있는 각종 정보는 이제 해킹 조직의 손에 넘어갔습니다.
[이명수 / 안랩 A-FIRST팀 팀장 : 당한 사람 입장에서도 당하기가 쉬운 공격이죠. 그래서 방법적으로도 어렵지 않지만 당하는 쪽에서도 쉽게 당할 수 있어서, 이건 이메일이 출시된 이후에 지금까지 계속 이어져 오고 있는 (여전히 유효한) 방법이고요.]
이렇게 유출된 정보는 어디로 갔을까.
암호화돼 있어 특정 브라우저를 통해서만 접속할 수 있는 온라인 공간 '다크웹'입니다.
한 러시아 사이트에 접속해 'Korea'를 검색해 봤더니, 국내 한 업체가 보유하고 있던
개인정보를 판매하는 모습이 쉽게 확인됐습니다.
[정진성 / 안랩 수석연구원 : (기업과 정보 거래) 협상이 실패되거나 협상이 좀 지연되면 랜섬웨어 공격자들이 이 사이트에다가 유출된 데이터를 게시하기 시작해요.]
게시자는 해당 업체 사용자의 이름과 비밀번호, 성별, 휴대전화 번호 등이 있다며, 샘플까지 제시합니다.
용량은 200여 메가에 약 14만 줄 분량. 가격은 800에서 2,200달러였습니다.
[김현석 / 안랩 제품기획본부 부장 : 일부 공격자들은 샘플을 무료로 배포해서 품질을 보여주기도 하는 그런 과정들이 있습니다.]
이 밖에도 국내 모바일 쿠폰 회사, 대학에서 유출된 것으로 보이는 개인정보들이 판매되거나 아예 무료로 공개돼 있기도 했습니다.
다크웹에서 거래되는 가장 비싼 정보는 여권 정보로 한 건당 최소 100달러가 넘고, 신용카드 관련 정보는 건당 15달러 정도에 거래되고 있었습니다.
[정진성 / 안랩 수석연구원 : 일반적으로 이런 계정 정보들이 있잖아요. 이메일 주소 그다음에 이메일 주소에 해당하는 비밀번호 이런 계정 관련 금액은 그렇게 금액이 비싸지 않죠. 그리고 1건당 판매하는 경우는 없고 아까처럼 몇천 명 단위?]
지난 2월 기준, 다크웹에 유출된 전 세계 개인정보는 약 9백억 건으로 이 가운데 한국인 관련 정보는 4억6천만 건으로 추정됩니다.
【스튜디오】
▶엄지민
개인정보가 해킹으로 유출되는 경위나 암암리에 거래되는 모습이 충격적인데, 개인이 자기 정보가 유통됐는지 직접 다크웹에서 확인하는 건 어려울까요?
▶김혜린
네, 다크웹은 특수 브라우저를 이용해야만 접속할 수 있기 때문에 일반 검색엔진으로는 접근할 수 없습니다. 또, 악성코드 감염 위험도 높아 접속이 권장되지 않는데요,
대신 이런 답답함을 해결하기 위해 정부는 '다크웹에 유출된 내 정보 찾기' 서비스를 운영 중입니다.
이용자가 개인정보 제공에 동의한 뒤,
이메일 인증을 받고, 본인 확인을 거치면
최대 10개까지 아이디·비밀번호가 유출됐는지 확인할 수 있습니다.
▶엄지민
대부분은 피해가 발생하기 전까지 자신의 개인정보가 유출된 사실조차도 알기 힘들지 않습니까?
▶김혜린
맞습니다. 실제 피해가 일어난 뒤에야 유출됐다는 사실을 깨닫게 되는데요.
그 사례들을 살펴봤습니다.
【 VCR - 3 】
60대 이진우(가명) 씨는 지난해 5월,
주유소에서 기름을 넣고 결제하려다 신용카드 2장이 모두 사용 정지가 된 사실을 알았습니다.
대출 이자를 갚지 않았다는 것이 정지 이유였습니다.
[이진우(가명) / 개인정보 유출 피해자 : 카드가 정지됐는데 이게 뭔가 해서 물어봤더니, 이제 대출받아서 이자가 두 달 치가 연체되니까. 거기서 카드를 정지시킨 거죠. 그때 알았죠.]
이 씨도 모르게, 이진우 씨 명의로
증권사에서 실행된 1,600만 원의 신용대출.
또 다른 통장에선 현금 1,000만 원이 인출됐고,
알뜰폰이 하나 개설됐다는 사실도 뒤늦게 알게 됐습니다.
지인이 감사하다며 휴대전화 메시지로 보낸
인터넷 주소 링크를 아무 의심 없이 누른 것이 화근이었습니다.
[이현지(가명) / 개인정보 유출 피해자 딸 : 근데 그때 당시 아버지 휴대전화에 운전면허증 사진이 들어 있었어요. 대출 실행, 휴대전화 개통 (당시) 본인 확인 절차를 확인해 봤더니, 모든 게 다 운전면허증 신분증으로 본인 확인이 됐더라고요.]
지인 역시 자신의 번호가 스미싱에 악용되고 있다는 걸 모르고 있었습니다.
뒤늦게 경찰에 신고하고 추적에 나섰지만, 필리핀에 있는 것으로 추정되는 용의자의 행방은 오리무중입니다.
이 씨는 본인 확인을 제대로 하지 않고 큰돈을 대출해줬다며 증권사를 상대로 소송을 냈지만, 1심에서 패소하고 말았습니다.
[이진우(가명) / 개인정보 유출 피해자 : 내가 뭘 아무것도 못 하니까 그런 게 저한테 온다고 생각은 진짜 전혀 못 해보겠죠. 이렇게 되니까. 아 이게 한 번 한 번에 이제 잠깐의 실수 같은 게 이게 이렇게 크게….]
경서(가명) 씨는 지난해 11월, 그릇 업체에서 온 문자 메시지를 받았습니다.
경서 씨가 회원가입을 할 때 입력했던 성별과 아이디와 비밀번호, 생년월일 등 개인정보가 유출됐다는 것입니다.
[박경서(가명) / 개인정보 유출 피해자 : 막 따지기보다도 일단 전화를 먼저 했어요. 그래서 어떻게 된 거냐 그랬더니, 뭐 죄송하다 이제 뭐 그러면서 저희가 알아보고 있는 중이다… 그렇게 이야기를 하던데….]
그러더니 올해 초부터 의심스러운 일들이 생기기 시작했습니다.
신청하지도 않은 신용카드를 배송 중이라는 전화가 연이어 오기 시작한 것입니다.
상대방은 경서 씨의 생년월일을 언급하며 확인이 필요하면 특정 전화번호로 전화하라고 유도하기도 했습니다.
경서 씨가 직접 카드회사에 발급 여부를 확인하는 등 신중하게 대처해 피해를 입지는 않았지만, 기업에서 유출된 개인정보가 악용됐다는
의심을 지울 수 없습니다.
[박경서(가명) / 개인정보 유출 피해자 : 그때는 진짜 너무 화가 나는 거예요. 심증은 없고 그래 가지고 제가 ○○○측에 다시 전화를 했어요. 너네는 지금 뭘 하고 있니 그랬더니, 아직도 조사 중이라는 거예요."
해킹 피해는 비단 개인에게만 발생하지 않습니다.
사이버 보안에 취약한 중소기업과 기관도 위험에 노출될 수밖에 없습니다.
[개인정보 유출 피해 중소기업 : 이것 때문에 저희도 굉장히 많은 시간을 투자하면서 회의도 계속하고 있고 대책 활동도 하고 있고….]
대기업에 비해 보안에 투자가 빈약하다 보니, 해커들의 대상이 되고는 합니다.
[김승주 / 고려대 정보보호대학원 교수 : 회사를 협박하죠. 내가 너네 회사에서 개인정보 탈취했는데 다크웹에 올려놨으니까 확인해봐. 만약에 너희가 보관하는 정보랑 맞으면 비트코인 몇 개를 보내. 아니면 경찰에 이른다? 이런 식으로 회사를 협박하는데 쓰는 거예요.]
【스튜디오】
▶엄지민
중소·중견기업들은 아무래도 자금 사정이 넉넉하지 않다 보니까 해커들의 요구에 응할 수밖에 없을 것 같기도 합니다.
▶김혜린
네, 대기업보다 시스템 보안에 활용할 수 있는 예산이 제한적이기 때문인데요. 그래서 정부가 중소기업들이 정보보호 시스템을 구축하는데 지원을 더 확대할 필요가 있다는 목소리도 나오고 있습니다. 이외에도 제도적, 법적인 보완 대책으로 어떤 것들이 제시되고 있는지 정리해 봤습니다.
【 VCR - 4 】
[YTN 보도 (지난 5월 21일) : 법인보험대리점 2곳에서 일부 신용정보를 포함해 고객과 임직원 1천여 명의 개인정보가 유출된 것으로 확인됐습니다.]
[YTN 보도 (지난 5월 2일) : 유출된 이력서 정보는 2만 2천473건으로 이름과 휴대전화 번호, 이메일 주소 등이 포함됐다고 설명했습니다.]
[YTN 보도 (지난 4월 30일) : 이번 사고로 유출된 항목은 그룹 일부 임직원들의 회사명과 이름, 사내 업무 시스템의 계정정보, 이메일, 부서명, 직급정보 등입니다.]
지난 4월, 역대 최악의 정보 유출이라고도 불리는
SK텔레콤 사건이 불거져 경각심이 높아진 와중에도 정보 유출은 다른 기업에서도 끊임없이 반복됐습니다.
정보보호를 위한 기업들의 노력이 부족한 것은 아닐까?
지난해 정보보호 공시 기업 746곳이
정보기술에 투자한 금액은 총 35조 원.
이 가운데 정보보호에 쓰인 비중은 6.05%에 불과합니다.
2023년 6.11%보다도 소폭 줄어든 수치입니다.
미국, 독일 등 주요 선진국들의 투자 비중이
20%를 넘는 것과 비교하면 여전히 큰 격차를 보이고 있습니다.
[김승주 / 고려대 정보보호대학원 교수 : 디지털 플랫폼 정부건 아니면 전자정부건 간에 어떤 서비스를 내놓을 때 설계 단계에서부터 보안을 고려하는 보안 내재화를 해야 되는 거고 민간도 그렇게 해야 되는 거예요.]
게다가 공시 기업의 정보보호 전담 인력 35.6%는 외주 인력.
공공기관 가운데 전담 부서를 운영하는 곳도 67%뿐입니다.
이와 함께 기업들이 실질적인 사이버 보안 체계를 구축해야 한다는 목소리도 나옵니다.
기업이 개인정보보호를 위한 체계를 갖추고 있는지 인증받도록 한 제도, 즉 ISMS 제도가 운영되고 있지만, 인증 획득 기업 가운데, 2023년에는 101건, 지난해에도 96건의 정보 유출 사고가 발생하는 등 피해는 이어지고 있습니다.
SK텔레콤 역시 ISMS 인증 취득 기업이었습니다.
최소한의 보안 요건을 갖춘 보안 인증이 기업이나 기관에 '할 일을 다했다'는 마지노선으로 여겨지고, 과징금 감경 사유가 돼서는 안 된다는 지적입니다.
[김승주 / 고려대 정보보호대학원 교수 : 영국의 통신보호법은 통신사만 규제하는 법이에요. 만약에 이걸 제대로 안 따라서 문제가 생길 경우에는 전체 매출의 10%까지 과징금으로 물릴 수 있어요. 우리나라 ISMS라고 하는 것 또는 정보통신망법이라고 하는 것들은 너무 많은 기관을 대상으로 하기 때문에 수준을 높일 수가 없어요.]
이 밖에도 유출 피해자가 특정되지 않아도 모든 가입자 또는 의심자 전체를 대상으로 정보 유출 사실을 개별 통지하고, 가능한 위험 상황과 대응 방법을 안내하도록 개인정보보호법을 개정할 필요가 있다는 제안도 있습니다.
또, 개인정보 유출 피해에 대한 배상 책임을 피해자가 입증해야 하는 구조적인 한계를 개선해야 한단 목소리도 커지고 있습니다.
[박경서(가명) / 개인정보 유출 피해자 : 이제 앞으로 더 생길 거야. 없지는 않을 거란 말이지 개인정보가 너무 많이 이제 다 나가고 있는데, 속이거나 아니면 유출되거나 했을 때 페널티를 국가에서 어마어마하게 줘야 된다고 생각해요.]
【스튜디오】
▶엄지민
해킹과 개인정보 유출, 이제는 일상이 되어버린 듯한 느낌마저 듭니다.
▶김혜린
네, 취재 과정에서 들은 이야기인데요, "이제 개인정보는 공공재다"라는 우스갯소리가 있을 정도입니다. 지극히 사적인 정보들이 하도 모두가 아는 정보가 돼버린 것 같다는 현실을 씁쓸하게 드러낸 표현 같습니다.
▶엄지민
사후 대책이 아닌 사전에 예방할 수 있는 방책을 마련하는 것이 필요하다는 생각이 들었습니다.
▶김혜린
네, 개인정보가 유출되면 당장 피해가 발생하지는 않더라도 장기적으로 피해가 발생할 수 있다는 점, 그리고 한 번 발생하면 그 피해의 정도가 막대하다는 점, 항상 염두에 둬야 할 것 같습니다.
▶엄지민
오늘 팩트추적은 여기까집니다.
저희는 다음 주에도 현상 이면에 숨겨진 사실을 좇아, 시청자 여러분의 목소리에 더욱 귀 기울이겠습니다.
함께 해주셔서 감사합니다.
■YTN <팩트추적> 제보
[메일]:fact@ytn.co.kr
[전화]:02-398-8602~3
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]