네이트,싸이월드 3,500만 회원의 개인정보 중에 일부가 해킹으로 유출!
기사입력 2011-07-29 00:20 최종편집 경남우리신문
작성자 경남우리신문편집국
본문
mms://ebriefvod.korea.kr/ebsvod/2011/0728/F2_11-07-28_14_20_27_EBSH_800K.wmv
네트워크정책국장 석제범입니다. 지금 SK컴즈(SK커뮤니케이션즈)에서 고지를 했기 때문에 기자분들도 다 아시리라고 생각하는데요. 해킹으로 인해서 네이트와 싸이월드의 개인정보가 유출되는 사고가 발생했습니다.
SK컴즈에서 우리 방통위원회 신고한 바에 따르면 지난 26일 화요일에 SK커뮤니케이션즈에서 운영하는 네이트와 싸이월드 3,500만 회원의 개인정보 중에 일부가 해킹으로 유출되었다고 방통위원회에 신고를 해왔습니다.
현재까지 파악된 바로는 중국 발 IP로 SK컴즈 시스템에 불법으로 접근해서 3,500만 명 고객정보 중에서 이름과 ID, 이메일, 전화번호, 그리고 암호화가 된 주민등록번호와 비밀번호가 유출되었습니다.
그래서 SK컴즈에서 오늘 새벽에 이 사실을 확인하고 아까 말씀드린 바와 같이 방통위에 신고를 하고 경찰청에 수사 의뢰를 했습니다.
그리고 SK컴즈 자체적으로는 추가적인 공격을 방지하기 위해서 시스템 모니터링을 강화하고 있고, 또한 중국 발 IP를 이용한 접근을 차단하는 등의 조치를 지금 취하고 있습니다.
그래서 우리 방통위원회에서는 SK컴즈로 하여금 이러한 사실을 즉각적으로 고지해서 이용자들의 추가적인 피해를 최소화 할 수 있도록 이 사실을 이용자들한테 고지하도록 조치를 취하고, 또한 개인정보 유출로 인한 추가적인 피해를 방지하기 위해서 해당 SK컴즈 사이트뿐만 아니라 동일한 ID와 패스워드를 사용하는 모든 인터넷 사이트의 비밀번호를 국민들께서 변경하고, 또한 전화번호 유출로 인한 보이스 피싱과 스팸 메일 등의 피해를 입지 않도록 각별히 유의해주실 것을 당부 드립니다.
그리고 또한, 이번 개인정보 유출사고의 경위파악을 위해서 개인정보보호 분야와 또한 보안 분야의 전문가들로 조사단을 구성해서 지금 SK컴즈의 위법사실이나 혹은, 이러한 사고가 일어나게 된 문제와 개선방안이 무엇이 있는지 조사와 문제해결방안을 도출하기 위해서 조사단을 구성해서 오늘 오후에 SK컴즈에 조사단을 보냈습니다.
그래서 앞으로 이 SK컴즈의 개인정보 유출사고의 정확한 원인과 피해규모나, 앞으로 만약 문제점이 있다면 그러한 문제점들을 어떻게 개선해야 될지는 앞으로 추가적인 조사를 통해서 이루어지겠지만, 우선적으로 일반 국민들께서 피해를 입지 않도록 비밀번호 변경이나 스팸, 보이스 피싱 등으로 인한 피해를 입지 않도록 각별히 유의해주실 것을 당부 드립니다.
이상입니다.
[질문 답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 처리했으니 양해 바랍니다.
<질문> 3,500만 회원의 개인정보 중 일부가 유출됐다고 하셨는데, 정확한 유출된 사용자 어느 정도 규모나 되는지와 향후에 SK컴즈의 과실이 인정된다고 하면 방통위에서 취할 수 있는 조치는 어떤 것이 있는지 부탁드립니다.
<답변> 지금 유출 규모를 방금 말씀하신 것처럼 정확하게 어느 정도 이렇게 예단하기는 어려운 것 같고요. 그 부분은 조사를 해봐야 정확한 사실을 알 수 있을 것 같고, 통상적으로 포탈들의 보안수준은 아주 높다고 알려져 있고 우리들도 그렇게 파악하고 있습니다만, 만약에 조사를 해서 법에서 규정된 보호조치를 취하지 않은 부분들이 있다면 그 부분은 법에 규정된 데에 따라서 제재조치를 받을 수 있을 것인데, 그 부분을 지금 예단해서 이야기하기는 어려울 것 같습니다.
그 법규에 따르면 보호조치를 제대로 이행하지 않았을 경우에는 과징금의 조치, 그리고 만약에 우리가 맡은 부분은 아닙니다만, 형사벌까지도 가능한 것으로 법에는 규정되어 있는데, 실제로 SK컴즈 측의 과실이 어느 정도 있었는지는 확인을 해봐야 될 것 같습니다.
<질문> 이것이 3,500만이면 사상 최대 규모인가요? 그것 하나와 또 한 가지가 26일 발생한 사고가 왜 28일 오전에 보고가 됐는지, 왜 이렇게 늦게 발견이 되었는지 하고요.
그리고 유출된 개인정보가 암호화 된 부분과 암호화되지 않은 부분 두 가지라고 했는데, 왜 암호화되지 않은 부분은 암호화를 안 했는지, 암호화된 부분은 해독 가능성이 없는 것인지 얘기해 주십시오.
<답변> (관계자) 세부적인 내용을 말씀드리겠습니다. 사건을 안 것은 오늘 새벽에 알았는데, 정보가 언제 나갔는지를 역 추적 해보니까 26일에 사고가 발생했다는 의미이고요.
두 번째로는, 규모로 봤을 때는 단일한 사이트에서 유출이 발생한 규모로 봤을 때는 가장 큰 것이 아닌가 싶습니다.
마지막으로 말씀하신 것이, 우리 법에 의해서 암호화해야 될 대상이 이용자의 모든 고객정보는 다 암호화하도록 되어있는 것이 아니고요. 주요한, 민감한 정보들, 예를 들어서 국장님께서 말씀하신 대로 패스워드나 주민등록번호, 개인을 직접적으로 식별할 수 있는 정보들, 이런 부분들로 한정이 되어 있고요. 이름이나 ID, 이런 부분들은 거기에 해당이 되지 않습니다.
<질문> ***
<답변> (관계자) 어떤 암호화 기술이든지 100% 안전하다고 장담할 수 있는 부분은 없습니다만, 지금 현재 암호화되어 있는 콘텐츠를 정상적인 방법으로 그것을 해독하기는 굉장히 불가능에 가깝다고 알고 있습니다.
<질문> 그러면 28일에 안 것인데, 26일 몇 시부터 몇 시까지 취약한 상태로 노출되어 있었는지, 이것이 3,500만 명의 데이터 파일이라고 하면 크기도 사실 만만치 않았을 것 같은데, 데이터 파일의 크기가 얼마만한지, 그리고 침해를 입은 서버가 한 곳이었는지, 아니면 분산되어 있었는지, 그것 정도 알려주십시오.
<답변> (관계자) 오늘 아침에 사고가 발생했다는 것을 SK컴즈에서도 그때 인식했기 때문에 지금 질문하신 정도까지 자세하게 파악하고 있지는 못합니다. 지금 그 부분을 위해서 국장님 말씀하신 대로 조사단을 지금 SK컴즈로 이미 보냈고요. 조사결과를 보고 아마 답변을 드릴 수가 있을 것 같습니다.
<질문> 그러면 26일에 해킹이 들어왔다는 것을 파악해서 28일 새벽에 인지하기 전까지 노출되어 있었던 상태라고 봐도 되는 것이죠? 그 전까지는 몰랐으니까요.
<답변> (관계자) 그러니까 이것이 시스템 암호의 보호조치가 열려 있어서 그동안에 다 누구든지 접속했다는 의미가 아니고, 이것은 해킹에 의한 유출이기 때문에 정상적인 상태로 계속 운영을 하고 있습니다만, 해킹으로 인해 그 정보가 빠져 나갔다는 사실이 26일에 나갔다는 것을 오늘 새벽에 알게 됐다는 의미입니다.
<질문> 사용자들 입장에서는 어떤 피해가 예상되는지 궁금하거든요. 이것이 비밀번호를 알 수 없으면 그 ID로 접속을 할 수 없는 것인지, 그리고 네이트온 같은 경우는 제가 알기로는 네이트온에 접속하면 휴대전화로 오는 문자도 볼 수 있는 기능이 있는 것으로 알고 있는데요. 이렇게 되면 문자메시지도 이른바 감청이나 이런 식으로 들여다볼 수 있는 피해가 예상이 가능한 것인지요.
그리고 이것이 어떤 계기로 발견이 됐는지 궁금하거든요. 어떤 민원인의 민원이 있었던 것인지 아니면 자체적으로 점검해서 발견을 했는지 그것을 알려주십시오.
<답변> (관계자) 패스워드가 유출되지 않았다면, 암호화가 되어 있어서 해독되거나 그렇지 않아서 유출되지 않았다면 지금 현재 예상할 수 있는 피해는, 우리가 가장 우려하는 것은 보이스 피싱입니다.
그러니까 전화번호가 유출됐기 때문에 그 전화번호를 이용한 보이스 피싱이 가장 큰 우려가 되고요.
그 다음에는 이메일이 같이 유출됐고, 전화번호가 같이 유출됐기 때문에 스팸 문자나 스팸 메일이 가장 우려되는 부분 중에 하나입니다.
그리고 말씀하신 휴대전화의 문자를 네이트온 서비스에서, 메신저에서 같이 쓸 수 있는 것으로 우리도 알고 있는데, 그 부분을 확인하려면 패스워드가 있어야만 알 수 있는 부분이기 때문에 만약에 패스워드가 암호화되어 있어서 유출되지 않았다면 그런 부분에 대한 우려는 크지 않은 것으로 보입니다.
그리고 우리가 파악하기로는 26일에 그 사고가 있었다는 것을 알게 된 SK컴즈에서 인지하게 된 것은 포탈 같은 경우는 주기적으로 계속 시스템 모니터링을 실시하고 있습니다. 그 과정에서 파악하게 된 것으로 알고 있습니다. 자세한 부분은 말씀드린 대로 오늘 조사가...
<질문> ***
<답변> (관계자) 민원이 있어서 파악한 것은 아닌 것으로 알고 있습니다.
<질문> 3,500만 건이나 700만 건이 당일 사이트로 최다라고 했는데, 중요한 것이 3,500만 가입자 중에 대략적으로 절반인지, 20 몇%인지 이 정도를 알아야 역대 최대인지, 아닌지를 판단할 수 있는 거 아닙니까?
단지 사이트 가입자가 많다는 이유로 만으로 정하는 것은 아닐 것 같고, 업체로부터 그래도 대략적으로 보고 받은 사항이 있을 것 같은데 1,000만 건 정도 되는지, 100만 건 정도 수준인지...
<답변> 지금 SK컴즈의 가입자 수는 사실은, 네이트 같은 경우에는 3,300만 명이 가입되어 있고, 싸이월드에 2,600만 명이 가입이 되어 있습니다.
그래서 3,500만 명 중에서 건수로 어느 정도 되는지에 대해서는 조금 불확실하긴 합니다만, 상당히 많은 부분, 거의 대다수가 유출된 것으로 알고 있습니다.
<질문> ***
<답변> (관계자) 3,500만 명 건이라는 것은 싸이월드와 네이트는 서로 중복 가입된 경우들이 굉장히 많기 때문에, 건수 기준으로 봤을 때 3,500만 건 정도가 최대가 될 수 있을 것으로 예상한다는 의미입니다.
<질문> 중국 발 IP라고 설명했는데, 그 이유가 구체적으로 나온 것이 있나요? 현 상태에서? 예를 들어서, 과거 해킹 사례 같은 경우에는 북한 얘기도 있었고 그랬기 때문에.
<답변> 죄송한데요. 우리도 지금 사실은 신고를 받았고, 이 내용을 일단은 우리가 이 해킹으로 인해서 발생할 수 있는 추가적인 피해, 이런 부분을 최대한 그래도 예방할 수 있는 차원에서 이것을 고지해 드리고 하는 차원에서 말씀드린 것입니다.
우리들도 지금 여러 기자분께서 궁금해 하시는 분들은 파악하고 조사를 해 봐야 되는 부분이기 때문에, 그런 부분들은 기다려 주셨으면 좋겠고요.
오늘 우리가 브리핑 드리는 이유는 우리가 정확한 규모는 모르지만, 상당한 개연성도 있기 때문에 가능하면 국민들께서 빨리 이 사실을 아시고, 이 해킹으로 인해서 발생할 수 있는 추가적인 피해를 최대한 방지하자는 차원에서 말씀드린 것이기 때문에, 오늘 브리핑은 그런 차원에서 이해해 주셨으면 감사하겠습니다.
<질문> 지금 실제 개인들이 보이스 피싱 피해를 입거나 아니면 암호화된 것이 해독이 되어서 실질적인 피해를 보게 된다면 보상을 받을 수 있는 것입니까?
<답변> 사실 황기자님께서 질문하신 부분은 이 자리에서 제가 말씀드릴 수 있는 부분은 아닌 것 같고, 그것은 법리적인 점검이 필요한 부분 같습니다.
만약 얼마만한 과실이 있었고, 손해가 있었고, 그런 부분에 대한 인과관계가 입증되고 하는 법률적인 판단이 전제되어야 하는 부분이기 때문에, 그 부분은 지금 여기에서 말씀드리기는 부적절한 것 같습니다.
<질문> 지금 26일에 발생한 것을 28일에, 어쨌든 이틀이 지나서 알게 된 상황인데, 지금 그 후에 속수무책으로 이틀을 그냥 보냈다고 생각이 되거든요.
그런데 그 후에 SK컴즈가 현재 어떤 조치를 이런 사태를 막기 위해서, 포탈들이 원래 보안 등을 잘 하고 있다고 하지만, 어쨌든 이런 상황이 발생했고, 현재 그것을 알게 된 후에는 어떤 추가적인 조치가 있었는지 그것이 궁금합니다.
<답변> 아까 보도자료에서 말씀드린 바와 같이 우리가 보고 받기로는 SK컴즈에서 일단 이러한 사실이 발생했다는 것을 현재 사이트에 고지를 한 상태고요. 내부적으로 자체 시스템 모니터링을 강화하고 있고 또한, 중국 발 IP접근을 차단하는 조치를 취하고 있는 것으로 알고 있습니다.
또한, 아울러서 네이트와 싸이월드 사이트에 ‘개인정보 유출여부 확인하기’ 팝업 창을 띄워서, 개개인이 개인정보가 유출됐는지 확인할 수 있도록 하는 조치들을 취하고 있는 것으로 알고 있습니다.
<질문> 지금 본인이 확인할 수 있다고 한다면 어느 정도 유출이 됐다는 것도 알 수 있다는 얘기 아닙니까? 유출 규모요?
<답변> (관계자) 지금 숫자를 ‘정확하게 몇 명이다’라고 파악 중이고요. 제가 지금 SK컴즈로부터 보고받은 내용으로 봤을 때, 최대 맥시멈 3,500만 명까지 유출됐을 가능성이 있다는 부분으로 알고 있습니다.
그 부분은 국장님이 말씀하신대로 오늘 오후에 가 있습니다만, 조사결과에 따라서 정확하게 알 수가 있을 것 같습니다.
<질문> ***
<답변> (관계자) 유출정보는 제가 보고받은 바로는 아까 말씀드린 대로 이름, ID, 이메일, 전화번호, 이렇게 알고 있습니다.
<질문> SK컴즈에서 중국 발 ID를 차단하고 있는 조치를 취하고 있다고 하는데, 사실은 그동안 해킹사례를 보면 IP는 중국 발이지만 중국이 아닌 경우도 많았고, 이런 중국 발을 IP를 차단한다고 해서 추가공격이 없지는 않을 것이란 보장이 없는데, 혹시 이런 것을 막을 수 있는 다른 방법은 없는지요?
<답변> (관계자) 그 부분도 경찰조사나 우리 조사가 먼저 선행이 되어야 되지 않겠습니까?
지금 SK컴즈에서 파악할 수 있는 부분은 그 데이터가 흘러나갔던 IP가 중국 발 IP이었다는 것밖에 모르기 때문에, 일단 지금 취할 수 있는 수준은 그 정도인 것 같고, 어떤 방법으로 또는 원인이 어디였는지는 경찰수사나 우리 수사를 통해서 알 수밖에 없는 사안인 것 같습니다.
<질문> SK컴즈의 데이터 센터가 어디에 있고, 고객 DB가 어떻게 저장되어 있는데 그것이 털린 것인지 그것을 자세히 설명해 주시기 바랍니다.
<답변> (관계자) 파악한 다음에 말씀드리겠습니다.
<질문> 우리 취재팀이 늦게 와서 다시 한 번 확인하는 멘트 좀 받겠습니다. 국장님이 답변해 주십시오.
<답변> 예, 말씀하세요.
<질문> 지금 여기 SK커뮤니케이션즈 이외에 같은 중국 발 해킹으로 인한 추가 피해가 있는지 여부와 아니면 파악 중인지의 여부, 그리고 현재 조사단이 어떻게 구성되어서 지금 어떤 활동을 하고 있는지, 그 이후에 어떻게 조치하실 것인지 세 가지 간단히 말씀해 주십시오.
<답변> 지금 현재 조사단은 개인정보보호에 대한 분야의 전문가와 또 보안 분야의 전문가, 그리고 또 우리 방통위에 담당하는 사무관, 이렇게 해서 5명으로 구성해서 현재 SK컴즈에 조사단이 파견되어서 오늘 오후부터 조사를 시작하고 있는, 지금 현재 막 시작한 상태에 있습니다.
그것은 일단 조사가 진행되어야 되는 부분이고, 그리고 경찰에서도 이 사건에 대해서 수사를 진행할 것이기 때문에 우리 방통위에서 파견한 조사단은 SK컴즈가 개인정보보호 조치들을 법에 규정한 바에 따라서 제대로 이행했는지, 그리고 어떤 과실이 있었는지, 그런 부분을 파악하고 조사해서 만약 법에 위반한 사항이 있으면 법에 규정한 바에 따른 제재조치를 취할 것이고, 또한 그 외에도 이번에 문제가 되는 부분이 있었으면 그런 문제를 파악해서, 그리고 그 문제를 어떻게 개선할 것인지, 그런 부분에 대한 대책을 내놓을 예정으로 있습니다.
<질문> ***
<답변> 다른 포탈들에 대해서는 지금 SK컴즈의 해킹 사실이 발생했기 때문에 이 부분에 대해서 각별히 유의하고, 이용자들한테도 이러한 부분을 고지해달라는 협조를 부탁했습니다.
<질문> 과거에 있었던 대규모 개인정보 유출사건들 있잖아요. 그 건과 비교해 봤을 때 이번 건의 특이점이나 차이점, 지금까지 파악된 것이 있다면 무엇이 있습니까?
<답변> 여러 기자분들께서 질문해주셨고, 우리도 사실 답변을 제대로 못 드렸는데요. 과연 개인정보가 어느 정도로 유출되었느냐 하는 부분은 지금 섣불리 예단하기는 힘든 부분인 것 같습니다.
그런데 다만, 그것이 과거에 우리가 개인정보 유출이 되었다고 하는 경우에는, 어떤 법을 위반하면서 고의적으로 개인정보를 수집해서 그것을 어떤 영리적인 목적으로 제3자한테 판매한다거나 아니면, 중소규모의 어떤 사이트들의 흩어져 있는 개인정보들을 수집해서, 종합해서 그것을 이용한다거나 이런 경우인 데에 반해서 이번에는 상대적으로 보안수준이 높다고 우리가 생각하고 있는, 그것도 우리나라에서는 그래도 3대 포탈에 속한다는 SK컴즈 같은 경우에 해킹이 발생했다는 사실이 조금 과거의 개인정보 유출사고와는 조금 다른 점이 아닌가 생각하고 있습니다.
<질문> 이것을 이틀 동안 모르고 있었다는 것이 지금 저는 이해가 안 가서요. 시스템 모니터링 중에 발견이 되었다는데, 그것은 어떤 주기적으로 하게 되어 있는 것입니까? 그 모니터링이라는 것은?
<답변> 그 SK컴즈 내부에서 모니터링하고 있는 것이요?
<질문> 예, 그러니까 법이나 제도적으로, 어떤 주기적으로든 해야 된다는 것이 있다면.
<답변> 법, 제도적으로요?
<질문> 예.
<답변> 법, 제도적으로 우리가 일정한 주기를 정해서 주 단위나 며칠 단위로 하라고 규정하고 있는 것은 없습니다.
