[소비자고발] 사상 최악 해킹 피해 SK컴즈, 보다 적극적인 보상 필요

"해지는 한다. 하지만 그 전에 싸이월드 자료들을 백업해야 하는데 보통 일이 아니다", "도대체 해지하는 방법은 왜 이리 복잡한가", "처음부터 예상가능했던 해킹이었다."

인터넷 강국이라는 한국에서 얼마전 사상 최악의 해킹사고가 터졌다. 싸이월드와 네이트를 운영하는 SK커뮤니케이션즈(이하 SK컴즈)가 해킹을 당해 무려 3500만명(추정)의 고객 정보가 모두 유출된 것이다. 지난 7월28일 SK컴즈는 '26일 중국발 IP의 악성코드로 인해 고객정보가 유출된 것을 28일 최종 확인했다'고 공지를 한 후 '주민등록번호와 비밀번호는 암호화돼 있기 때문에 안전하다'며 회원들을 안심시키려고 노력했다. 하지만 회원들의 분노는 하늘을 찌를 듯 하다. 소셜네트워크서비스인 싸이월드 미니홈피와 메신저 서비스 네이트온을 통해 개인적인 이야기가 많이 오가는 만큼 고객정보 보안 수준이 가장 높아야 하는데도 불구하고 어이없이 해킹을 당했기 때문이다. 회원들 사이에서는 즉시 관련 서비스 탈퇴 분위기가 형성됐으며 그 중 일부는 앞으로 발생할지도 모를 2차 피해에 대한 확실한 보상규정을 마련하라고 목소리를 높이고 있다. 하지만 고객들이 제대로 보상을 받을 수 있을지에 대해서는 회의적인 시각이 많다.

▶이미 예상가능했던 사고. SK컴즈의 준비가 부족했다?

SK컴즈는 사고 발생 후 '암호화된 주민등록번호와 비밀번호는 절대 풀리지 않을 것'이라며 자신감을 보였다. 하지만 '세상에 풀리지 않는 암호란 없다'는 것이 전문가들의 증언이다. 특히 김승주 고려대학교 정보보호대학원 교수는 본지와의 통화에서 "암호화 수준이 처음부터 너무 낮았다"며 예견된 사고라는 것을 강조했다. 김 교수는 "SK컴즈는 주민등록번호 암호화에 'AES-128'이란 암호화 기술을 사용했고 비밀번호에는 'MD5'라는 기술을 사용했다"고 설명한 후 "AES-128의 경우 최고가 아닌 '표준레벨' 정도의 기술이다. 게다가 MD5는 91년 개발됐고 96년에 첫번째 취약성이 발견됐으며 2008년에는 미국에서 공식적으로 '사용하지 말라'는 권고가 나온 기술이다. SK컴즈의 주장대로 최고수준의 암호화를 거쳤다면 'AES-256'과 'SHA-2' 정도의 기술을 사용했어야 한다"며 목소리를 높였다. "특히 AES-128의 경우 전문가들이 그 보안성에 대해 2040년까지만 보장했다. 지금은 벽을 무너뜨리는데 그나마 시간이라도 좀 걸리지만 그 이후에는 실시간으로 암호가 풀릴 것이라고 예상한 것이다. 하지만 이는 어디까지나 예상일뿐, 나날이 발전하는 기술을 보면 실시간 해독은 더 앞당겨질 것"이라는 설명도 덧붙였다.

자신감을 보였던 SK컴즈 측도 '100% 안전'이라는 표현에는 인색했다. SK컴즈의 한 관계자는 "우리로선 기술적으로 자신감이 있다. 하지만 해킹 기술이 계속 발전한다는 것은 어쩔 수 없는 사실"이라며면서 "게다가 사실 우리가 '안전하다'고 아무리 강조해도 이미 사고가 일어난 이상 쉽게 믿는 분위기가 아니다. 일단 고객들은 비밀번호를 변경하는 것이 좋다"고 권고했다. 이미 한물간 암호기술이라는 주장에 대해서는 "현재 사이버수사대, 방송통신위원회와 함께 수사 중인만큼 관련 사실을 밝힐 수가 없다. 특히 기술적인 부분에 대해서 밝힐 경우 유출된 자료의 악의적 사용에 힌트를 줄 수도 있기 때문에 더이상 언급하기는 곤란하다"고만 말했다.

▶해킹에 분노한 회원들, 탈퇴과정마저 복잡해 짜증 폭발

분노한 회원들은 SK컴즈가 권고한 '비밀번호 변경'이 아닌 '회원 탈퇴'를 하겠다고 목소리를 높였다. 실제로 기자 주변에도 싸이월드와 네이트온을 탈퇴한 사람들이 많다. 하지만 발빠르게 움직일 수 있었던 사람들은 컴퓨터 사용에 능숙한 이들이었다. 일반인들은 복잡한 탈퇴 과정 때문에 분노에 이은 짜증까지 느끼고 있는 상황이다. 현재 각종 커뮤니티 게시판을 보면 "싸이월드, 네이트온 탈퇴는 어떻게 하느냐"라는 질문이 하루에도 몇건씩 올라오고 있다. 싸이월드와 네이트온에서 탈퇴하기 위해서는 포털사이트 네이트 메인화면에서 회원정보수정에 들어간 뒤 싸이월드와 네이트온을 각각 선택한 후 해지신청을 해야 한다. 한꺼번에 선택이 되지 않기 때문에 같은 일을 두번 해야 하는 것. 양쪽 서비스를 함께 사용하지 않는 회원을 위해 따로 구분을 해놓은 것이지만 '일단 사고가 터진만큼 비록 탈퇴라 하더라도 좀 더 간편한 양식을 제공했어야 한다'는 의견이 많다.

특히 싸이월드 회원은 고충이 더 크다. 커뮤니티 운영자일 경우는 운영권을 다른 사람에게 넘겨야만 탈퇴할 수 있으며 그동안 미니홈피에 잔뜩 올려놓은 자료들을 다시 백업하는데도 엄청난 시간을 써야한다. 한 미니홈피 이용자는 "해킹사고 이후 해지 등을 원하는 사용자들의 접속이 늘어서인지 미니홈피 속도도 느려졌다. 자료 백업에 시간이 너무 걸린다"며 불만을 터뜨렸다.

▶국내법상 해킹관련 금전적 피해보상 크게 기대하기 어려워

이름, 전화번호, 주민등록번호 등 실질적으로 한사람에 대한 모든 정보가 유출된 만큼 2차 피해가 우려되고 있다. 전화, 메일 등을 이용한 광고성 피싱은 약한 피해에 속한다. 행여라도 비밀번호가 완전히 해독되고 회원들이 같은 비밀번호를 다른 웹사이트에서도 사용했을 경우 금전적 피해마저 충분히 가능하다. 명의도용 역시 예상할 수 있다. 이런 상황에서 'SK컴즈의 금전적 보상이 필요하다'는 의견이 나오는 것은 당연하다. 하지만 국내법상 SK컴즈의 대규모 보상을 끌어내기는 힘들 것이라는 예상이 많다.

SK컴즈의 보안 취약점을 설명했던 김 교수는 "법제도가 기술발전을 못 따라가고 있다. 외국의 경우 보안 문제에 대해서는 기업들에 완전히 맡긴다. 대신 사고가 터졌을 경우 벌금을 엄청나게 부과하는 '100% 책임제'다. 하지만 국내는 '이런이런 보안 메커니즘을 세워라'라고 기준이 규정돼 있다. 나쁘다고 볼 수는 없지만 만약 해킹 등이 발생했을 때 기업 입장에서는 '우리는 하라는 것 다 했다'라고 할 수 있는 것이다. 해킹기술이 가파르게 발전하고 있는 만큼 외국처럼 바꿔야 한다"고 설명했다. 실제로 2008년 발생했던 옥션 해킹 사건 때도 1년 여의 재판 끝에 지난 1월 회원들은 승소에 실패했다. 이유는 해킹 당시 옥션이 취한 조치에서 불법행위에 해당하는 과실이 있다고 보기 힘들다는 점이었다.

만약 2차피해가 발생했는데도 불구하고 법적인 보상을 받지 못 한다면 기존 회원들은 단지 네이트 회원이었다는 이유 하나만으로 엄청난 금전적, 정신적 피해를 입게 된다. 하지만 SK컴즈는 "수사가 끝나는 대로 결과에 따라 피해 보상에 대해 다시 논의할 것이며 앞으로 이런 사고가 다시는 일어나지 않도록 만전을 기하겠다"고만 반복해서 말했다. 이제와서 '사장 직속 보안전담 기구 강화', '2차 피해 예방센터 구축' 등을 아무리 내세워도 고객들의 분노와 불안감을 상쇄시킬 수는 없을 것으로 보인다. 노경열 기자 jkdroh@sportschosun.com

▲ 변정수 '망사 패션' 데뷔후 최고 수위 노출

▲ 하주희, 비키니 수중촬영…섹시자태 '감출수 없어'

▲ 2011 미스코리아 진 이성혜 '수영복 입은 모습'

▲ 모델 이서현, '핫팬츠 시구로 야구팬 시선집중!'

▲ '마초' 소지섭, 여자 란제리 모델 발탁, 왜?

▲ 씨스타 '마이크로 미니 원피스' 섹시 화보

▲ 국내 최고의 인체공학적 샌들, 예술이네!

▲ 정재형의 리얼 파리 24시, 차승원 '상하이 마초' 깜짝 빙의

▲ 아마추어 골퍼를 프로골퍼처럼 DV-3

[ ☞ 웹신문 보러가기] [ ☞ 스포츠조선 구독]

- Copyrights ⓒ 스포츠조선, 무단 전재 및 재배포 금지 -