KISA, 세계 최대 가상화폐 거래소 '빗썸' 해킹 북한 소행 여부에 "판단 쉽지 않다"...최근 5년간 160여개에 달하는 기업에서 개인정보 5300만개가 유출...보안강화 필요

(창업일보)노대웅 기자 = 최근 5년간 160여개에 달하는 기업에서 개인정보 5300만개가 유출된 것으로 밝혀졌다. 유출경로는 해킹이 제일 많았다.

17일 열린 국회 과학기술정보방송통신위원회(과방위) 국정감사에서 '사이버 보안' 쟁점을 다루는 과정에서 이같은 사실이 밝혀졌다.   

이날 과방위 소속 여야 의원들은  과학기술정보통신부 소관 5개 진흥원을 대상으로 한 국정감사에서 기업들의 개인정보 유출사고를 비롯해 사물인터넷(IoT) 보안, 해킹 등 보안 관련 현안에 대해 잇달아 지적했다. 

박홍근 더불어민주당 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했음에도 불구하고, 인증을 받은 기업들에서 개인정보유출 사고가 발생하는 사례가 반복되고 있다"며 "개인정보 유출 등 보안사고가 발생한 기업에 대해서는 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 주문했다. 

현재까지 보안인증을 받은 기업들 중 개인정보 유출사고로 인증이 취소된 사례는 없다. 

박 의원이 한국인터넷진흥원(KISA)로부터 제출받은 지난해부터 올해 8월까지 '개인정보유출 신고 접수현황'에 따르면, 7개 기업은 정보보호관리체계(ISMS) 인증을 받고도 개인정보 유출사고를 낸 것으로 확인됐다. 

개인정보가 유출된 ISMS인증 기업은 SK텔레콤, 한국방송공사(KBS), 한국피자헛, 이스타항공 주식회사, 삼성전자서비스 등이다. 

유출 경로는 '해킹'이 26건으로 가장 많았다. 이어 '홈페이지 리뉴얼에 따른 사고' 8건, '내부 직원에 의한 유출' 5건이 뒤따랐다. 나머지 29건은 사고발생 자체를 인지하지 못했으며, 유출 경로 파악도 사실상 불가능한 것으로 전해졌다.

특히 SK텔레콤과 LG유플러스의 경우, 내부직원이 흥신소에 개인정보를 불법으로 유출한 것으로 드러났다. 이에 따라 국민 대다수의 개인정보를 보유한 통신 대기업의 개인정보 관리가 매우 허술하다는 지적을 받았다. 

KISA는 ISMS인증 이외에도 개인정보보호관리체계(PIMS) 인증제도도 운영 중이다. 인터넷 쇼핑몰 '인터파크'의 경우 ISMS와 PIMS 인증 두 가지 모두 받았음에도 개인정보 유출사고가 발생해 인증제도 자체가 유명무실하다고 지적됐다.  

김성태 자유한국당 의원도 "최근 5년간 160여개에 달하는 기업에서 개인정보 5300만개가 유출됐다"면서 "더 심각한 것은 유출사고 116건 중 23건은 유출정보도 파악되지 않는다"고 지적했다.  

이어 "개인정보인증체계가 기업에 재정적 부담을 주고 혈세낭비로 이어진다"며 "개인정보 보호의 가치를 (ISMS와 PIMS로) 나누는 것은 이해되지 않는다. 법률로 강제해 통합해야 한다"고 주장했다. 

이에 대해 박정호 KISA 부원장은 "유출사고가 반복되면 인증을 취소하는 것도 규정에 있다"며 "(재인증) 강화 방안에 대해 관계부처와 논의하겠다"고 답했다.

박 KISA 부원장은 "ISMS와 PIMS는 공통사항이 있지만 다른 부분도 있다"며 "통합은 긴밀하게 검토하고 있다"고 말했다. 

신용현 국민의당 의원은 최근 IP카메라 해킹사고로 피해자들의 사생활이 온라인에 유포된 사건을 거론하며 IoT 기기에 대한 보안 문제를 꼬집었다. 

신 의원은 "IoT 취약점 신고 건수는 2015년 130건에서 2016년 362건으로 2.7배 이상 증가했으며, 올해도 2분기 기준으로 이미 200여건이 신고됐다"며 "IoT 제품이 크게 증가하고 있으나, 보안은 이를 따라가지 못하고 있다"고 지적했다.  

이어 "최근 IoT 이용자는 2016년 약 620만명에서 올해 6월 기준 약 750만명으로 크게 증가하고 있다"며 "IoT 보안 문제를 해결하지 못하면 산업발전에 문제가 될 수 있다. 지금 사생활 문제지만 향후엔 공공안전에도 영향을 미칠 수 있어 이러한 부분에 대한 계획을 같이 해달라"고 KISA에 주문했다.   

이에 박 KISA 부원장은 "IoT 보안문제는 제조사뿐 아니라, 사용자의 인식도 중요하다"며 "(제조사는) 보안내재 기법을 통해서 IoT를 개발해야 하고, 사용자는 초기에 설정된 패스워드를 변경해야 한다. 이 부분을 조화롭게 융화해 (해결)해야겠다"고 말했다.  

한편, 검찰은 최근 세계 최대 가상화폐 거래소 '빗썸'에 대한 해킹을 북한 소행이라고 잠정 결론 내렸지만, 이를 조사한 KISA는 단정 짓기 어렵다는 입장을 내놨다.  

박 KISA 부원장은 박홍근 의원이 "(검찰이) 어떤 점에서 그런 (북한의 해킹) 가능성을 제기한 것이냐"는 질의에 "판단하기 쉽지 않다고 답했다.  

빗썸은 올해 6월 수시채용 방식으로 직원을 선발했는데, 이를 악용한 해커가 입사지원서에 악성코드를 심은 사건이 드러났다. 그 결과 e메일을 열어본 직원의 PC에 담겨 있던 고객 3만1000명의 개인정보와 500억원 상당의 가상화폐 계좌가 해커의 손에 넘어갔고, 해커는 이를 풀어주는 대가로 수 억원을 요구했다.  

현재 검찰이 KISA와 방송통신위원회에 공조를 요청해 해킹범죄에 대한 정보를 수집 중이다. 

저작권자 © 창업일보 무단전재 및 재배포 금지