[이코노미스트] SPECIAL REPORT(1) 옥션 ‘인증문자 오발송 사건’의 진실

고려대학교 사이버국방학과 학생들이 교내 워룸(War Room)에서 모의해킹 프로그램을 시연하고 있다. 이곳에선 공격과 수비조로 나뉘어 실전을 방불케 하는 모의해킹 실습을 한다. 학과 보안 규정에 따라 학생 얼굴은 공개하지 않았다.

옥션이 지난 3월 23일 회원들에게 요청하지도 않은 인증번호 문자를 대량으로 발송한 ‘아닌 밤중에 인증번호 문자’ 사고는 회사가 자체적으로 운영하던 ‘비밀번호 재설정’ 프로그램 문제 탓인 것으로 드러났다. 논란이 이어지자 옥션은 자체 비밀번호 재설정 입력 페이지를 완전히 삭제한 것으로 확인됐다.

인증번호는 온라인 회원이 자신의 ID나 비밀번호 같은 개인정보를 요구할 때 회사가 회원을 확인하기 위해 등록된 휴대전화로 보내는 무작위 숫자다. 회원이 인증번호를 입력하면 회사는 ID나 비밀번호를 알려주거나, 비밀번호를 재설정하도록 도와준다. 그래서 인증번호는 ‘개인정보 금고를 여는 열쇠’로 여겨지기도 한다. 옥션에서 개인정보 유출 사고가 발생했거나, 해킹 시도가 벌어진 것 아니냐는 우려의 목소리가 이어지는 것도 이 때문이다.

4월 1일 방송통신위원회는 본지와 통화에서 “옥션으로부터 자체적으로 운영하는 비밀번호 재설정 프로그램에서 오류가 생겨 인증번호가 대량으로 오발송되는 사고가 일어났다는 해명을 들었다고” 밝혔다. 방통위에 따르면 3월 23일 저녁 옥션 인터넷 사이트에 비밀번호 재설정 트래픽이 증가하면서 프로그램의 오류로 이어졌다. 비슷한 시간에 여러 사람이 한꺼번에 비밀번호를 재설정하기 위해 접속했고 프로그램이 이를 감당하지 못했다는 뜻이다. 옥션은 회원 수 1000만명 이상을 거느린 기업이다. 이런 기업이 운영하는 인터넷 사이트에 장애를 일으킬 만큼 비밀번호 재설정을 시도하는 접속자가 몰리는 것은 흔한 일이 아니다. 해킹 시도가 아니었느냐는 우려가 나오는 이유다.

인증번호 문자 오발송 문제는 옥션이 ‘자체적으로 운영하는 인증시스템’에서 발생했다. ID나 비밀번호를 확인하는 방법은 크게 세 가지가 있다. 아이핀 간편인증, 통신사 연계 인증, 회사 자체 시스템 인증 방식이다. 아이핀은 인터넷상의 ID 넘버로, SCI평가정보 등 일부 기관에서 발급한 식별번호를 인증수단으로 활용해 사용자를 확인할 수 있다. 통신사 연계 인증은 자신이 사용하는 휴대전화 통신사에 본인을 확인하는 방식으로 생년월일, 전화번호 등을 입력하면 인증번호를 발급한다.

회사 자체 시스템 인증은 옥션처럼 회원 정보를 보유한 회사가 회원이 ID나 비밀번호를 요청하면 등록된 전화번호로 인증번호를 보내줘 회원 본인을 확인하는 식이다. 옥션은 ‘자체 인증시스템’을 통해 회원을 확인했는데. 여기서 문제가 생긴것이다. 현재는 자체 인증시스템을 삭제해 아이핀 간편인증, 통신사 연계 인증 방식으로만 회원 확인을 진행하고 있다. 한 IT 전문가는 “프로그램에 문제가 생기면 보통은 원인을 찾거나 개선한다. 옥션이 문제가 발생하자마자 프로그램을 삭제한 것을 보면 작은 문제가 아닐 것”이라고 말했다.

오발송에 대한 옥션의 해명은 오락가락하고 있다. 옥션을 운영하는 이베이코리아는 사고 발생 초기 통화에서 “회사 사정상 정확한 내용은 설명할 수 없지만, 원인을 확인해 문제를 바로잡았다”며 “개인정보 유출 같은 피해는 없고 더 이상 같은 일은 발생하지 않을 것”이라고 밝혔다. 하지만 30일 통화에서 방통위는 “옥션에서 문제가 발생한 당일 트래픽이 갑자기 늘어난 원인은 규명하지 못했다는 설명을 들었다”며 “4월 첫째 주까지 옥션이 자체 조사를 진행해 관련 사실을 해명할 예정”이라고 했다. 대외적으로는 원인 규명을 끝냈고 문제가 없었다고 말하면서도 방통위에는 아직 조사가 필요하다고 설명한 것이다. 만약 옥션이 개인 피해자들에게 한 말이 사실이라면 사전 조사를 끝내놓고 방통위에 어떻게 보고할지 계산하기 위해 시간을 끈다는 의심을 살 수 있다. 반대로 방통위에 한 설명이 사실이라면 개인 피해자들에게 거짓말을 하고 있는 셈이다.

말 바꾸기 논란은 여기서 끝나지 않았다. 이베이코리아 개인정보 담당 관계자는 “회사에서 ‘ID 찾기 페이지 작업’을 하는 도중 문제가 생긴 것으로 알고 있다”고 했다. 취재가 진행되자 회사 사정상 자세한 상황을 설명할 수 없다던 이베이코리아 측은 해명에 나섰다. 이베이코리아 고위 관계자는 “비밀번호 재설정을 요청한 고객에게 인증번호를 전송하면서, 요청하지 않은 고객에게도 일부 인증번호가 전송돼 어디까지 해명해야 하는지 고려하다보니 난감했다. 해킹은 절대 아니다”라고 주장했다. 또 “문제가 될 수 있는 현상을 차단한 것은 맞지만, 정확한 원인을 규명하는 데는 한 달 이상 시간이 걸릴 것으로 보인다”고 말했다. 그는 ‘ID찾기 페이지 작업 과정 문제’라는 개인정보 담당자의 답변에 대해 “추측일 것” 이라며 “일반적으로 그런 경우에 문제가 발생할 수 있다는 뜻으로 보인다”고 설명했다. 그러나 개인정보 유출을 염려한 옥션의 일부 회원들은 사이트에서 탈퇴하고 있는 것으로 알려지고 있다.

2014년 1월 손경익 농협은행 카드담당 부행장, 박상훈 롯데카드 사장, 심재오 KB국민카드 사장(왼쪽부터)이 서울 코리아나 호텔에서 개인정보 유출에 대해 고개 숙여 사과하고 있다. 세 사람은 다른 경영진과 함께 사퇴 의사를 밝혔다.

해킹과 개인정보 유출 우려에 인터넷 이용자들의 불안은 커지고 있지만, 옥션은 무성의한 대응으로 일관하고 있다. 오발송에 대한 사과와 안내 문자 대신 이의를 제기하는 회원에게만 상황을 설명해주는 식이다. 그마저도 “정확한 상황은 알려줄 수 없지만, 개인정보 유출 가능성은 없으니 이해해달라”는 정도가 전부다.

이에 대해 담당부처인 방송통신위원회와 한국인터넷진흥원(KISA)은 손 놓고 있는 실정이다. 방통위 개인정보침해조사과에서는 옥션의 인증번호 문자 오발송 문제가 벌어진 지 나흘이 지나서도 관련 사실을 파악하지 않고 있다가 취재가 진행되자 사실 확인을 시작했다. 방통위 관계자는 “문자가 잘못 발송된 것은 맞지만 개인정보가 유출된 것은 아니라는 해명을 들었다”며 “옥션의 자체 조사 결과를 살펴본 뒤 조사 여부를 결정할 것”이라고 말했다.

방통위 유관기관인 인터넷진흥원은 옥션의 문제를 인지하고도 방통위에 알리는 등 조처를 하지 않았다. 인터넷진흥원 관계자는 “일부 옥션 회원으로부터 요청하지도 않은 인증번호 문자를 받았다는 신고를 접수했지만, 인증번호는 개인정보가 아니기 때문에 큰 문제로 여기지 않았다”고 했다. 그는 “개인정보 유출 사고가 일어나면 해당 기업이 24시간 안에 신고하게 돼 있는데, 신고가 들어오지 않았기 때문에 문제가 없는 것으로 알고 있다”며 “신고도 되지 않은 상황에서 인터넷진흥원이 방통위의 지시 없이 조사할 수는 없다”고 말했다.

실제 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 보면 기업이 개인정보 유출 사실을 인지하면 24시간 이내에 신고하도록 규정하고 있다. 기업이 규정을 엄격히 따른다면 개인정보 유출 사고는 즉시 신고가 돼야 한다. 또 신고하지 않았다면 문제가 없다는 인터넷진흥원의 설명도 맞다. 그러나 심각한 것은 문제가 발생했어도 24시간 내에 신고치 않은 사례가 많았다는 것이다. 인터파크는 2016년 회원들의 개인정보가 새어나간 사실을 알고도 24시간 안에 신고하지 않아 문제가 됐다. 지세븐인터내셔날과 태진인터내셔날은 각각 기술적·관리적 보호조치 미비, 홈페이지 트래픽 증가로 인한 오류 발생으로 이용자 개인정보가 노출되는 사고를 겪기도 했다. 이후 경찰청에는 즉시 신고했지만 인터넷진흥원에는 하루가 지난 뒤에 신고해 과태료를 부과받기도 했다. 김승주 고려대 교수(정보보호대학원)는 “크든 작든 기업의 시스템에 문제가 생겨 회원들이 개인정보 유출을 우려한다면 정확한 상황을 설명하는 게 당연하다”고 말했다.

개인정보 보호에 대한 인터넷 이용자들의 우려가 지속되는 가운데 올해 1월 데이터 3법이 국회를 통과했다. 데이터 3법은 정보통신망법, 신용정보법, 개인정보보호법 개정안을 의미한다. 데이터3법은 개인정보 활용에 한 번 동의하면, 금융사와 마케팅업체 등이 가명으로 처리된 개인 정보를 활용할 수 있게 하는 내용을 담고 있다. ‘가명정보’는 개인정보의 일부를 변경하거나 삭제해 개인을 특정할 수 없는 정보다. 이 정보를 상업적 목적으로 쓸 수 있도록 하는 게 데이터 3법의 주된 내용이다.

기업들은 4차산업을 육성할 토대라며 관련법 통과를 환영하고 있지만, 이용자들은 개인정보를 제대로 보호하지도 못하는 상황에서 정보 통제권마저 약화시킨다는 점을 우려하고 있다. 가명정보를 안전하게 관리하기 위한 조치가 미흡하다는 것이다. 현재도 기업들은 비식별화된 빅데이터를 결합해 손쉽게 재식별화 작업을 하고 있는 것으로 나타났다. 재식별화된 개인정보들은 기업의 이익을 위해 여려 경로로 활용된다. 박근혜 정부에서 추진한 ‘개인정보 비식별 조치 가이드라인’에 따라 공공기관이 보유하고 있던 개인정보가 기업에 제공된 건수만 3억4000만 건이 넘는 것으로 드러났다. 이렇게 넘어간 각각의 서로 다른 개인정보 데이터들은 한데 묶여 회원 정보 분석에 활용됐다.

대표적으로 한화생명보험의 회원 정보, 거래 정보, 신용정보 등 21개 항목과 SK텔레콤의 회원 정보, 거래 정보, 신용정보 21개 항목 등이 결합됐다. SK텔레콤의 회원 정보는 한화생명으로, 한화생명의 고객 정보는 SK텔레콤으로 넘어갔다. 삼성생명과 삼성카드는 2017년 2월 두 회사에 모두 가입되어 있는 약 240만명의 고객 정보를 13차례 결합했고, 보험개발원은 1억5000만 건에 달하는 개인정보를 현대자동차 고객정보와 두 차례 결합했다. 기업들은 정보를 비식별 처리했기 때문에 안전하다고 주장한다. 그러나 대기업 상당수는 이미 수천만명의 회원 정보를 보유하고 있다. 이 때문에 이들이 넘겨받은 정보를 비교해보며 가명정보를 재식별할 수 있다는 우려는 사라지지 않고 있다. 데이터3법 통과로 이런 문제가 일상적으로 나타날 수 있는 상황이다.

규정 위반시 처벌도 약하다는 평가다. 가명정보를 개인정보로 되돌릴 수 있는 추가정보를 별도로 분리해 보관하도록 했지만, 가명 데이터를 조합하면 정보의 주인을 찾아낼 수 있다는 우려의 목소리가 나온다. 이를 방지하기 위해 가명정보를 개인정보로 되돌릴 경우 5년 이하의 징역 또는 5000만원 이하의 벌금을 물게 하고 있지만 이는 가벼운 처벌이라는 지적이다. 벌금을 내더라도 정보를 이용해 얻는 이익이 훨씬 크기 때문이다. 가명정보 안전조치를 지키지 않으면 3000만원 이하의 과태료, 가명정보 처리 관련 기록을 작성하지 않으면 1000만원 이하의 과태료를 물게 했지만 이 역시 솜방망이 처벌이라는 목소리다.

채이배 민생당 의원은 “가명처리를 하는 순간 개인정보에 대한 모든 권한을 포기하게 한 것이 가장 큰 허점이다. 신용정보법 개정안은 SNS에 있는 정보도 수집할 수 있도록 해 매우 심각한 사생활 침해 우려가 있다”고 말했다. 예상되는 문제점을 해결하지 못한 상황에서 데이터 3법 시행은 하루하루 다가오고 있다. 행정안전부와 방송통신위원회, 금융위원회는 데이터3법에 대한 시행령 개정안을 마련하고 3월 31일부터 40일간 입법예고를 진행한다고 밝혔다. 데이터3법 시행령은 7월 말까지 정비절차를 마친 뒤, 오는 8월 5일부터 본격적으로 발효된다.

이병희 기자 yi.byeonghee@joongang.co.kr