옥션, 해킹으로 1081만명 정보 유출

옥션, 해킹으로 1081만명 정보 유출
옥션 측 공개사과… 비밀번호·신용카드 정보는 유출안돼

 

옥션이 지난 2월 해킹사고로 전체 1081만명의 정보가 빠져 나간 것으로 확인됐다. 무려 전체 회원 1800만명의 60%에 달하는 수치다.

 

17일 옥션에 따르면, 현재까지 파악된 정보유출 피해자 규모는 총 1081만명. 이중 90%인 약 900만명이 자신의 이름과 주민번호, 주소 등 개인정보가 유출된 것으로 파악됐다. 다만, 이 중 거래에 필요한 비밀번호와 신용카드 정보 등 민감한 금융정보는 암호화돼 보관됐기 때문에 유출정보 대상에 포함되지 않은 것으로 알려졌다. 유출된 정보 중에는 일부 거래정보와 환불정보가 포함된 데이터베이스(DB)도 있었던 것으로 확인됐지만, 현재까지 이로인한 2차 피해는 접수된 사례가 없다고 회사측은 덧붙였다.

 

옥션 측은 유출이 확인된 피해 이용자들에게 개별적으로 이메일을 발송하는 한편, 홈페이지를 통해 이용자 본인의 유출 여부를 확인할 수 있도록 조치를 취했다. 이번 개별 유출 확인조치는 해킹 직후 발견 즉시, 이를 대외에 공개하면서 약속한 사안. 당시 옥션측은 추가사실이 밝혀지는 대로 재공지하겠다고 알린 바 있으며, 지난 16일 경찰로부터 대상자 명단을 넘겨 받았다.

 

한편, 이번 옥션의 이용자 정보 유출이 사실로 밝혀짐에 따라 이를 둘러싼 법정 소송에도 적잖은 영향을 미칠 것으로 보인다. 이미 옥션 회원 2078명은 법무법인 넥스트로를 통해 지난 3일 1인당 200만원씩 모두 41억원을 배상하라는 집단소송을 서울지방법원에 제기했으며, 다음달 초 2차 소송을 준비 중이다. 이외에 법무법인 상선도 옥션 집단 소송 참여자를 모집하고 있던 중이다.

 

옥션 박주만 사장은 "해킹으로 인한 옥션의 개인정보 유출로 이용자들에게 심려를 끼쳐드려 진심으로 사과의 말씀을 올린다"고 말했다.

가시밭길 자청한 옥션, 이후 행보는?
개인정보 유출회원 밝힌 옥션 "고객 피해 최소화가 우선"

옥션이 가시밭길로 걸어들어갔다. 굳이 가시밭길로 걸어가겠다고 나선 이유는 간단했다. "고객의 피해가 최소화되는 것이 우선이다"는 것. 지난 2월 홈페이지가 해킹되면서 고객정보가 대량으로 유출되는 사건을 겪은 옥션은 이후 해킹 사실을 당당히 밝혔다. 대부분의 기업들이 해킹을 당하고도 '쉬쉬'하는 것이 다반사인 상황에서 옥션의 결정은 '돌출'에 가까울 정도였다.

 

숨기면 그만인데도 불구하고 옥션은 스스로 가시밭길을 걸어가겠다고 나선 첫번째 결정이었다. 그러나 대가는 크다. 우려가 현실로 드러난 것이다. 해킹당했다는 사실을 공지하자 마자, 집단소송이 제기된 것이다. 그럼에도 불구하고 옥션은 두번째 선택의 기로에서도 가시밭길을 택했다. 혹자는 '미친짓이다'는 소리까지 서슴치 않는다. 해킹으로 개인정보가 유출된 회원의 수가 무려 1000만명이 넘는다고 스스로 발표해버린 것이다.

 

역시 파장은 컸다. 1800만명 회원 가운데 60%가 해킹으로 개인정보가 새나간 것이 확인됐기 때문이다. 현재 집단소송을 제기한 소비자는 2000여명에 불과하지만, 옥션의 이런 커밍아웃으로 집단소송이 줄을 이을 가능성도 배제할 수 없다. 그야말로 창사이래 '최대의 위기'가 닥친 것이다. 그러나 옥션은 말한다. "어려움이 예상되는 것은 사실이지만 속죄할 것은 속죄하고책임질 것은 책임지자"고 말이다.

 

◇옥션, 개인정보 유출회원 왜 공개?

17일 옥션은 해킹사고로 정보 유출 피해를 당한 1081만명에게 이메일과 홈페이지 공지를 통해 일일이 피해사실을 공지했다. 옥션을 상대로 집단소송까지 제기된 미묘한 시점에서 이 사실을 공지한다는 것은 쉽지않은 결정이었다.

 

공개를 둘러싸고 내부 의견도 찬반이 교차했던 것으로 알려졌다. '수사상황을 좀더 지켜보자'는 의견도 나왔다. 시기적으로 좋지 않다는 게 이유다. 집단소송이 이미 제기된 상황에서 자칫 상당한 악재가 될 수 있기 때문이다. 그러나 박주만 옥션 사장의 의지는 너무나 확고했다. 박 사장은 "여러가지 어려움은 예상되지만, 피해 이용자들에게 하루라도 빨리 알려줘 더 이상의 추가 피해를 예방하는 것이 옥션 이용자들에 대한 최소한의 도리"라고 말한 것으로 전해졌다.

 

실제 비밀번호와 신용카드 정보 등 민감한 정보는 유출되지 않았다손 치더라도 유출된 정보만으로 명의도용 등에 악용될 가능성도 적지않은 상황이다. 특히 이 정보를 악용한 보이스 피싱도 우려되고 있다. 이번에 빠져나간 정보에는 이름과 주민번호, 주소, 이메일 등 개인정보들이 다수 포함돼 있는 상황에서 보이스 피싱조직에 이 데이터가 넘어갈 경우, 자칫 피해규모가 커질 수도 있다.

 

옥션 관계자는 "고객의 정보를 보호하지 못한 점은 전적으로 우리 책임이며 깊이 반성하고 있다"며 "하지만 피해 사실을 숨기기 보다는 이용자들의 2차 피해를 최소화하고 대신 책임질 것은 책임지는 모습을 보임으로써 향후 업계에 바른 선례로 남겠다는 것이 경영진의 확고한 생각"이라고 밝혔다.

 

보상문제도 현재 내부에서 논의 중이나, 소송건과 맞물려 어떤 방식으로 보상할 지 쉽게 결론을 내리지 못하고 있는 상황이다.

 

◇유출된 개인정보, 어떻게 찾아냈나

경찰이 옥션의 정보유출 피해자 명단이 확보되면서 지난 2월 발생한 옥션 해킹사고 수사가 가속도를 내고 있다. 이번에 정보유출 데이터를 찾아낸 것은 국내에 소재한 제3의 시스템에서다. 경찰은 이곳에서 범죄에 사용한 듯한 데이터 삭제 흔적을 찾아내고, 이를 일일이 복원한 결과 대량의 개인정보가 쏟아져 나왔던 것이다.

 

이 정보는 옥션 관계자의 확인을 거쳐 이번에 유출된 회원정보로 판명됐다. 그러나 문제가 됐던 제3의 시스템은 누군가에 의해 해킹의 경유지로 악용됐을 가능성이 높다는 게 경찰의 설명이다. 경찰은 이곳에 접속한 중국 IP를 확인하고, 중국 현지 공안당국과 공조수사를 진행 중이다.

 

한편, 옥션측은 이날 해커가 침투한 서버에 'fuckkr'이라는 아이디와 암호의 해킹 프로그램을 사용했다고 밝혔다. 그러나 해커가 이 프로그램을 어떤 경로로 서버에 설치했는지, 또 이 프로그램이 직접적인 정보유출과 관련있는지 여부에 대해서는 확인되지 않고 있다.

 

경찰청 사이버테러대응센터 관계자는 "일각에서 옥션 직원들을 상대로 해킹 프로그램을 유포하고, 이를 통해 관리자 ID와 비밀번호를 입수한 것으로 전해지는데 이는 여러가지 가능성 중에 극히 일부에 지나지 않는다"며 "정확한 사고원인은 용의자가 검거된 이후에나 파악할 수 있을 것"이라고 말했다.

<머니투데이>

 

옥션 어떻게 공격당했나...범죄의 재구성  

직원중 여러명이 ‘fuckkr’이 삽입된 메일 열어봤을 것

발표내용상 웹해킹은 아닌듯...모든 기업들 타산지석으로 삼아야

옥션 정보유출 사건에 대한 경찰 조사 결과 발표를 분석해 보면 옥션이 받은 공격은 해외 크래커가 ‘fuckkr’이라는 악성코드를 옥션 직원을 대상으로 무작위로 뿌렸고 이에 감염된 직원의 관리자 계정을 크래커가 탈취한 것으로 보인다. 크래커는 이 관리자 계정을 이용해 DB를 빼내간 것으로 파악된다.

 

모 정보보호 관계자는 “최근 일본이 실제로 'fuckjapan'이라는 해킹툴에 의해 상당한 공격을 받고 있다”며 “주로 중국 크래커들이 사용하는 툴로 뒤에 kr을 붙여 우리나라를 공격한 것으로 보인다”고 말했다.

 

또 다른 관계자는 “fuckkr에 대해 옥션이 이야기하는 것을 보면 웹해킹에 의한 공격이 아닌 것은 확실하다”며 “내부 직원에 뿌려진 fuckkr이라는 해킹툴에 직원중 몇 명이 감염됐고 키로거에 의해 관리자 계정을 알아냈을 것”이라며 “관리자 계정만 있다면 DB를 빼내가는 것은 시간문제다”라고 설명했다.

 

또 다른 관계자는 “내부 직원이 아닐 수도 있다. 고객센터 직원이 감염이 돼 관리자 계정이 탈취됐을 때도 이와같은 상황이 발생할 수 있다”며 “고객센터와 같은 외주업체에 대한 철저한 관리가 필요하다”고 강조했다.

 

옥션 직원들에게 무작위로 보낸 메일에 ‘fuckkr’ 해킹툴이 삽입돼 있었고 직원중 몇 명이 이를 클릭한 것으로 볼 수 있다. 이 변종 해킹툴은 안티 바이러스나 안티 스파이웨어 탐지를 우회해서 공격했고 키로거 공격으로 직원의 아이디와 패스워드를 빼내간 것으로 전문가들은 보고 있다. 그것이 고객센터일 수도 있다는 추측도 나오고 있다.

 

한 관계자는 “만약 100명의 직원들에게 메일을 보냈는데 그 중 10명만 이를 클릭했어도 이와 같은 결과가 초례될 수 있다”며 “직원들에 대한 기본적인 보안교육이 옥션뿐만 아니라 다른 기업들도 절실한 상황”이라고 강조했다.

 

그리고 현재 옥션은 정보 유출이 확실한 1081만 명 회원 모두에게 메일을 보낸 상태다. 정보가 유출된 회원들에게 보낸 옥션의 메일에는 다음과 같은 내용이 들어있다.

 

“유감스럽게도 회원님께서는 경찰청 사이버테러대응센터가 확인한 개인정보 유출 회원에 포함되어 있습니다. 유출된 회원님의 개인정보는 이름, 옥션아이디, 주민등록번호, 이메일주소, 주소, 전화번호가 포함되어 있으나, 은행계좌번호는 유출되지 않은 것으로 확인되었습니다.”

 

사소한 보안관리 규정을 어긴 몇 몇 직원들로 인해 옥션은 이렇게 어마어마한 고객정보를 잃어버린 것이다. 또 기업 이미지 실추와 사회적 지탄을 받아왔다.

 

모 정보보호 관계자는 “옥션뿐만 아니라 모든 기업들이 이번 사태를 계기로 각오를 새롭게 해야 한다. 특히 직원들의 보안교육이 얼마나 중요한지, 그리고 보안환경을 설정하고 가이드라인을 제시하는 보안팀이 얼마나 중요한지를 이번 기회를 통해 통감하기 바란다”고 전했다.@

[보안뉴스 2008-04-17] http://www.boannews.com/media/view.asp?idx=9481&kind=1