대한민국 역대급 개인정보 유출 사건 TOP 10

1. 2008년 옥션 개인정보 유출 사태

2월과 4월, 총 두 번에 걸쳐 개인정보가 유출되었다. 초기에는 1,081만 건이 유출되었다고 발표했으나, 2010년이 되어서는 피해크기가 1,863만 명이라고 공지했다. 악성 이메일에 의한 코드 감염이 원인이었고, fuckkr 키로거가 첨부된 메일이 옥션 직원에게 무작위 발송된 것이 사건의 시작점이다. 즉, 스팸 메일을 경계하지 않은 것이 주원인인 것이다. 피해자들의 성명, ID, 주민등록번호, 이메일 주소, 집 주소, 전화번호가 유출되며 대거 손해배상 청구 사태까지 이어졌지만, 옥션이 승소하며 끝을 맺은 사건이다. 그리고 판결문의 내용을 보았을 때, 개인적으로 이 판결은 정말 좋지않은 선례를 남겼다고 생각한다. 물론, 모든 것을 방어할 수는 없다. 그러나 이 유출사태는 정말 치밀하고 고도의 기술로 엄청난 방어막을 뚫어낸 게 아니다. 이번 사태의 기술적 원인 중 하나인 Insecure Configuration Management는 이미 OWASP 10에 선정되어 있는 개념이고, 그말인 즉슨, 적어도 그 10가지에 대해서는 기업이 보안에 신경을 썼어야 한다는 점이다. 그런데 법원이 이 지점에서 기업의 손을 들어줬다는 것은 개인정보 유출이라는 것을 지나치게 경시한 판결이며, 기업들로 하여금 보안에 있어 적극적인 투자를 할 동기를 없앤 것이라고도 생각한다. 나는 분명 이 판결이 여러 기업들의 예산 설정 및 방향성에 영향을 조금이라도 미쳤을 것이라고 생각하며, 앞으로 아래에 언급할 사태들에 대해서도 지분이 있을 것이라 생각한다. 분명하게 정보보안을 뒷걸음질하게 만든 사건이다.

2. 2008년 GS 칼텍스 개인정보 유출 사태

대규모 유출 사태가 얼마 지나지 않은 시점인 7월에 다시 대규모 유출 사건이 발발했다. GS 넥스테이션 직원 정모씨가 약 1,150만 명의 성명, 주민등록번호, 전화번호 등을 다운로드받아 몇몇 지인에게 유출했다. 그리고 이 사건도 역시 피해자들의 소송으로 이어졌으나, 고법은 물론이고, 항소심에서도 "GS 칼텍스의 개인정보 유출 배상책임이 없다"고 못 박았다. 더군다나 "개인정보가 유출돼 자기정보결정권이 침해됐다는 것만으로 바로 정신적 손해가 발생했다고 할 수 없다."는 것은 당시 개인정보에 대한 사회적 인식이 얼마나 가벼운지를 잘 보여주는 내용이다. 결국 이것도 이전의 선례를 따라가는 것이다. 사실 GS 칼텍스 유출 사태는 1번의 옥션 유출 사태보다 피해 규모도 작고, 이미 중국으로 자료가 전부 넘어간 것과 달리 이 사건은 유출 직후 바로 회수가 되었다고 한다. 옥션도 승소를 했으니, GS가 승소를 하는 것은 너무나도 자명한 흐름이었다고 본다.

3. 2011년 네이트 및 싸이월드 개인정보 유출 사태

SK 커뮤니케이션즈에서 운영하는 네이트와 싸이월드 회원 3,500만명 전원의 개인정보가 유출된 대형 사고다. 피해자들의 성명, ID, 주민등록번호, 혈액형, 휴대전화 번호, 메일 주소, 심지어 비밀번호까지 모든 개인정보가 유출되었다. 물론 SK 컴즈 측에서는 주민등록번호와 비밀번호는 암호화되어 있다고 주장하기는 했다. 여하튼, 규모도 규모지만, 내용에 있어서도 압도적인 사건이다. 그런데 여기서 끝이 아니다. 더 심각한 문제는, 7월 26일에 해킹이 발생했는데, 이틀 후인 28일이 되어서야 사태 파악을 하고 피해 사실을 공지한 것이다. 대처까지 엉망이었단 것이다. 이 사건은 해커들이 이스트소프트의 알집 업데이트 서버를 해킹했고, 네이트 일부 직원들이 알집 업데이트를 실시하다 PC가 감염되며 관리자 계정이 해킹을 당한 것이다. 보안에 대해 공부할 때 보통 초반부에 배울 트로이목마의 전형적인 사태라고 할 수 있겠다. 그리고 앞서 말한 것처럼, SK 컴즈는 최신 암호화 기술을 들며 주민등록번호와 비밀번호는 유출되지 않았을 것이라 주장했으나, 당시 분위기는 이를 믿지 않는 것이 팽배했다. 그리고 시간의 문제일 뿐이지, AES-128 암호화를 했다고 해서 안전한 것도 아니고, 당시에 이미 AES-192, 256이 있었기 때문에 가장 안전한 기술이라고도 볼 수 없다. 이 사태 이후로 SK 컴즈는 주민번호 저장 중지 및 기존 번호를 파기한다고 발표했다. (https://n.news.naver.com/mnews/article/018/0002479069?sid=105) 유출이 되지 않았다는 것에 확신이 있었다면, 이런 조치를 할 필요가 있었을까? 그리고 이번의 초 대규모 유출 사태에서도 발목을 잡은 것은 역시나 기존 판례였던 것으로 보인다. 판례에서 피해자들이 기업을 이긴 경우 자체가 매우 드문 것이 현실이었으니 말이다. 한편, 이때 재판에서 웃지못할 사태가 하나 있었다고 한다. 형소법 17조: 제척의 원인에 따르면, 법관이 피해자인 경우가 바로 성문화되어있다. 그런데 2011년 당시 인구가 4,994만이었고, 자그마치 3,500만 명이 피해자인 상황인데, 판사 중 피해자가 아닌 사람이 몇이나 되었겠냐는 말이다. 그래서 판사를 배정하기 힘들었다는 우스갯소리가 있었다. 여하튼, 이 사건은 대법에서 결국 싸이월드가 승소했다..

4. 2011년 넥슨 메이플스토리 개인정보 유출 사태

같은 해에 넥슨코리아의 메이플스토리 회원 1,800만명 가운데 1,320만 명의 개인정보가 해킹됐다. 주민등록번호, 비밀번호, 성명, 아이디 등의 개인정보가 유출됐다. 문제는 사건의 통지 시기다. 위에서 SK 커즈가 사건이 터지고 이틀이 되어서야 피해 사실을 공지했다고 했는데, 여기는 더하다. 해킹 발생 시점이 11월 18일이고, 넥슨은 24일이 되어서야 해킹 사실을 인지한 뒤 25일에 발표한 것이다. 사건 발생 7일이 되어서야 공지를 한 것이다. 이런 늑장 대응이 또 있을까 싶을 정도다. 그리고 이 사건도 당연하게도(?) 법원은 넥슨의 손을 들어줬다. 아무리 대처와 대응을 못해도 계속 이렇게 법원이 기업의 손을 들어주는데, 보안에 투자를 하는 게 이상할 지경이다. 

5. 2012년 KT 1차 개인정보 유출 사태

2012년에 KT 영업시스템이 해킹을 당해 휴대전화 가입자 870만 명의 개인정보가 유출됐다. 그런데 특정 시점에 그 인원의 데이터가 전부 유출된 것이 아니라, 꾸준히 해킹되었던 것이 이때 밝혀진 것이다. 성명, 주민등록번호, 휴대전화 번호, 사용 요금제, 기기변경일 등이 유출됐다고 한다. 

6. 2014년 KT 2차 개인정보 유출 사태

또 유출됐다. 여기에 기술은 하지 않지만, 사실 2014년 이후인 2016년에 또 유출된 적이 있다.. 아무튼 2014년 3월 6일에 KT 홈페이지가 해킹을 당해 가입 고객 1,600만 명 중 1,200만 명의 정보가 유출됐다. 해커는 Paraproxy라는 '오픈소스' 프로그램을 이용, 고객고유번호 9자리를 무작위로 수차례 입력하는 프로그램을 제작했다. KT 개인정보 전산망에 고객고유번호 9자리만 입력하면 모든 개인정보를 열람할 수 있다는 사실을 노린 계획이다. 정말 기술의 고도화라고는 눈꼽도 찾을 수 없는, 고전적인 해킹 수법으로 이 사달이 난 것이다. 성명, 주민등록번호, 휴대전화 번호, 집 주소, 은행 계좌 번호, 유심 카드 번호, 이메일 주소, 신용카드 번호, 카드 유효 기간 등이 유출됐다고 한다. 안 털린 게 무엇일까 싶은 수준이다. 이렇게 유출된 정보는 1차 유출 사태와 마찬가지로 텔레마케팅에 적극 활용되었다고 한다. 웃긴 것은, 2012년에도, 2014년에도 KT의 사과문은 한심하기 짝이 없었다는 것이다. 본래 이런 공지에서는 어떤 정보가 어떤 경위에 의해 유출이 되었고, 이를 보상하기 위해 어떤 노력을 하고 있는지, 어떤 대책을 계획하는지를 쓰는 것은 기본 중의 기본이라 할 수 있다. 그런데 KT의 사과문은 한 마디로 요약하면 '죄송합니다.'였다. 무료 챗 GPT 한테 맡겨도 이보다 훨씬 진정성있고, 그럴듯한 사과문을 쓸 수 있을 것이라 확신한다. 그리고 역시나 여러 과정을 거친 끝에 법원은 KT의 손을 들어주었다. 판결문을 요약하면 "해커 공격 예측 어려워···지나친 보안 책임 부당"이 되겠다.. 이럴 거면 대체 누가, 왜 보안에 신경을 쓰겠나

7. 2014년 카드 3사(국민, NH농협, 롯데) 사건

2014년 1월에 발생한 역대 최대 규모의 유출 사건이다. 중복 및 사망자를 포함하여 약 1억 500만 명의 개인정보가 유출됐다. 발표는 1월 18일에 이뤄졌지만, 유출은 2012년, 2013년부터 지속적으로 이뤄졌다고 한다. 농협이 2,500만, 국민이 5,300만, 롯데가 2,500만이다. 국내 경제활동 인구의 75%가 피해자였다고 한다.(https://n.news.naver.com/mnews/article/032/0002432760?sid=101) 물론 개인정보는 어느 상황에서나 중요하지만, 특히나 금융에선 더더욱 그렇다. 마치 나의 재산과 직결되는 것처럼 느껴지기 때문이다. 그런데 이런 대규모 사건이 터졌다는 것은 금융에 대한 신뢰 자체를 뒤흔드는 일이었을 것이다. 사건의 경위를 살펴보면 정말.. 답이 없다. 아이핀을 관리하는 신용평가 업체에 일하는 박모씨가 FDS 책임자로 각 카드사에 파견됐고, 파견된 곳에서 시스템을 테스트하면서 받은 개인정보를 USB에 담은 것이다. 즉, ① 외부 용역이 개인정보에 쉽게 접근할 수 있었고 ② 비인가된 저장장치도 문제없이 중요 시스템에 접근할 수 있었다는 것이다. 그리고 유출된 개인정보 중에는 앞서 말했듯 사망자까지 존재했는데, 이는 각 카드사가 개인정보의 관리를 제대로 하지 않았음을 드러낸다. 개인정보의 관리 및 파기에 관해서 정말이지 안일했다는 것이고, 국민카드는 심지어 30년 간 고객정보를 보유했음이 드러났다.(https://n.news.naver.com/mnews/article/421/0000647150?sid=101) 그리고 이 사건의 재발방지 대책으로는 결제 내역 알림 문자 서비스 1년, 피해 발생 시 100% 피해 보상에 그쳤다. 그리고 이 카드 3사가 받은 처벌은.. 고작 600만원이다. (https://www.mediatoday.co.kr/news/articleView.html?idxno=114862) 중소기업도 아니고, 당기순익 수천억인 회사들의 과징금이다. 이 사건이 터진 뒤로, 카드 3사에서는 해지 러시가 이어졌지만, 이미 유출된 개인정보는 그 카드사를 해지한다고 해서 사라지는 게 아니다. 차라리 카드 재발급을 하는 것이 개인의 보안에 있어서는 효과적이었을 것이다. 이 미운 회사 뭐 좋다고 재발급을 해주냐는 생각이 들겠지만 말이다. 그런데 카드번호는 그렇게 어떻게 대처할 수 있다고 치더라도, 이런 사건이 터질 때마다 대체 주민등록번호는 어쩌겠냐는 말이다. 한숨 밖에 나오질 않는다.

8. 2016년 인터파크 개인정보 유출 사태

1,030만 명의 개인정보가 유출된 사건이다. 직원의 PC가 악성코드에 감염돼 DB 서버에서 정보가 새어나간 것으로 추정된다고 한다. 유출된 정보는 ID, 성명, 생년월일, 전화번호, 이메일 주소 등이다. 이것 역시 스팸 메일을 제대로 경계하지 않아서 발생한 일이며, 동시에 완벽한 APT 공격의 사례라고도 할 수 있다. 해킹이 드러난 것 자체가 인터파크가 인지해서가 아니라, 공격자 측이 금전적 요구를 하면서 드러난 사실이기도 하기 때문이다. 사실 위에서 내가 계속하여 기업이 해킹 사실을 인지하지 못한 상황에 대해서도 꼬집기야 했지만, 기업 스스로 해킹을 인지한다는 것이 분명 어려운 일이기는 하다. 당장 위에만 하더라도 수년에 걸쳐 일어난 사건의 사례도 있으니 말이다. 한편, 해킹된 정보는 시장에서 주민번호 개당 1원, 대출 사기에 활용할 목적으로는 개당 10~100원, 불법 도박 광고에는 개당 300원에, 고급 정보는 2만원에 거래되었다고 한다.(https://n.news.naver.com/mnews/article/032/0002716609?sid=101) 그래도 이번에 있던 손배 청구 소송에서는 피해자 측이 최종 승소하기는 했다. 회원가입을 위해 강제로 수집한 개인정보 보호 의무를 소홀히 한 것을 명목으로 1인당 손해배상금 10만원으로 결정이 났다. 규모가 있는 기업을 상대로 개인이 아무리 뭉쳐도 이기기 힘든 것을 고려했을 때, 이는 의미있는 판례가 또 쓰여졌음을 의미한다.

9. 2017년 빗썸 개인정보 유출 사태

6월에 직원 한 명이 PC에 고객의 개인정보를 저장했다가 해킹당하여 3.6만 명의 개인정보가 유출된 사건이다. 3.6만? 앞선 8개의 사례에 비하면 너무도 귀여운 숫자일지도 모른다. %로 보더라도 앞선 사례의 수십 %에 비하면 3% 수준으로 아주 작고 말이다. 그런데 문제는 해킹을 당한 곳이 가상화폐를 거래하는 빗썸이라는 것이다. 피해자들의 휴대전화 번호, 이메일 주소, 가상화폐 계좌 비밀번호 등이 유출되었는데, 그래서 일부 고객의 계좌에서 수천만 원이 사라지는 사태까지 발생했다. 당시 탈취당한 암호화폐의 규모는 약 70억 원에 이른다. 개인정보 유출의 인원은 분명 적지만, 그로 인한 직접적 피해가 매우 극심하다는 점에서 이번 TOP 10 사례에 들어갈만 하다. 더군다나 그런 상황에서 고객센터는 전화를 받지 않아 문의조차 불가능했다고 한다. 보통 이런 개인정보 유출 사태가 터질 경우, 해당 조직은 피해자들에게 구제를 받을 수 있는 경로와 연락처에 대해 남겨놓아야 한다. 그런데 그것이 제대로 지켜지지 않으니 피해자들의 정신적 피해는 더욱 커질 수밖에 없었을 것이다. 그리고 애당초 이 문제는 고객의 개인정보를 PC에 저장할 수 있다는 것 자체가 문제였다고 생각한다. 결국 이런 관리소홀이 있었다면 개인정보 유출은 시간의 문제였을 것이기 때문이다. 그리고 빗썸은 역시나 솜방망이 처벌을 받았다. 법정 최고 벌금이 3,000만원에 불과했기 때문이다. 이후 2018년에도 업비트, 코인원을 비롯한 8곳의 거래소가 개인정보 보호조치 소홀로 과태료를 부과받았으나, 그들이 받은 과태료의 총합은 1억 4,100만원에 불과했다. 계속해서 이런 약한 법률은 기업의 도덕적 해이를 초래할 수밖에 없다. 최근에 ISMS 기준 완화 글에서도 내 생각을 밝힌 바 있다. 계속해서, 꾸준하게, 이해가 안될 정도로 ISMS의 기준은 완화되고 있다. 기업들에게만 좋은 소식이다. 그러나 과태료 및 벌금을 올리는 것은 여전히 요원한 일이다. 지금도 여전히 개인정보를 가볍게 여기며 기업들 배만 불리겠다는 방증이 아닐까. 입법부와 행정부는 부디 각성해야 한다. 개인정보는 아무리 강화해도 부족한 것이 현실이다.

10. 2017년 하나투어 개인정보 유출 사태

2017년 9월에 하나투어에 해킹 사건이 발생했고, 이로 인해 고객 개인정보 46만 건과 임직원 개인정보 3만 건, 도합 49만 명의 개인정보가 유출됐다. 하나투어 인터넷사이트 운영업체 직원의 개인 노트북이 악성코드에 감염되며 사태가 시작됐다. 해당 직원은 바탕화면 메모장에 전산시스템 아이디와 비밀번호를 암호화없이 저장했다고 한다. 사실 이는 대부분의 기업에서 지금도 해당되는 일일 것이다. 나조차도 각종 아르바이트를 하면서 아이디와 비밀번호가 적힌 파일을 받기도 했으니 말이다. 이 사건을 보면서 생각나는 것은 재택근무의 위험성이다. 앞으로 5년, 10년, 20년이 지나면 지금보다 재택근무의 비중이 늘어날 것이라 생각한다. 그리고 보통 재택근무를 할 때는 개인 전자기기를 사용하기 마련이고, 그 전자기기는 기업의 전자기기에 비해 보안이 약한 것이 사실이다. 직원이 업무 시에 개인의 전자기기 사용을 허용하는 기업은 이에 대한 대책을 마련해야 한다. 제로 트러스트는 사내 직원에게도 당연히 해당되는 말이어야 할 것이다. 악의가 없어도, 사람이기에 실수할 수 있다. 부디 각 기업이 이에 대한 준비가 철저히 되길 바란다. 한편, 이 사태로 하나투어는 1,000만원의 벌금을 선고받았으며, 재판부는 "개인정보의 유출 정도를 고려하면 양형이 적당한 것으로 보인다."고 했지만, 결코 적당하지 않다. 아무리 사법부에서 판례라는 것이 갖는 의미가 매우 크다지만, 계속해서 개인정보 유출과 관련하여 친기업 재판을 내린 판사들은 책임감을 느껴야 할 것이다. 개인정보 유출을 가벼이 여기는 풍토를 만든 것 중 지분이 가장 큰 게 바로 사법부일 테니 말이다.

 

흔히들 말한다. "내 개인정보는 이미 공공재일 거야.", "중국에서 널리고 널린 게 내 개인정보일 거야." 라며 말이다. 그리고 개인적으로는 이런 일련의 사태는 계속해서 국민 개인에게 큰 재앙으로 불어닥치고 있다고 생각한다. 근 10년 간 개인정보 유출로 인해 발생한 대표적인 범죄 중 하나가 보이스피싱, 스미싱이다. 그 범죄자들이 대한민국 국민들의 정보를 쉽게 얻을 수 있었던 것은 과거 일련의 사태들 덕분이 아닐까? 물론, 모를 일이다. 그러나 기업을 계속 봐준 것에 대해, 그럼으로써 보안 유출을 쉽게 생각하게 만든 것에 대해, 그리하여 결국에는 전국의 국민들에게 범죄로 돌아오게 되는 것에 대해 국가기관은 반성할 필요가 있다. 피싱은 15년 간 정보보안에 안일하게 대처해온 국가의 결과물일지도 모른다.

 

https://n.news.naver.com/mnews/article/032/0002716609?sid=101