석제범 방통위 국장 SK컴즈 해킹 일문일답

석제범 방송통신위원회 네트워크정책국장은 포털사이트 네이트, 싸이월드의 개인정보 유출 사건과 관련, 28일 브리핑을 통해 “2차, 3차 피해를 막기 위해 각별히 유의해 달라”고 당부했다.

석 국장은 “해당 사이트와 동일한 아이디나 패스워드를 사용하고 있는 네티즌은 다른 인터넷 사이트의 비밀번호를 변경해야 한다”며 “아울러 보이스피싱(전화금융사기)이나 스팸메일로 인해 피해를 입지 않도록 조심해달라”고 말했다.

석 국장은 “누가 해킹을 했는지에 대해서는 아직 예단할 수 없다”며 “조사단을 꾸려 사건의 경위와 SK커뮤니케이션즈측의 과실 여부 등에 대해 파악하는 중”이라고 설명했다.

다음은 석 국장과의 일문일답.

--유출된 사용자 규모는 어느 정도인가?

▲예단하기는 어렵다. 숫자가 정확히 몇명이라고 말할 수 없다. 파악 중이다. 최대 3천500만명까지 유출됐을 가능성이 있다는 것이다.

--SK커뮤니케이션즈의 과실이 인정되면 방통위는 어떤 조치를 취할 수 있나.

▲통상적으로 포털사이트의 보안 수준은 아주 높다고 알려져 있고 그렇게 파악하고 있다. 만약 조사해서 법에서 규정된 보호조치를 취하지 않은 부분이 있다면 법에 따라 조치할 것이다. 보호조치를 제대로 이행하지 않았다면 과징금을 부과할 수 있다. 법 규정에 따르면 형사 처벌도 가능하도록 돼있다.

--사상 최대 규모의 정보유출이라고 할 수 있나.

▲단일한 사이트에서 개인정보 유출이 발생한 것으로는 가장 큰 게 아닌가 싶다.

--26일 발생한 사안이 오늘 방통위에 보고된 이유는 무엇인가

▲(SK컴즈가) 사건을 안 것이 오늘 새벽이다. 언제 해킹이 있었는지를 역추적하니 26일이었던 것이다.

--유출된 정보 가운데에는 암호화된 것도 있고 암호화되지 않은 것도 있다. 암호화된 부분이 해독될 가능성은 없나.

▲관련 법에 모든 정보를 암호화해야 한다고 규정돼 있지는 않다. 민감한 정보만 암호화하는데 패스워드와 주민번호가 여기 해당되고 이름과 ID는 암호화 대상이 아니다.

암호화했다고 해서 100% 안전하다고는 말할 수 없다. 하지만 현재 암호화 정보는 해독이 불가능한 수준인 것으로 알고 있다.

--26일 해킹 이후 28일 새벽까지 계속 정보가 노출이 된 상태였다고 봐도 되나.

▲그렇지 않다. 계속 보호조치가 열려 있었다는 뜻이 아니라 26일 정보가 빠져나갔고 그 사실을 오늘 새벽 알게 됐다는 것이다.

--네이트온의 경우 문자메시지를 보내는 기능도 있는데 해커가 네이트온을 통한 문자메시지도 들여다볼 가능성도 있나.

▲비밀번호가 있어야 가능한 일인데 암호화된 비밀번호가 해독되지 않다면 그럴 우려가 크지 않다.

가장 걱정되는 것은 보이스피싱이다. 전화번호가 유출이 됐고 이메일도 같이 유출이 됐다. 스팸문자나 스팸메일도 우려된다.

--SK컴즈는 어떤 계기로 해킹 사실을 발견했나.

▲포털은 자체적으로 시스템 모니터링을 실시하고 있는데, 그 과정에서 파악했다. 네티즌의 민원이 있어서 파악한 것은 아닌 것으로 알고 있다. 모니터링 빈도나 주기에 대해서는 법에 규정된 의무는 없다.

--이번 사건이 과거 다른 대규모 개인정보 유출사건에 비해 어떤 차별점이 있나.

▲과거에 개인정보가 유출된 경우는 중소규모의 사이트에 흩어져 있는 개인정보를 수집해 그것을 가지고 영리적인 목적으로 제3자에 판매한 경우다.

이번에는 상대적으로 보안 수준이 높다고 생각되는 한국에서, 그것도 3대 포털에 속한다는 SK컴즈에서 해킹이 발생했다는 사실에서 기존과는 다르다고 할 수 있다.

연합뉴스