Home > 전체기사
[정보보호 20년史] 2008년: 최대 이슈는 개인정보 유출사고
  |  입력 : 2019-06-24 11:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국정보보호산업협회 20년사를 통해 본 한국 정보보호 20년 역사
2008년, 굵직한 고객정보 유출 및 해킹 사건 연이어 발생해 충격 안겨
KISIA, 창립 10주년 맞아 정보보호업계 대변자로 우뚝...제9대 박동훈 회장 선출


[보안뉴스 원병철 기자] 2008년은 2007년부터 시작된 미국 서브프라임 모기지 사태로 인한 전 세계적인 금융위기가 한국에도 영향을 준 해였다. 다만 금융위기는 해외수출을 주로 하는 물리보안 산업에는 큰 영향을 미쳤지만, 내수위주의 정보보호 산업은 생각보다는 큰 피해 없이 흘러갔다.

[이미지=iclickart]


정보보호 정책과 관련해서는 우선 정부가 각 부처별로 정보보호 관련 기능을 분담하는 한 해였다. 행정자치부(현 행정안전부)는 ‘공공기관 개인정보보호 종합대책’을 발표하며 전자정부와 공공분야의 개인정보보호를 강화했고, 당시 정보통신부는 「정보통신망법」을 분리해 개인정보보호 관련법 제정을 추진했다.

하지만 정부의 이러한 노력과는 반대로 2008년은 굵직한 해킹사건이 연이어 발생해 충격을 안겼다. 정유업체 GS칼텍스 회원 1,100만 명의 고객정보가 유출됐으며, 인터넷쇼핑몰 옥션과 통신사 LG텔레콤와 하나로텔레콤 등도 해킹으로 고객정보가 유출됐다. 이 뿐만 아니다. 외환은행과 하나은행에 대한 해킹 시도가 있었으며, 모아저축은행은 대출신청관리 시스템이 해킹 피해를 입었다. 물론 나쁜 소식만 있던 것은 아니었다. KISIA는 일본 보안전시회인 IST 2008에 한국공동관으로 참가해 높은 성과를 거뒀다.

중앙정부의 개인정보보호 강화를 위한 움직임
행정안전부는 2008년 전자정부의 가장 큰 과제로 ‘개인정보보호’를 꼽고 자치단체와 공공기관의 보안 취약점에 대해 직접 나선다고 밝혔다. 당시 행정안전부의 전자정부 사업을 이끌던 서필언 전자정부본부장은 “개인정보 유출은 더 이상 개인의 문제가 아닌 사회 전체의 해결과제”라며, “먼저 공공기관이 적극적인 보안관리 체계를 갖추고 개인정보보호에 먼저 솔선수범할 것”이라고 보안뉴스와의 인터뷰에서 밝혔다. 또한, 2008년 전자정부 지원사업 예산 3,244억원 중 1,477억원을 중앙부처의 보안관련 예산으로 책정하고, 2012년까지 3,000억원 수준으로 끌어올릴 계획이라고 설명했다.

특히, 행정안전부는 공공기관의 개인정보보호를 위해 「공공기관 개인정보보호에 관한 법률」을 개정하고 법적 기반을 마련했다. 이는 3년간 국회에 계류 중이던 법안으로 2008년 당시 개인정보보호의 관심과 사회적 영향이 높아졌음을 알 수 있었다. 또한, 2007년 12월 ‘개인정보보호팀’을 신설하고, 2008년 1월 개인정보 침해의 근원적 예방을 위한 공공기관 개인정보보호 종합대책을 발표했다. 또한, 전자정부 보안과 개인정보보호를 위한 조직과 인력을 보강하기 위해 계 단위 2~3명의 전자정부 보안전담 조직을 배치하고, 각 지자체에는 ‘보안전담팀’을 확대하는 내용이었다. 여기에 보안전담팀에는 보안 및 정보보호 전문가 5명씩을 배치해 지방 사이버침해 대응센터를 효율적으로 관리할 수 있도록 했다고 밝혔다.

방송통신위원회는 기존 정보통신망법을 개인정보보호법, 방송통신시스템법, 정보통신망 이용자보호법 등 3개 법률로 분리·확대한다고 밝혔다. 2011년 3월 제정돼 9월 30일 시행된 개인정보보호법에 대한 논의가 2008년에도 진행된 것이다. 당시 연이은 개인정보 유·노출로 개인정보보호에 대한 사회적 요구는 높았지만, 당시 민관을 통합하는 체계적인 개인정보보호법이 없었던 만큼, 정보통신부가 이를 위한 논의를 시작한 것이다.

당시 개인정보보호법은 개인정보보호 관련 조항을 개선하고, 법 적용 범위를 확대해 민·관에 체계적으로 적용한다는 방침을 세웠다. 또한, 법 적용 대상을 현재 정보통신서비스 제공자에서 개인정보 취급자로 확대하고, 비영리 사업자와 개인도 적용대상에 포함시켰다. 보호대상 역시 이용자에서 일반적인 정보주체로 확대했다.

한편, 서울특별시는 보안특별시를 위한 ‘u-Security 2010 정보보호 중기계획’을 본격 가동하면서 24시간 통합보안관제가 가능한 시스템을 구축하겠다고 밝혔다. 이 중기계획은 안전하고 편리한 u-전자정부 실현을 위한 3대 목표와 14대 추진과제로 이뤄졌으며, 기존 서울시 위주의 보안관제를 자치구를 포함한 서울시 전 기관으로 보안영역을 확대하는 계획이었다. 당시 김완집 서울시 사이버보안팀장은 “u-Security 2010 정보보호중기계획은 변화하는 환경에 대응하기 위해 만들어졌다고 해도 과언이 아니”라며, “점차 지능화되고 특수화되는 보안문제를 총체적으로 해결하기 위해 종합계획을 세우자는 생각에서 이 계획을 만들게 됐다”고 설명했다.

2008년 사건사고의 화두는 개인정보 유출사고
2008년 발생한 사건·사고 중 가장 큰 화두는 바로 개인정보 유출사고였다. 당시 한국인터넷진흥원이 발표한 자료에 따르면 해킹사고를 피해 기관별로 분류한 결과 ‘개인’의 피해 건수가 74.8%로 가장 높았다. 개인정보의 유출이 개인을 넘어 사회문제로 확대되기 시작한 것이다. 행정안전부를 비롯한 중앙정부가 2008년을 개인정보보호 강화의 해로 삼았지만 아이러니하게도 2008년의 가장 큰 이슈가 개인정보 유출사고가 된 것이다. 특히, 2008년에는 해킹 등 외부 공격은 물론 내부자에 의해 고객정보가 유출되는 사건이 연이어 발생하면서 피해자들이 집단소송을 제기하는 경우가 증가했다.

9월 발생한 정유업체 GS칼텍스 1,100만 명 회원 개인정보 유출사건은 2008년 전 세계에서 발생한 대규모 개인정보 유출사건 10위 안에 포함되며 세계적인 이슈가 됐다. 경찰청 사이버테러대응센터는 GS칼텍스의 콜센터 운영 자회사 직원과 일당 3명을 체포했으며, 구속영장을 신청했다. 고객 DB에 접근권한이 있던 자회사 직원은 일당과 범행을 모의한 뒤 DVD를 이용해 고객정보 1,100만 명의 개인정보를 빼낸 뒤, 마치 DVD를 주운 것처럼 언론사에 제보해 개인정보의 가치를 높인 뒤 판매하려고 한 것으로 드러났다. 다행스럽게도 개인정보가 유출되기 전에 범인들은 체포됐지만, GS칼텍스는 내부정보 관리 소홀은 물론 자회사 및 관계사 관리와 홈페이지 관리 소홀 등 여러 가지 문제점을 노출시키면서 한동안 어려움을 겪었다.

모아저축은행 해킹과 외환·하나은행 해킹 공격 시도 등 금융권 공격 증가
2008년 발생한 보안사고 중 가장 두드러졌던 건 모아저축은행 해킹과 외환·하나은행 해킹 등 금융권을 향한 공격 시도다. 2008년 5월 말 경찰에 의해 붙잡힌 대부중개업자 김모(34)씨는 2007년 4월 대부중개업체를 설립하고 함께 구속된 미국인 해커 J모(24)씨를 고용해 2008년 초까지 1년여 간 모아저축은행을 포함한 제2금융권 저축은행 7곳의 시스템을 해킹했다. 이뿐만이 아니었다. 이들은 또 270개 기관의 시스템에 전격 침투하기도 했다. 이 과정서 유출된 고객 개인정보만 총 970여만 건으로, 일당은 이 정보를 대출광고에 활용했다. 더욱 놀라운 사실은 이들 일당이 저축은행들의 허술한 웹사이트를 통해 내부망에 접근, 300만 고객의 기본정보 외 예금·대출 관련 정보까지도 빼냈다는 점이다. 조금만 더 나아갔다면 금융거래 내역 자체가 조작됐을 뻔했던 상황이었다.

해당 금융기관들을 향한 비판이 줄을 이었다. 특히, 보안관계자들은 자칭 ‘인터넷 강국’의 초라한 면이 드러났다며 “보안의식을 더 확고히 하고, 관련 투자도 더 늘려 잃었던 금융기관으로서의 신뢰를 되찾아야 한다”는 목소리를 냈다. 이에 해당 저축은행은 방화벽 등 보안시스템은 충분히 갖췄지만, 개인 PC 설정과정에서 문제가 생겼다고 변명했고, 저축은행을 포함한 제2금융권은 내부정보유출방지 시스템 공동구축 등의 움직임을 보이며 비판여론을 피해가려 했다. 금융 감독당국도 상호저축은행 전산보안 시스템에 대한 컨설팅을 실시하겠다고 밝히는 등 대응책 마련에 나섰다.

역시 5월에 발생한 외환은행과 하나은행에 대한 해킹시도는 금융권이 안전지대가 아님을 인식시켜주는 또 하나의 계기가 됐다. 경찰이 조사한 바에 따르면, 범인 일당은 범행 날 0시 50분경 서울 명동에 있는 ‘하나은행 허브센터’ 앞에 승용차를 세워놓고 무선 랜카드와 지향성 안테나(AP)를 단 노트북 컴퓨터로 인터넷 무선 공유기에서 나온 관리자 정보를 채집한 것으로 드러났다. 불과 30여분 만에 해킹을 모두 완료한 세 사람은 이어 인근에 있는 외환은행 본사로 자리를 옮겼고, 동일한 수법으로 전산망에 침투해 관리자 정보를 빼낸 뒤 무단으로 저장했다. 주요 시중은행 두 곳의 안전이 위협받게 된 것이다.

일당을 검거한 뒤 경찰은 지난 수년간 무선공유기의 정보를 중간에서 빼내는 해킹시도가 여러 번 있었던 걸로 보이나 실제 관련자를 잡은 건 이번이 처음이라고 밝혔다. 보안전문가들은 무선을 통한 침입으로부터 금융기관을 보호하기 위해선 두 가지에 유념해야 한다고 조언했다. 하나는 무선랜 구간을 최소화하는 동시에, 관련 인증·보안 시스템을 갖춰 외부의 공격에 적극 대응해야 한다는 것이다. 또 다른 하나는 무선 IPS 등 보다 강력한 방어수단을 도입해 해킹 피해를 최소화해야 한다는 것이다. 그러나 전문가들은 아직 금융기관들이 무선랜을 도입할 때 보안 시스템을 함께 구축해야 한다는 생각을 하지 못하고 있다고 지적했다.

중국 해커의 공격, 옥션 해킹과 네이버 고객정보 판매
국내 대표 전자상거래 사이트 옥션이 중국 해커의 공격을 받아 회원정보가 유출된 사건은 금융권 해킹보다 빠른 2008년 2월에 발생했다. 옥션은 홈페이지를 통해 회원 개인정보 유출로 의심되는 단서를 발견했다면서 관계당국에 신고하고 재발방지를 위한 보안작업을 공고하게 해나갈 것이라고 밝혔다. 해킹당한 업체가 스스로 이를 밝힌 것은 드문 일이어서 이에 대한 좋은 평가도 있었다. 하지만 수사가 계속되면서 전체 보안을 총괄하는 보안조직이 없다는 사실과 구체적인 피해사실, 그리고 보상방안은 밝히지 않는 점 등 때문에 비판의 대상이 되기도 했다.

한편, 개인정보가 유출된 회원들은 이에 대한 책임을 묻기 위해 집단소송을 진행했다. 당시 언론에 의하면 2008년 2월~10월까지 총 19건의 손해배송 소송이 접수돼 소송인원만 14만여 명에 달했으며 소송 금액은 1,569억여 원 이르는 것으로 조사됐다. 다만 해당 사건은 2015년 대법원에서 ‘불가항력 해킹’이라며 책임이 없다고 판결하면서 옥션의 손을 들어줬다.

국내 웹사이트에 대한 공격은 옥션 뿐만 아니었다. 2008년 5월 한 중국 해커는 중국 메신저 ‘QQ메신저’를 통해 네이트의 1,200만명 고객정보를 100만위안(한화 약 1억원)에 판매하겠다고 광고하면서 충격을 줬다. 는 “해킹 당했다는 근거가 불확실하며, 실제로 중국에서는 여러 사이트에서 빼낸 개인정보를 한국 포털의 개인정보라고 속여 판매하는 일도 많기 때문에 구체적인 조사가 필요하다”며 부인했지만, 2011년 해킹을 당함으로써 결국 여러 문제점을 드러내고 말았다.

[이미지=iclickart]


IT 및 정보보호기업간 인수합병 소식 이어져
그렇다면 정보보호 산업계는 어땠을까? 2008년에는 정보보호기업간, 혹은 정보보호기업과 IT기업끼리의 인수합병 소식이 많이 들려왔다. 2007년 12월 31일에는 윈스테크넷과 나우콤이 합병 작업을 완료하고 새 법인 나우콤으로 재탄생했다. 나우콤은 12월 31일 이사회를 열어 김대연 대표이사와 문용식 대표이사를 선임, 각자대표 체제를 출범키로 했다. 이에 따라 나우콤 김대연(51) 대표는 보안솔루션 사업부문을 총괄하고 문용식(49) 대표는 인터넷서비스 사업부문을 총괄해 각자 대표로서 법적 권한과 책임을 갖고 경영하게 됐다. 한편, 나우콤은 다시 2011년 아프리카TV와 윈스테크넷으로 분리됐고, 윈스테크넷은 2014년 3월 윈스로 사명을 변경했다.

정보보안 분야 전문기업 이니텍은 3월 100% 자회사인 금융 아웃소싱 서비스 분야의 선두기업 뱅크타운을 합병하기로 결정했다. 2007년 뱅크타운에 대한 인수절차를 마무리한 이니텍은 양사가 독립적으로 사업을 운영하기보다는 합병을 통해 보안과 금융 분야에서 쌓아온 양사의 역량을 한 데 모으는 것이 금융 IT 서비스 전문기업, 나아가 글로벌 IT 서비스 기업으로의 도약을 위해 더 큰 시너지를 낼 수 있다는 판단 하에 7일 이사회를 개최, 양사의 합병을 승인했다고 밝혔다.

이스트소프트도 8월 시큐리티인사이트의 지분 100%를 인수하고 자회사로 편입한다고 밝혔다. 시큐리티인사이트는 PC지기 개발사인 비전파워로부터 인적 분할된 개발전담회사로 알약과 함께 PC지기, KT메가닥터, 야후툴바 등의 보안제품에 안티스파이웨어 관련 기술을 공급하는 연구소 성격의 보안SW 개발사다. 이 업체는 연구개발, 악성코드 분석, 그리고 긴급대응전문 인력으로 구성돼 있으며 규모는 약 30여명이다. 이스트소프트는 “보안사업에서 필수적으로 요구되는 전문인력과 긴급 대응에 관한 노하우를 대폭 강화함으로써 보안시장의 새로운 강자로 자리매김할 기반을 마련했다”고 평가했다.

해외에서도 시만텍이 앱스트림, 스왑드라이브, 메시지랩스 등을 인수했고, 맥아피도 시큐어컴퓨팅을 인수했다. 소포스도 데이터 암호화 SW기업 유티마코를 사들였으며 CA는 계정관리 솔루션 ID포커스를 인수하는 등 2008년은 서브프라임 모기지 사태에 따른 전세계 금융위기로 인해 정보보호산업의 재편이 진행된 한해였다.

▲제12차 KISIA 정기총회 모습[사진=KISIA]


KISIA 창립 10주년, 정보보호업계의 대변자로 우뚝 서다
한국정보보호산업협회(KISIA)는 2월 13일 제12차 정기총회를 개최하고 제9대 회장으로 박동훈 닉스테크 대표를 선출했다. 또한, 수석부회장으로 이득춘 이글루시큐리티 대표와 조규곤 파수닷컴 대표를 선출하고 감사로 이찬우 더존정보보호서비스 대표를 선출했다. 박동훈 회장은 “최근 정보보안 사고는 대비만 충분히 한다면 예방이 가능한 경우가 많았다”면서, “이에 언론사와 공동으로 정보보안 사고예방을 위한 홍보와 교육 등을 적극적으로 전개할 것”이라고 밝혔다.

2008년 2월 기준으로 회원사가 128개사에 달했던 협회는 창립 10주년을 맞아 기념 엠블렘을 공모하고, 창립 10주년 기념 사진전을 개최하는 등 10주년 기념식을 진행했다. 이와 함께 협회는 IT핵심기술 개발사업 정보보호 연구성과 전시회, 제1회 산업보안 심포지엄, 2008 IT EXPO 부산 전시회, 제9회 ICCC총회 정보보호제품 전시회 등에 회원사를 이끌고 참여했으며, 제6회 국가정보보안 업무발전토론회와 지식정보보안산업 진흥 종합계획 발표회 등 대정부 정책 건의 활동도 활발하게 펼쳤다. 또한, 2008 지식정보보안 인력채용 박람회, 정보보호제품 평가·인증 교육, 정보보호 전문가 단기실무 교육과정, 그리고 정보보호전문가 자격증(SIS) 검정 등을 운영했다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향