드라마 ‘이상한 변호사 우영우’ 15화에서 실제 쇼핑몰 해킹사건 각색해 다뤄
해킹 수법부터 Idle Timeout과 키로거 등 정보보호 관련 내용들 쉽게 소개
[보안뉴스 원병철 기자] 천재적인 두뇌와 자폐 스펙트럼을 가진 변호사 ‘우영우’가 이번에는 개인정보를 유출한 유명 쇼핑몰과 이들의 과실을 문제 삼아 천문학적인 과징금을 부과한 방통위의 재판을 맡았다. 특히 이번 방송에서 언급된 사건은 2016년 실제 발생한 쇼핑몰의 사례를 예로 들어 꾸며졌으며, 개인정보 유출과 관련된 자세한 내용이 많이 담겨있어 보안관계자들의 흥미를 끌고 있다.
▲이상한 변호사 우영우 15화[자료=ENA]
ENA 채널과 넷플릭스를 통해 방송돼 우리나라는 물론 전 세계에서도 선풍적 인기를 끌고 있는 드라마 ‘이상한 변호사 우영우’ 15화에서 다룬 ‘쇼핑몰 개인정보 유출사건’은 2016년 발생한 실제 사건을 다루고 있다.
약 4천만 명 이상의 사용자를 보유한 쇼핑몰 ‘라온’의 DB 관리자가 취업을 준비 중인 동생에게 메일을 받은 건 밤 11시 14분, ‘자소서(자기소개서)를 보냈으니 읽어 달라’는 내용의 메일이었다. 메일을 열어 첨부된 ‘자소서.doc’ 파일을 다운받았지만, 문서를 보려면 도구바의 ‘콘텐츠 사용’ 버튼을 클릭하라는 문구가 뜨면서 열리지 않았고, 별 생각 없이 버튼을 클릭해 메일을 열었지만 문서에 별다른 내용은 없었다. 잠시 이상하다는 생각을 했지만, 너무 늦은 시간이라 노트북을 끄고 회사를 나섰고, 나중에야 동생이 이메일을 보낸 적이 없다는 사실을 알게 됐지만 이미 해커의 악성파일은 설치된 후였다.
전 국민의 80%나 되는 사용자의 개인정보를 유출한 라온은 방통위(방송통신위원회)에게 3,000억 원의 과징금을 부과 받았고, 이에 대응하기 위해 우영우가 일하는 대형 로펌에 소송을 의뢰했다. 이번 소송의 쟁점은 크게 두 가지로, 첫 번째는 라온이 DB 서버에 ‘Idle Timeout(접속시간 제한)’을 설정하지 않아 해커가 아무런 제재 없이 DB 서버를 들락거렸다는 것이고, 두 번째는 방통위의 과징금이 과거 판결과 비교했을 때 너무 많다는 점이었다.
▲라온 쇼핑몰의 DB 관리자에게 온 해킹 메일[자료=넷플릭스]
2016년 해킹으로 약 2,540만여 건 개인정보 유출돼
이상한 변호사 우영우에서 다룬 이번 사건은 앞서 설명한 것처럼 2016년 발생한 실제 사건을 모티브 삼았는데, 드라마에 각색이 가해지면서 조금 다른 내용이 됐다. 예를 들면, 드라마에서 우영우 등 변호사들은 해커가 키로거(Keylogger, 키보드에서 입력하는 정보를 기록해 빼내는 악성파일)를 설치했기 때문에 Idle Timeout을 설정했더라도 결국 관리자 계정정보를 알아냈을 것이라고 주장하면서, 라온이 보안관리를 제대로 하지 못했다는 방통위의 주장에 반박했다.
이에 방통위는 해킹사건이 발생한 날 정보통신망법이 개정됐으며, 개정 전에는 기업 등이 개인정보 보호조치를 하지 않아 개인정보 유출사건이 발생했을 경우 과징금을 부과할 수 있었지만, 개정 후에는 개인정보 유출이 발생했을 때 기업 등이 개인정보의 보호조치를 하지 않았을 경우에 과징금을 부과할 수 있다고 설명했다. 쉽게 설명하면, 개정 전에는 개인정보보호를 하지 않아서(원인) 유출(결과)이 됐다는 ‘인과관계’가 있어야 하지만, 개정 후에는 유출이 됐을 때 개인정보보호를 하지 않은 부분이 알려진 경우처럼 ‘인과관계’가 없더라도 과징금을 부과할 수 있다는 말이다.
드라마에선 우영우 등 변호사들의 활약으로 라온이 승소했지만, 실제 쇼핑몰은 방통위에게 과징금 45억여 원을 부과 받고 소송을 제기, 대법원 판결까지 가서 결국 패소했다. 당시 방통위는 해킹 때 발견된 취약점이 해킹에 원인을 제공한 취약점이 아니었음에도 불구하고 이를 과징금 처분의 근거로 삼았다. 때문에 드라마에서 쟁점이 된 ‘인과관계’ 역시 실제 사건의 재판에서도 쟁점이었지만, 당시에는 인과관계에 대한 내용이 담긴 개정안(2020년)이 나오기 전이었기 때문에 명확한 결론은 대법원 판결(2019년)에서 났다.
게다가 2020년 ‘정보통신망법’과 ‘신용정보법’ 등 개인정보 관련 법안들의 ‘개인정보보호’ 관련 내용이 ‘개인정보보호법’으로 통합되면서, 드라마에 나온 ‘정보통신망법 개정안’ 내용 역시 실제로는 ‘개인정보보호법 개정안(2020년, 제39조의15)’에 담겨있다. 드라마에서 방통위가 부과한 3,000억원 역시 전체 매출액의 3%까지 부과할 수 있다는 개정안을 이유로 들었지만, 이 역시 2020년 개인정보보호법 개정안에 처음 담겼다. 아울러 이번처럼 개인정보 보호 관련 과징금을 부과할 수 있는 기관도 이제 ‘방송통신위원회’가 아닌 ‘개인정보보호위원회’가 됐다.
이상한 변호사 우영우 15화에서 다룬 쇼핑몰의 개인정보보호 유출 사건은 비록 드라마의 픽션이 가미되긴 했지만, 실제 사이버보안 사건을 다루면서 양측의 입장을 잘 전달한 것은 물론 보안관련 용어나 법 등을 잘 살펴본 노력이 보였다. 특히 관련 용어들을 쉽게 풀어줌으로써 시청자들도 큰 어려움 없이 내용을 이해하며 드라마에 몰입할 수 있게 해주었다. 아울러 해킹에 당한 기업이나 기관이 과연 무조건 질타만 당해야 할 것인가에 대한 물음도 던져주었다.
[원병철 기자(boanone@boannews.com)]
해킹 수법부터 Idle Timeout과 키로거 등 정보보호 관련 내용들 쉽게 소개
[보안뉴스 원병철 기자] 천재적인 두뇌와 자폐 스펙트럼을 가진 변호사 ‘우영우’가 이번에는 개인정보를 유출한 유명 쇼핑몰과 이들의 과실을 문제 삼아 천문학적인 과징금을 부과한 방통위의 재판을 맡았다. 특히 이번 방송에서 언급된 사건은 2016년 실제 발생한 쇼핑몰의 사례를 예로 들어 꾸며졌으며, 개인정보 유출과 관련된 자세한 내용이 많이 담겨있어 보안관계자들의 흥미를 끌고 있다.
▲이상한 변호사 우영우 15화[자료=ENA]
ENA 채널과 넷플릭스를 통해 방송돼 우리나라는 물론 전 세계에서도 선풍적 인기를 끌고 있는 드라마 ‘이상한 변호사 우영우’ 15화에서 다룬 ‘쇼핑몰 개인정보 유출사건’은 2016년 발생한 실제 사건을 다루고 있다.
약 4천만 명 이상의 사용자를 보유한 쇼핑몰 ‘라온’의 DB 관리자가 취업을 준비 중인 동생에게 메일을 받은 건 밤 11시 14분, ‘자소서(자기소개서)를 보냈으니 읽어 달라’는 내용의 메일이었다. 메일을 열어 첨부된 ‘자소서.doc’ 파일을 다운받았지만, 문서를 보려면 도구바의 ‘콘텐츠 사용’ 버튼을 클릭하라는 문구가 뜨면서 열리지 않았고, 별 생각 없이 버튼을 클릭해 메일을 열었지만 문서에 별다른 내용은 없었다. 잠시 이상하다는 생각을 했지만, 너무 늦은 시간이라 노트북을 끄고 회사를 나섰고, 나중에야 동생이 이메일을 보낸 적이 없다는 사실을 알게 됐지만 이미 해커의 악성파일은 설치된 후였다.
전 국민의 80%나 되는 사용자의 개인정보를 유출한 라온은 방통위(방송통신위원회)에게 3,000억 원의 과징금을 부과 받았고, 이에 대응하기 위해 우영우가 일하는 대형 로펌에 소송을 의뢰했다. 이번 소송의 쟁점은 크게 두 가지로, 첫 번째는 라온이 DB 서버에 ‘Idle Timeout(접속시간 제한)’을 설정하지 않아 해커가 아무런 제재 없이 DB 서버를 들락거렸다는 것이고, 두 번째는 방통위의 과징금이 과거 판결과 비교했을 때 너무 많다는 점이었다.
▲라온 쇼핑몰의 DB 관리자에게 온 해킹 메일[자료=넷플릭스]
2016년 해킹으로 약 2,540만여 건 개인정보 유출돼
이상한 변호사 우영우에서 다룬 이번 사건은 앞서 설명한 것처럼 2016년 발생한 실제 사건을 모티브 삼았는데, 드라마에 각색이 가해지면서 조금 다른 내용이 됐다. 예를 들면, 드라마에서 우영우 등 변호사들은 해커가 키로거(Keylogger, 키보드에서 입력하는 정보를 기록해 빼내는 악성파일)를 설치했기 때문에 Idle Timeout을 설정했더라도 결국 관리자 계정정보를 알아냈을 것이라고 주장하면서, 라온이 보안관리를 제대로 하지 못했다는 방통위의 주장에 반박했다.
이에 방통위는 해킹사건이 발생한 날 정보통신망법이 개정됐으며, 개정 전에는 기업 등이 개인정보 보호조치를 하지 않아 개인정보 유출사건이 발생했을 경우 과징금을 부과할 수 있었지만, 개정 후에는 개인정보 유출이 발생했을 때 기업 등이 개인정보의 보호조치를 하지 않았을 경우에 과징금을 부과할 수 있다고 설명했다. 쉽게 설명하면, 개정 전에는 개인정보보호를 하지 않아서(원인) 유출(결과)이 됐다는 ‘인과관계’가 있어야 하지만, 개정 후에는 유출이 됐을 때 개인정보보호를 하지 않은 부분이 알려진 경우처럼 ‘인과관계’가 없더라도 과징금을 부과할 수 있다는 말이다.
드라마에선 우영우 등 변호사들의 활약으로 라온이 승소했지만, 실제 쇼핑몰은 방통위에게 과징금 45억여 원을 부과 받고 소송을 제기, 대법원 판결까지 가서 결국 패소했다. 당시 방통위는 해킹 때 발견된 취약점이 해킹에 원인을 제공한 취약점이 아니었음에도 불구하고 이를 과징금 처분의 근거로 삼았다. 때문에 드라마에서 쟁점이 된 ‘인과관계’ 역시 실제 사건의 재판에서도 쟁점이었지만, 당시에는 인과관계에 대한 내용이 담긴 개정안(2020년)이 나오기 전이었기 때문에 명확한 결론은 대법원 판결(2019년)에서 났다.
게다가 2020년 ‘정보통신망법’과 ‘신용정보법’ 등 개인정보 관련 법안들의 ‘개인정보보호’ 관련 내용이 ‘개인정보보호법’으로 통합되면서, 드라마에 나온 ‘정보통신망법 개정안’ 내용 역시 실제로는 ‘개인정보보호법 개정안(2020년, 제39조의15)’에 담겨있다. 드라마에서 방통위가 부과한 3,000억원 역시 전체 매출액의 3%까지 부과할 수 있다는 개정안을 이유로 들었지만, 이 역시 2020년 개인정보보호법 개정안에 처음 담겼다. 아울러 이번처럼 개인정보 보호 관련 과징금을 부과할 수 있는 기관도 이제 ‘방송통신위원회’가 아닌 ‘개인정보보호위원회’가 됐다.
이상한 변호사 우영우 15화에서 다룬 쇼핑몰의 개인정보보호 유출 사건은 비록 드라마의 픽션이 가미되긴 했지만, 실제 사이버보안 사건을 다루면서 양측의 입장을 잘 전달한 것은 물론 보안관련 용어나 법 등을 잘 살펴본 노력이 보였다. 특히 관련 용어들을 쉽게 풀어줌으로써 시청자들도 큰 어려움 없이 내용을 이해하며 드라마에 몰입할 수 있게 해주었다. 아울러 해킹에 당한 기업이나 기관이 과연 무조건 질타만 당해야 할 것인가에 대한 물음도 던져주었다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
