들리세요? 개인정보 털리는 소리…

컴퓨터를 켜면 메일함에 쌓인 스팸메일부터 지우는 게 일상이 됐다. 스팸문자는 괜히 마음만 설레게 하는 귀찮은 녀석이다. 그래도 가끔 보이스 피싱 경험담을 접하면 살짝 겁도 난다. 메신저를 통해 친구가 웬 홈페이지 주소를 적은 쪽지를 보내왔는데 전체 쪽지에다 내용도 이상하다. 다음날 친구는 쪽지로 말하길, “해킹 당했나봐. 미안해. 그거 클릭하지마.” 그런데 조금 이상하다. 오늘은 왠지 스팸메일이 평소보다 많은 것 같다. 스팸문자가 귀찮게 많이 온다. 그리고 네이트에 접속을 했는데 웬걸. 해킹을 당했다고 죄송하다며 비밀번호를 바꾸란다. “아 짜증나…” 귀찮아서 팝업창을 닫고 하던 일을 계속 한다. 해킹이라고 해봤자 스팸메일 조금 더 늘은 거 밖에 더 있겠나 싶을 뿐이다. 그런데 그 순간 날아온 문자 한통, 또 스팸문자인가 하고 봤더니 외환은행에서 내 명의로 신용카드를 추가 발급했다는 내용이다. 가만, 내가 언제 카드 발급을 신청했던가…?3500만의 개인정보 유출, 피할 수 없는 위험 지난 7월 28일 네이트는 가입자 3500만 명의 이름, 아이디, 이메일, 전화번호, 암호화된 주민등록번호, 비밀번호 등의 개인정보가 해킹당했다는 사실을 밝혔다. 해킹 직후 언론은 사상 최대규모의 해킹이라며 기사를 쏟아냈고 네이트는 해명에 바빴다. 네티즌에 대한 직접적인 조치는 개인정보 유출 확인 서비스와 비밀번호 변경 권고뿐이었다. 그러나 곧이어 개인정보 유출 여부를 확인하는 것이 더 위험하다는 내용의 기사가 나오며 네티즌들을 혼란에 빠뜨렸다. 네이트 해킹이 일어난 직후, 포털사이트 네이버에는 ‘네이트 해킹 피해자 카페(네해카)’가 개설돼 한 달이 지난 8월 28일 현재 9만 명에 육박하는 회원이 가입한 상태다. 해킹으로 인한 피해를 제보하는 글만 1.500여개 올라왔고 그 중 대부분은 스팸메일이나 보이스 피싱과 같은 사칭 피해와 관련된 것이다. 이번 사태 이후 네이트와 싸이월드를 운영하는 SK커뮤니케이션즈(SK컴즈) 측의 보안강화 특별 자문위원으로 위촉된 염흥열 한국정보보호 학회장 역시 “스팸메일과 보이스 피싱의 피해가 예상된다”며 2차 피해를 염려했다. 염 학회장은 “스펨메일을 보고 클릭하면 악성코드에 감염되고 좀비 PC가 된 내 컴퓨터가 다른 컴퓨터를 공격하게 될 수도 있다”고 스팸메일의 위험성을 지적했다. 진보네트워크에서 활동하고 있는 오병일 씨도 “유출된 핸드폰, 메일 주소 정보를 이용한 스팸메일과 보이스 피싱이 예상된다”며 “특히 보이스 피싱의 경우 직접적인 경제적 손실을 불러일으킬 수 있다”고 경고했다. 스팸메일과 보이스 피싱이 일반적인 해킹으로 인해 예상되는 피해라면, 이번 네이트 해킹의 경우 많은 정보가 유출됐기 때문에 추가적인 피해가 예상된다. 염흥열 학회장은 “SK컴즈에서 유출된 개인정보를 이용해 해커들이 다른 사이트를 공격할 수도 있다”고 우려를 표했다. 사용자들이 대개 비밀번호 같은 것들을 자신의 신상정보를 조합해서 만드는 경우가 많기 때문에, 네이트에서 사용하던 같은 아이디와 비밀번호를 쓰는 다른 사이트도 위험에 처할 수 있다는 것이다. 또한 는 8월 26일 ‘네이트 해킹사건 후 카드 추가발급 급증… 2차 피해 현실화’라는 기사에서 “네이트 해킹사건 이후 카드 추가발급을 신청했다가 개인정보 불일치로 중단된 사례가 평소보다 3배가량 증가했다”고 보도했다. 네이트 해킹으로 인한 피해는 개인 차원의 노력으로 예방될 수 있는 문제의 범위를 넘어섰다는 것이다.

한국이 해킹 공화국이 되기까지

한국에서 해킹은 어제 오늘의 문제가 아니다. 네이트 해킹 전에도 옥션과 메가스터디와 같은 웹사이트에서 대규모 해킹을 발생한 적이 있었다. 사이버수사대의 통계자료에 의하면 사이버범죄 발생 건수는 매년 꾸준히 늘어 2010년에는 122,902건을 기록했다. 그 중에서도 해킹·바이러스와 인터넷 사기가 차지하는 비중은 약 50%인 5만여 건이다. ‘IT강국’ 한국이지만 한편으로는 보안에 취약해 ‘해킹공화국’이라는 별명도 가지고 있는 것이 현실이다. 한국정보보호학회 염흥열 학회장은 “악성코드를 이용한 해킹이나 장기적으로 계획된 해킹과 같이 해킹 기술의 발전 속도가 비약적으로 빠르다”며 “보안 기술의 발전 속도가 해킹 기술 발전 속도를 따라잡지 못한다”고 한국이 해킹에 취약한 이유를 밝혔다. 이번 네이트 해킹의 경우도 직원이 기업용이 아닌 무료 배포용 백신 프로그램을 쓰다가 이 프로그램을 통해 회사 컴퓨터가 악성코드에 감염돼 발생한 것이다. 염 학회장은 “사람들이 많이 이용하는 150개의 웹사이트 중 54%가 악성코드의 위험을 가지고 있다”며 한국 인터넷의 취약한 보안 상태를 지적했다. 악성코드에 감염된 프로그램을 다운받지 않더라도 “특정 사이트에 방문하는 것만으로 악성코드에 감염되고 좀비 PC가 되어 자신도 모르는 새 다른 컴퓨터를 공격할 수 있다”는 것이다. 진보네트워크의 오병일 씨는 더 근본적인 원인으로 ‘불필요한 개인정보까지 지나치게 수집하는 기업’과 ‘개인정보의 수집을 허용하는 정부’를 꼽았다. 현재 우리나라에서는 웹사이트에 가입하기 위해 주민번호와 이름을 비롯한 개인정보를 입력해야 한다. 오 씨는 이러한 한국의 인터넷 보안 상태를 “금고 안에 매우 귀중한 것이 많이 들어있는데 금고는 허술한 상황”이라고 빗대 설명했다. 개인정보라는 중요한 정보를 수집함으로써 해킹의 위험과 피해규모를 높이고 있음을 꼬집은 말이다. 또한 염흥열 학회장은 한국 인터넷 보안의 문제가 기업이나 정부, 개인 모두의 책임이라고 말했다. “많은 개인 정보를 보유하면서도 해킹 위협에 적절한 보안 대책을 마련하지 않는 기업과, 개인정보 보안에 그다지 신경을 쓰지 않는 사용자들이 전체적으로 연결돼 현재 한국 인터넷의 보안 문제를 구성하고 있다”는 것이다.

해킹의 후폭풍, 네티즌은 어디로 피해야 하는가

네이트 해킹이 발생한 후 피해자인 네티즌들의 입장은 두 가지로 극명하게 대비됐다. 8월 16일 의 ‘네이트 해킹후…방문자수 ‘여전’ 비밀번호 “잘 안바꿔”’ 기사와 8월 22일자 ‘네이트 해킹 집단소송 본격화…“이번주 소송 신청”’ 기사가 그 두 가지 예다. 네티즌 이지훈 씨는 “네이트 해킹이 아니라도 이미 유출돼 있을 것이라 생각했기 때문에 새삼스러울 게 없었다”며 네이트 해킹을 당시의 기분을 표현했다. 이 씨는 “비밀번호를 잘 못 외우기 때문에 비밀번호를 바꿀 생각이 없었다”고 덧붙였다. 네이트에서 비밀번호 변경을 강제로 시행한 것은 이런 네티즌들의 태도에서 기인한 것이었다. 진보네트워크 오병일 씨는 이런 상황에 대해 “해킹으로 인한 스팸메일과 스팸 문자들이 일상적으로 느껴지는 것부터가 문제”라며 “그동안 우리나라에 해킹이 얼마나 빈번했는지 알 수 있는 대목”이라고 지적했다. 이렇듯 해킹에 무감각해진 네티즌이 있는 반면 해킹 피해에 적극적으로 대처하는 네티즌들도 있다. ‘네이트 해킹 피해자 카페’가 대표적인 예다. 이 카페에 모인 피해자들은 집단 소송을 준비 중이다. 집단 소송에 참여하기 위해 필요한 비용과 절차가 상세하게 설명돼 있다. 현재까지 소송에 참여하겠다는 서명을 한 회원수는 모두 4만 5천여 명. 그러나 그 과정이 순탄하지만은 않다. 카페 운영자 안모 씨는 “해킹 피해자 카페가 먼저 있었지만 소송을 통해 돈을 벌고자 하는 카페였다”며 “피해자를 두 번 울리는 일이 없었으면 해서 카페를 만들었다”고 밝혔다. 집단 소송의 승소 여부 역시 불투명한 상태다. 지난 옥션 해킹 때도 집단 소송이 있었지만 패소했다. 이번에 위자료 지급 명령이 내려오긴 했지만 네이트에서 항소를 한 상황이라 결과를 장담할 수 없다. 은 8월 23일 ‘네이트 집단소송 봇물, 승소 가능성은?’ 기사에서 “해킹은 사용자 과실로 보기 어려우며 정신적 피해 입증 역시 쉽지 않아 누리꾼의 승소 가능성이 적다는 의견이 많다”고 승소 가능성을 예측했다. 진보네트워크나 참여연대 등의 시민단체에서는 주민번호 재발급과 실명제 폐지를 주장하기도 했다. 8월 11일 ‘해킹 잇따르는데…당정 ‘인터넷실명제 폐지’ 귀막아’ 기사에 따르면 참여연대는 “개인정보 유출사고의 근본 원인은 인터넷 실명제인 만큼 이를 폐지해야 한다”고 주장했다. 인터넷 실명제가 개인정보의 지나친 수집을 허용하는 구실이 되고 있기 때문이다.진보네트워크 오병일 씨는 “주민번호 재발급은 추후에 장기적으로 발생할 수 있는 피해를 예방하기 위해 필요하다”고 말했다. 이번 해킹으로 이메일, 핸드폰 번호, 암호화된 비밀번호와 주민번호가 유출됐는데 주민번호의 경우 다른 정보처럼 변경이 용이하지 않기 때문이다. 주민번호를 바꿀 수 없기 때문에 장기적인 위험에 노출돼 있는 상황이다. 하지만 정부는 인터넷 실명제 폐지에 회의적인 입장이다. 주민번호 재발급 요청 역시 행정안전부에서 들어주지 않고 있는 상태다. 주민번호의 대안으로 제시되고 있는 I-pin도 안전하지는 않다. 여러 사이트에 분산돼 있던 개인 정보가 I-pin을 발급하는 사이트로 모이게 되면서 I-pin 발급 사이트가 해킹의 표적이 될 수 있기 때문이다. 오 씨는 “I-pin을 발급해주는 사이트가 해킹당할 경우 개인정보 뿐만 아니라 개인이 어떤 사이트에 가입해 있다는 정보까지 유출된다”며 I-pin의 위험성을 지적했다. SK컴즈는 보도자료를 통해 회원 가입 시 주민번호 저장을 중지하고 기존의 저장된 주민번호를 폐기할 것임을 밝혔다. 또 보안강화를 위해 특별자문위원단을 구성해 발표했다. 이에 오병일 씨는 “SK컴즈 측에서 최소한으로 할 수 있는 일을 한 것”이라고 평가했다. 그러나 오 씨는 “이런 개인정보 유출 사태가 마구잡이로 일어나는 것은 더 이상 개인만의 문제가 아니”라며 “기업과 정부의 책임감 있는 사회적 안전망 구축이 더 필요하다”고 강조했다.