해커들의 놀이터가 된 한국의 쇼핑몰 - 그 후

정확히 두 달전에 옥션 해킹사건은 잊혀지려나?라는 포스트를 작성한 적이 있습니다. 그리고 설 연휴를 앞둔 2008년 2월 4일 일어난 옥션 해킹사건에 대하여 해커들의 놀이터가 된 한국의 쇼핑몰이라는 제목을 포스트를 작성했었습니다. 그 당시 옥션해킹 사태를 이슈화하여 어쨌든 정부가 개입되길 바랐었는데 그냥 묻히고 말았습니다. 그후로 잊으려고 해도 쉽게 잊혀지지 않고 늘 마음 한 구석에 불안감으로 자리잡고 있었는데, 이제 그 불안감은 현실이 되었습니다.

회원수가 1800만명이나 되는 국내 최대 오픈마켓에서 회원의 60%인 1081만명의 개인정보가 유출되었음이 공식확인되었습니다. 이에 옥션은 해킹사고 관련 추가공지를 올리고 공지 페이지에서 회원 및 탈퇴 회원의 개인 정보 유출 여부를 즉시 확인할 수 있도록 서비스 하고 있습니다. 확인해 본 결과, 제 정보는 옥션 측의 표현대로 유감스럽게도 해킹을 당해서 주민번호와 이메일과 주소와 전화번호가 유출된 상태입니다. 확인결과 페이지를 옮겨보겠습니다.

OOO 회원님
유감스럽게도 회원님께서는 경찰청 사이버테러대응센터가 확인한 개인정보 유출 회원에 포함되어 있습니다. 유출된 회원님의 개인정보는 이름, 옥션아이디, 주민등록번호, 이메일주소, 주소, 전화번호 및 일부 구매 내역이 포함되어 있으나, 은행계좌번호는 유출되지 않은 것으로 확인되었습니다.

그리고 기 공지드린 바와 같이 옥션 비밀번호, 신용카드 및 카드 비밀번호 정보, 실시간 계좌이체 정보는 금번 유출로부터 안전한 것으로 재확인되었습니다.

유출된 개인정보의 유포나 도용으로 인한 구체적인 피해사례는 현재까지 보고된 바 없으나, 옥션은 경찰과 협력하여 유출 정보의 유포 방지와 조속한 범인 검거를 통해 소중한 회원정보를 즉각 회수하기 위한 최선의 노력을 계속 기울일 것을 약속 드립니다.

업계를 대표하는 기업으로서 해킹 범죄의 대상이 되어 회원님께 심려를 끼쳐드린 점에 대해 다시 한번 사과드립니다.

전에도 지적했듯이 참 재미있는 표현입니다. 은행계좌와 카드번호가 유출되지 않은 것은 다행입니다만, 나머지 개인정보는요? 은행계좌와 카드는 바꿀 수도 있지만 주민등록번호는 도대체 어쩌란 말입니까? 그리고 즉각 회수라는 표현이 우습군요. 유포방지라니...이미 해킹이 일어난지 70일이 넘었는데 지금까지 범인이 그 정보를 소중하게 금고 속에만 넣어두고 있다는 건가요? 당연히 회수해야 합니다만, 지금까지는 뭘 한 것인까요? 경찰이나 옥션이나 모두 한심합니다. 대한민국 국민 1/4의 개인정보가 떠돌고 있다면, 피해규모에 대한 파악보다 어떻게 해서라도 중국이나 다른 여러나라의 협조를 얻어서 범인부터 검거해야하는 것이 중요하지 않을까요?

정보 유출의 검색결과에는 이렇게 친절하게 유출된 정보가 어디에 어떻게 사용되는가를 친절히 설명해주고 있습니다.

개인정보 관련 피해 가능성 최소화를 위한 안전지침

1. 비밀번호 변경 : 만일의 경우를 대비하여 기존에 공지드린 바와 같이 주민등록번호, 휴대전화 번호 등을 조합한 패스워드를 사용하신다면 불편하시더라도 패스워드를 변경, 재설정하시길 당부 드립니다.

2. 보이스 피싱 주의 : 정부기관, 쇼핑몰 운영자, 금융기관을 빙자, 전화 등으로 계좌번호, 신용카드번호 등 금융정보를 묻는 경우 전화를 일단 끊고 해당 기관/기업에 다시 전화하여 확인해야 합니다. 특히 저희 옥션의 경우, 옥션 고객센터 상담원이 먼저 전화를 걸어 고객님의 금융정보를 묻는 일이 없으니 유의하시기 바랍니다.

3. 피싱메일, 피싱사이트 주의 : 메일에 포함된 URL을 통해 특정 사이트로 직접 연결을 유도하고, 개인정보를 입력하게 하는 피싱사이트에 주의하시기 바랍니다.

가장 문제가 2번의 보이스 피싱 주의라는 부분입니다. 최근들어 부쩍 잦아진 국적불명의 전화의 내용을 보면 예전에 비해 확실히 진화한 수법을 사용하고 있습니다. 카드나 전화요금이 연체되었다던 수법은 사라지고 요즘에는 '택배가 반송되었다'거나 '배송이 지연되었으니 수령하려거든 X번을 누르라'고 하더군요. 다행히 주문한 물품이 없어서 속지 않았는데, 만약 친절히 OOO님이라고 불러가면서 전화를 한다면 속아넘어가지 않을 수 없을 것 같습니다.

그리고 가장 걱정되는 것은 처음 해킹한 해커가 목적을 달성하지 못했다는 것입니다. 초기에 해커가 옥션에 전화를 걸어 돈을 요구했었는데, 받아들여지지 않았습니다. 즉 해커의 목적은 돈에 있었는데 그 목적을 이루지 못했으므로, 자신이 획득한 정보를 가만히 두었을리가 없을 것입니다. 1000만명의 개인정보는 1건당 1원만 받아도 천만원이고 그것을 10곳에만 팔아도 1억입니다. 옥션을 하는 대한민국의 국민은 대부분이 성인일 것이므로, 대한민국 성인의 1/3 인 1000만명의 개인정보라면 매우 높은 가치가 있을 것입니다.

국내 최대라서 좋겠습니다.

뉴스를 보니 피해자들이 조직적인 법적 대응을 하려고 준비 중인듯 합니다. 소송비용으로 개인이 1만원정도를 송금해서 단체로 소송을 하려는 것 같습니다. 그런데 이럴 경우에는 소송에 참여한 피해자만이 보상을 받는 것인지 아니면 모든 피해자가 보상을 받는 것인지 모르겠습니다. 또 받으면 얼마를 받을 수 있는지도 모르겠습니다만, 가만히 있다가 피해를 입은 수많은 회원들이 모두 동참하기는 어려울 것입니다. 천만명이 모두 1만원씩 낸다면 1000억 원이며, 1인당 10만 원을 보상 받는다면 그 금액은 1조 원입니다.

어떻게 될까요? 모든 피해자가 동참한다고 해서 1조의 보상을 받아낼 수 있을지도 의문이고, e-bay가 그 만한 보상금을 지급할지도 의문입니다. 그리고 보상을 받는다고 해도 한 사람의 개인 정보에 대한 가치가 그 정도 밖에 되지 않는다는 것도 서글픕니다. 1인당 100만원을 받는다 한들 무슨 소용이 있겠습니까? 지금도 인터넷에는 주민번호와 이름만 넣으면 아이디와 비번을 바로 가르쳐주는 사이트가 허다합니다. 이제 옥션때문에 다른 사이트까지 탈퇴해야 하는 사태가 발생하리라 봅니다.

몇년 전부터 기업들은 주민등록번호 수집 규제 조항에 대해 반대했었습니다. 그리고 그 결과 소비자들의 개인정보는 항상 침해의 위험에 노출되어왔고, 마침내 이런 대규모의 유출사태가 발생했습니다. 그런데 인터넷 상에서 주민등록번호를 대체해서 신원을 확인할 수 있는 방식을 개발하는 것이 모두 기업만의 몫일까요? 이번 1000만명 해킹사태에는 국가에게도 책임이 있습니다. 왜 이런 개인 정보를 사용할 수밖에 없는 거래환경을 만들었으며, 100원을 송금하는데도 필요한 공인인증서의 사용범위를 확장하지 못했으며, 또 오픈 아이디를 활성화시키지 못한 것인가요?

국민의 1/4, 유권자의 1/3이 이렇게 다른 나라 기업을 상대로 소송을 해야한다는 것이 더욱 서글픕니다. 유출명단 발표가 선거기간에 있었다면 이런 국가의 직무유기는 투표결과에 커다란 변수로 작용했을 수도 있겠지만, 이제는 이미 끝난 일이 되었나 봅니다. 이미 오래 전부터 해외에서 한국인의 개인 정보가 거래된다는 이야기들을 들었습니다. 국가는 단 한 사람의 정보라도 소중히 지켜주어야 할 의무가  있습니다만, 지배할 영토와 지배권 확인과 세력권 확장에 바쁜 지도자들께서는 자신들을 그 자리에 세워준 국민에 대한 최소한의 보호의무도 하지 않고 있습니다. 오늘도 바쁘신가 보군요. 뉴스는 보셨습니까?

중국과 동남아에서 내 정보의 가치는 1원이 되어 떠돌지도 모르겠네요.

- 퇴근후 이 뉴스를 접하고 하도 화가나서 미리 작성해둔 모든 포스트를 미루고 이것으로 대체했습니다. 가급적이면 현실적인 내용의 포스트는 피하려고 했는데, 열이 오릅니다.