옥션, 정확한 피해상황 함구... 사용자들 기만하나

어떤 식의 공격으로 얼마만큼의 피해가 있었는지 조속히 밝혀야!

왜 연휴 앞둔 5일 발표했나... 경찰청·KISA “조사끝나야 발표”

1800만 명의 개인정보를 보유하고 있는 오픈마켓 옥션이 중국 크래커들의 공격에 의해 한순간 무너지는 사태가 발생했다. 이에 옥션을 지금까지 애용해왔던 이용자들은 분통을 터트리고 있다. 기업이 고객의 정보를 보호해야할 의무를 다하지 못함에 대한 분통일 것이다.

옥션의 개인정보 유출 사태가 언론에 처음 발표된 것은 지난 5일이다. 하지만 누가 공격을 했고 피해규모가 어느 정도이고 어떤 고객들의 어떤 정보가 빠져나갔는지 여전히 오리무중이다.

일부 언론에서는 중국 크래커가 대량 스팸메일을 옥션측에 발송하고 이를 열어본 옥션 직원들의 PC에 악성코드를 심어놓고 그 직원의 사내 ID와 비밀번호를 빼내 DB에 접근했다는 보도를 하고 있다. 하지만 이 또한 추측에 불과하다.

또 어떤 정보가 얼마나 빠져나갔는지도 모른채 옥션측은 사이트 공지팝업창을 통해 “현재까지 파악된 바에 의하면 회원들의 개인정보와 일부 환불정보가 유출된 것으로 추정된다”고 밝히고 있다.

하지만 “신용카드 정보와 비밀번호 정보, 실시간 계좌이체 정보는 금번 유출로부터 안전한 것으로 파악된다”며 “옥션의 비밀번호는 암호화돼 있어 안전하다. 다만 비밀번호를 주민번호와 휴대폰번호로 조합한 회원들은 비밀번호를 변경해주기 바란다”고 말하고 있다. 거기에 한번 더 “안전한 거래를 위한 필수정보는 이번 유출사건과 무관함을 알려드린다”고 덧붙이고 있다.

더욱이 사건 발표가 나고 7일이 지나는 동안 옥션측은 어떤 공식적인 피해상황이나 피해를 입은 고객들에 대한 조치는 전혀 이루어지지 않고 있다. 또한 정보통신부와 한국정보보호진흥원은 이번 옥션 고객정보 유출사건에 대해 실질적인 사실관계를 모르고 있는 듯 하다.

11일 오전, 이번 사건과 직접적인 관련이 있는 KISA 관계자는 “지금은 뭐라고 말해줄 수 없다. 중국발인지도 언급할 수 없다. 모든 조사가 끝나야 알 수 있을 것이다”라고만 말하고 있다. 이와같은 답변은 경찰청 사이버테러대응센터도 마찬가지였다.

만약 중국 크래커가 옥션의 고객 DB전체를 탈취해 나갔다면 1800만 명의 이름과 주민번호와 ID, 그리고 휴대번호, 주소 등이 유출됐다고 봐야 한다. 또 옥션측 말로는 비밀번호는 암호화 돼 있어 안전하다고 하지만 이 또한 복호화 능력을 가지고 있는 중국 해커라면 간단히 복호화할 수 있는 문제다.

모 업체 정보보호 담당자는 “옥션측은 하루빨리 피해규모를 정확하게 발표해야 한다. 그리고 자신의 정보가 유출된 사람들에 대해 사과와 함께 어떤 조치를 취해야 하는지 정확하게 말해줘야하고 어떤 피해보상을 할지도 언급해야 한다”고 강조했다.

또 다른 보안 담당자는 “만약 누가 어떤 식으로 공격을 했고 그로인해 얼마만큼의 정보가 유출됐는지 아직도 모른다면 옥션의 허술한 보안 환경이 그대로 드러난 것으로 봐야 한다. 그만큼 모니터링 기능이 죽어있었다고 보는 것이 맞다”고 말했다.

한편 옥션의 고객정보 유출사건에 대한 발표시기도 문제가 있었다는 지적이 나오고 있다. 정보유출 발표가 구정 연휴 전날인 5일이었기 때문이다. 좀더 일찍 발표가 이루어졌더라면 네티즌들의 대응도 좀더 빨랐을 것이다. 연휴 관계로 평소보다 인터넷 접속이 없어 비밀번호 변경 등이 제대로 이루어지지 않았을 것이다. 애매한 발표시기로 인해 결국 피해를 더욱 키우는 꼴이 됐다. 정보를 탈취한 중국 크래커가 연휴기간 어떠한 피해를 발생시켰는지 알 수 없는 상황이다. 또한 연휴기간은 각 기업의 보안이 느슨해지는 시기였다는 점도 불안한 요소다.

[길민권 기자]

<저작권자: 보안뉴스 무단전재-재배포금지>

☜클릭!

좋은현상으로...  ☜