우리는 모두 자신이 생각하는 소중한 것들이 있습니다. 돈, 귀중품, 집, 자동차 등등 아끼기도 하고 보안도 철저히 하면서 자신의 것을 지킵니다. 하지만 정작 가장 중요하게 지켜야 하는 것인데 너무 안일하게 여기고 신경 쓰지 않는 소중한 것이 있습니다. 바로 우리의 소중한 개인정보입니다. 우리의 소중한 개인정보가 얼마나 많은 경로를 통해서 유출이 될 수 있는지도 정확히 모르고, 그에 대응하는 행동도 제대로 하지 않는 경우가 대부분입니다.
또한 사람들의 개인정보에 대한 다소 부족한 보안의식 때문인지 피싱, 스미싱등과 같은 다양한 공격방법들도 생겨나면서 우리들의 개인정보는 쉽게 유출되고 있습니다. 정말 다양한 경우를 통해서 개인정보가 유출되고 그에 대한 많은 사례가 있습니다. 주요 사례들로 어떠한 것들이 있었는지 한번 살펴보겠습니다.
카드 결제만 했을 뿐인데 개인정보 유출이?!!!
2009년 POS 단말기 해킹사건을 기억하십니까? 이 사건이 다시 수면위로 떠오르는 이유는 최근 많은 회사에서 개인정보가 유출되기 때문에 다시 언급되고 있습니다. 그 당시 마그네틱 카드용 단말기를 사용하면서 카드결제를 하면, POS 단말기에 개인정보 및 카드결제 정보가 저장되는데, 암호화가 되어있지 않아 손쉽게 해킹 할 수 있는 상태였고, 그 점을 노리고 해커들이 해킹을 하였다. 이 사건 이후 금융당국에서 IC단말기를 사용할 경우, 암호화가 되면서 보안이 강화되기 때문에 해킹에 대해서 대책을 마련할 수 있을 것이라고 하였다. 하지만 전국 36만대 중 현재 2만대만 교체되어 있는 상태이다. 따라서 아직까지 많은 해킹 사건사고가 일어나고 있다. 교체가 2만대 밖에 되지 않은 이유는 자금 때문인데 이 기기를 보급하는데 약 2000억원의 투자금이 필요하다고 한다. 하지만 자금이 부족해 보급하지 못하고 있는 상황이다. 또한, 이 기기의 보급사업 주체가 카드사인지 밴(VAN)사인지 서로 책임을 미루고 있는 상태여서 사건에 대해 진행이 늦어지고 있다. 금융당국은 올해 연말까지 이 기기를 모두 보급하겠다고 하였다.
최악의 사태, 방송3사 320 대란
2013년 3월 20일, 최악의 보안사고가 발생하였다.
공중파, 케이블등 방송3사와. 3곳의 금융기관에 내부 전산망 마비로 인한 데이터 파괴 및 업무마비가 일어난 것이다. 기업 내부의 업무전산망에 연결된 모든 PC는 공격대상이 되었다. 공격당한 방송사 및 금융사 모두 LGU+의 망을 이용하는 것으로 알려졌으며, 이 망이 해커들에게 뚫렸다는 분석결과가 나왔다. 320사태라고도 불리는 이 사고의 해킹공격은 DDos가 아닌, 악성코드를 통한 공격이였다. 정부가 발표한 해킹경로는 해커가 악성코드를 제작한 뒤, 중국 인터넷을 경유하여 ‘트로이 목마’방식으로 악성코드를 심었다. 그 후 특정시점에 악성코드를 유포한 것이다. 이로인해 전산망내 PC 부팅영역이 파괴되었고, PCㆍ서버 3만2천여대가 피해를 입었다., 320사태로 인해 보안사고가 금융권 및 방송사에 입히는 피해의 심각성에 대해 경각심이 더욱 커졌다.
호텔에서 편히 쉬다 빠져나간 내정보…
2014년 2월 24일, 국내 최대 온라인 호텔 예약 사이트인 호텔엔조이에서 회원들의 개인정보 유출 사실을 사이트에 알렸다. 호텔엔조이는 2012년 여수세계박람회과 2013년 순천만정원박람회를 진행하는 등 대규모 행사를 진행하는 대표 업체다. 호텔엔조이 개인정보 해킹 사건은 중국발 IP의 해킹공격으로 추정되며, 가입회원의 약 42만건의 개인정보 유출이 발생한 것으로 파악됐다. 다행히 추가 유출은 없던 것으로 알려졌다. 호텔엔조이는 유출된 정보가 이름, 전화 번호, 주소, 이메일, 아이디, 비밀번호라고 공개했다. 그 중에서 회원 이름은 암호화를 통해 식별 불가능 상태였다고 한다. 호텔엔조이같은 여행사들은 영세업체가 거의 대부분이고, 신용카드와 여권 등 중요한 개인정보를 많이 취급하기 때문에 각별한 주의가 요구된다고 한다.
개인정보 관리 허술 '의료협단체' 노린 치밀한 해킹
지난달 26일 대규모 신용카드 고객정보 대란이 있은 지 불과 얼마 만에 의사 등 전문직 종사자를 포함한 개인정보 유출사고가 또 발생됐다. 대부분 관리가 소홀했던 의료계 사이트가 대상이다. 대한의사협회, 대한치과의사협회, 대한한의사협회 등의 커뮤니티 사이트와 불법 도박 사이트가 대부분 이었다.
해킹으로 훔쳐낸 개인정보의 규모는 의사협회 8만명, 치과의사협회 5만 6000명, 한의사 2만명 등이다. 유출 된 개인정보는 아이디, 비밀번호, 주민등록번호, 휴대폰번호, 주소 등이며 또 의사면허번호, 한의사협회는 근무지, 졸업학교 등의 정보도 유출됐다. 또 증권정보 사이트 ‘와우넷’과 부동산정보 사이트 ‘부동산 114’도 이들에게 해킹 당했다고 알려졌다. 이들 두 개 사이트에서 도합 144만건의 개인정보가 유출 됐다.
해킹 당한 사이트들의 공통점은 개인정보보호 책임자를 형식적으로 지정하고 사이트 관리도 외주업체에 맡긴 채 관심을 가지지 않았다는 것이다.
정보유출 방법은 협회 등에 맞춤형으로 이뤄져 전문적이고 치밀한 계획에 의한 것으로 파악된다. 해커들은 ‘협회 소식’이란 내용으로 스미싱을 보내 협회의 고객정보를 빼냈다. 전문직임을 고려해 금융정보 탈취를 목표로 한 것으로 분석된다. 해킹사고가 발생하자 뒤늦게 의사협회는 개인정보 관리책임자를 지정하고 접근통제장치를 설치, 운영하기로 했다
믿고 사용하는 KT의 허술한 방어…
지난 7일 KT 홈페이지가 해킹 당해 가입고객 1600만명 중 1200만명의 고객 개인정보가 유출되는 사건이 있었다. 지난 2012년 대규모 고객정보 유출 사건 이후 또다시 발생한 해킹사건이다.
'파로스 프로그램'을 이용한 신종 해킹 프로그램을 개발하여 KT 홈페이지에 로그인 후 개인정보를 해킹했다. 해커들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객 9자리 고유번호를 맞춰 개인정보를 탈취했다. 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등을 해킹하는 이 프로그램은 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1200만명 고객의 정보를 빼내왔다. 유명한 해커 서종식씨가 사건이 발생한 2시간 후 KT사이트를 들어가 보안성을 확인해 보았지만 아직까지 대문을 열어 놓은 상태이며, 다른 대책을 세워놓지 않았다고 한다. 서씨는 초등학생도 할 수 있는 간단한 수법이며, 유치원들의 놀이터라고 하였다. 이날, KT임직원들이 광화문사옥에서 사과문을 읽고 죄송하다는 말을 하였다.
이처럼 최근까지도 개인정보에 관한 크고 작은 이슈는 정말 많이 있었습니다. 쉽게 유출될 수 있는 개인정보를 통해서 크고 작은 2차, 3차범죄가 더 많이 일어날 수 있습니다. 앞서 사례들로 알 수 있듯이 정말 다양한 경우의 수로 개인정보는 유출될 수 있습니다. 그러나 이러한 일들은 충분히 예방할 수 있습니다. 평소에 개인정보에 대한 스스로의 보안의식을 높이고, 자신의 개인정보가 얼마나 소중한 것인가를 잘 숙지해야 합니다. 그리고 개인정보 보호법을 잘 알고 다양한 방안들을 활용한다면 자신의 개인정보를 잘 지킬 수 있지 않을까 생각해 봅니다.
대학생 기자 / 서울여자대학교 박서진
대학생 기자 / 동국대학교 백종수
대학생 기자 / 덕성여자대학교 임지연
대학생 기자 / 중앙대학교 채유빈
대학생 기자 / 서원대학교 최주연
대학생 기자 / 국민대학교 최해리
'보안라이프 > 이슈&이슈' 카테고리의 다른 글
국가 재난을 악용한 '세월호 스미싱' (0) | 2014.05.15 |
---|---|
Anonymous, 그들은 누구인가? (0) | 2014.03.24 |
사회가 있는 곳에 법이 있다, 법대로 합시다 : ) (1) | 2014.01.09 |
스마트 사용자 노린 스미싱, 메모리 해킹, 파밍이 온다 (2) | 2013.12.06 |
어떻게 APT를 없앨 것인가 (0) | 2013.11.18 |