 |
조좌진 롯데카드 대표 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출 사태에 대해 사과하며 고개를 숙이고 있다. 연합뉴스 |
주요 기업과 금융회사들에 대한 해킹이 잇따르고 있다. 통신사(에스케이텔레콤과 케이티), 보험사(SGI서울보증), 인터넷 서점(예스24)에 이어 카드사(롯데카드)까지 업종 불문하고 전방위적이다. 하루가 멀다 하고 해킹 사건이 발생해 국민들은 불안하다. 해당 기업과 정부가 보안 대책을 마련한다고 밝히지만 구두선에 그치는 경우가 많아 미덥지가 않다. 국민들이 안심하고 해당 서비스를 이용할 수 있도록 정부 차원에서 실질적인 방지 대책을 마련해야 한다.
롯데카드는 18일 해킹 사고로 전체 회원 30%에 해당하는 297만명의 개인정보 200기가바이트(GB)가 유출됐다고 발표했다. 이 가운데 28만명은 결제할 때 보안의 핵심인 카드보안코드(CVC)까지 유출됐다고 한다. 최근 무단 소액결제 사건이 발생한 케이티는 18일 피해 고객이 278명에서 362명으로, 피해 금액도 1억7천만원에서 2억4천만원으로 늘었다고 밝혔다. 케이티는 이 발표를 하고 하루도 지나지 않은 이날 자정께 서버 해킹 정황이 있다고 당국에 신고했다. 케이티는 자사 서버에서 침해 흔적 4건과 의심 정황 2건을 확인해 한국인터넷진흥원에 신고했다.
최근 나타나는 해킹 사고는 잠재적인 피해 규모가 크다는 점뿐만 아니라, 피해 기업이 해킹을 당했는지도 모르는 경우가 많다는 점에서 문제가 더 심각하다. 2300만명의 고객 정보가 유출된 에스케이텔레콤은 서버가 2023년 6월에 악성코드에 감염됐으나 3년 가까이 모르고 있었다. 케이티의 경우 서버 침해 신고서에 사고 발생 시점에 대해 ‘확인 불가’로 기재했다고 한다. 범죄자들의 해킹 수법이 날로 지능화하고 있는데도 기업들이 정보보안 인력과 감시 장비에 대한 투자를 소홀히 했기 때문으로 보인다. 더구나 사고를 인지하고 나서도 기업들의 대응은 어떤 이유에서인지 기민하지 못했다. 롯데카드는 해킹이 지난달 14일 발생했으나 같은 달 26일 해킹 흔적을 확인하고, 이달 1일에서야 이를 신고했다. 케이티도 서버 해킹 사실을 지난 15일 인지했으나 3일이 지나서야 신고했다. 쉬쉬하며 문제를 덮고 가려고 한 건 아닌지 의심된다. 현행법은 사건 인지 시점부터 24시간 내에 신고를 해야 한다고 규정하고 있다.
과학기술정보통신부와 금융위원회는 19일 해킹 사고와 관련해 합동브리핑을 열었다. 기업들의 보안 투자 확대를 위한 유인책을 마련하는 한편으로, 해킹 사고 지연 신고 시 과태료를 물리고 규정 위반이 확인될 경우 엄정한 조처를 내린다는 게 주요 내용이다. 구체적인 실행 방안보다는 원론적인 선언에 그친 느낌이다. 최근 해킹 사건의 피해 규모나 수법 등을 고려할 때 기업에만 맡겨놓을 게 아니라 범정부 차원에서 기업들의 보안 투자를 지원하고 감독도 강화해야 할 필요가 있다. 말로만 근본 대책을 마련하겠다고 하지 말고 실질적인 대책을 내놓기 바란다.
▶▶[한겨레 후원하기] 시민과 함께 민주주의를!
▶▶민주주의, 필사적으로 지키는 방법 [책 보러가기]
▶▶한겨레 뉴스레터 모아보기
이 기사의 카테고리는 언론사의 분류를 따릅니다.