해킹(hacking)은 정보 시스템의 취약성을 이용하거나 기존에 알려진 공격 방법을 활용하여 정보 시스템에 해를 끼치는 새로운 기능을 만들어 내는 행위와 접근을 허가받지 않은 정보 시스템에 불법으로 침투하거나 허가되지 않은 권한을 불법으로 갖는 행위를 말합니다.

국내 2위의 온라인 쇼핑몰 업체인 옥션이 지난 4일 중국으로부터 해킹 당했다고 발표했습니다. 이번 해킹은 쇼핑몰 홈페이지가 아니라 고객 정보(데이터베이스)가 들어있는 시스템을 타깃으로 한 것으로 알려져 피해 규모가 확산될 가능성도 있습니다.  옥션은 공지를 통해 이번 해킹으로 주민번호, 환불정보, 재무정보 등 일부 개인정보가 유출되었으나, 패스워드는 암호화 되어 안전하다고 밝히고 있습니다.

옥션은 우리나라 인구의 절반에 가까이운 약 1천900만명이 회원으로 등록되어 있습니다. '패스워드가 안전하니 걱정하지 말고, 그래도 혹시 모르니 쉽게 유추할 수 없는 비밀번호로 변경만 하면 된다'는 식의 공지를 보니 답답하기만 합니다. 중국에서 한국인의 주민번호와 전화번호 같은 개인정보가 공공연하게 떠돌고, 은밀하게 거래까지 이루어지고 있는 상황에서 쇼핑몰의 접속만을 목적으로 해킹했을리가 없을 건데, 정말 옥션 비밀번호만 바꾸면 안심해도 되는 것일까요?


옥션은 현재 보안관제를 위탁하는 보안컨설팅 업체 인포섹과 공동으로 개인정보 유출상황 분석에 나섰고, 상황의 심각성을 감안해 경찰청 사이버테러대응센터에 신고하고 사건 경위를 조사하고 있습니다. 그런데 옥션은 이미 한달 전부터 주기적인 해킹 시도가 있었던 것으로 드러났으며, 경찰
청 사이버테러대응센터 관계자는 "현재 로그분석을 통해 해킹 경로와 피해 내용을 조사하고 있지만, 로그양이 방대하고 분석이 쉽지 않아 단기간에 파악하기는 쉽지 않을 것으로 보인다"고 밝히고 있습니다.

그동안 옥션은 네트워크 보안 등의 정보보호 부문을 SK그룹 계열사인 인포섹(Infosec)에 위탁해 왔습니다. 사건이 터지자
옥션 관계자는 "지난해부터 계약을 맺고, 인포섹측에 침입차단, 침입탐지 장비 운영 및 취약점 진단(모의해킹 포함), 24시간 보안 모니터링 등을 위임한 상태"라고 주장하고 있고, 인포섹에서는 "인포섹과 계약을 체결한 업무내역은 낮은 단계의 네트워크 보안에 국한됐으며, 이번 해킹사건은 엄연히 이 관제영역을 벗어난 침해사고"라며 옥션측에 책임을 돌리고 있습니다.

옥션에서는 이번 해킹과 관련한 신고센터(032-622-5100)를 운영하여 피해신고를 받고 있습니다. 그런데 이 피해라는 것이 참으로 발견하기가 쉽지 않습니다. 몇 년전에 주요 쇼핑몰의 결제 서비스를 대행하는 한 회사는 1년 사이 1000원 미만의 상품을 구매하고 신용카드 승인을 요청하는 건수가 늘어나는 것을 이상히 여기고 조사를 한 적이 있습니다.
MP3파일이나 전화벨 등 디지털 콘텐츠가 아니라 1000원 이하의 일반 상품을 구매하고 승인을 요청하는 건수가 늘었기 때문이었습니다. 대다수 쇼핑몰에서 1000원 이하의 상품은 많지 않은데, 소액 승인 요청은 점점 늘어나 80건에 육박했고, 이를 수상히 여긴 업체는는 관련 내용을 경찰에 알렸고, 소액 승인이 들어온 쇼핑몰의 주문·결제 정보를 대조해본 결과 30만원짜리 내비게이터가 1000원짜리로 둔갑해 버젓이 결제된 후 배송된 것을 알아냈습니다. 80여개 인터넷 쇼핑몰의 주문·결제 정보가 해킹을 당했던 것입니다.

이와 같이 하루 수천건의 물품을 배송하는 중대형의 옥션 입주업체의 경우에는 물건 한두개의 가격이 바뀐 것을 눈치챌 수 없습니다. 더구나 그 물건값 자체가 조작되고 그 가격대로 정상구매가 이루어졌기 때문에 발견하기란 더욱 어려울 것입니다. 만약 당시의 해커가 조금만 더 똑똑했다면 30만원짜리 물건의 가격을 5천원에서 1만원 정도로 변경했을 것이고, 그랬다면 몇 달에서 몇 년 동안 발각되지 않았을 것입니다. 옥션에서는  아직까지 이번 해킹으로 얼마나 많은 정보가 유출되었는지 파악하지 못하고 있습니다. 그 유출된 DB에는 구매자 뿐만 아니라 판매자의 정보도 포함되어 있을 것입니다. 과연 비번을 변경하는 것 만으로 안전할 수 있을지 의문스럽습니다.


더 큰 문제는 옥션에서의 피해가 아닙니다. 몇 년전부터 중국에 본부를 둔 전화사기단이 기승을 부리고 있습니다. 그나마 피해가 미미할 수 있었던 것은 그 사기단들이 말그대로 랜덤으로 전화를 하기에 조금만 파고들거나 질문을 해대면 금방 거짓말인 것이 판명났기 때문입니다. 그럼에도 나이가 든 노인들이 경우, 판단력이 흐리기 때문에 아직까지도 전화사기의 피해자가 발생하고 있는 실정입니다. 옥션의 고객정보에는 많은 정보가 들어 있습니다. 해커를 통해 이메일에서 일반전화, 휴대전화, 이름, 주민번호에 집주소까지 회원에 관한 완벽한 데이터를 확보한 전화사기단이 있다면 그 결과를 쉽게 짐작할 수 있을 것입니다. 전화를 해서 '김XX님은 현재 어떤 이유로 연체가 되었습니다' 이런 식으로 이름을 대면 일단 상담원과 통화를 할 수 밖에 없을 것입니다. 그리고 주민번호와 집주소까지 불러주면 안 믿을 수도 없을 것입니다. 아니 경계를 한다고 해도 지금보다는 더 많은 사람들이 사기를 당하게 될 것이 분명합니다. 낮시간에 집으로 전화해서 노인들에게 아들 이름을 대면서 사기를 치면 많은 피해자가 속출 할 것입니다.

저는 해킹이나 보안에 대해서 잘 모릅니다. 일주일에 1~2회 무료백신으로 검사를 하고 울타리(safe fence)와 클릭 투 트윅으로 정리를 하는게 제가 하는 전부입니다. 저 뿐만 아니라 우리나라 인터넷 사용인구의 대부분이 저와 비슷할 것입니다. 그러나 개인정보 유출의 심각성은 잘 알고 있습니다. 만약 이런일이 일어난다고 해도 그 피해의 근원이 옥션에 있음을 증명하기도 어렵고, 증명한다고 해도 그 보상을 받을 수 있을지 의문스럽습니다. 1900만명의 회원정보중 10만명의 정보만 유출되었다 해도 한국은 사기꾼의 천국이 될 것입니다. 그런데도 지금 이 사태의 심각성을 옥션과 인포섹과 사이버테러대응센터에서는 모르고 있는듯 보입니다. 이것은 일개 쇼핑몰의 문제가 아니라 대한민국 국민의 다수가 위험에 노출된 것인데도 서로 책임 떠넘기기에 급급한 모습을 보이고 있습니다.

우리나라의 은행이 해킹되었다는 뉴스는 아직 들은 기억이 없습니다. 그만큼 해킹에 대한 보안이 잘 되어 있기 때문일 것입니다. 그런데 지난해 거래액이 3조1000억원이나 되는 옥션은 해킹 되었습니다. 이것은 이익에만 급급했고, 은행보다 보안의식이 떨어졌기에 벌어진 사태라고 생각 할 수 밖에 없습니다.해커가 사용한 수법은 옥션 직원들에게 다량의 이메일을 보내, 메일을 열어보는 순간 직원의 내부 신분확인(ID)정보와 비밀번호가 자동으로 해커들에게 넘어오도록 하는 수법을 썼습니다. 해커들은 이렇게 입수한 직원들의 접속 정보를 이용해 옥션의 고객 데이터베이스 서버에 접근, 고객 정보를 빼내갔습니다.

이메일을 이용한 정보 유출은 고전적인 수법인데, 인터넷 전문업체 직원들이 이에 당했다면 평소 보안교육에 아주, 매우, 엄청난 문제가 있는 것입니다. 보안업체의 침입 징후 보고를 무시하다가 해커가 4일 옥션에 전화를 걸어 협상을 시도하자 그제서야 놀라서 신고를 했습니다. 매각을 앞둔 업계 1위의 G마켓 마저, 옥션의 대주주인 미국의 이베이로 넘어 갈까 두렵습니다. 그렇게 되면 G마켓도 옥션과 비슷한 보안보다 이익이라는 의식으로 경영 될 것이고, 대한민국의 쇼핑몰은 전세계 해커들의 놀이터가 되어 버릴 것입니다.


옥션은 '신뢰와 편리를 중심으로 한 커머스(Commerce), 판매자와 구매자간 교류의 장으로서의 커뮤니티(Community), 유익하고 다양한 정보를 중심으로 한 콘텐츠(Contents)'라는 3C를 올해 전략으로 채택했다고 하는데, 이제부터는 3S(Secret/Safety/Security)를 먼저 지향해야 할 것입니다.


:
free counters
BLOG main image
樂,茶,Karma by 외계인 마틴

카테고리

전체 분류 (386)
비과학 상식 (162)
블로그 단상 (90)
이런저런 글 (69)
미디어 잡담 (26)
茶와 카르마 (39)
이어쓰는 글 (0)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백




 website stats



Total :
Today : Yesterday :