사후 대책 미흡…개인 정보방지대책‘빛좋은 개살구’

국내 최대 게임기업 넥슨 ‘메이플스토리’ 백업 서버 해킹
전체 회원 수 1,800만 명 중 1,320만 명 개인정보 유출

온라인 개인 정보 유출 사고 빈발…재발 방지 없어
주민등록번호 등 민감한 개인정보 수집 등 자제 필요

지난 11월 25일 국내 최대 게임기업 넥슨은 자사가 운영하는 인기 온라인 게임 ‘메이플스토리’의 백업 서버가 해킹 당해 전체 회원 수 1,800만 명 중 1,320만 명의 개인정보가 유출됐다고 밝혔다. 이처럼 최근 들어 온라인 개인 정보가 유출되는 사고가 빈발하고 있지만 이에 따른 사후 조치가 미흡하고 재발 방지 대책이 부실해 대책 마련이 시급히 요구되고 있다.  

올해 들어 해킹으로 유출된 개인정보만 해도 이번에 발생한 넥슨 1,320만 건을 비롯해 지난 7월 SK커뮤니케이션즈 3,500만 건 등 모두 5,000만 건에 이르고 있다. 즉 지난 4월 현대캐피탈(175만 명)을 비롯해 7월 SK커뮤니케이션즈(3,500만 건)·11월 넥슨(1,320만 건) 등 해킹으로 인해 올 들어 유출된 개인 정보 누적건수만 5,000만 건에 달한다.

유출사건 터질 때만 급급
사후약방문 대처

특히 이번에 사고가 발생한 넥슨의 메이플스토리는 이용자가 대부분 청소년이기 때문에 사실상 전 국민 연령층의 개인정보가 올해 들어 전부 유출된 것이나 다름없는 상황이 됐다는 점이다.

넥슨의 경우 경찰청·방송통신위원회 등에서 아직 공식적으로 유출조사 결과를 발표하지 않았기 때문에 개인정보 유출이 넥슨 측이 발표한 1,320만 건 보다 훨씬 더 늘어날 가능성도 있는 것으로 알려졌다.
더욱이 이번에 유출된 개인정보 내용도 이름·성별·아이디 등 기본 정보를 비롯해 비밀번호·주민등록번호·계좌번호 등 민감한 정보들이 대거 포함된 만큼 앞으로 이런 정보를 활용한 2차적 피해 발생까지도 우려되는 상황이다.

특히 개인정보 유출 피해를 입은 기업들이 사후 조치에 적극적으로 나서 향후 피해를 방지할 수 있도록 시스템을 재구축하는 모습을 별로 보이지 않는다는 게 치명적인 문제점으로 꼽히고 있다. 사건이 터졌을 때만 확산을 막기 위해 급급했을 뿐이지 시간이 지나 여론이 가라앉으면 언제 그랬냐는 듯한 행태를 보이고 있다.

특히 넥슨은 사건의 여파가 얼마 지나지 않았는데도 벌써부터 대응을 미흡하게 해 비난을 사고 있다. 넥슨은 지난 11월 28일 긴급 기자회견을 열고 메이플스토리 이용자 개인정보 유출 사고에 대해 사과했다.

그렇지만 넥슨은 사고 발생 당시 대응이 제대로 일사분란하게 이뤄지지 않았으며 사후 조치 또한 만족스럽지 못했다. 이에 따라 “기업 명성에 걸맞은 조치를 실시하지 못했다”는 비난을 받고 있다. 넥슨이 밝힌 사고 경위에 따르면 메이플 스토리 이용자 정보는 지난 11월 18일에 유출됐다. 그런데 넥슨은 사흘이 지난 뒤인 21일이 되어서야 비로소 알게 됐다. 더욱이 개인정보가 유출됐다는 사실을 파악한 것은 이보다 사흘이나 지난 뒤인 24일이었다.

이뿐만이 아니다. 넥슨이 주무 기관인 방송통신위원회에 유출사고를 보고한 날짜 또한 25일이었고 26일이 되어서야 경찰에 수사를 요청했다. 신속한 조치와는 거리가 멀게 우왕좌왕하다 늦게서야 부랴부랴 보고한 셈이다.

비밀번호 바꿔도 또 유출

더욱 심각한 문제는 넥슨이 이번에 기자회견을 통해 발표한 사후 조치가 상당히 임시방편에 치우쳐 있다는 점이다. 무엇보다 넥슨은 “비밀번호 변경 캠페인을 확대한다”고 제시했지만 많은 전문가들은 “사실상 이는 근본적인 해결책이 될 수 없다”고 입을 모은다.

전문가들은 “이번 넥슨의 해킹 사고가 워낙 지능적이고 계획적으로 이뤄졌기 때문에 앞으로 비밀번호를 바꾸더라도 언제든지 다시 노출될 수 있는 위험의 가능성이 얼마든지 있다”고 지적한다.

이러한 넥슨 측의 사후 조치는 지난 7월 비슷한 수법으로 해킹 사고를 당한 SK커뮤니케이션즈가 사건 발생 후에 보인 대응과는 크게 대조를 이룬다. SK커뮤니케이션즈는 7월 26일과 27일 이틀 동안 발생한 이상 징후를 조사한 다음 바로 다음날 새벽에 정보유출 및 해킹으로 판단했다.

이어 SK커뮤니케이션즈는 7월 28일 오전 방송통신위원회와 경찰에 이 같은 사실을 통보했다. 특히 해킹 사실을 전부 신속하게 시인하고 공지하는 것은 물론 피해자를 포함한 전체 이용자들에게 양해와 용서를 구했다.

아울러 SK커뮤니케이션즈는 주민등록 기입으로 인한 정보유출 피해를 막기 위해 “앞으로 주민등록 번호를 더 이상 수집하지 않겠다”고 공식 선언했다. 이 회사는 지난 8월 말 기준으로 기존 가입자의 주민등록 등 정보를 전량 폐기했다. 현재도 SK커뮤니케이션즈는 신규 가입자의 경우 주민번호를 묻지 않는다.

지난 4월 유사한 해킹 사건을 겪은 현대캐피탈도 사후 조치가 비교적 미흡한 편이었다는 평가를 받고 있다. 애초에 현대캐피탈은 42만 명의 개인 정보가 유출됐다고 밝혔지만 금융감독원 특별검사 결과 175만 명으로 집계된바 있다. 또한 두 달여 동안 해킹 시도에 대해 전혀 알지 못했다.

지난 9월 80여만 건의 고객 정보가 유출된 삼성카드도 사건 전후 대응이 매우 부실했다는 비난을 받은 바 있다. 매달 4만 건의 개인정보가 한꺼번에 빠져나갔지만 그럼에도 삼성카드 측은 개인정보가 처음으로 유출된 지 20개월이나 지난 뒤에야 사실 관계를 인지한 것으로 밝혀졌다.

삼성카드 측은 개인정보가 대규모로 유출된 사실을 파악한 뒤에도 사후 대응이 미진해 빈축을 사고 있다. 회사 측은 사건인지 후 4~5일이 지나서야 금융감독원과 경찰에 신고했고 고객들에게는 12일 후에야 관련 사실을 공지한 것으로 드러났다.

더욱이 회사 측은 피해건수까지 줄이려는 모습을 보여 피해자들의 공분을 사기도 했다. 사건 발생 초기 개인정보 유출 규모를 1만 8,000건으로 발표했던 삼성카드 측은 경찰 압수수색 후 피해규모를 80만 건으로 정정했다.

지난 4월 해킹 사고로 한바탕 곤욕을 치른 농협 또한 사고 대처가 미흡하다는 평가를 받고 있다. 전산장애 복구 시점이 여러 차례 미뤄졌으며 지불과 몇 달 전에도 중계서버 이상으로 세 시간 넘게 거래가 중단되는 사태가 벌어지기도 했다. 아울러 책임 소재도 비상임이라는 이유로 최원병 회장이 아닌 전무로 한정시켰다.

회원가입 통한 개인정보
대량 수집 문제

물론 기업은 방대한 정보에 대한 관리에 어려움을 느꼈을 뿐만 아니라 이들을 노리는 해커를 대상으로 정보를 보호해야 하는 이중 부담을 안고 있다. 문제는 이처럼 해킹으로 인한 개인정부 유출 사건이 빈발하고 있는데도 여전히 업체들이 회원가입을 통해 개인정보를 대량으로 수집하고 있다는 점이다.

이번에 해킹 당한 넥슨 역시 ID, 비밀번호를 비롯해 은행계좌정보·신용카드 정보·PC사양 정보 등 수집 개인정보 항목만 총 24개에 달했다. 이데 대해 업계는 “이 같은 상황을 해결하기 위해 처음 회원 가입할 때부터 주민등록번호 등 민감한 개인정보 수집을 자제하는 등 근본적인 개인정보수집 자제가 필요하다”고 지적한다.

지난 7월 정보통신망법(제24조)에서 ‘개인정보 수집에 동의하지 않는다는 이유로 서비스 제공을 거부해선 안 된다’는 항목이 신설됨에 따라 개인정보 수집 거부 움직임도 늘고 있는 추세다.

법 개정에 따라 정보통신서비스제공자는 ▲개인정보 수집ㆍ이용에 대한 동의와 개인정보 제3자 제공 및 취급위탁에 대한 동의를 분리해 조치하고 ▲이에 동의하지 않더라도 서비스 가입과 이용에 제한이 없도록 조치해야한다. 또한 기존 회원이 회원 가입 시 동의한 바 있는 제3자 제공 및 취급 위탁에 대한 동의 철회를 요청하는 경우 지체 없이 이를 조치해야 한다.

그렇지만 업계 의지는 여전히 미약하고 정부 단속도 부족한 상황이다. 애초에 방송통신위원회는 SK컴즈 해킹 사건 이후 120여개 사이트를 대상으로 정보통신망법 등의 이행 여부를 점검할 계획이었다. 하지만 현재 방송통신위원회는 사전에 해킹 징후가 없는 상황에서 점검을 실시할 권한이 없다. 해당 사이트들이 직접 점검 신청을 하지 않는 이상 정부가 먼저 감독을 나갈 수 없는 상황이다.

또한 최근 시민단체를 중심으로 주민등록번호 폐지 소송이 진행됐지만 행정안전부는 “사회적 비용 소요 등을 이유로 불가능하다”는 입장을 보인 바 있다. 이에 따라 주민등록번호는 본인 확인을 위해 업체들이 계속 수집할 수밖에 없는 상황이어서 실질적인 방안 마련이 필요한 시점이다.
 

 

장범현 기자

저작권자 © 시사포커스 무단전재 및 재배포 금지