재단 “이메일·비번 암호화 돼 피해 가능성 낮아”

전문가 “공공기관 개인정보 보호 관리 강화해야” 지적

pixabay

용인문화재단에 가입한 2만3000여명 회원의 개인정보가 2년 전 유출됐던 것으로 드러났다. 문화재단 측은 최근까지 이 사실조차 파악하지 못하고 있다가 한 전문기관의 신고를 받고서야 진상파악에 나섰다. 

문화재단은 21일 공지문을 통해 “10일 러시아 한 사이트에 재단 홈페이지 회원 개인정보로 추측되는 암호화 파일 게시를 인지했다”며 “조사 결과 2017년 9월경 해킹으로 인해 정보 일부가 유출됐음을 확인했다”고 밝혔다. 유출된 개인정보는 모두 2만3142명으로 이는 2017년 9월 1일까지 등록된 문화재단 회원 명단과 일치하는 것으로 나타났다. 
재단 측은 유출된 개인정보가 이메일 주소와 홈페이지 로그인 비밀번호이며 두 항목 모두 암호화된 상태로 저장돼 유출로 인한 피해 발생 가능성은 낮다고 밝혔다. 

재단은 현재 한국인터넷진흥원 사건 신고 접수와 함께 용인서부경찰서에 수사를 의뢰하는 등 조치를 취한 상태다. 사건에 대한 정확한 진상 파악은 해당 기관의 조사가 이뤄진 후에야 알 수 있을 것으로 보인다. 일반적으로 비슷한 사례를 비교할 때 이번 사고는 △관리자 계정이 해킹됐을 가능성 △재단 홈페이지 대표 계정 등을 통한 악성 코드 침투 가능성을 배제할 수 없다.
재단 측은 현재까지 “해외사이트에서 스팸메일을 받았다”는 내용의 신고만 들어왔을뿐 심각한 사례는 파악되지 않았다고 밝혔다. 

그러나 전문가들은 공공기관의 회원 정보가 일반 해커들에 의해 쉽게 풀렸고 그 사실을 2년이 넘는 시간동안 인지하지 못했다는 점에 주목해야 한다고 지적하고 있다. 이번 사건으로 심각한 피해는 발생하지 않았지만 재단 사이트의 특성상 카드 정보 등 민감한 개인정보가 없어서일 뿐 다수 회원을 두고 운영하는 공공기관 개인정보 유출은 이를 이용한 2차 3차 유출이 가능한 심각한 사안이라고 입을 모았다. 

문화재단 계정 유출 사실을 최초로 재단 측에 신고한 한국정보기술연구원 BOB 한 연구팀은 신고 메일에서 “회원 계정이 올라온 사이트는 해킹포럼으로 이러한 이메일을 포함한 여러 개인정보들이 자주 업로드 된다”며 “해킹포럼 특성 상, 해당 포럼뿐만 아니라 비슷한 성격의 다른 포럼에도 이 파일이 업로드 됐을 가능성이 있다”고 말했다. 또 이들은 “(비밀번호가) 해시형태로 존재해 크랙(비밀번호 복원)의 위험성을 배제할 수 없다”고 경고했다. 재단과 달리 암호화된 비밀번호를 누군가 복원했을 가능성이 있다고 본 것이다. 최근 전문가들 사이에서는 해시함수를 이용한 암호화 방식은 오랫동안 변경하지 않거나 간단한 암호일 경우 안전성이 떨어질 수 있다고 알려져 있다. 

아주대학교 사이버보안전공학과 곽진 교수 역시 “지금까지 공개된 상황만 놓고 보면 2년 동안 2만여 명의 개인정보가 유출된 상태를 파악 못할만큼 재단의 관련 시스템이 취약했다고 볼 수 있다”면서 “이를 이용해 불특정인이 동일한 방식으로 여러 차례 재단 홈페이지에 침투할 수 있었을 것”이라며 용인문화재단의 개인정보 보호 관리에 문제가 있었음을 시사했다.  

곽진 교수는 이어 재단을 비롯한 공공기관의 개인정보보호 방식을 강화할 필요가 있다고 덧붙였다. 곽 교수는 “개인정보 보호를 총괄하고 책임질 수 있는 전문 인력 확보가 우선돼야 한다”며 “중요한 개인정보를 위탁업체에만 의존하는 방식은 최근 다수 공공기관에서 지양하고 있다. 관련 예산을 반영하고 인력을 확보하는 등 개인정보 보호시스템 개선 노력이 지속적으로 이뤄져야 한다”고 강조했다. 

[출처 : 용인시민신문​]