[아이뉴스24 김국배 기자] '알약' 백신으로 유명한 소프트웨어(SW) 업체 이스트소프트가 16만 명의 개인정보 유출 사고로 과징금을 물게 됐다.
지난 2011년 개인사용자용 알집의 업데이트 서버가 악성코드에 감염돼 SK컴즈 해킹 통로로 악용된 데 이어 지난해 발생한 개인정보 유출사고로 보안 업체로서 체면을 구겼다.
이번 사고의 빌미를 제공한 알패스는 최근 서비스를 종료한 것으로 나타났다. 사고가 발생한 지 약 반 년만이다. 다만 서비스 종료는 개인정보 유출사고와 무관하다는 게 회사 측 설명이다.
28일 방송통신위원회는 이스트소프트에 과징금 1억1천200만 원, 과태료 1천만 원, 재발방지 대책 수립 등의 행정처분을 내렸다.
방통위, 과학기술정보통신부 등의 현장조사 결과에 따르면 해커는 이스트소프트 알툴바 서비스에 접속하면 이용자들이 저장한 알패스 정보(외부 사이트 주소, 아이디, 비밀번호)를 열람할 수 있다는 사실을 알아냈다. 이후 정보 유출 목적으로 지난해 2월 9일부터 9월 25일까지 사전대입 공격(Dictionary Attack)을 감행했다.
사전대입 공격은 공격자가 사전에 확보한 아이디·비밀번호 또는 일반적으로 사용되는 정보 파일을 갖고 일일이 대입시켜 보는 해킹 방식이다. 이 과정에서 자체 제작한 해킹 프로그램 '알패스 3.0.exe'를 사용했다.
이를 통해 알패스 서비스 이용자 비밀번호 2천546만 건과 16만6천명의 계정정보가 유출됐다. 이용자 1인당 약 150건에 달하는 수준이다.
알패스는 여러 웹사이트의 아이디, 비밀번호를 저장·관리해주는 프로그램이다. 알패스에 보관중인 정보는 수천만 건에 이른다. 다른 어떤 서비스보다도 보안 강화가 필요했지만 미흡했다는 지적이 나오는 배경이다.
지금은 이스트시큐리티라는 이름의 자회사로 분사했지만, 이스트소프트가 국내 대표 보안업체라는 점도 아쉬움을 더했다.
실제로 조사 과정에서 이스트소프트는 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 것으로 드러났다.
개인정보가 열람권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 필요한 보안대책과 개선조치도 취하지 않아 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 위반했다는 게 방통위 측 판단이다.
보안업계 관계자는 "사전대입 공격은 초보적인 공격 방식"이라며 "민감한 정보를 서비스하면서 기본적인 공격에 대응하지 못한 것은 문제"라고 지적했다.
그만큼 개인정보 유출에 따른 2차 피해도 컸다. 해커는 알패스 등록정보를 악용해 이용자가 가입한 포털사이트에 부정 접속한 뒤 이용자가 저장한 주민등록증, 신용카드 사진을 확보했다. 이를 통해 휴대전화를 개통하고, 해킹에 사용할 서버 5대를 임대했다. 심지어 암호화폐 거래소에서 출금까지 했다.
이런 가운데 이스트소프트는 알툴바 서비스와 스윙 브라우저에서 알패스 지원을 종료했다. 앞서 지난 1월 서비스 종료를 예고한 바 있다.
이스트소프트 관계자는 "알패스 서비스는 원래 계획대로 종료한 것 뿐"이라며 "개인정보 유출사고와는 무관하다"고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기