최근 발생한 KT 해킹사건과 관련 보안담당 기자들이 기자실에 모이면 하는 말이 있다.

‘KT가 고객정보 유출 사실을 한 달만 늦게 알아챘다면 더 큰 파장 생겼을 것’

이런 이야기가 나오는 이유는 이달 18일부터 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정안이 시행되기 때문이다. 새롭게 시행되는 법령에는 ‘정보통신사업자의 고발’이란 항목이 추가돼 있다.


국회는 지난 2월 17일 정보통신사업자들의 정보보호 의무를 확대하고 이용자들의 권리를 보호하기 위해 정보통신망법을 개정했다.

개정 정보통신망법은 현재 IT현황에 맞춰서 개정된 내용이 많다. 신설된 법령으로는 ▲주민등록번호 사용제한 ▲개인정보 누출등의 통지·신고 ▲개인정보 이용내역의 통지 ▲정보보호사전점검 ▲정보보호최고책임자 지정 ▲개인정보보호 관리체계의 인증 ▲정보보호 관리등급 부여 ▲방송사업자에 대한 준용 ▲정보통신서비스 제공자 고발 등이다.

여기서 주목할 부분은 ‘정보통신서비스 제공자 고발’이다. 정보통신망법 제69조의2항을 살펴보면 ‘방송통신위원회는 제64조의3제1항 각 호의 어느 하나에 해당하는 행위가 있다고 인정하는 경우에는 해당 정보통신서비스 제공자등을 검찰 등 수사기관에 고발할 수 있다’는 부분이 명시돼 있다.


정보통신망법 제28조 1항 2조에는 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영’ 부분이 있다. 아직 수사가 종결된 것은 아니지만 KT는 해커들이 비정상적인 방법으로 고객영업시스템에 접근하는 것을 막지 못했다는 점에서 과실이 있었다고 볼 수 있다.

지금까지 개인정보유출 사고를 일으킨 기업은 과징금만 부과 받았다. 민사소송으로 인한 피해보상이 있을 수 있으나 과징금 이외의 처벌규정은 딱히 없었다.

제69조의2항 신설로 개인정보보호에 대한 기술적·관리적 조치(정보통신망법 제28조)를 취하지 않은 사업자는 ‘고발’을 당하는 등의 불편한(?) 경험을 할 수도 있다.

즉, 만약 KT가 고객정보 유출 사건을 한 달만 늦게 알았어도 ‘해킹 사건으로 인한 고발의 첫사례’란 불명예를 안게 됐을지도 모른다는 이야기다.

비단 KT만의 문제는 아니다. 엎지른 물은 다시 담을 수 없기 때문에 처음부터 엎질러선 안된다. 이번 사건을 계기로 개인정보를 취급하는 모든 사업자는 더더욱 보안에 신경 쓰길 기대한다
.



2012/08/01 10:08 2012/08/01 10:08


지난 2월부터 6월까지 약 5개월동안 870만건의 개인정보를 유출시킨 KT의 사과문의 일부 문구가 네티즌들로부터 지적을 받고 있다.

 

해당 사과문을 살펴보면 ‘KT는 경찰의 조사에 적극 협력해 범죄조직이 불법 수집한 개인정보를 전량 회수 했으며, 추가적인 개인정보 유출을 차단했다’ 라는 문구를 확인할 수 있다.

여기서 업계관계자들과 네티즌들이 걸고 넘어진 부분은 ‘유출된 개인정보의 전량 회수’ 부분.

KT가 ‘전량 회수’라는 표현을 쓴 이유는 이번 범행에 사용됐던 PC, 노트북, 모바일디바이스, 하드디스크 등을 모두 경찰이 압수했기 때문으로 예상된다. 그러나 복제와 유포가 손쉬운 디지털 파일의 특성 상, 전량 회수라는 부분은 어색하다.

과거 GS칼텍스 개인정보 유출사고에서도 GS칼텍스는 ‘개인정보 전량 회수’라는 표현을 사용된 적이 있다.

2008년 9월에 발생한 GS칼텍스 개인정보 유출사건은 GS칼텍스 자회사 직원 정 모씨가 1125만건의 개인정보를 유출한 사건이다. 당시 정 모씨는 해당 개인정보 파일을 6장의 DVD로 제작, 이중 세 장은 언론사에게 제보의 형태로 배포하는 등의 간 큰 배짱을 보여줬다.

당시 수사과정에서 경찰은 정 씨 등이 만들었다고 진술한 개인정보 DVD를 모두 회수했다고 발표했다. 그러나 디지털 파일의 특성상 외부에 유출됐을 가능성을 배제하지 않고 조사하고 있다고 밝힌 바 있으며, 다행히도 최종결론은 추가유출이 없었다는 것으로 나왔다.

GS칼텍스 사건은 ‘DVD등 기록장치의 추가제작’과 ‘개인정보 판매’가 없었다는 가정하에 ‘전량 회수’라는 표현을 제한적으로 사용할 수 있을 것으로 생각된다.
 
그러나 KT 개인정보 유출사건은 이와는 성격이 다르다. 당초 txt형태로로 저장된 파일이었고, 아무런 보호조치없이 스토리지에 저장돼 있었으며, 용의자들이 다른 텔레마케팅 업체들에게 사용자 개인정보를 판매해 ‘7억원’의 부당이익을 봤다는 점에서 이미 ‘전량 회수’는 불가능해졌다.

해당 개인정보 파일을 구입했던 사람들까지 모두 검거해 조사하고, 유포 경로를 모두 차단하지 않는 이상 ‘전량 회수’라는 말은 곤란하다.

870만건의 개인정보가 하나의 엑셀 파일에 담겨있다고 가정할 때, 해당 파일의 용량(10*870셀을 가진 엑셀파일의 용량 165KB, (165*10000/1024/1024=10.78GB)은 10기가가 채 안된다. 텍스트파일로 가정하면 그보다 용량은 더 줄어든다. 16기가 USB하나만 있으면 얼마든지 무한대로 퍼져나갈 수 있다.

임종인 고려대 정보보호대학원장은 “다른 업체에게 개인정보를 팔아넘길 때 해당 파일을 복제해서 넘겼을텐데, 원본만 회수했다고 전량 회수라고 이야기하는 것은 잘못됐다”며 “과거 현대캐피탈 사건의 경우 암호화된 파일이 복호화되기전 범인과 파일을 회수했다. 그 경우엔 전량 회수라는 표현을 쓸 수 있어도, 전문이 공개돼 있는 상황에서 전량 회수는 말이 안된다”고 말했다.

KT가 전량회수라는 말을 쓰려면, KT고객영업시스템에 남겨진 로그의 모든 분석을 마치고 해당 시점에 시스템에 접근, 조회한 모든 영업점의 기록을 살펴본 후, 이상징후가 없을 때다.

2012/07/30 17:07 2012/07/30 17:07