“나보다 내 개인정보가 더 해외여행을 잘 다녀요” by 방글라데시브라운

 

“나보다 내 개인정보가 더 해외여행을 잘 다녀요” by 방글라데시브라운
2014. 3. 21

1) 이슈 들어가기

안녕하세요 BB입니다. 남반구인 호주에서는 어느덧 여름이 끝나가고 가을이 다가오고 있네요.

지난 3월 7일자 기사에서 다룬 허핑턴포스트코리아에 대한 여러 이야기들이 계속해서 오가고 있습니다. 참고해서 읽어보시면 좋을만한 기사 두 가지를 아래에 링크합니다.

[허핑턴포스트코리아, 3월 17일]허핑턴포스트코리아의 출범에 비추어 본 한국 블로그 미디어의 흐름
[경향신문, 3월 17일]진중권, 허핑턴포스트에 “공짜글 써달라고···그러면 공짜로 빨래해주실껴?”

오늘자 기사에서는 1월 18일 언론에 발표된 카드사 개인정보 유출사태(KB국민카드, NH농협카드, 롯데카드)와 지난주 발표된 KT의 개인정보유출 사태 이후 관련 사안들이 어떻게 흘러가고 있는가에 대한 내용을 살펴보고자 합니다. 결론부터 말하자면, 이미 우리 개인정보는 탈탈 다 털린 데다가 해외여행까지 잘 다니고 있습니다.

 

2) 이슈 디테일

카드사 개인정보 유출사태 정리

  • 사망자와 중복 건수 포함 1억 400만여건에 달하는 유출건수, 대한민국 경제활동인구의 약 75%의 신상정보 유출(경향신문, 카드 개인정보, 2000만명 털렸다… 경제활동 인구의 75%), 이는 전 세계 개인정보 유출 사고 가운데 상하이 로드웨이 D&B(중국, 1억 5천만건), 하틀랜드 페이먼트 시스템즈(미국, 1억 3천만건)에 이어 세번째 규모

  • 범인은 신용평가업체인 코리아크레딧뷰로(KCB)의 직원, 파견직으로 카드사에서 일하는 동안 USB에 개인정보를 담아 빼냄

  • 대한민국 IT업계의 고질적인 하도급 구조에도 이번 사건에 대한 상당한 책임이 있음(갑을병정으로 내려가면서 시간과 비용은 줄어들고 품질은 그만큼 떨어짐)

  • 이번 사건에 책임을 지고 3개 카드사의 경영진과 임원진 사퇴 의사 밝힘

  • 금융당국은 3개 카드사에 대해 2월부터 3개월간 영업정지 결정

  • 카드사들은 2차 피해를 방지하고자 결제 내역 알림 문자 서비스(월 300원)를 1년간 무료로 제공하기로 함

  • 2차 피해 발생시 보상을 약속했으나 우리나라의 경우 법원이 개인정보 유출건에 대한 집단 소송에서 피해자의 손을 들어준 사례가 극히 드뭄(MBC, 줄줄이 집단소송 움직임…보상받을 수 있나?)

  • 개인정보 유출 여부 확인 페이지에 입력한 개인정보를 암호화하지 않고 평문으로 전송함(NH농협카드), 이름과 생년월일, 주민등록번호 맨 끝자리만 알면 조회가 가능하도록 함(KB국민카드), 액티브X를 설치해야만 조회가 가능해서 인터넷 익스플로러 이외의 브라우저로는 확인 페이지 접속 자체가 불가능, 서버 폭주로 원활한 페이지 접속 불가 등의 각종 추가 문제점 발생( 보안뉴스, NH농협카드·KB국민카드·롯데카드, 아직 정신 못 차렸나?)

  • 1월 23일 금감원은 추가 유출이 없다고 공식 선언했으나 3월 14일 유출된 개인정보가 텔레마케팅 등의 목적으로 이미 팔려 악용된 것이 드러남

  • 이번 사건에 대해 과징금은 현행법상 최대 600만원까지만 부과 가능(한국일보, 금융사 과징금 600만원→50억, 영업정지는 최대 6개월로 강화)

그렇다면 KT는?

GYH2014030600120004400_P2.jpg

[연합뉴스, 3월 6일]KT 홈페이지 해킹…1천200만명 개인정보 털렸다

  • 3월 6일 KT홈페이지가 해킹당하면서 가입고객 1천 600만명 중 1천 200만명의 개인정보가 유출

  • 카드사 개인정보 유출 사태와는 달리 중복 데이터가 없는 관계로 국민의 1/5 이상의 개인정보가 유출

  • KT와 제휴를 맺고 있는 텔레마케팅 업체 대표가 영업을 위해 2인의 공범과 함께  고객고유번호 9자리를 무작위로 수차례 입력하는 프로그램을 제작(누구나 쉽게 사용할 수 있는 오픈소스 프로그램인 파로스 프록시를 이용), 이는 전문적인 해킹이라기보다는 단순하고 고전적인 방법을 이용한 것으로, KT의 개인정보 전산망의 허술함을 이용한 것

  • 이는 2012년 발생한 KT가입자 873만명의 개인정보 유출 사태 이후에도 KT가 사실상 제대로 된 대책을 세우지 않았다는 것을 의미, 한 블로거는 웹브라우저에 내장된 개발자 도구로도 KT홈페이지에서 개인정보를 손쉽게 볼 수 있다며 KT홈페이지의 취약한 보안성을 꼬집은 바 있음(참고)

2차 피해 없다더니, 솜방망이 처벌도 모자라서 정보의 여론 조작 시도까지 의심받고 있는 상황

2차 피해가 증폭될 수 있다는 우려가 커지고 있는 것은 카드 3사의 1억400만건의 개인정보 유출 건수 중 8200만건 이상이 대출업자 등에 유통됐기 때문이다. 또 이 중 일부는 해외로 정보가 팔려나간 것으로 추정된다. KT의 경우 홈페이지 해킹 사고로 인해 유출된 개인정보 건수는 1170만건으로 집계됐다. 카드 3사와 KT는 고객정보 유출과 관련해 금전적으로 2차 피해가 발생할 시 전액 보상하겠다고 밝혔지만 고객들의 불안감은 증폭일로다.
[아시아경제, 3월 17일]카드3사·KT서 개인정보 털린 고객들 ‘2차피해’ 현실로

최근 KT 홈페이지 해킹으로 981만여 명의 개인정보가 유출됐지만, 카드사처럼 영업정지 처벌은 받지 않고, 1억원 미만의 과징금만 물게될 것으로 보인다. KT가 이용자의 동의를 받지 않고 개인정보를 이용해 수입을 올렸다면 매출액의 1%를 과징금으로 부과할 수 있지만 주의 의무를 다하지 않아 개인정보가 유출된 경우 최고 1억원의 과징금만 부과할 수 있다.
[연합뉴스, 3월 17일]개인정보 유출 이통사, 과징금 고작 1억원

정부당국이 카드 3사의 개인 유출정보 추가 확산 가능성을 근거 없는 ‘괴담’으로 규정하고 전담팀을 구성해 적극 대응한 것으로 드러났다.

강 의원에 따르면, 금융위원회가 지난 1월 21일 작성한 ‘카드사 고객정보 유출사고 현황 및 향후 대응방안’ 문건에는 카드사 정보유출에 범정부적 정보유출사고 대응체계를 구축·운영하기로 하고 총리실·문화부 등과 협조해 언론동향을 면밀히 모니터링 하고 근거 없는 루머 유포에 대해 적극 대응하기로 나와 있다. 그러면서 유출정보 추가확산 가능성을 근거 없는 괴담으로 규정하고 온라인 매체와 SNS 전담팀을 구성·운영토록 했다.
[뉴시스, 3월 16일]정부당국, 카드사 추가유출 가능성을 ‘괴담’ 규정
[고발뉴스, 3월 17일]2차 유출보다 더 괘씸한 정부의 ‘괴담’ 규정

 

3) 주목할 만한 보도

[블로터닷넷, 3월 17일]한눈에 보는 주요 기업 개인정보 유출 현황
개인정보 유출 현황이 정리된 구글 문서를 함께 제공하고 있습니다

[지디넷코리아, 3월 14일]벌거벗은 ‘개인정보 공개 공화국’
주민번호의 한계, 빗장없는 웹사이트 등 언제부터인가 해커들의 손쉬운 돈벌이 수단이 되어버린 개인정보 유출 사태의 근본원인에 대한 내용이 잘 정리된 기사입니다.

[슬로우뉴스, 3월 7일]홈페이지 뜯어보기: 한국철도공사 – 보안은 옵션이라고요?
보안은 당연한 게 아닌 유료 서비스, 신용카드 정보 입력 시 보안 서버 설정 미적용 등의 문제점을 가지고 있는 한국철도공사 코레일 홈페이지로 살펴보는 국내 웹사이트들의 허술한 보안 실태를 다루고 있습니다.

 

4) 편집인 코멘트

중국의 구글, 네이버격인 바이두에서는 이미 우리의 주민번호가 테이블로 정리되어 누구나 볼 수 있도록 올라와 있다고 합니다.
[국민일보, 3월 17일]한국인 개인정보 DB화해 서비스하는 중국 사이트.. 주민번호 입력하자 ‘사용 가능’ 문구

이미 개인정보가 털릴대로 다 털린지 오래인 지금 상황에서 우리가 할 수 있는 일은? 한 보안업계 관계자가 아래의 인터뷰에서 한 마디로 정리해 주셨습니다. 참으로 답답하고 분통이 터지는데 정부는 과연 언제쯤 뾰족한 대책을 내놓을까요.

“이미 우리 정보 털릴 거 다 털린지 오래니까 너무 화내지 말았으면 좋겠다. 오죽하면 한때 100원 하던 개인정보는 이제 6원까지 떨어졌다. 아예 1원까지 가면 너무 값싸서 해킹 없는 아름다운 세상이 열릴지도 모르겠다.”
[ㅍㅍㅅㅅ, 3월 11일]보안업계인들이 말하는 한국 해킹의 본질

Main editer : 방글라데시브라운, editor in crossjournalism.com

신문은 하나만 읽으면 안됩니다, 행간읽기
http://www.crossjournalism.com

이 글에 대해 어떻게 생각하세요?