사용자 삽입 이미지사용자 삽입 이미지
보안업체인 잉카인터넷의 신뢰성과 이미지가 크게 훼손되게 됐습니다.


잉카인터넷이 20일 방송통신위원회로부터 정보통신망법의 개인정보보호 법규를 위반해 500만원의 과태료와 개인정보 기술적·관리적 조치 수립·시행 등 재발방지 대책 시행에 대한 시정명령 처분을 받았습니다. (이날 KT는 가입자 동의 없이 전국동시지방선거 때 선거홍보용
문자메시지를 발송 상품에 이용돼 10억원의 과징금을 함께 받았죠.)


작년 말 루마니아 해커로 알려진 ‘우누(Unu)’에 자사 제품인 ‘엔프로텍트’ 웹사이트가 해킹된 것이 알려진 적이 있는데요. 당시 22명의 고객 개인정보 일부가 이 해커에 노출돼, 대표이사가 직접 사과와 함께 “웹사이트 개편 중 예전 사이트가 일시적으로 노출했던 것이 원인이고, 고객이 주로 사용하는 금융, 공공기관의 보안 제품에서는 개인정보를 전혀 수집하고 있지 않다”고 해명과 자칫 발생할 수 있는 오해의 소지 차단에 힘을 쏟았습니다.

그런데 이번에 방통위의 행정처분으로 잉카인터넷은 또다시 타격을 입게 됐습니다.

잉카인터넷에 대한 행정처분 이유가 적절한 개인정보 관리 계획과 조치가 없었다는 건데요.

방통위는 지난해 12월 현재 108만 명의 개인정보를 수집, 이용하면서 개인정보관리책임자 지정, 개인정보 기술적·관리적 보호조치 이행 등 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립, 시행하지 않았다고 밝혔습니다.

또 잉카인터넷 개인정보처리시스템에 접근권한이 없는 내부직원 9명이 접속했고, 지난 2005년 9월부터 2009년 11월까지 개인정보를 수집, 이용하면서 회원의 비밀번호를 일방향 암호화 저장하지 않은 사실을 확인했다. 또한 3명의 만14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의도 받지 않았다고 설명했습니다.  

잉카인터넷은 이번 행정처분이 지난해 11월 27일 우누의 웹사이트 해킹 사고 때문에 방통위가 조사한 결과 내려진 것이라고 해명했는데요.  

당시 방통위가 홈페이지를 조사했고, 이메일과 비밀번호로 회원가입을 받고 있어 개인정보를 다루는 온라인 사업자의 법적 의무에 맞는 개인정보관리체계가 부족했다고 판단했습니다.

잉카인터넷은 “당시 웹사이트 취약점이 발견됐을 때 즉각 수정, 보호조치를 적용한 것이 방통위로부터 확인됐었고, 개인정보관리책임자와 전담팀을 신설해 매월 1회 정기적으로 내부감사도 시행하고 있어 모든 조치를 이행하고 있다”며, “올해 말에는 정보보호관리체계(ISMS) 인증도 획득한다”고 설명했습니다.

권한이 없는 내부직원의 개인정보처리시스템에 접근한 것은 “당시 웹사이트 문제점을 파악하는 과정에서 접속한 것”이라고 말했습니다.

결국 1년 전에 있었던 웹사이트 해킹 사건(?)이 발단이 돼, 지금까지 영향을 미치고 있는 것이네요. 잉카인터넷 입장에서는 기억에서 지우고 싶은 사건이겠지만 한번 엎질러진 물은 다시 담을 수가 없습니다.

방송통신위원회 김광수 개인정보보호윤리과장은 “잉카인터넷도 온라인으로 개인정보를 수집하기 때문에 법 적용 대상 사업자”라며, “이같은 모든 기업은 적절한 개인정보의 내부관리 계획과 보호 조치를 이행해야 한다”고 강조했습니다.

다른 보안업체들도 명심해야겠습니다. 특히 홈페이지에 회원가입을 받고 있다면 법규준수와 이행에 더욱 엄격하게 신경을 써야합니다.

일반 기업보다도 자사 제품에 취약점을 노출시키거나 웹사이트가 해킹을 당할 경우, 사업 자체에 큰 타격을 입을 수 있기 때문입니다.

잉카인터넷은 온라인게임과 인터넷뱅킹 등 금융권 사이트에서 높은 점유율을 가진 인터넷보안 제품인 ‘엔프로텍트’ 때문에 가뜩이나 극심한 ‘안티’에 시달리고 있는데요. 이래저래 수난시대를 겪고 있는 잉카인터넷이 고객 신뢰 회복을 어떻게 벌여나갈 지 주목됩니다.

위기의식을 갖고 뼈아픈 자기반성과 함께 지속적이고도 많은 노력이 필요할 것 같군요.

2010/10/20 16:40 2010/10/20 16:40

루마니아 해커로 알려진 ‘우누(Unu)’가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 국내에서 화제가 되고 있습니다.

‘우누’는 지난 24일 자신의 블로그에 전세계 대표 보안업체인 시만텍의 개인용 보안 제품 ‘노턴(Norton)’의 고객지원 사이트를 해킹했다고 올린 데 이어, 지난 27일에는 국내 업체인 잉카인터넷의 ‘엔프로텍트(nProtect)’ 사이트를 해킹했다고 공개했습니다.


해킹한 시만텍의 웹사이트는 일본의 고객지원 사이트로, ‘우누’는 블로그 제목에 패스워드와 제품 시리얼 번호 등 개인정보가 노출됐다는 점을 부각했습니다.
여기에는 일본뿐 아니라 한국 고객 정보가 포함돼 있다는 점에서 국내에서도 이 사실이 급속히 퍼졌습니다.

잉카인터넷 관련 포스팅도 마찬가지입니다.


‘우누’는 지난 2월에는 카스퍼스키랩의 ‘카스퍼스키’ 제품 웹사이트도 해킹했습니다.


해킹 등 보안위협을 막는 기술을 개발하는 이들 보안 업체들은 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했습니다.

 
아마도 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점이 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화하게 될 것 같습니다.


그렇지 않으면 신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놔도 고객으로부터 외면당할 수 있기 때문입니다.


웹사이트나 고객 DB관리가 취약해 진짜로 고객정보라도 유출당하는 사고가 발생한다면, 그야말로 회사를 유지하기 힘들게 될 것입니다.


그런 점에서 ‘우누’는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련했습니다.


‘우누’는 업체들마다 자사 웹사이트에 허점이 있다는 것을 용기 있게 인정했다는 점을 높이 사기도 했고, 나중에 취약점이 보완됐다는 사실도 공지했습니다.  


그런데 왜 전 아쉬움이 있을까요?


‘우누’가 진정한 화이트 해커라면 보안업체들에게 먼저 알려줬으면 더 좋았을 것 같다는 생각이 듭니다.


그런데도 보안업체들이 취약점을 시급히 보완, 조치하지 않는 등 등한시할 경우 공개하는 것이 더 좋지 않았을까 생각합니다.


물론, 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 “고객 개인정보가 유출되지 않았다”고 밝혔지만, ‘우누’의 이야기대로 각 업체의 고객정보가 노출될만큼 위험하다면 더욱 그랬어야 하지 않을까 싶습니다.


그 사이 진짜 악의적인 해커들이 ‘우누’의 블로그에 올려진 글을 보고 고객정보 유출을 시도할 수도 있지는 않을까 하는 우려 때문입니다. 


보안업체들이 가장 무서워하는 것이 바로 ‘해킹 당했다’, ‘제품이 뚫렸다’는 이야기 아닐까요.

 
예전에 해커들은 자신의 이름을 알리기 위해 유명한 사이트를 노렸다고 하지요. 선의로 행한 것이라면 ‘우누’가 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 혹시라도 불필요한 오해를 사지 않길 바랄 뿐입니다. 




2009/11/30 17:01 2009/11/30 17:01