[방송기술저널 전숙희 기자] 알툴바·알패스·알집 등 소프트웨어를 개발·제공하는 ㈜이스트소프트는 해커에 의한 개인정보 유출로 과징금 및 과태료 등의 처분을 받았다. 방송통신위원회는 3월 28일 전체 회의를 개최하고 이같은 결정을 내렸다고 밝혔다.
방통위는 ㈜이스트소프트로부터 개인정보 유출 신고를 받고 지난 9월 2일부터 과학기술정보통신부, 한국인터넷진흥원(KISA)과 함께 현장 조사를 시행해 확보한 사고 관련 자료를 분석했다. 이를 통해 해킹의 구체적 방법 및 절차, 개인 정보 유출 규모 등을 확인했다.
이에 따르면 해커는 ㈜이스트소프트의 알툴바 서비스에 접속하면 이용자들이 저장한 아이디, 비밀번호 등의 계정 정보를 열람할 수 있음을 알고, 정보를 유출할 목적으로 자체 제작한 해킹 프로그램을 이용해 정보를 획득했다.
해커는 이렇게 유출한 이용자의 정보를 악용해 이용자가 가입한 포털 사이트에 부정 접속해 이용자가 저장한 주민등록증과 신용카드, 사진을 확보한 뒤 휴대전화를 개통하고 해킹에 사용할 서버 5대를 임대했다. 또, 가상통화 거래소에 부정 접속해 이용자가 보유 중인 가상통화를 출금한 것으로 나타났다.
해커에게 유출된 개인정보는 알패스 서비스 이용자의 외부 사이트 주소, 아이디, 비밀번호 25,461,263건과 166,179명의 계정 정보로, 이용자 1인당 약 150여 건의 알패스 정보가 유출됐다. 해커는 지난해 12월 검거됐다.
이번 조사 과정에서 ㈜이스트소프트는 이번 개인정보 유출 사고에서 적절한 규모의 침입 차단·탐지 시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적 개인정보 유출 시도를 탐지하지 않았다. 또, 개인정보가 열람 권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 필요한 보안 대책을 세우거나 개선 조치를 취하지 않은 것으로 드러났다.
이는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 정한 개인정보 보호조치 규정(접근통제)을 위반한 것이다. 특히, 국내 대표 보안업체인 ㈜이스트소프트가 이용자들에게 제공하는 ‘알패스’는 외부 사이트의 아이디, 비밀번호를 관리해주는 서비스로 보관 중인 정보가 수천만 건에 이르며, 이러한 이용자의 비밀 정보, 민감한 정보, 금전적 피해를 줄 수 있는 정보를 해커가 취득하는 경우 이용자에게 심각한 2차 피해가 발생할 수 있어, 다른 어떤 서비스보다 보안을 강화할 필요했다.
그러나 ㈜이스트소프트가 개인정보 보호조치 규정을 준수하지 않아 취약점이 발생했으며 이것이 이번 해킹에서 이를 직·간접적으로 악용됐다. 또한, 피해 규모가 매우 크며 유출된 개인정보를 활용해 대포폰을 개설하고 서버를 임대하는 등 추가 피해가 확인됐다.
방통위는 이를 종합적으로 고려해 ㈜이스트소프트에 대해 △과징금 1억1,200만 원 △과태료 1,000만 원 △위반 행위의 중지 및 재발방지 대책수립 시정명령, △시정명령 처분사실 공표 등의 행정 처분을 의결했다.
이효성 방통위원장은 “이용자를 가장한 해커의 웹페이지 공격이 성행함에 따라 이에 따른 피해를 예방할 수 있도록 정보통신서비스제공자의 보안을 강화할 필요가 있고, 이용자들도 서비스 이용 시 비밀번호 관리에 각별히 유념하여야 한다”고 당부하면서, “방통위는 온라인 분야의 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다”고 말했다.