[이.파.고] KT 개인 정보 유출 사건 파고들기

 

 

KT 고객 개인정보 유출 사건 정리

 

1. 사건 개요

 

KT 전산망이 해킹당해 휴대전화 가입자 1600만명중 절반 이상인 870만 명의 개인정보가 유출 됐습니다.

송정희 KT 부사장이 이달 12일 열린 ‘CEO 초청 정보보호 전략 간담회’에서 개인정보를 적극적으로 보호하겠다는

‘대국민 실천 선언문’을 읽는 순간에도 고객 정보는 유출되고 있었습니다.

 

 

ⓒMBC

 

해커들은 7개월간의 연구 끝에 해킹 프로그램을 개발했고 예전과 같은 데이터베이스를 직접 해킹하는 것이 아니라 해킹에 따른

개인 정보 유출 사실을 인지하도록 못하도록 하루에 소량씩 장기적으로 개인정보를 유출하는 치밀함을 보였다고 합니다.

 

KT의 고객정보 조회 시스템을 자체 개발해 마치 영업대리점이 고객정보를 정상적으로 열람하는 것처럼 속이는 신종수법으로 

지난 2월부터 5개여월 간 지속적으로 정보를 빼낸 것이었습니다.

이와 같은 방법으로 고객의 이름, 주민번호, 법인번호, 휴대전화번호, 가입일, 모델명, 요금제, 요금합계, 기기변경일 같은 내용이 전량

해커들에게 넘어갔으며 가입자 개인정보를 입수한 텔레마케팅 업자들은 약정 만료일이 다가오거나 요금제 변경이 필요한 고객만 골라 기기변경이나 요금제 상향조정 등을 권유했다고 합니다.

이 같은 불법 판촉영업 등으로 최씨 등은 최소 10억1000여만원의 부당이득을 챙긴 것으로 밝혀졌습니다.

 

 

ⓒMBC

 

KT측은 7월 13일 내부 보안 모니터링 활동을 통해 이상 징후 발견 하고 즉각 경찰에 신고하여 대처에 나섰으며 유출된 개인정보는

전량 회수조치 되었다고 밝혔고 올레 홈페이지와 공식 트위터 계정을 통해

"이번 유출로 인한 고객 피해가 확인된 경우 법률에 따른 피해보상을 시행할 예정"이라고 이야기 했습니다.

 

 

피해보상의 범위

 

 ○ 고객 의사와 상관없이 서비스 가입에 이용된 경우
 ○ 부당한 채무(개인정보를 이용해 돈을 빌렸다거나 등)부담 등에 사용된 경우

 

이러한 사실들이 입증 될 경우 피해보상을 해주겠다고 합니다.

 

소비자들은 네이버의 'KT공식해킹피해자카페'(cafe.naver.com/mastershop)등 피해자 카페를 개설해 개인정보 유출 피해보상을 요구하는 집단소송을 준비 중 입니다. 해당 카페에는 현재 1200여명 정도가 가입돼 있다고 합니다.

 

 

2. 또 다른 사건들

 

기업의 개인 정보 유출 사건이 이번 KT에서만 일어났던게 아닙니다.

몇 개월전 EBS에서도 개인정보 유출 사건이 있었습니다. 중국발 IP로부터 악성코드가 침투, 전체 회원 약 2000만명 중 5분의 1 정도(400만) 회원의 개인정보가 유출되었고 2009년 12월 이전에 가입한 회원의 이름, 아이디, 전화번호, 이메일, 주소, 비밀번호로 추정 된다고 합니다.
  

 또 2011년 이맘 때즘(2011년 7월 26일) 네이트와 싸이월드에서도 고객 개인정보 유출 사건이 있었습니다.

SK 커뮤니케이션즈가 운영하는 네이트와 싸이월드의 가입자 3500만 명의 개인정보가 유출되었고

 

게임 회사로 유명한 넥슨도 2011년 11월에 가입자 중 1300만명 개인정보가 유출되었고 방통위로부터 넥슨코리아이 과징금 7억7100만원과

과태료 1500만원을 부과 받았습니다.

 

그 이외에도 옥션, 농협 등 기업에서도 회원의 개인정보 유출 사건이 있었습니다.

 

 

ⓒ한국 경제

 

 

3. 무엇이 문제인가?

 

왜 이런 개인정보 유출 사건이 많은 걸까요?

 

인터넷 실명제(인터넷 이용자의 실명과 주민등록번호가 확인되어야만 인터넷 게시판에 글을 올릴 수 있는 제도)를 실시하고 난후 개인정보유출의 정도가 심해졌다고 합니다. 실제 2007년 인터넷 실명제 도입 이전까지 한해 평균 20%씩 늘어나던 개인정보 침해 신고 건수가

실명제 도입 직후 53%나 급증했다고 합니다.

 

하지만 무엇보다 큰 문제는 의도적으로 개인정보를 빼내서 은밀히 판매하는 경우와 허술한 보안 입니다.

돈을 받고 개인 정보를 다른 기업에 팔어 넘기는 파렴치한 기업인, 고객의 개인정보가 얼마나 중요한지 모르고 보안상에 헛점을 보이는 기업관리 문제는 

계속해서 나타나는데도 불구하고 개선책이 보이지 않습니다. 소 잃고 외양간 고치는 경우가 대부분 입니다.

 

KT도 사건이 터지자 대책 본부를 뒤늦게 마련했고 개인정보가 담긴 데이터를 전량 수거했다고 밝혔으나 디지털 데이터를 무제한 복제할 수 있다는 점을 감안한다면 전량을 수거했다는 KT측의 설명에 의문점이 남는 것이 사실 입니다. 
그리고 5개월간 해커에 의해 개인정보가 유출되고 있다는 것을 KT가 전혀 눈치못채고 있던 점은 그동안 회원 개인정보의 관리,

감독 소홀에 대한 경각심 부족이라는 비판이 쏟아지고 있습니다.

 

4. KT의 대응책

 

이런 상황에서 KT는 어떤 차후 대책을 펼쳐야 할까요?

 

 

ⓒ구글검색

 

1) KT내부 인적관리강화
 기업들이 기업들이 보안 시스템 구축에 대규모로 투자를하고도 인적 관리면에서 소홀한 실정입니다. 이에 따라 기업내부 직원들 중

회원개인정보를 검색하는 직원들의 관리, 통제할 수 있는 방안을  강구해야 할 것이고
시스템과 관리 인력에 대한 지속적인 점검이 시급한 상황 입니다.

내부 직원들에 대한 개인정보 관리에 대한 윤리교육도 한층 강화해야 할 것입니다.

어느 조직이든 보안이 가장 중요한 일인 만큼 직원들의 윤리성도 중요하기 때문이다.

 

2) 개인정보 검색 한정 
 KT관계자는 현재 시스템 보안조치 중 이라며 현재 몇 십만건까지 조회가능한 시스템을 몇 만건 이하로 줄이는 방안 등 개인정보 조회 통제권환 강화방안에

 대해 논의하고 있다고 합니다. 하루 검색할 수 있는 고객정보의 범위를 축소할 예정이라고 밝혔고 
 이에 따라 개인정보 검색에 따른 페단을 막고 해킹으로 이루어 질 수 있는 사태를 원천적으로 막는다는 방침 입니다.

 

3) 개인정보에 대한 지속적인 관리, 감독
 개인정보 유출이 해킹사건으로 일단락됨에 따라 앞으로 KT의 회원개인정보에 대한 한층 높은 관리, 감독이 이루어져야 합니다.
 TF(Task Force - 특수임무가 부여된 특별 편제의 부대)팀을 구성한 뒤, 대책회의를 마련하고 있는 중이라 구체적인 매뉴얼이 나온 상황은 아니지만 앞으로

 좀 더 철저한 관리, 감독이 이루어 져야 합니다. 

또한 인력확충은 물론 해킹을 조기에 발견 할 수 있도록 하드시스템을 대폭 강화해야 할 것 입니다.

(이는 KT 뿐만 아니라 고객의 개인 정보를 지니고 있는 기업 모두에게 해당하는 부분일 겁니다.)

 

 

5. 개인정보의 중요성

 

 

 

 

안타깝게 개인정보 유출이 되고나서 무심한 사람들도 있습니다. 하루 이틀일도 아니라며 그냥 넘기는 경우 입니다.

하지만 자신의 개인 정보가 소중하게 다루어져야 합니다.

 

개인정보는 생존하는 개인에 관한 정보로서 이름, 주민등록번호등에 의해 개인을 식별할수 있는 부호, 문자, 음성, 영상등의 모든 정보를

말합니다. 이러한 정보들은 생활에 편리함을 주고 사회 경쟁력을 높이는데 기여할 수 있지만 누군가에 의해 잘못 사용될 경우

개인의 안전과 재산에 큰 피해를 줄 수 있습니다.

 
개인정보가 유출되는 상황을 가정해 본다면 생각하기 쉽습니다.

이 상황에서는 개인에게 생명, 신체에 해를 가하는 물리적인 위협뿐만 아니라 재산상의 손실,

개인의 사회적 평가(명예)의 저하 등 불이익을 받을 수 있습니다.
  대표적인 사례가 ‘사이버스토킹’으로 인한 피해사례들입니다. 스토킹에 의한 지속, 반복적인 욕설, 협박 등에 의한 생명, 신체 위협은

재산상 이익을 얻기위해 불건전한 의도를 가진 익명의 이용자에 의해 행해질 수 있고, 피해자는 본인의 의도와는 달리 자신의 개인홈페이지, 블로그, SNS를 통해 사회적 평가에 부정적 영향을 받을 수 있는 피해를 입을 수 있습니다.

 

온라인에서 한번 유출된 개인 정보에 따른 피해는 일단 발생한 경우 회복이 어려울 뿐만 아니라 피해자 개인이나 특정 서비스 제공자에 의해 피해가 복구되기 전에 다른 게시판, 서비스 등으로 글이 전달됨으로써 2차 피해가 ‘실시간’으로 발생 할 수 있는 특성을 가지고 있습니다. 

또 그 근원을 확인, 수습하는데 많은 자원이 소요되기도 합니다.

 

기업차원에서의 개인정보

 정보화 사회의 기업들은 이용자들의 개인정보를 활용하여 다양한 맞춤형 서비스를 제공할 뿐만 아니라,

이러한 서비스를 통해 가치를 창출하고 있습니다. 이용자들의 개인정보는 궁극적으로 그 소유가 정보제공자에게 있으며,

기업은 이를 이용자의 동의에 기초하여 수집, 이용, 제공하는 활동을 하게 되는 것입니다,

따라서 기업은 고객의 개인정보에 대한 ‘선량한 관리자’의 역할이 필요합니다.

 기업의 입장에서 개인정보에 대한 관리 부주의로 인하여 개인정보를 유출, 노출하였을 경우 브랜드가치의 하락과 평판악화를

가져오게 되고 악의적인 단체나 개인으로부터 협박에 노출될 수도 있고 이용자의 손해배상청구 등으로 인해 직접적으로 또는

간접적인 재정상의 손해를 입게 됩니다.

 최근 여러 개인정보 유출 사례등을 총해 개인정보에 대한 이용자의 주인정신은 점차 강화되어가고 있고, 실질적으로 개인정보 유출이

기업의 성패에 영향을 미치는 것으로 인식되어가고 있습니다.

 

정부차원에서의 개인정보
 정부는 개인정보를 법률과 제도의 정비를 통해 보호 하는 역할을 수행하며 개인정보 관리실패로 인한 비용의 측정이 매우 어려운 특성을

가지고 있어, 정보화 사회에 대한 신뢰구출에 대한 ‘비난가능성’과 ‘실패의 책임에 대한 위험성’을 내포하고 있어 그 중요성이

더욱 강조된다고 볼 수 있습니다.

 

 

ⓒ네이트 보안센터

 

 

6. 피해자 대응책

 

KT 개인정보 유출 피해자들의 경우

 

KT 개인정보 유출에 대한 대처법으로 가장 먼저 해야 할 일은 개인정보 유출 여부 확인 입니다. 

·올레닷컴(www.olleh.com) 또는 고객센터(1588-0010)에서 확인 가능 합니다.

불법 텔레마케팅 주의

·통신사 사칭한 상품 가입 유도의 경우 정확한 상품정보 확인을 해야 합니다. 

보이스 피싱 주의

·공공기관이나 은행 사칭한 금융정보 문의의 경우 전화 끊고 해당 기관에 확인 입니다.

 

 

 

개인 정보 유출 대처법

인터넷뱅킹시에 공인인증서를 사용하며 공인인증서는 PC에 보관하지 않습니다. 해킹의 위험이 있기 때문 입니다.

PC방 같은 곳에서는 금융거래를 하지 않습니다.

PC에 트로이목마와 같은 해킹 프로그램이 깔려있다면 개인정보 유출이 될 수 있기 때문입니다.

될 수 있으면 PC방화벽, 백신이 설치되어 있는 PC를 사용해야 합니다.
자신의 PC에 설치되어 있는 백신, 안티스파이웨어 제품, PC방화벽, 키보드 보안 제품을 설치하고 항상 최신버전을 유지해야 개인정보 유출 대처에 좋습니다. 실시간으로 감시기능을 설정해두고 일주일에 한번 이상 PC를 검사해야 합니다.

또한 최신 윈도보안패치를 모두 설치하여 바이러스, 악성코드에 감염되는 경로를 막습니다. 마이크로소프트 홈페이지에서 윈도업데이트를 받으면 보안업데이트도 자동으로 업데이트 된다고 합니다.

 

홈페이지 가입시 개인정보를 많이 요구하면 가입을 거절하고 쓸데없는 웹사이트 가입을 자제하고 온라인 이벤트 응모를 부추기는 배너에

현혹되지 않도록 합니다.

오랫동안 이용하지 않는 웹사이트는 정식으로 탈퇴합니다.

 

불필요한 엑티브X 파일을 다운받거나 설치지하지 않습니다.

인터넷상 복제프로그램 다운 경우 트로이목마나 스파이웨어등의 바이러스가 같이 다운되므로 개인정보유출의 위험이 있다고 합니다.

게시판에 글을 함부로 올리지 않습니다.

게시판에 글을 쓸 때 이메일과 이름, 전화번호등을 올릴 경우 보이스피싱이 될 수 있다고 합니다.

메일 송수신시 보안접속기능을 이용 합니다.

이메일에 첨부된 파일이나 메신저로 통해 전달받는 파일,P2P프로그램을 통해 자료를 다운받을 때에는 개인정보 유출 방지를 위해서

보낸이가 직접 보낸 것이 맞는지 확인하는 것이 좋습니다. 또한 P2P프로그램으로 파일을 다운받을 때에는 반드시 보안프로그램을 통해서

악성코드 감염 여부를 판단하는 것도 개인정보 유출 대처법 입니다.

컴퓨터를 버리고 팔 때에는 하드를 파괴하거나 포맷하는 것이 좋습니다.

공인인증서나 은행 거래정보, 주민번호 등 개인정보가 남을 수 있으므로 타인의 손에 들어갈 경우에는 하드를 포맷 또는 파괴하는 것이

개인정보 유출 대처법 입니다.

 

siren24 명의도용방지 서비스 이용

개인정보 유출사고 발생-> 주민번호 사용 실시간 차단-> 주민번호 도용 의심지역 확인->개인정보유출로 인한 2차피해예방

2차 피해 방지를 위해 가장 중요한 것이 실명확인 및 신용정보조회 방지 입니다.

타인이 개인명의를 도용해 인터넷 사이트를 이용하거나 시도할 때 차단과 함께 sns와 이메일로 즉시 알려주고

명의도용 시도를 바로 확인하고 추가 발생위험을 예방할 수 있습니다.

 

 

ⓒSIREN24

 

정부, 기업, 개인 모두가 개인 신상 정보에 대해 각별히 신경을 쓰고 주의를 한다면 이런 사건이 발생하지 않을 것이고 피해자도 없을 겁니다.

개인 정보를 위해 각별한 생각을 가져야 할 때 입니다.