 |
이러한 가운데 공공시스템도 안전지대가 아니라는 진단도 나왔다. 국민 개인정보를 대규모로 보유한 공공시스템을 모의해킹해 보니 취약점이 모두 발견된 것이다. 시스템 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득할 가능성도 확인됐다.
일상생활에서 사용하는 서울자전거 '따릉이'에서 회원정보가 유출된 정황도 발견됐다. 피해 여부에 대한 상세 내용은 현재 경찰에서 수사를 진행하며 확인하고 있다.
◆ 개인정보는 공공재?…"털렸다고 끝이 아니다"
과학기술정보통신부와 한국인터넷진흥원(KISA)이 발표한 보고서에 따르면 지난해 접수된 기업 침해사고는 2300여건에 달했다. 전년 대비 26.3% 늘어난 수치로, 특히 하반기에 신고가 증가한 것으로 나타났다. SK텔레콤에 이어 KT, 롯데카드, 쿠팡, 예스24 등 연쇄 보안 사고가 발생하면서 하반기에도 공격 흐름이 이어진 모양새다.
정부는 올해 예상되는 사이버 위협으로 개인 침해, 인공지능(AI), 자산관리, 클라우드를 꼽으면서 유출 개인정보를 악용한 2차 피해를 주의해야 한다고 경고했다. 유출된 개인정보가 결합될 경우 보이스피싱이나 스미싱 등 지능화된 공격에 악용될 가능성이 있기 때문이다.
크리덴셜 스터핑도 대표적인 악용 사례로 거론되고 있다. 크리덴셜 스터핑은 해커가 사전에 취득한 정보를 활용해 다른 사이트에서 로그인을 시도하는 기법을 뜻한다. 실패율이 높기 때문에 시스템상 탐지가 가능하나, 이에 대한 대비책을 갖추지 못한 사이트의 경우 이상 행위를 잡아내지 못할 수 있다. 개인정보보호위원회는 아이디, 비밀번호, 이메일 정보를 입력하면 다크웹 유출 여부를 확인할 수 있는 '털린 내 정보 찾기' 서비스를 확대 운영하기로 했다.
 |
감사원은 '개인정보 보호 및 관리 실태'를 통해 공공시스템 또한 안전지대가 아니라는 점을 확인했다. 화이트해커 11명이 투입된 이번 감사는 공공시스템 123개 중 개인정보 보유량이 많은 7개를 모의해킹해 보안 취약점을 점검하는 방식으로 진행됐다. 다크웹에 불법 유통되는 공공부문 유출 정보를 분석하는 작업도 병행됐다.
그 결과 공공부문 개인정보 유출 원인은 95.5%가 외부 해킹에 의해 발생한 것으로 나타났다. 내부 직원이 고의 유출한 경우는 0.1%에 불과했다. 감사 대상인 7개 시스템 모두 보안 취약점이 있다는 점도 드러났다. 시스템 접속에 필요한 중요 정보가 암호화되지 않아 해커가 관리자 권한을 획득할 경우 13만 주민번호가 탈취될 가능성도 확인됐다.
공공시스템 보안을 강화해야 한다는 목소리가 나오는 이유다. 정부는 개인정보 관리와 유출 사고에 대해 공공기관을 엄정 제재하겠다는 입장이지만 현장에서는 "예산과 인력 문제부터 해결해달라"는 호소도 이어지고 있다. 개인정보 보호 체계를 고도화할 비용과 전문 인력이 부족한 상황에서 처벌 수위만 높아질 수 있다는 우려다.
 |
서울시설공단은 서울경찰청 사이버수사대로부터 서울자전거 '따릉이' 회원정보 유출이 의심되는 정황을 전달받았다고 밝혔다. 유출 규모, 범위, 피해 여부는 현재 경찰 수사가 진행 중인 사안이라 공개할 수 없다고도 시사했다. 개인정보위와 KISA에 관련 신고도 마친 상태다.
공단은 서울시와 합동으로 유출사고 분석과 대응에 특화된 비상대응센터를 가동하기로 했다. 따릉이 앱과 홈페이지 운영체계에 대해서도 시스템 보안을 강화하겠다고 예고했다. 만약 피해가 의심되는 경우 서울다산콜센터와 서울시설공단 공공자전거운영처콜센터를 통해 접수를 진행할 수 있다. 공단은 "경찰 수사에 최대한 협조하는 한편 수사 결과에 따라 필요한 후속 조치를 신속히 시행할 예정"이라고 말했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
