큰사진보기
|
| ▲ 네이트의 굴욕 네이트-싸이월드 해킹 사건이 밝혀진 지난 28일 네이트 실시간 검색어 1, 2위를 '탈퇴'와 '회원정보수정'이 차지했다. |
| ⓒ 네이트 화면 갈무리 | 관련사진보기 |
네이트-싸이월드 개인정보 유출 후폭풍이 쉽게 가라앉지 않고 있다. 지난 26일 네이트-싸이월드 해킹으로 3500만 회원들의 비밀번호, 주민등록번호, 휴대폰, 주소 등 개인 정보가 대량 유출되면서 보이스 피싱, 스팸 메일 등 2차 피해가 우려되고 있다.
"SK컴즈 비밀번호 암호화 기술, 2008년 사용 중단"
큰사진보기
|
| ▲ SK커뮤니케이션즈 주형철 대표가 29일 개인정보 유출 1차 대책 간담회에서 발언하고 있다. |
| ⓒ 연합뉴스 | 관련사진보기 |
두 서비스를 운영하는 SK커뮤니케이션즈(대표 주형철, 아래 SK컴즈)는 "주민등록번호와 비밀번호는 암호화돼 서비스 이용에 아무런 문제가 없다"고 주장하고 있지만 해당 암호화 기술이 '한물 간' 것으로 드러나면서 이용자들의 불안감만 키우고 있다.
김승주 고려대 정보보호대학원 교수는 "SK컴즈에서 비밀번호 암호화에 사용한 기술(MD5)은 이미 1991년에 개발돼 2008년 미 정부에서 쓰지 말라고 한 기술이고 주민번호 암호화 키도 요즘엔 거의 256비트(AES256)를 쓰는데 SK컴즈는 128비트(AES128)를 쓰고 있다"고 지적했다.
김 교수는 "SK컴즈는 암호화돼 있다고 이용자들을 안심시킬 게 아니라 당장 비밀번호를 바꾸게 해야 한다"면서 "비밀번호를 바꾸더라도 해킹에 사용된 악성코드와 해킹 경로가 완전히 제거되지 않은 상태에선 다시 해킹에 노출될 위험이 있어 추가 정보는 입력하지 않는 게 좋다"고 권고했다.
김 교수는 지난 2006년 네이트온 메신저를 직접 해킹해 암호화 기술의 한계를 지적하기도 했다. SK컴즈에서도 새 기술이 나온 걸 알면서도 가입자 수가 너무 방대해 새 기술을 바꾸는 데 난색을 표한 것으로 알려졌다.
하지만 SK컴즈는 "주민등록번호, 비밀번호 암호화 등 정부에서 하라는 것은 다 했다"며 법적으로 문제없다는 입장이다. 실제 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에는 비밀번호, 주민등록번호 등 민감한 정보만 암호화가 의무화돼 있고 이름이나 ID, 연락처 등은 암호화 대상이 아니다. 또 일단 암호화 기술만 적용하면 그 기술이 과연 해킹 방어에 효과적인 것인지는 규정하고 있지 않다.
"보안 가이드라인이 기업 면죄부"... 피해자들, 집단 소송 준비 <한국 IT 산업의 멸망>을 쓴 IT 칼럼니스트 김인성씨는 "금융감독원 등 정부기관이 제시한 보안 가이드라인만 지키면 된다는 식으로 기업에 면죄부를 준 것이 오히려 보안 문제를 키웠다"면서 "보안 관리를 기업 자율에 맡기는 대신 개인정보 유출 사고가 발생했을 때 스스로 책임지게 해야 한다"고 지적했다.
김승주 교수 역시 "법이 기술을 따라갈 수 없기 때문에 어정쩡하게 만들 바에야 (구체적 보안 방법을) 아예 안 넣는 게 낫다"면서 "차라리 해킹 사고가 났을 때 기업에 책임이 있으면 엄청난 과징금을 내리겠다는 식으로 사고 원인 규명에 초점을 맞춰야 한다"고 밝혔다.
실제 지난 4월 소니 플레이스테이션네트워크(PSN) 사이트 등이 해킹돼 약 7700만 회원 개인정보가 유출되면서 외국에선 집단 소송 움직임이 활발하다. 사건 당시 미국 개인정보보호업체인 포네몬 인스티튜트는 소니가 지급해야 할 피해 보상금이 최대 240억 달러(약 25조원)에 이를 것이라고 전망하기도 했다.
하지만 우리나라는 옥션이 지난 2008년 4월 1천만 명 넘는 회원 개인 정보가 유출돼 14만 명이 집단소송을 제기했지만 법원은 지난해 1월 1심에서 "옥션이 관련법에 정해진 기준을 어겼다고 볼 근거가 없다"며 원고 패소 결정을 내렸다. 피해자들은 옥션이 방화벽을 설치하지 않아 정보 유출을 자초했다고 주장했지만 법에서 정한 의무가 아니라는 이유로 '면죄부'를 받았다.
김인성씨는 "소니처럼 집단 소송이 들어가면 피해 보상금 규모가 보안 관리 비용보다 많아져 기업들 스스로 투자하게 된다"면서 "우리나라도 개인정보 유출 때문에 회사가 망할 정도 상황이 나와야 한다"고 밝혔다.
31일 현재 2만3000여 명이 회원으로 가입한 '네이트 해킹 피해자 카페(
hacknate.com) 역시 집단소송 등을 준비하고 있다.
이 카페 운영자인 '네해카'는 31일 <오마이뉴스>와 전화 통화에서 "회원들은 단지 수십만 원 보상금을 받겠다는 게 아니라 돈으로 따질 수 없는 개인정보 유출에도 수수방관하는 대기업 모습에 분노하고 있다"면서 "옥션 소송과 달리 네이트는 수사 과정에서 보안상 허점이나 과실이 드러날 가능성이 높고 싸이월드와 연계돼 사생활 침해에 따른 정신적 피해가 더 크기 때문에 승소할 가능성도 높다"고 밝혔다.
진보넷 "아이핀 대안 아냐... 주민번호 수집-보관 금지해야" 한편 한국인터넷진흥원(KISA)은 31일 네이트 해킹 개인정보유출 추가 피해 방지 대책으로 비밀번호 변경과 함께 본인확인수단을 주민등록번호에서 '아이핀'으로 바꾸는 방안을 내놓았다.
이에 진보네트워크센터는 같은 날 논평에서 "아이핀은 주민번호 등 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 부당한 표적이 될 가능성이 높고 이미 1만 5천 건이 부정 발급되어 중국 등으로 판매된 사건이 발생한 바 있다"며 민간 기업들의 주민번호 수집, 보관을 금지하는 근본적인 대책을 요구했다.
앞서 주형철 SK컴즈 대표는 29일 기자회견에서 회원 주민등록번호 보관하지 않겠다고 밝혔지만 '도토리' 구매 등 금융 거래시 주민번호를 5년간 저장하도록 관련 법에 규정돼 있어 실천이 쉽지 않다. 회원 10만 명 이상 웹사이트에 의무적으로 적용되는 '인터넷 실명제(제한적 본인확인제)'도 큰 걸림돌이다.
진보넷은 "유일한 정책 목적인 악플이 줄지 않는 상황에서 본인확인제는 인터넷 기업의 개인정보 확인과 보관의 방편으로 이용되고 있을 뿐"이라면서 "본인확인제 관련 법률에서 글쓴이의 본인확인정보를 6개월간 보관하도록 한 상황에서 네이트의 주민번호 폐기 방침이 온전하게 적용될 이용자가 과연 얼마나 있을 지 의구심이 든다"고 따졌다.