잡을 수 없답니다, 중국발 해킹 범인들

중국 인터넷주소(IP)를 활용한 인터넷 해킹이나 디도스(DDoS·분산서비스거부) 공격에 수사당국이 속수무책이다.

　서울중앙지검은 최근 3500만 건의 개인정보가 유출된 SK커뮤니케이션즈 전산망 해킹 사건 범인에 대해 기소중지 처분하고 수사를 사실상 매듭지었다. 검찰 관계자는 27일 “기소중지는 해킹 용의자를 찾지 못해 내린 결정”이라고 설명했다. 검찰의 수사지휘를 받은 경찰은 이 회사 서버를 해킹한 용의자가 중국 IP를 사용해 개인정보를 훔쳐간 사실까지 확인했다. 하지만 범인을 특정하지 못하고 소재도 파악하지 못한 채 검찰에 사건을 보냈고 결국 기소중지 결정이 내려졌다.

　검찰은 지난해 11월 발생한 인터넷게임회사 넥슨의 전산망을 침입해 개인정보 1320만 건을 훔쳐간 사건에 대해서도 이달 초 기소중지 결정을 했다.

　또 올해 총선 전날 있었던 중앙선거관리위원회 홈페이지 공격 사건과 5월 일어난 EBS 개인정보 400만 건 탈취 사건도 기소중지했다. 모두 추적이 어려운 중국 IP를 경유해 저질러진 범행들이다. 한국인터넷진흥원에 따르면 지난해 분석된 인터넷 공격 중 해외 IP에서 유발된 공격이 87.7%에 달한다. 중국발 공격은 59.3%로 압도적이었다.

　검찰은 기소중지된 사건들에 대해선 중국에 사법 공조를 요청해 놓고 있다. 범인만 나타나면 즉시 수사를 다시 시작하기 위한 것이다. 하지만 수사를 진행한 검찰 관계자들은 “인터넷 공격이 진행되는 순간이나 그 직후에 범인을 특정하지 못하면 사실상 추적이 어렵다”고 말했다. 영원히 해결되지 않을 수 있다는 것이다. 이와 관련, 사정당국 관계자는 “최근 발생한 대규모 정보 유출이나 디도스 공격 중 중국 IP를 경유한 대부분이 북한의 소행으로 추정되고 있다”고 전했다. 수사당국은 2009년 발생한 7·7 디도스 공격이나 지난해의 3·4 디도스 공격을 북한의 소행으로 결론 낸 바 있다.

　검찰은 관련 회사들과 보안책임자들에 대해서도 형사적 책임을 묻지 않았다. “범인이 특정되지 않아 해당 회사나 관리책임자들이 구체적으로 어떤 잘못이나 관리 소홀을 했는지 확인할 수 없다”는 게 검찰의 설명이다. 2008년 6월 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’은 기술적·관리적 보호 조치를 하지 않아 이용자의 개인정보를 유출시킨 사업자에게 1억원 이하의 과징금과 함께 2년 이하의 징역이나 1000만원 이하 벌금을 부과할 수 있도록 했다. 하지만 이 법률에 따라 처벌된 사례는 거의 없다. 임종인 고려대정보보호대학원장은 “개인정보 보호를 위한 이론적 법만 있고 기업의 보안책임을 구체적으로 물을 방법은 없는 실정”이라고 말했다.

　민사소송에서도 정보관리자의 책임을 인정해준 사례가 드물다. 지난 4월 대구지법 김천지원 구미시법원이 내린 SK커뮤니케이션즈 해킹 사건의 손해배상 판결이 유일하다. 당시 법원은 개인정보 유출 피해자에게 회사가 100만원을 지급하라고 판결했다.