옥션, 넥슨, 네이트, KT, 카드3사, 인터파크까지...천만 건 이상 유출사고들의 유사점
유출시기는 각각 달랐지만...수법이나 기업의 대응 등은 크게 달라지지 않아

[보안뉴스 민세아] 행정자치부에 따르면 대한민국의 인구수는 약 5,162만 명이다. 이번 인터파크 고객의 개인정보 유출사건으로 유출된 회원은 1,030만 명이다. 우리나라 전체 인구의 20%에 해당하는 사람들의 개인정보가 유출된 것이다. 인터파크 전체 회원이 2,300만 명인 것을 생각하면 회원 절반의 개인정보가 탈탈 털렸다고 볼 수 있다.


▲ 한 번 유출되면 다시 주워담을 수 없는 개인정보

이번 사건과 관련해 인터파크 측은 유출정보를 ‘일부’로 지칭하면서 책임을 회피하려는 모습을 보이고 있다. 더구나 주민번호, 금융정보는 유출되지 않았다고 강조하고 있는데, 주민번호가 유출되지 않은 것은 지난 2012년부터 주민번호 보관이 금지됐기 때문에 너무나 당연한 것이라고 할 수 있다. 이러한 책임회피 모습은 과거 대형 유출사고와 크게 다르지 않다.

또한 이번 사고는 해커조직이 해외 IP 주소로 인터파크 내부 직원의 PC에 악성코드가 담긴 이메일을 전송했고, 해당 직원이 이메일을 열람하면서 PC가 감염됐다. 이 역시도 대형 해킹사건에서 자주 나오는 레퍼토리다. 오랜 기간 해당 직원의 신상을 파악하고 관찰한 후, 가까운 지인의 이름으로 악성코드가 담긴 첨부파일을 보냄으로써 읽지 않을 수 없도록 사회공학적 기법을 악용한 APT 공격이었던 셈이다.

해킹 주체가 북한이라는 의혹도 다시금 제기되고 있다. 일부 보안전문가들 사이에서는 이번 공격에 사용된 악성코드가 북한이 소니픽쳐스 홈페이지 해킹 때 이용한 것과 유사하다는 분석을 내놓고 있다. 그럼에도 ‘또 북한 타령이야’라는 프레임에 갇혀 매우 조심스러운 입장이다.

이렇듯 이번 인터파크 사건이 전개되는 과정을 보면 과거 사례와도 매우 유사하게 흘러가고 있다. 그럼 왜 이렇게 천만 건이 넘는 개인정보가 유출되는 대형사고들이 반복되고, 공격유형과 향후 과정 또한 많이 닮아 있을까? 이에 본지는 수많은 개인정보 유출사건 가운데서도 이번처럼 1,000만 건 이상이 넘는 대형 사건을 되짚어보면서 이번 사건과 비교해 봤다.


▲ 1,000만건 이상 개인정보 유출사건 사례

△ 2008년 2월 4일: 옥션 1,081만 명 고객정보 유출
지금으로부터 8년 전 중국 인터넷망을 경유한 해킹범이 옥션 보안 시스템에 침입해 회원들의 주민번호, 이름, 아이디, 거래 및 환불 관련 정보 등의 개인정보 1,081만건을 빼돌린 사건이다. 해당 유출 사고로 인한 피해자 2만 2,650명이 손해배상 소송을 냈지만 대법원은 “사건 당시 옥션이 기술적으로 할 수 있는 개인정보보호 조치 의무를 다했다”며 개인정보 유출에 대한 손해배상 책임을 인정하지 않았다.

유사점 : 대형 온라인쇼핑몰, APT 공격
이번 인터파크 사건과 옥션 사건은 여러 모로 닮아 있다. 우선 인터파크와 옥션 모두 국내에서 1,2위를 다투는 대형 온라인쇼핑몰이라는 점과 APT 공격이 개인정보 유출의 시발이 되었다는 점이다. 심지어 유출 건수까지 거의 흡사하다.

△ 2011년 11월 24일: 넥슨 1,320만 명 고객정보 유출
넥슨 게임 ‘메이플스토리’의 데이터 백업 서버가 해킹당해 1,320만 명의 아이디, 비밀번호, 이름, 주민번호 등이 유출된 사건이다. 당시 사건은 2011년 9월 30일 개인정보보호법 시행 후 처음으로 발생한 대형 개인정보 유출사고라 더욱 높은 관심을 끌었다.

유사점 : 법 제·개정 즈음 발생
넥슨 사건은 개인정보보호법이 시행된 후, 최초로 발생한 사건이고, 이번 인터파크 사건은 징벌적 손해배상제를 도입한 개정 정통망법 시행 즈음에 발생한 사건이라 향후 판결 결과 등이 더욱 주목되고 있다.

△ 2011년 7월 26일: 네이트 3,500만 명 고객정보 유출
네이트 해킹사건은 해킹범이 공개용 SW의 업데이트 서버를 해킹해 SK컴즈 직원의 PC를 감염시키고, DB관리자 PC에서 DB계정정보를 탈취한 후, 좀비PC를 통해 DB에 접속해 개인정보를 탈취했다. 유출된 정보는 아이디, 비밀번호, 주민등록번호, 이름, 생년월일, 이메일, 전화번호, 주소 등이다.

해당 사고로 인한 피해자 2,882명이 손해배상 청구소송을 했을 당시 1심 판결에서는 피해자들에게 20만원 씩 지급하라는 판결을 내렸지만, 항소심 판결에서 손해배상 책임이 없다는 판결로 뒤집혔다.

유사점 : APT 공격
당시 사건 역시 해킹범이 소프트웨어의 취약점을 악용해 직원을 대상으로 APT 공격을 감행했다는 점에서 인터파크 사건과 유사하다.

△ 2014년 3월 6일: KT 1,200만여 건 개인정보 유출
텔레마케팅 업체 대표와 해킹범이 공모해 발생한 사건으로, KT 홈페이지 이용대금 조회란에 고유 숫자 9개를 무작위로 자동 입력시키는 프로그램으로 개인정보 1,200만 건을 탈취했다. 유출정보는 이름, 주민번호, 전화번호, 주소, 은행계좌 등이다. KT에서는 지난 2012년 7월 800만 건의 고객 개인정보를 유출한 바 있어 도합 2,000만 건의 개인정보가 유출됐다.

서울중앙지법은 해당 사고 피해자 2만 8,715명이 낸 손해배상 청구소송에서 피해자들에게 10만원씩 배상하라는 판결을 내렸다. 또한, 방송통신위원회는 KT에 벌금 8,500만원을 부과했다.

△ 2014년 카드3사(롯데카드, KB국민카드, NH카드) 1억 건 개인정보 유출 사고
KB카드 5,300만 건, 롯데카드 2,600만 건, NH카드 2,500만 건이 유출돼 총 1억 건이 넘는 사상 최악의 대규모 유출사고. 3개 카드사의 용역업체 직원이 2012년 5월부터 2013년 12년까지 USB를 이용해 카드사 고객 정보를 빼돌린 사건이다.

지난 1월, 서울중앙지법은 해당 사고로 인한 피해자 5천여 명이 낸 손해배상 청구소송에서 피해자에게 각각 10만원씩 지급하라는 판결을 내렸다. 또한, 서울중앙지법은 해당 카드3사에 개인정보보호법 위반 혐의를 인정하고 KB국민카드와 NH카드에 1,500만원, 롯데카드에 1,000만원의 벌금을 부과했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>