"개인정보 유출 기업에 확실한 페널티 적용 필요"
-
25일 밝혀진 넥슨 '메이플스토리'의 개인정보 유출 사건은 지난 8월 드러난 네이트·싸이월드 해킹 사건에 이어 두 번째로 큰 규모다.
이번 해킹으로 남한 인구의 25%가 넘는 1천320만명의 개인정보가 해커의 손에 고스란히 들어간 것이다.
더구나 네이트·싸이월드 사건이 일어난 지 불과 석달 만에 일어난 사건이라는 점이 누리꾼들의 공분을 사고 있다.
누리꾼들은 "IT 강국이라면서 개인정보도 못 지켜주느냐"며 만연한 보안 불감증에 분노를 터뜨렸다.
보안 전문가들은 보안 투자를 꺼리는 국내 기업문화가 연이은 개인정보 유출 사건의 원인이라고 입을 모았다.
◇최근 해킹은 표적 공격…시스템 확충해야 = 자세한 조사 결과가 나오지 않아 단정할 수는 없지만 이번 '메이플스토리'의 해킹 사건도 해당 서버를 직접적으로 노린 표적 공격일 가능성이 매우 크다.
최근 일어나는 해킹 공격 대부분은 불특정 다수를 대상으로 한 무차별 공격이 아니라 하나의 대상을 정하고 수백~수천번 지속적으로 공격을 감행하는 '지능형 표적 지속 공격(APT)'이다.
이런 공격은 기업이 감시를 열심히 한다고 하더라도 막아내기가 쉽지 않다.
문제는 공격이 이렇게 지능적으로 이뤄지는데도 국내 기업의 보안 관련 투자는 후진국 수준에 머물러 있다는 것이다.
보안 업계 관계자는 "과거보다는 보안투자에 대한 관심이 높아졌지만 절대적인 부분에서는 아직 부족하다"며 "실제로 국내에서 보안이 가장 잘 돼 있다고 평가되는 은행권의 보안 관련 투자 비율도 전체 IT 투자의 2~4% 수준에 머물러 있어 미국 금융권 평균인 10%에 비해 턱없이 적다"고 꼬집었다.
이 관계자는 "게임 업계와 포털 역시 나름대로 보안 이슈에 대한 대응을 잘하고 있어 이번 사건이 '보안 불감증'의 결과라고 말하기는 어렵다"면서도 "지능화하는 해킹 공격의 변화에 대응해 보안 시스템을 개선하고 투자를 늘릴 필요가 있다"고 덧붙였다.
특히 한국은 인터넷과 IT 인프라가 잘 구축돼 있기 때문에 중국 등의 해커들이 국내 기업을 목표로 삼는 경우가 많아 더욱 주의가 필요하다는 설명이다.
◇"유출 기업에 확실한 페널티 줘야" = 일각에서는 개인정보를 유출한 기업에 대한 처벌 수위가 낮기 때문에 연달아 유출 사고가 일어난다는 지적을 하기도 한다.
업계의 평균치나 정부의 단속 수준에만 맞춰 모니터링 체계를 갖추면 회사가 관리 책임을 다했다고 보는 시각이 잘못됐다는 것이다.
이경호 고려대 정보보호대학원 교수는 "개인정보 유출 사건 피해자 14만명이 옥션을 상대로 제기한 소송에서 1심 법원은 회사가 관리자 책임을 다했다고 보고 원고 패소 판결했다"며 "이런 판결이 나오는 상황에서 이익을 추구하는 기업은 본능적으로 보안 투자를 줄일 수밖에 없다"고 지적했다.
이 교수는 "다행히 지난 9월 말부터 개인정보보호법이 발효돼 이번 사건은 옥션 소송과는 다르게 갈 여지가 있다"며 "기업이 관리자의 책임을 다했는지와 꼭 필요한 개인정보만 수집했는지 등을 넥슨 측이 입증해야 할 책임을 지게 된다"고 설명했다.
한편 그는 이번에 유출된 주민등록번호와 비밀번호가 암호화됐다는 점은 다행스러운 일이지만, 암호화 수준에 대해서도 주의를 기울을 필요가 있다고 덧붙였다.
그는 "사람의 수명이 80세 정도 된다고 봤을 때 주민등록번호 암호화는 푸는 데 (통계적으로) 60~80년 이상이 걸린다고 인정되는 수준이 돼야 한다. 비밀번호 역시 짧은 시간 내에 풀리는 것을 썼다면 책임을 다했다고 보기 어렵다"고 말했다.
◇어린이·청소년 회원 많아 후유증 심할 듯 = 메이플스토리 해킹 사건의 또 다른 문제점은 이용자 가운데 어린이와 청소년 회원이 많다는 점이다.
최악의 경우 유출된 개인정보가 인터넷 등을 통해 유포되거나 중국 등 해외로 유출되면 이들 나이 어린 피해자들은 평생 잠재적인 피해자로 살아야 할 수도 있기 때문이다.
비밀번호는 시간과 노력을 들여 바꿀 수 있다고 하더라도 주민등록번호는 평생 바꿀 수 없는 번호라는 점에서 그렇다.
비밀번호와 주민등록번호가 암호화됐다고는 하지만 이 교수의 설명대로 암호를 푸는 데 걸리는 시간이 어린이 피해자들의 수명보다 길지는 알 수 없는 일이기 때문이다.
이에 따라 어린이·청소년들과 이들을 지도하는 학부모의 보안 관련 인식이 앞으로 더욱 필요해질 것이라는 게 보안업계의 지적이다.
<저작권자(c)연합뉴스. 무단전재-재배포금지.>