옥션 해킹과 개인정보 줄줄 새는 IT강국 한국

옥션 해킹과 개인정보 줄줄 새는 IT강국 한국
회원들 주민등록번호는 유출되도 되나?

지난 5일 온라인 경매사이트 옥션(http://www.auction.co.kr/)은 '시스템 점검 도중 중국의 인터넷망을 통해 해커가 침입해 회원 다수의 주민등록번호와 이름, 환불정보 등이 유출돼 경찰청 사이버수사대에 수사를 의뢰했다'고 한다.

이 충격적인 소식은 사람들에게 급속도로 일파만파 퍼졌지만, 옥션과 정부(관계부처, 기관)의 대응은 역시 늦었다. 회원 다수의 주민등록번호 등 개인정보가 유출된 뒤에야 '비밀번호를 바꾸세요'라는 허튼소리를 해대고 있다.

'최첨단 정보화 사회' 'IT강국'이라는 한국에서 급증하고 있는 개인정보 유출사고는 이번만이 아니다. 2006년 온라인 게임 '리니지 명의도용' 사건 이후 이통통신사, 초고속인터넷사업자, 스팸메일, 보이스피싱, 악성코드 등에 의한 개인정보와 금융정보 유출사고와 피해가 빈번하게 일어나고 있다. 그 수법도 교묘하고 다양해지고 있다. 정말 '눈깜짝할 사이 개인정보를 훔쳐가는 세상'이 되어버린 것이다.

다시 말해 개인이 주민등록번호 등 개인정보를 안전하게 관리, 보관하는 일들은 점점 어려워지고 있다. 아무리 좋은 보안.백신프로그램이 나온다고 해도 말이다. 근본적으로 개인정보를 해킹의 위험이 도사리는, 인터넷 상에 순순히 올려놓으라고 사람들을 강요하는 한국사회와 웹사이트에서는 불가능한 일이 아닐까 싶다.

* 관련 기사 :
- [아이뉴스]옥션발 인터넷 '비상'...비밀번호 변경 긴급 캠페인
- [연합뉴스]보보호진흥원 "인터넷 비밀번호 바꾸세요"
- [SBS]인터넷 쇼핑몰 옥션 중국서 해킹...개인정보 유출
- [세계일보]리니지 명의도용 28만명 이패..김하나 사건 스팸메일 16억통
- [연합뉴스]7만개 웹사이트변조 해킹공격 발생, 개인정보 유출 경보 발령

뻔뻔한 '옥션에서 알립니다!''

그런데 가관인 것은, 회원들의 주민등록번호와 이름, 환불정보 등이 해킹당했다는 옥션이다.
이들은 사과문 아니 단순 공지 메일을 통해 옥션 회원(자신도 포함)들에게 이 사실을 알려왔는데, 그 제목 참 뻔뻔하다. '개인정보 유출사고로 죄송합니다'가 아니라, '옥션에서 알립니다'라니.

뿐만아니라 옥션은 회원들의 신용카드정보, 비밀번호 정보, 실시간 계좌이체 정보는 유출되지 않고, 주민등록번호와 이름, 환불정보 등만이 유출되었으니 안심하라고, 이번 개인유출사고를 유야무야하고 있었다. '안전한 거래를 위한 필수 정보가 아닌 주민등록번호 등은 유출되도 상관없다'는 오만방자한 말을 내뱉은 것과 다름 아니다.

'불편을 끼쳐 진심으로 사과한다'라는 입발린 소리를 했지만, 옥션과 인터넷사이트들의 개인정보정책을 더 이상 신뢰할 수가 없다. 개인정보보호 우수사이트란 표딱지와 e-Trust 인증마크도 하찮아 보인다.

주민등록번호 등은 유출되도 상관없다는 옥션의 공지 메일

옥션은 개인정보보호 우수사이트, e-Trust 인증마크를 달고 있었지만, 해킹당하고 말았다.

이런 인증마크가 개인정보 유출을 막아주는 것은 아니다.

(주)옥션의 개인정보취급방침의 근본적 한계

개인정보유출사고를 무마하려는 (주)옥션은 대체 개인정보를 어떻게 취급하고 있을까 살펴보았는데...
역시나 근본적으로 개인정보가 유출될 가능성은 농후했다.

무엇보다 (주)옥션은 제3자에게 개인정보를 제공하고 있다.
회원의 동의(회원가입시 약관 동의 형식을 빌린다. 하지만 약관을 제대로 읽어보지 않는 관계로 쉽게 놓치는 부분이다.)를 전제로 한다지만, 아래와 같이 많은 곳에 주민등록번호를 비롯한 개인정보의 상당부분을 넘겨주고 있는 것이다. 뿐만아니라 제휴마케팅이란 이름으로 개인정보의 위탁관리도 이뤄지고 있었다.

개인정보를 제3자에게 제공하고 위탁관리 하는 중, 회원들의 소중한 개인정보는 언제든지 외부로 유출될 수 있는 위험에 처해있다는 소리다. 일례로 지난해 10월 SK텔레콤, KTF, NHN(네이버) 등 8개 업체는 개인정보 수집항목이나 개인정보 취급 위탁업체명을 명확히 기재하지 않거나, 일부 대리점에서 고객정보를 암호화 조치 없이 보관하거나 해지 고객 정보를 파기하지 않는 등 행위를 방조해 과태료와 시정명령을 받은 바 있다.

아무리 '개인정보취급방침'을 공개하고 회원들에게 동의를 구했다고 하지만, 개인정보를 제3자에게 제공, 위탁관리하는 것은 위험천만이다. 관련해 정부는 지난 2006년 인터넷업체나 온라인게임 업체 등 개인정보를 취급하는 이용자들에 대한 통제권을 강화한 바 있다. 정보통신서비스 제공자 등이 이용자의 개인정보를 제3자가 취급할 수 있도록 업무를 위탁할 경우 이용자가 이를 알 수 있도록 공개하거나 통지하도록 하고 수탁자가 이용자의 개인정보를 이용할 수 있는 목적을 지정해 수탁자가 지정된 목적 외로 이용하거나 제공하지 못하도록 구체화 했었다.

하지만 앞서 언급했듯이, 이통통신사, 초고속인터넷사업자, 대형할인마트 등은 개인정보를 하나같이 소홀히 다루거나 유출되는 것을 방치해왔다.

* 관련 기사 :
- [경향신문]대형 할인마트 9곳 개인정보 보호 위반
- [전자신문]이통사, 고객정보보호 조치 강화
- [한국일보]개인정보 부실 관리 8개 IT업체에 과태료
- [아이뉴스24]통신.포털업체, 개인정보 보호 소홀 여전
- [전자신문]이통 대리점이 개인정보 유출 진원지
- [디지털타임즈]개인정보보호 미흡 사업자 과태료
- [경향신문]'초고속 인터넷'도 고객정보 손놓고 있다
- [아이뉴스24]개인정보보호 의무위반 초고속 사업자에 과태료 부과
- [노컷뉴스]KT, 부실한 위탁업체 관리로 소비자 피해

개인정보를 제3자에게 제공하고 있다.

개인정보의 위탁관리도 하고 있다.

빅브라더의 오판, 제한적본인확인제와 전자여권

결국 옥션 해킹과 날로 늘어만가는 개인정보유출사고는, 수많은 개인정보를 손쉽게 노출시키고 제3자의 손에 놀아나게 하는 겉멋만 잔뜩 든 한국의 취약한 인터넷 환경이 큰 역할을 하고 있는게 아닌가 싶다. 이를 방조하고 악용하는 것은 역시나 빅브라더와 개인정보를 팔아먹는 놈(기업)들이고 말이다.

특히 빅브라더는 주민등록번호를 감시, 통제의 중심에 놓고 이를 인터넷까지 손을 뻗쳤다.
그 중 하나가 유명무실한 제한적본인확인제(정보통신망 이용촉진과 정보보호 등에 관한 법률)이다.

작년 7월 27일부터 네이버, 다음 등 대형포털사이트와 언론사 웹사이트 등 35개 사업자에 적용된 제한적본인확인제는 말그대로 주민등록번호를 통해 실명(본인) 확인을 해야지만 게시판에 댓글이나 블로그, 카페 등에 글을 쓸 수 있다는 말이다.

이는 악플과 명예훼손, 개인정보 보호 등을 빌미로 빅브라더가 표현과 언론의 자유, 정치사상의 자유와 프라이버시를 직간접적으로 침해하고 언론과 여론을 통제하는 것으로 인터넷실명제, 주민번호 클린캠페인, 문광부의 UCC 저작권 가이드라인, 중앙선관위의 선거UCC지침(e-Clean 선거협약), 통신비밀보호법 개악과도 한패다.

개인정보와 실명확인 서비스로 돈을 버는 이들도 생겼다.

외교통상부의 전자여권 도입도 마찬가지다.
9.11테러 이후 미국이 도입한 생체인식 시스템과 전자여권을 그대로 받아들인, 전자여권은 성명, 여권번호, 만료일 등의 여권정보와 얼굴, 지문으로부터 추출해낸 생체정보를 전자화하여 RFID칩에 저장하여 내장한 여권을 말한다.

그런데 이 전자(생체)여권은 보안상의 심각한 결함이 EU 보안전문가들에 의해 확인되어, 유럽연합의 경우 3년안에 폐기하고 새로 논의할 것을 권고했다고 한다. 또한 지문정보를 담은 전자여권은 개인 프라이버시를 침해하고, 양심.종교.이동의 자유를 침해할 소지가 많다고 한다. 관련해 영국은 올해부터 여권에 지문을 수록하려던 계획을 취소하고, 계획 자체에 대한 전면재검토에 들어갔다고 한다.(관련 글 참조)

* 관련 글 :
- 전자여권에 지문수록 2년 유예라니, 조삼모사로 국민을 속이지 마라!
- 한국과 일본, 여권에 지문을 수록하는 것은 인권침해다!
- 비자면제를 위해 국민의 개인정보를 제공하는 것은 인권침해다!
- 외교통상부의 개인정보 불감증, 혹은 몰이해
- 민변, 인권단체연석회의 전자여권에 대한 의견..."당장 폐기하라"
- 생체여권(전자여권)은 어떻게 개인의 프라이버시를 위협하는가?
- 생체정보 줄줄 새는 '생체여권(전자여권)'이란?
- 전자여권, 쉽게 복제된다! BBC 영상
- 외교통상부 曰 : 전자여권에서 개인정보 유출은 원래부터 가능하다.

* 집중기획 : 생체여권의 모든것
- 미국의 내정간섭
- 미국 비자면제는 기만
- RFID, 생체정보, 여권. 어울리지 않는 삼중주

* 활동의 기록
- 외교통상부 공개질의서
- [동영상]생체정보가 유출된다면
- [플래쉬]간편한 생체정보 유출
- 여권법 개정안에 대한 의견

* 취약한 보안
- 생체여권(전자여권) 해킹 by 가디언(영국)
- 유리로 만든 보안
- [동영상]RFID 생체여권(전자여권)에 대한 해킹, 정보유출, 테러

미 국토안보부 비자면제국 방문자를 위한 안내서, 출처 : 진보네트워크센터

덧. 옥션 해킹과 관련해 지난 6일 한국정보보호진흥원(KISA)과 한국인터넷기업협회는 개인정보 유출 피해를 막기 위한 사용자 비밀번호(패스워드) 변경 캠페인을 펼치기로 했다고 한다. 중국발 해킹 피해가 수차례 보고되는 등 개인정보 유출 위험이 커지고 있고, 인터넷 이용자들이 대부분 여러 사이트에 동일한 아이디와 비밀번호로 가입되어 있는 경우가 많아 안전한 패스워드로 바꾸는 것을 권고한 것이다.

그런데 이용자가 이용 사이트의 아이디와 패스워드를 각기 달리하고, 패스워드를 주기적으로 바꾼다고 해서 해킹에 의한 개인정보 유출을 근본적으로 막을 수 있을지 의문이다. 다시말해 인터넷 사이트가 개인신상정보 특히 주민등록번호를 중심으로 한 가입절차와 본인확인(제한적본인확인제, 인터넷실명제 등)을 강요하고 있는 상황에서, 언제든지 주민등록번호와 신용카드 결제정보 등 중요한 개인정보는 유출, 도용, 악용될 수 있는게 아닐까 싶다.

그런 이유로 정보인권 시민사회단체들은 줄곧 포털사이트뿐만 아니라 인터넷사이트 가입시 주민등록번호를 기재, 확인하는 위험한 짓거리를 그만두자고 말해왔지만 정보통신부나 관계부처, 특히 빅브라더는 그 소리를 귀기울이지 않았다. 매번 해킹(이동통신사, 보험사 내부자 포함)에 의한 개인정보 유출사고가 발생하고 나서야 저런 소 잃고 외양간 고치는 식의 캠페인이나 공지문을 띄울 뿐이다.

소 잃고 외양간 고치는 짓은 그만하자

덧. 개인정보유출사고를 뻔뻔하게 무마하려는 (주)옥션, 오늘부로 안녕이다. 회원탈퇴한다. 당장 제3자에게 제공한 개인정보와 위탁관리되어 온 개인정보를 지워라!

이용치 않거나 불필요한 웹사이트에서는 회원탈퇴하는게 최고다!

전체목록

옥션 해킹과 개인정보 줄줄 새는 IT강국 한국

명예의 전당

추천 많은 톡

댓글 많은 톡

새로운 베플

공감많은 뉴스 시사

공유하기

뉴스 플러스