SK컴즈 사고 불과 넉달만에 또다시 대규모 보안사고...해법은?
지난 18일 넥슨의 인기게임 '메이플스토리' 서버가 해킹된 것으로 확인되면서 다시금 해킹공포와 2차 피해우려가 커지고 있다.
지난 7월 3500만명의 개인정보가 유출된 SK컴즈 사고가 터진지 불과 4개월만에 대규모 보안사고가 터진 것이다. 지난 4년간 외부에 알려진 국내 인터넷 사용자의 개인정보 유출건수는 무려 1억1900만건에 달한다. 국민 한명 당 평균 두 차례 이상의 개인정보 유출의 피해를 입은 셈으로 여전히 해킹사고는 근절되지 않고있다. 특히 이번 해킹 피해자 상당수는 초등학생들로 주민등록증도 지급 받기 전에 자신의 식별번호가 유출된 만큼 인터넷실명제 폐지주장도 더욱 힘을 얻게 될 전망이다.
◇ 1320만명 개인정보 유출
27일 방송통신위원회와 넥슨에 따르면 지난 18일 넥슨의 '메이플스토리' 회원 1320만명의 개인정보가 유출됐다. 넥슨은 이 사실을 24일 확인했고 방송통신위원회와 경찰에 신고한 것은 25일 오후 5시경이다. 해킹주체나 기법은 현재 경찰이 수사중이지만 일단 SK컴즈사태와 유사하게 내부시스템과 연결된 PC에 악성코드를 심어 정보를 유출한 것으로 추정된다. 현재 유출된 개인정보는 이름, 아이디, 비밀번호, 주민등록번호다. 넥슨은 "비밀번호와 주민등록번호는 암호화된 채 유출됐다"고 밝혔다.
하지만 불안감이 고조되고 있다. 게임업종의 특성상 암호가 풀린다면 단순 개인정보 유출을 넘어 아이템 탈취 등 금전 사고로 이어질 수 있기 때문이다. 넥슨으로서는 매출 1조원에 육박하는 국내 1위 게임사의 자존심을 구긴 것은 물론 내달 14일 넥슨재팬 일본상장에도 악재를 맞게 됐다.
올해만도 지난 4월 농협사태에 이어 현대캐피탈, 한국앱손 등에서 연이어 보안사고가 터졌다. 특히 최근 발생한 SK컴즈와 넥슨의 개인정보 유출은 이들 기업과는 성격이 다르다. 인터넷을 기반으로 한 사업자들은 일반 기업에 비해 훨씬 강화된 보안시스템을 가동하고 있다. 하지만 이같은 노력이 무색하게 해커의 먹잇감이 되면서 국내 인터넷 기업들의 보안체제에 적신호가 켜졌다.
염흥렬 한국정보보호학회 회장(순천향대 교수)는 "최근 유행하는 APT(Advanced Persistent Threat) 해킹은 취약점을 보완한 패치가 나오기 전에 공격을 시작한다"며 "해커가 공격을 마음먹으면 이를 막기가 어렵다"고 설명했다.
◇ "인터넷실명제, 해킹 원인 제공"
시민단체와 인터넷 업계는 이 같은 해커들의 공격이 지속되는 원인으로 '인터넷실명제(제한적본인확인제)'를 꼽고 있다. 2007년부터 시행되고 있는 인터넷실명제는 실질적으로 가입자의 주민번호를 요구한다. 주민번호는 상거래, 신분확인 등 광범위한 부문에서 사용된다. 특히 개개인의 생년월일과 성별, 출신지역 등 구체적인 정보를 담고 있다. 해커들이 국내 인터넷 사이트에 대한 공격에 나서는 것도 바로 주민번호를 빼내기 위한 것으로 보인다. 오병일 진보네트워크 활동가는 "인터넷 실명제가 개인정보 유출사태의 근본 원인"이라며 "인터넷 실명제 폐지와 주민등록 수집 금지, 유출된 주민번호 재발급 등이 대안이 될 수 있다"고 강조했다.
독자들의 PICK!
◇ 2차피해 방지위해 비번 교체해야
방통위는 지난 SK컴즈 정보유출과 관련해 암호화 수준이 높아 현실적으로 풀어낼 수 없다고 밝혔다. 하지만 SK컴즈 해킹 이후 보이스피싱이 증가하고 타인의 명의로 카드를 발급 받은 사례가 발생하면서 암호화의 실효성에 대한 의구심도 고개를 들고 있다. 보안업계 관계자는 "주민번호가 유출됐다면 이에 대한 근원적 해결방안은 없다"며 "넥슨 홈페이지에서 개인정보 유출 여부를 확인한 후 넥슨과 동일한 아이디와 비밀번호를 사용하는 인터넷 서비스의 비밀번호를 변경해야 추가적인 개인정보 유출 및 피해를 막을 수 있다"고 조언했다.
특히 이번에 해킹을 당한 메이플스토리는 초등학생 등 저연령층 이용자 비율이 높다. 이들 저연령 이용자들은 제대로 사회경제활동을 하기도 전에 자신의 식별번호를 유출당한 셈이다. 행정안전부는 개인정보가 유출된 국민에 대한 주민번호 교체가 현실적으로 불가능하다는 입장이다.
보안업계 한 관계자는 "보안의 중요성에 대한 기업들의 인식은 높아졌지만 아직 투자 및 관련 인력 육성은 부족한 수준"이라며 "해커들의 집중 공격을 막으려면 경영진의 관심과 이에 걸맞는 대규모 투자가 필요하다"고 설명했다.
