5000만명 한번씩은 털렸다..개인정보유출 속수무책

KT 800만명 개인정보 유출 사고
보안기술 아무리 발전해도 고도 해킹 기술 앞엔 속수무책
언제 어디서나 서버 접속 가능해 보안 위험 더욱 증가

등록 2012-07-29 오전 9:29:26

수정 2012-07-29 오후 2:34:14
가 가

[이데일리 이유미 기자]고객정보 유출사고가 끊이지 않고 있다. 지난해 SK컴즈(066270), 넥슨에 이어 올해도 크고 작은 정보유출 사고가 이어지고 있다.

경찰청 사이버테러대응센터는 29일 KT의 고객정보 조회시스템이 해킹당해 800만 명의 고객정보가 유출됐다고 밝혔다. 개발 경험만 10년 이 넘는 전문 프로그래머가 해킹 프로그램을 개발, 국내 최대 정보통신기술(ICT)기업의 전산망을 뚫었다.

보안 전문가들은 보안시스템만으로는 해킹을 방어하는데 한계가 있는 만큼 개인정보를 다루는 기업과 담당자의 보안의식을 강화할 필요가 있다고 지적했다.

5000만 전 국민 개인정보 모두 유출돼

방송통신위원회에 따르면 지난 4년간 개인정보침해건수는 1억600만여 건에 달한다. 이미 전 국민의 개인정보가 한번씩은 유출된 셈이다. 지난해에만 4월 현대캐피탈(175만 명)으로 시작으로, 7월에는 SK컴즈의 네이트, 싸이월드( 3500만 명), 11월에는 넥슨의 주력 게임인 ‘메이플스토리’ (1320만 명) 이용 고객의 개인정보가 유출됐다.

올해도 지난 3월 SK텔레콤과 KT 협력업체가 고객의 휴대전화 위치정보와 인적사항을 조회할 수 있는 프로그램을 개발하고 이를 매매한 혐의로 구속됐다. 5월에는 EBS가 중국에서 중국 해커의 소행으로 추정되는 해킹에 당해 회원 400만 명의 개인정보가 중국으로 넘어갔다.

대부분의 개인정보 유출사고는 해킹사건에서 비롯된다. 지난해 발생한 SK컴즈와 넥슨의 사고가 대표적이다. 보안업계 전문가들은 ‘지능형지속위협(APT)’ 공격에 보안시스템이 뚫린 것으로 보고 있다.

APT의 공격수법은 외부에서 기업 내부의 데이터베이스(DB) 서버로 바로 침입하지 않고 해킹 대상 기업의 내부자 PC를 경유해 악성코드를 침투시키는 방식이다. 해커가 DB에 접근할 수 있는 권한을 가진 특정 직원의 PC에 침투한 후 고객 DB 서버에 접근해 정보를 유출한다.

내부 직원의 관리 소홀로 고객 정보가 유출되는 사례도 잦다. 최근 발생했던 SK텔레콤과 KT의 고객 정보 유출은 협력업체에 의한 저질러졌다. 이들은 자신들에게 부여된 권한을 이용해 비교적 수월하게 고객 DB에 접근할 수 있었다. 2008년 하나로텔레콤, GS칼텍스에서 일어났던 사건들도 내부 직원이나 협력업체의 소행이었다.

“뚫리지 않는 방패는 없다”..기업·관리자 보안의식 강화해야

지속적으로 일어나는 개인정보유출사고를 완벽하게 막을 수 있는 방법은 없다. 해킹을 막을 보안기술이 발전하는 만큼 해킹기술도 같이 발전하고 있기 때문이다.

최근 발생하는 APT 공격은 해커들이 해킹 대상을 사전에 정하고 대상의 취약점을 분석한 뒤 해킹프로그램을 개발하는 방식이다. 이에 따라 APT 공격의 형태를 미리 예상하고 대비하지 않는 이상 공격을 막기는 힘들다. 과거의 불특정다수를 대상으로 악성코드를 심고 정보를 빼내는 기술보다 고차원적인 방법이다.

특히 해커들이 서버나 시스템에 접근권한을 갖고 있는 내부 직원이나 협력업체의 PC를 이용할 경우 해킹 당하는 업체들은 해킹 사실을 감지하기조차 어렵다. 이번 KT의 해킹사건처럼 장기적으로 조금씩 정보가 유출되는 경우도 마찬가지다.

보안업계 관계자는 “아무리 보안을 위한 투자를 많이 하고 기술을 발전시켜도 절대 뚫리지 않는 전산시스템은 없다”며 “요즘같이 수만 대의 PC를 사용하고 모바일기기로 시스템에 언제 어디서든 접근할 수 있는 환경에서는 한 곳만 뚫려도 전사적 피해가 확산되기 때문에 보안시스템을 완벽하게 구축한다는 것은 사실상 불가능하다”고 설명했다.

전문가들은 보안시스템 뿐 아니라 개인정보를 다루는 업체와 관리자의 보안의식도 중요하다고 지적했다. 아무리 시스템적으로 철저하게 보안을 유지하더라도 결국 관리는 사람이 하기 때문이다.

한 보안업계 전문가는 “개인정보 관리에 민감한 금융사나 통신사의 경우 보안부분은 관리가 잘 돼 있어 해킹만으로는 보안시스템이 완전히 뚫리기는 쉽지 않다”며 “내부자나 협력업체가 자신들에게 주어진 권한을 악용하는 등 보안의식 부재로 인한 사고가 빈번한 만큼 인적 보안을 강화할 필요가 있다”고 강조했다.