방통위 "개인정보 보호 규정 위반으로 추가 피해 발생"
(서울=연합뉴스) 고현실 기자 = 지난해 16만명이 넘는 고객 개인정보 유출로 물의를 빚은 소프트웨어업체 이스트소프트[047560]에 과징금 1억1천200만원과 과태료 1천만원이 부과됐다.
방송통신위원회는 28일 전체회의를 열고 이런 내용을 포함한 행정처분을 심의·의결했다. 방통위는 위반행위 중지와 재발방지대책 수립을 요구하는 시정명령도 내렸다.
방통위는 개인정보 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직·간접적으로 악용됐고, 피해규모가 큰 데다 유출된 개인정보를 활용한 대포폰 개설, 서버 임대 등 추가 피해가 확인된 점 등을 종합적으로 고려해 이같이 결정했다고 설명했다.
방통위는 "국내 대표 보안업체 이스트소프트가 제공하는 알패스는 보관 중인 정보가 수천만 건에 이르며, 이러한 정보를 해커가 취득하는 경우 심각한 2차 피해가 발생할 수 있어 다른 어떤 서비스보다 보안을 강화할 필요가 있었지만, 개인정보 보호조치 규정을 준수하지 않았다"고 지적했다.
방통위에 따르면 지난해 2월 9일부터 9월 25일까지 이스트소프트의 아이디·비밀번호 통합관리 서비스 '알패스' 이용자 16만6천179명의 외부 사이트 주소, 아이디, 비밀번호 총 2천546만1천263건이 해커에게 유출됐다. 이용자 한 명당 150여건의 정보가 유출된 셈이다.
해커는 이스트소프트의 알툴바 서비스에 접속하면 이용자가 저장한 알패스 정보를 열람할 수 있다는 점을 알고, 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 자체 제작한 해킹프로그램(Alpass 3.0.exe)을 이용해 사전대입 공격을 한 것으로 확인됐다.
사전대입 공격은 자동 프로그램을 통해 사전에 확보한 아이디와 비밀번호를 하나씩 대입해 보는 해킹 방식이다.
해커는 빼돌린 알패스 등록정보로 이용자가 가입한 포털 사이트에 접속, 이용자가 저장한 주민등록증·신용카드·사진을 확보한 뒤 가상화폐 거래소에서 가상화폐를 출금한 것으로 나타났다. 해커는 작년 12월 경찰에 검거됐다.
조사 과정에서 이스트소프트는 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않았고, 필요한 보안대책과 개선조치를 취하지 않는 등 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 위반한 것으로 드러났다.
이효성 방통위원장은 "이용자를 가장한 해커의 웹페이지 공격이 성행함에 따라 정보통신서비스 제공자의 보안을 강화할 필요가 있고, 이용자도 비밀번호 관리에 각별히 유념해야 한다"며 "방통위는 관련 사업자에 대한 점검을 강화해 나가겠다"고 말했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스