유클린 뉴스

4회u세상, 행복나누기
목록

해킹피해 감추는 게 능사?

[해킹 비상](上) "기업이미지만 타격" 당하고도 '쉬쉬'

성연광 기자  |  2008.04.03 08:17
[해킹 비상](上) "기업이미지만 타격" 당하고도 '쉬쉬'
옥션, 다음 등 굵직굵직한 기업들을 겨냥한 해킹사고가 연일 이어지고 있다. '검은 돈'의 유혹에 빠진 해커들은 이미 전문화·분업화된 산업규모 단위로 커지고 있는 반면, 이를 대비하는 국내 법제도나 민간기업들의 보안수준은 여전히 제자리를 맴돌고 있는 탓이다. 최근 발생하고 있는 대형 보안사고에 대한 대응방안과 제도적 보완점에 대해 집중 살펴봤다. 【편집자주】
"옥션 바보 아닌가요? 그냥 모르는 채 넘어갔으면 될 일을 괜히 떠벌리니깐 소송만 당하잖아요".

얼마전 해킹 사실을 스스로 밝힌 옥션이 피해 소비자들로부터 집단소송을 당할 상황에 직면하자, 한 기업보안 담당자가 안타까운듯 내뱉은 한마디였다. 국가기관이나 민간기업 대부분은 해킹 피해 사실을 알고도 감추기 급급한데 뭐하러 '긁어 부스럼이냐'는 것이다.

현재 우리나라 공공기관이나 민간기업 가운데 해킹 피해사실을 스스로 알리는 곳은 거의 없다. 그러다보니, 피해신고도 없는데 스스로 해킹 사실을 공지한 '옥션'이 아주 이상한 기업으로 비춰질 수밖에 없다.

과연 '옥션'이 이상한 기업일까. 해킹당하고도 '쉬쉬'하고 감추기 바쁜 기업들이 이상한 것일까.

image
◇해킹 사실 "일단 감추고 보자"

기업의 홈페이지는 해커들의 천국이다. 마음대로 드나든다. 결사적으로 해커를 막으려는 기업도 별로 없다. 해커가 다녀가도 다녀간지도 모르는 기업이 부지기수다. 알고도 넘어간다. '문책'을 피하려는 때문인지 피해사실을 '절대로' 알리지 않는다. 외부에 알려지더라도 '발뺌'부터 한다. 사실확인이 어려운 전문분야기 때문에 우겨도 별 수 없다는 점을 악용하는 것이다.

지난해 한국정보보호진흥원(KISA)에 신고된 기업의 해킹피해 건수는 2만1732건. 국가 공공기관이 입은 해킹피해만도 5597건에 달한다. 해킹된 것도 모르고 지나친 사례까지 합하면 해킹 기업의 수는 신고건수를 훨씬 넘어선다. 해킹의 목적은 대부분 '돈벌이'가 되는 고객정보를 훔치기 위해서다.

◇옥션은 '용감했다' 왜?

해킹피해를 입고도 '쉬쉬'하던 기업들이 보면 옥션은 이상한 기업일 수밖에 없다.

오픈마켓플레이스의 '대표주자' 옥션은 해킹됐다는 사실만으로 기업이미지는 두말할 것도 없고 영업에 큰 타격을 받을 수 있다. 더구나 소비자들로부터 집단소송 위험까지 떠안게 된다. 실제로 옥션은 현재 집단소송에 휘말릴 위기에 처했다.

지난달 경찰에 의해 다음 KT 온세통신 하나로텔레콤 LG파워콤 등 9개사의 해킹피해 사실이 드러났다. 당시 경찰은 67만건의 고객정보를 해커의 PC에서 발견하고 해당사에 통보했다. 해당 업체 가운데 다음커뮤니케이션을 제외한 나머지 기업은 모두 해킹 사실을 부인하기 바빴다.

어떤 기업은 해킹으로 고객정보 유출은 물론 웹사이트가 악성코드에 감염됐는데 이런 사실조차 이용자에게 알리지 않고 있다. 해당 사이트를 방문한 PC는 모두 악성코드에 감염된다. 이로 인한 피해는 막대하다. PC에 저장된 금융정보가 고스란히 유출되기 때문에 명의도용으로 인한 금융피해를 입을 수 있다.

2005년 당시 포털, 게임, 언론사 사이트까지 해킹으로 이용자 PC들이 악성코드에 감염돼 개인정보가 유출되는 피해가 잇따랐지만, 이를 책임지는 곳은 한 곳도 없었다.

그래서일까. 스스로 해킹 사실을 밝힌 옥션의 결단에 박수를 보내는 이가 적지않다. 당시 옥션의 박주만 사장은 내부 임원들의 강력한 반대에도 불구하고 '이용자 피해 최소화' 차원에서 사이트를 통해 해킹사실을 알렸다. 그리고 이용자 주의를 당부했다.

이에 대해 IT칼럼니스트 명승은씨는 "옥션의 자발적 공지는 자신들의 책임을 뒤로 미루는 기업들과 전혀 다른 모습"이라며 "해킹을 당한 사실은 비난받아 마땅하지만, 옥션의 이같은 행보는 기업이 사이버 범죄에 대해 어떻게 대처해야 하는지를 보여준 모범사례"라고 평가했다.

◇해킹공지 의무화 법안 마련돼야

정보통신기반시설보호법에 따르면 현재 우리나라는 정보통신 기반시설로 지정된 곳은 해킹피해 사실을 정부기관에 반드시 신고하도록 돼있다. 그러나 그외 기업은 신고의무가 없다.

임종인 고려대 정보보호학 교수는 "미국 등 해외는 해킹으로 고객정보가 유출되면 반드시 이용자들에게 피해사실을 고지하도록 의무화돼 있다"면서 "우리나라도 이런 의무규정을 담은 개인정보보호법이 마련돼야 한다"고 지적했다. 임 교수는 이어 "해킹당해놓고 이용자에게 고지하지 않은 사실이 뒤늦게 적발되면 가중처벌 규정을 두는 방안도 고려해야 한다"고 덧붙였다.

미국 캘리포니아주의 '개인정보보호법'(SB1386)이 대표적이다. 2003년에 마련된 이 법은 해킹에 따른 이용자 피해가 없다고 판단되더라도 이용자에게 전화 등의 방법으로 해킹 사실을 통보해야 한다고 명시돼 있다.

만일, 이를 준수하지 않으면 해당 사업자는 형사처벌까지 받는다. 이 법이 캘리포니아주에서 상당한 실효를 거두면서, 현재 미국 전역의 30개주에서 이 법을 근거로 관련법 제정에 나서고 있다.

그러나 '창'이 있으면 '방패'도 있는 법. 아무리 해킹 대응책을 잘 마련해뒀다고 해도 피해자가 생길 수 있는 것이 바로 '해킹'이다. 사이버공간 곳곳에 항상 위험이 도사리고 있다. 이 때문에 옥션처럼 해킹 사실을 알리는 기업에 대한 면책조항도 필요하다고 전문가들은 지적한다.

성재모 금융보안연구소 팀장은 "외부 기관에서 확인하기 어려운 해킹범죄의 속성상 기업들이 자발적으로 피해사실을 고지할 수 있도록 유도하는 방안을 강구해야 한다"면서 "보안시스템이나 보안인력, 직원의 보안교육 등 기업의 보안체계 전반에 대한 기준도 제시할 필요가 있다"고 강조했다.