소프트케이알 - 스위퍼클라우드 개인정보 보안

제목	게임부터 은행까지…개인정보 유출 흑역사
날짜	2015-01-07 09:57:24
12월11일, 한국스탠타드차타드은행과 한국씨티은행에서 개인정보 13만건이 유출됐다는 소식이 나왔다. 무엇보다 믿음직해야 할 은행이 뚫렸지만 세상은 이전 사건들에 비해 조용하다. 쇼핑몰이 털렸을 때도 이보다는 시끄러웠다. 세상은 왜 개인정보 유출에 무뎌진 것일까. 이게 처음이 아니기 때문이다. 돌이켜보니 그동안 털려도 너무 많이 털렸다. 2005년엔 엔씨소프트가 ‘리니지2’ 회원 계정과 비밀번호를 암호화하지 않고 서버에 저장했다가 도용당하는 일이 발생했다. 엔씨소프트가 회원 개인정보를 암호화하지 않고 저장하는 기간 동안 서버에 접속한 '리니지2' 회원 수는 40~50만명으로 알려졌지만, 엔씨소프트는 당시 정확한 숫자가 집계된 게 없다며 공개하지 않았다. 이 사건이 터지고 나서야 인터넷과 개인정보를 지켜야 한다는 인식이 생겼다. ‘리니지 사건’ 이후 벌어진 개인정보 유출 흑역사를 돌아본다. SC은행?씨티은행 고객정보, 대부업자 손에(2013년) 은행을 안 믿으면 어딜 믿어야 할까. SC은행과 씨티은행에서 개인정보 13만건이 새어나가는 사건이 발생했다. 사건의 발생지는 외부가 아니라 내부였다. 창원지검 특수부는 고객정보를 빼돌린 씨티은행 직원과 SC은행 외주 개발업체 직원을 구속했다고 12월11일 밝혔다. 검찰의 사건 브리핑을 들어보자. 씨티은행의 대출담당 직원 박 아무개 씨는 2013년 4월 은행 내부전산망에서 고객 이름과 휴대폰 번호, 대출액과 만기일자 등 개인정보 3만4천건을 문서로 출력했다. SC은행의 전산프로그램 개발을 맡은 외부업체 직원 이 아무개 씨는 2011년 11월부터 3개월 동안 대학 선배 부탁을 받고 고객정보 10만3천건을 USB 메모리에 저장해 전달했다. 검찰은 이들이 유출한 고객정보가 대부중개업자나 대출모집인 사이에서 건당 50~500원에 거래된다고 말했다. 그런데 박 아무개, 이 아무개 씨와 함께 구속된 대출모집인이 가지고 있던 개인정보는 300만건이 넘았다고 한다. 출처가 밝혀진 건 13만건인데 나머지 290만여건은 어디에서 온 걸까. 검찰은 다른 은행으로 수사 범위를 넓히고 있다. sc은행, 시티은행 코웨이, 정수기 대신 고객정보 판매?(2012년) 코웨이의 주력 사업인 정수기, 공기청정기, 비데 렌탈 서비스 가입 고객 가운데 절반이 넘는 198만명의 정보가 새나간 사실이 뒤늦게 확인됐다. 해킹이 아니라 내부 직원이 저지른 범죄였다. 영업직원 김 아무개 씨가 2012년 6월말 고객 개인정보를 모아 경쟁사에 팔았다. 방문 점검 서비스를 제공하는 직원 ‘코디'들이 개인당 100~200건 정도 개인정보를 갖고 있는데, 이를 모아 빼돌린 것이다. 고객 이름과 전화번호, 주소, 사용 제품 정보 등이 유출됐다. 코웨이는 2012년 12월 제보를 받고서야 이 사실을 알게 됐다. 코웨이는 사내 교육을 강화하고, 사내 직원별 비밀번호를 기존 6~8자리에서 10자리로 늘리고 3개월마나 반드시 변경하도록 하는 등 관리를 강화했다. 고객정보 조회와 접근 권한 체계도 엄격히 제한하는 한편 고객정보를 암호화하고 사내에 웹 방화벽을 설치해 대비 수준도 높인다는 계획을 밝혔다. 경찰은 2013년 2월13일 개인정보를 빼돌린 코웨이 직원 김씨에 사전영장을 청구하고, 김씨로부터 고객정보를 넘겨받아 마케팅에 활용한 LG전자 정수기 위탁판매업자 김모씨 등 15명을 불구속 입건했다. 코웨이 KT 해킹해 판촉 활동 벌인 일당 적발(2012년) 2012년 7월29일 경찰은 KT 휴대폰 가입자 873만명의 정보를 빼돌린 일당을 검거했다고 발표했다. 검거된 일당은 해커와 빼돌린 개인정보를 팔아 넘긴 판매책으로 구성됐다. 이들은 2012년 2월 KT 영업대리점이 회원 정보를 조회하는 것처럼 한 번에 조금씩 빼내는 수법으로 5개월 동안 들키지 않았다. 이렇게 총 873만명의 이름, 고객번호, 주민번호, 휴대폰 번호, 가입일, 단말기 모델명, 기기 변경일, 요금제, 기본요금, 월정액 합계 정보가 새 나갔다. 이 일이 있고 나서 방송통신위원회는 ▲가입자 주민번호를 암호화하지 않았고 ▲가입자 정보를 확인하는 데에 안전한 인증 수단을 마련하지 않았고 ▲외부 업체에 제공하는 개인정보 항목을 구체적으로 명시하지 않았다는 이유로 KT에 과징금 7억5300만원을 부과했다. KT 가입자 정보를 빼내 판 해커와 텔레마케팅 회사 대표는 징역 1년6개월씩 선고받았고, 이들에게 가입자 정보를 산 3명은 징역 8개월~1년형을 선고받았다. kt_logo_500_20111208_thumb.jpg 400만명 털렸지만 수험생은 지켜낸 EBS(2012년) 2012년 5월15일, EBS는 중국 IP에서 악성코드가 침투해 회원 5명 중 1명의 개인정보가 빠져나간 사실을 발견했다. 회원 약 400만명의 이름, 아이디, 비밀번호, 전화번호, e메일 주소, 주소가 빠져나갔다. EBS가 회원가입 시 주민번호와 계좌번호를 받지 않은 게 다행이었다. 하지만 EBS는 탈퇴한 회원의 정보를 간직한 탓에, 탈퇴 회원 정보도 함께 빠져나갔다. EBS 수능 웹사이트는 별도로 관리한 덕분에 이 곳 회원정보는 털리지 않았다. 방송통신위원회는 개인정보 보호조치 의무를 위반했다며 EBS에 시정조치를 명령했으며, 탈퇴한 회원의 개인정보를 파기하지 않은 점에 대해 과태료 1천만원을 부과했다. logo_ebs 전국민 탈탈 털린 SK컴즈(2011년) SK커뮤니케이션즈(이하 SK컴즈)는 7월28일, 네이트와 싸이월드 첫 페이지에 공지를 띄웠다. “내부 모니터링을 통해 해킹으로 인한 고객의 일부 정보 유출을 감지하였습니다.” 네이트와 싸이월드 회원 3500만명의 계정과 이름, 휴대폰번호, e메일 주소, 암호화된 비밀번호, 암호화된 주민번호가 털렸다. 인원수로만 따지면 한국의 인터넷 사용자 대다수의 정보가 빠져나간 셈이었다. 해커는 SK컴즈에서 고객 데이터를 관리하는 관리하는 직원이 악성코드에 감염될 때까지 기다렸다가 SK컴즈 회원 정보를 빼갔다. 이 사건은 ‘인터넷 실명제'에 대한 비판을 다시금 일으켰고, 이듬해 인터넷 실명제의 위헌 판결을 끌어냈다. 인터넷 실명제는 정보통신망법에 있는 ’제한적 본인확인제'로, 이 제도에 따라 하루 평균 방문자 수가 10만명이 넘는 웹사이트는 본인 확인을 거쳐야 했다. SK커뮤니케이션즈 해킹에 협박까지, 설상가상 현대캐피탈 (2011년) 2011년 1월, 해커 신 아무개 씨는 1천만원짜리 프로젝트를 제의받았다. 현대캐피탈에서 개인정보를 빼낼 수 있게 해달라는 제안이었다. 그는 해킹에 성공했다. 현대캐피탈 서버에 접속해 해킹 프로그램 ’웹셀'을 설치해, 개인정보를 빼돌릴 수 있는 웹주소를 얻었다. 신 씨에게 일을 의뢰한 허 아무개 씨와 공범 3명은 2011년 2월부터 4월 사이에 1300여회에 걸쳐서 회원 175만명의 개인정보를 빼냈다. 이들은 옥션의 회원 정보를 해킹한 일당과 마찬가지로, 현대캐피탈을 협박했다. 현대캐피탈은 그제서야 해킹 사실을 파악했고 범인들은 1억원을 받아내는 데 성공했으나, 허 씨는 2011년, 신 씨는 2013년 붙잡혔다. 현대캐피탈 신세계몰·아이러브스쿨·대명리조트·러시앤캐시 등 25곳에서 2천만건 유출(2010년) 2010년 3월, 중국 해커로부터 개인정보를 사들여 인터넷에 판매한 최 아무개 씨 등 3명이 검거됐다. 이들이 판매하던 개인정보는 신세계몰과 아이러브스쿨 등 25곳에서 유출된 것으로, 모두 2천만건이 넘었다. 인터넷에 개인정보를 팔다 적발된 채 아무개 씨는 중국 해커에게 70만원을 주고 신세계몰 등 웹사이트 7곳의 회원정보 650만명분을 샀다고 경찰에 진술했다. 신세계몰에서 나온 아이디와 비밀번호, 주민등록번호, e메일 주소, 전화번호, 집 주소는 암호화도 돼 있지 않았다. 개인정보가 공공연하게 거래된다는 사실에 국민들은 경악했다. 들끓는 여론에 개인정보보호법 발의는 탄력을 받았다. 개인정보 DB 암호화를 의무화하는 등 강력한 개인정보 보호 대책을 마련토록 하는 이 법안은 2008년 발의된 채 국회를 떠돌았는데, 이 사건으로 힘을 받아 2011년 통과됐다.

12월11일, 한국스탠타드차타드은행과 한국씨티은행에서 개인정보 13만건이 유출됐다는 소식이 나왔다. 무엇보다 믿음직해야 할 은행이 뚫렸지만 세상은 이전 사건들에 비해 조용하다. 쇼핑몰이 털렸을 때도 이보다는 시끄러웠다. 세상은 왜 개인정보 유출에 무뎌진 것일까. 이게 처음이 아니기 때문이다. 돌이켜보니 그동안 털려도 너무 많이 털렸다.

2005년엔 엔씨소프트가 ‘리니지2’ 회원 계정과 비밀번호를 암호화하지 않고 서버에 저장했다가 도용당하는 일이 발생했다. 엔씨소프트가 회원 개인정보를 암호화하지 않고 저장하는 기간 동안 서버에 접속한 '리니지2' 회원 수는 40~50만명으로 알려졌지만, 엔씨소프트는 당시 정확한 숫자가 집계된 게 없다며 공개하지 않았다. 이 사건이 터지고 나서야 인터넷과 개인정보를 지켜야 한다는 인식이 생겼다. ‘리니지 사건’ 이후 벌어진 개인정보 유출 흑역사를 돌아본다.

SC은행?씨티은행 고객정보, 대부업자 손에(2013년)

은행을 안 믿으면 어딜 믿어야 할까. SC은행과 씨티은행에서 개인정보 13만건이 새어나가는 사건이 발생했다. 사건의 발생지는 외부가 아니라 내부였다. 창원지검 특수부는 고객정보를 빼돌린 씨티은행 직원과 SC은행 외주 개발업체 직원을 구속했다고 12월11일 밝혔다.

검찰의 사건 브리핑을 들어보자. 씨티은행의 대출담당 직원 박 아무개 씨는 2013년 4월 은행 내부전산망에서 고객 이름과 휴대폰 번호, 대출액과 만기일자 등 개인정보 3만4천건을 문서로 출력했다. SC은행의 전산프로그램 개발을 맡은 외부업체 직원 이 아무개 씨는 2011년 11월부터 3개월 동안 대학 선배 부탁을 받고 고객정보 10만3천건을 USB 메모리에 저장해 전달했다. 검찰은 이들이 유출한 고객정보가 대부중개업자나 대출모집인 사이에서 건당 50~500원에 거래된다고 말했다.

그런데 박 아무개, 이 아무개 씨와 함께 구속된 대출모집인이 가지고 있던 개인정보는 300만건이 넘았다고 한다. 출처가 밝혀진 건 13만건인데 나머지 290만여건은 어디에서 온 걸까. 검찰은 다른 은행으로 수사 범위를 넓히고 있다.

sc은행, 시티은행
코웨이, 정수기 대신 고객정보 판매?(2012년)

코웨이의 주력 사업인 정수기, 공기청정기, 비데 렌탈 서비스 가입 고객 가운데 절반이 넘는 198만명의 정보가 새나간 사실이 뒤늦게 확인됐다. 해킹이 아니라 내부 직원이 저지른 범죄였다. 영업직원 김 아무개 씨가 2012년 6월말 고객 개인정보를 모아 경쟁사에 팔았다. 방문 점검 서비스를 제공하는 직원 ‘코디'들이 개인당 100~200건 정도 개인정보를 갖고 있는데, 이를 모아 빼돌린 것이다. 고객 이름과 전화번호, 주소, 사용 제품 정보 등이 유출됐다. 코웨이는 2012년 12월 제보를 받고서야 이 사실을 알게 됐다.

코웨이는 사내 교육을 강화하고, 사내 직원별 비밀번호를 기존 6~8자리에서 10자리로 늘리고 3개월마나 반드시 변경하도록 하는 등 관리를 강화했다. 고객정보 조회와 접근 권한 체계도 엄격히 제한하는 한편 고객정보를 암호화하고 사내에 웹 방화벽을 설치해 대비 수준도 높인다는 계획을 밝혔다.

경찰은 2013년 2월13일 개인정보를 빼돌린 코웨이 직원 김씨에 사전영장을 청구하고, 김씨로부터 고객정보를 넘겨받아 마케팅에 활용한 LG전자 정수기 위탁판매업자 김모씨 등 15명을 불구속 입건했다.
코웨이

KT 해킹해 판촉 활동 벌인 일당 적발(2012년)

2012년 7월29일 경찰은 KT 휴대폰 가입자 873만명의 정보를 빼돌린 일당을 검거했다고 발표했다.

검거된 일당은 해커와 빼돌린 개인정보를 팔아 넘긴 판매책으로 구성됐다. 이들은 2012년 2월 KT 영업대리점이 회원 정보를 조회하는 것처럼 한 번에 조금씩 빼내는 수법으로 5개월 동안 들키지 않았다. 이렇게 총 873만명의 이름, 고객번호, 주민번호, 휴대폰 번호, 가입일, 단말기 모델명, 기기 변경일, 요금제, 기본요금, 월정액 합계 정보가 새 나갔다.

이 일이 있고 나서 방송통신위원회는 ▲가입자 주민번호를 암호화하지 않았고 ▲가입자 정보를 확인하는 데에 안전한 인증 수단을 마련하지 않았고 ▲외부 업체에 제공하는 개인정보 항목을 구체적으로 명시하지 않았다는 이유로 KT에 과징금 7억5300만원을 부과했다.

KT 가입자 정보를 빼내 판 해커와 텔레마케팅 회사 대표는 징역 1년6개월씩 선고받았고, 이들에게 가입자 정보를 산 3명은 징역 8개월~1년형을 선고받았다.
kt_logo_500_20111208_thumb.jpg

400만명 털렸지만 수험생은 지켜낸 EBS(2012년)

2012년 5월15일, EBS는 중국 IP에서 악성코드가 침투해 회원 5명 중 1명의 개인정보가 빠져나간 사실을 발견했다. 회원 약 400만명의 이름, 아이디, 비밀번호, 전화번호, e메일 주소, 주소가 빠져나갔다. EBS가 회원가입 시 주민번호와 계좌번호를 받지 않은 게 다행이었다. 하지만 EBS는 탈퇴한 회원의 정보를 간직한 탓에, 탈퇴 회원 정보도 함께 빠져나갔다. EBS 수능 웹사이트는 별도로 관리한 덕분에 이 곳 회원정보는 털리지 않았다.

방송통신위원회는 개인정보 보호조치 의무를 위반했다며 EBS에 시정조치를 명령했으며, 탈퇴한 회원의 개인정보를 파기하지 않은 점에 대해 과태료 1천만원을 부과했다.
logo_ebs

전국민 탈탈 털린 SK컴즈(2011년)

SK커뮤니케이션즈(이하 SK컴즈)는 7월28일, 네이트와 싸이월드 첫 페이지에 공지를 띄웠다. “내부 모니터링을 통해 해킹으로 인한 고객의 일부 정보 유출을 감지하였습니다.”

네이트와 싸이월드 회원 3500만명의 계정과 이름, 휴대폰번호, e메일 주소, 암호화된 비밀번호, 암호화된 주민번호가 털렸다. 인원수로만 따지면 한국의 인터넷 사용자 대다수의 정보가 빠져나간 셈이었다. 해커는 SK컴즈에서 고객 데이터를 관리하는 관리하는 직원이 악성코드에 감염될 때까지 기다렸다가 SK컴즈 회원 정보를 빼갔다.

이 사건은 ‘인터넷 실명제'에 대한 비판을 다시금 일으켰고, 이듬해 인터넷 실명제의 위헌 판결을 끌어냈다. 인터넷 실명제는 정보통신망법에 있는 ’제한적 본인확인제'로, 이 제도에 따라 하루 평균 방문자 수가 10만명이 넘는 웹사이트는 본인 확인을 거쳐야 했다.
SK커뮤니케이션즈

해킹에 협박까지, 설상가상 현대캐피탈 (2011년)

2011년 1월, 해커 신 아무개 씨는 1천만원짜리 프로젝트를 제의받았다. 현대캐피탈에서 개인정보를 빼낼 수 있게 해달라는 제안이었다. 그는 해킹에 성공했다. 현대캐피탈 서버에 접속해 해킹 프로그램 ’웹셀'을 설치해, 개인정보를 빼돌릴 수 있는 웹주소를 얻었다.

신 씨에게 일을 의뢰한 허 아무개 씨와 공범 3명은 2011년 2월부터 4월 사이에 1300여회에 걸쳐서 회원 175만명의 개인정보를 빼냈다. 이들은 옥션의 회원 정보를 해킹한 일당과 마찬가지로, 현대캐피탈을 협박했다. 현대캐피탈은 그제서야 해킹 사실을 파악했고 범인들은 1억원을 받아내는 데 성공했으나, 허 씨는 2011년, 신 씨는 2013년 붙잡혔다.

현대캐피탈
신세계몰·아이러브스쿨·대명리조트·러시앤캐시 등 25곳에서 2천만건 유출(2010년)

2010년 3월, 중국 해커로부터 개인정보를 사들여 인터넷에 판매한 최 아무개 씨 등 3명이 검거됐다. 이들이 판매하던 개인정보는 신세계몰과 아이러브스쿨 등 25곳에서 유출된 것으로, 모두 2천만건이 넘었다. 인터넷에 개인정보를 팔다 적발된 채 아무개 씨는 중국 해커에게 70만원을 주고 신세계몰 등 웹사이트 7곳의 회원정보 650만명분을 샀다고 경찰에 진술했다. 신세계몰에서 나온 아이디와 비밀번호, 주민등록번호, e메일 주소, 전화번호, 집 주소는 암호화도 돼 있지 않았다.

개인정보가 공공연하게 거래된다는 사실에 국민들은 경악했다. 들끓는 여론에 개인정보보호법 발의는 탄력을 받았다. 개인정보 DB 암호화를 의무화하는 등 강력한 개인정보 보호 대책을 마련토록 하는 이 법안은 2008년 발의된 채 국회를 떠돌았는데, 이 사건으로 힘을 받아 2011년 통과됐다.