올 초 신용카드 1억4000만건, KT 1170건, 카드 결제업체 1200만건, 통신 서비스 판매점·금융권 등 1230만건 등 잇단 개인정보 유출사고로 사회적 분위기가 뒤숭숭하다.
개인정보 관리에 소홀한 사업자들에게 엄중한 책임을 물어야 하는 것은 두말할 나위 없다. 개인정보 침해 사범 단속에 대한 수사당국의 의지 또한 일회성에 그쳐선 안된다.
그러나 개인정보 유출사고가 연일 발표되면서 국민들의 불안감 또한 필요 이상으로 고조되고 있는 것도 사실이다. 이 과정에서 경찰의 성급한 수사 브리핑을 꼬집는 지적도 나오고 있다.
KT 개인정보 유출건이 그 예다. 경찰이 수사 브리핑을 통해 '개인정보 유출 사고' 소식이 알려진 건 6일 오후 3시쯤. 하지만 그로부터 1~2시간 뒤 경찰이 브리핑에서 소개한 올레닷컴 이용대금 명세서 서비스의 취약점을 통해 정보 유출과정을 시연한 블로그와 SNS들이 올라왔다.
브라우저 개발자 도구를 통해 서버와 브라우저 간 오가는 데이터를 확인한 결과, 브라우저로 확인 가능한 '가공된 이용대금 정보' 외에 고객관리번호, 유심카드번호 등 이용자에게는 필요 없는 서버 내 자체 데이터들이 그대로 노출되고 있다는 것. 자신의 회원 아이디로 접속해 확인한 자기 정보들이기 때문에 일단 법적 문제는 없다. 분명한 것은 수사 결과 브리핑 이후에도 사이트의 일부 취약점이 그대로 방치돼 있었다는 얘기다.
이번 사고에는 다른 회원의 인증값을 쉽게 가로챌 수 있는 등 다른 취약점들도 악용됐다. 이대로라면 이들 취약점조차 KT가 사전에 제대로 막았는지 의문이다. KT가 이용대금 명세서 서비스를 완전히 차단시킨 것은 이 날 오후 5시 이후다.
만약 KT가 이에 대한 아무런 조치가 없었다면 두시간 남짓 악의적인 추가 피해 가능성도 상존했던 셈이다. 수사 결과로 문제점이 드러났음에도 즉각 관련 서비스를 닫지 않았던 KT도 문제지만 완벽한 기술적 보안조치가 취해졌는 지 확인없이 수사결과를 브리핑 것 자체도 너무 성급했다.
'제2의 모방 범죄'를 고려했더라면 먼저 KT의 기술적 보안조치가 마무리됐거나 서비스를 중단했는지 확인하고, 그 이후에 수사결과를 발표하는 게 정석이었다는 게 전문가들의 지적이다.
수사기관과 관계당국 및 사업자간의 피해 현황 자료 공유가 늦어진 것도 문제다. 당사자가 피해 여부를 확인할 수 있는 시점은 수사 브리핑 후 5일이 지나서다. 그나마 KT 개인정보 유출 조회 시기는 빠른 편이었다. 앞서 터진 신용카드사 개인정보 유출 사고의 경우, 일주일이 넘어서야 조회가 가능했다.
독자들의 PICK!
일각에서는 잇따라 터져 나오는 개인정보 유출 수사 발표를 당국의 실적 경쟁 분위기와 연관 짓기도 한다. 경찰청은 신용카드 고객정보 유출 파문 이후 개인정보 침해사범 단속에 특진까지 내거는 등 그야말로 총력전을 펼치고 있는 소식인데 주객이 전도돼서는 안될 것이다.