유출된 개인정보에는 연예인 주민번호, 성형전문 산부인과 회원정보 등 민감한 정보들이 다수 포함된 것으로 드러났다. 현재까지 유출된 개인정보가 다른 목적으로 사용되거나 제3자에게 제공된 증거는 발견되지 않았으나 2차 피해가 우려되는 상황이다.
서울경찰청 사이버범죄수사대는 30일 김모(37)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다.
김씨는 2010년 2월부터 지난해 7월까지 서울 영등포구의 한 PC방 등에서 구글 검색을 이용해 100여개 사이트로부터 884만여건의 회원정보를 유출시킨 뒤 네이버, 다음 등 포털사이트 개인용 웹하드에 저장한 혐의를 받고 있다.
경찰에 따르면 김씨는 정보통신 분야를 전공하거나 관련 업계에 종사한 경력이 없는 등 해킹 관련 전문지식이 풍부한 사람이 아니었다. 이번 회원정보 유출시에도 전문 해킹 프로그램은 전혀 사용되지 않았다.
대신 일명 '구글해킹' 수법으로 손쉽게 개인정보를 유출시켰다. 그는 구글의 고유 검색기능을 이용해 검색엔진에 노출된 회원정보 페이지를 찾아낸 뒤 해당 인터넷 주소(URL)로부터 유추되는 회원정보 페이지의 주소를 차례로 입력, 전체 회원정보를 열람하는 매우 단순한 방법을 사용했다.
이렇게 해서 유출된 개인정보는 모두 884만여건이었다. 유출된 정보 중에는 여성 성형 전문 산부인과 홈페이지 회원정보, 진료내용이 포함된 치과 홈페이지 회원정보, 연예인 3300여명의 주민등록번호, 여성용품 제조사 홈페이지의 생리주기가 포함 회원정보 등 공개될 경우 당사자의 사생활 침해 우려가 높은 민감한 정보도 상당수였다.
그러나 사이트 관리자들 대부분은 피해 사실조차 모르고 있었다. 김씨가 개인정보를 유출할때 해킹 프로그램을 사용하지 않아 해당 서버에서는 정상적인 접근으로 판단됐기 때문이다.
특히 유출 사이트에서는 회원정보 페이지가 검색엔진에 노출되지 않도록 하는 기초적인 누출 방지조치를 하지 않았으며 회원정보 페이지에 대한 접근 탐지장치와 인증장치도 설치되지 않았다. 김씨의 단순한 침입에 무방비 상태로 노출돼 있었던 셈이다.
실제로 구글해킹은 검색엔진의 검색로봇(robot) 정보수집을 방지하는 '로봇배제표준'만 적용했더라도 방어할 수 있는 것으로 밝혀졌다.
경찰 관계자는 "개인정보는 현재 살아 있는 개인을 특정할 수 있는 정보"라며 "이를 악용할 경우 최근 수년간 심각한 피해를 낳고 있는 전화금융사기나 불법채권추심 등 2차 범죄의 도구가 돼 치명적인 결과를 초래할 수 있다"고 말했다.
이어 "관리자들의 자발적인 보안의식 개선이 구글해킹의 1차적인 해결책"이라며 "인터넷 이용자 또한 사이트 취약점으로 인해 개인정보 페이지가 일부 노출돼 있더라도 이를 적극적으로 검색해 개인정보를 유출하는 행위는 엄연히 불법이라는 점을 인식해야 한다"고 강조했다.
경찰은 개인정보 유출 내역을 관련 기관에 통보하고 피해 사이트들이 정보보호 조치를 소홀히 한 혐의를 잡고 책임자들을 조사하고 있다. 정보보호를 위한 기술적․관리적 조치 위반사항이 드러날 경우 형사입건할 방침이다. <뉴시스>
제주투데이
webmaster@ijejutoday.com