인터넷회원 50만명 개인정보 유출

이번 인터넷 회원 50만명 개인정보 유출사건은 단순한 해킹행위에 그치지 않고 불법으로 빼낸 정보를 또다른 범죄에 이용하려 했다는 점에서 문제의 심각성을 더해주고 있다. 이제까지 인터넷상에서의 개인정보 유출사건은 지난 3월 한 대기업이 운영하는 「S쇼핑몰」에서 일어난 특정제품 구입고객 명단 노출사건이나 해커가 자신의 해킹실력을 과시하기 위해 특정 사이트의 내용을 바꿔놓는 경우와는 본질적으로 다르다. 해킹을 통해 얻은 정보를 가공함으로써 인터넷 사이트에서 제공하는 대규모 경품을 타려 했다는 점에서 이용자들에게 실질적인 피해를 입히는 형태로 변모한 것이다.

◇사건개요 =이번에 구속된 정씨는 지난달 6일 유명 음료회사인 A사, 인터넷쇼핑몰 가격정보 제공사이트를 운영하는 B디지털 등 3개 업체 시스템에 침입해 회원ID, 이름, 비밀번호, 주민등록번호, 전화번호 등이 입력된 50만명의 개인정보를 빼내 자신의 컴퓨터로 다운로드한 뒤 B디지털 사이트의 회원에 가입하며 추천인란에 자신의 이름을 부정입력, 노트북 컴퓨터 등 고가의 경품을 타내려다 경품제공업체의 신고를 받고 추적한 경찰에 붙잡혔다.

◇어떻게 가능했나 =정씨는 인터넷기업의 도메인명만으로 IP주소를 찾아낸 뒤 MS윈도의 공유기능을 이용, 랜으로 연결된 컴퓨터의 공유폴더에 접속해 손쉽게 자료를 빼냈다. 전문가들은 『MS 윈도95·98에서 내부 직원간 편의를 위해 만든 넷바이오스를 사용할 경우 누구든 공유된 정보를 빼낼 수 있다』며 자료유출의 위험을 설명했다.

◇문제점과 대책 =회원확보 경쟁을 벌이고 있는 대부분의 인터넷기업이 보안기능에 소홀한 형편이어서 회원 데이터베이스 해킹에 따른 개인정보 유출 가능성이 상존하고 있다. 이번에 피해를 입은 A음료회사의 경우처럼 MS 윈도95 ·98 사용기업들은 공유기능 사용시 반드시 암호를 설정해 두어야 하며 홈페이지 제작언어인 액티브서버페이지(ASP)를 사용했을 경우 해당 웹페이지 비밀정보 노출이 우려되므로 MS에서 제공하는 패치파일을 반드시 설치해야 한다. ASP 백도어에 의한 피해는 올초 심지어 MSN코리아 사이트에서도 발생, 특정 명령어 입력시 해당 페이지의 프로그램코딩이 그대로 드러나 MS측이 부랴부랴 패치파일을 배포하기도 했다.

이와 관련, 경찰청 사이버테러대응센터 하옥현 단장은 『인터넷 인구 급증에 따라 인터넷상에서의 범죄도 크게 늘어나고 있다』며 『보안장치가 없는 상태에서 개인정보나 파일의 유출을 막기 위해서는 디렉터리의 공유기능을 사용하지 않거나 사용시 반드시 비밀번호를 입력할 것』을 당부했다.

<전경원기자 kwjun@etnews.co.kr>