[까다로운 IT] 우영우 라온 사태와 비슷한 해킹 사건 실제로도 있었다?
(본문 05:40 이후 아무 내용 없습니다 실수로 배경음악이 들어갔습니다)
안녕하세요. 이종철의 까다로운 드라마 리뷰, 오늘은 기러기 토마토 스위스 우영우 드라마에 나온 IT 이야기 한번 해보겠습니다.
지난주 종영한 ‘이상한 변호사 우영우’ 드라마에 IT 기업이 나왔죠. 국내 최대 커머스 기업이라고 했고요. 유출 개인정보가 무려 4000만개입니다. 네이버·카카오 정도 돼야 가능한 수죠. 카톡 같은 경우에는 누적 가입자 수 1억명 넘었고. 지난해 6월 기준 월간 사용자 수가 4566만명입니다. 거의 전 국민이 쓰고 있는 거죠.
네이버는 좀 애매한데, 서비스마다 사용자 수를 다르게 책정하거든요. 네이버 포털 자체만은 약 4000만명 정도 됩니다.
매출액 기준으로 볼까요? 카카오는 2021년 기준 6조1361억원, 네이버는 6조8176억원입니다. 그런데 이게 커머스에서만 나온 건 아니죠.
자, 패션 쪽에서 찾아볼까요. 지그재그, W컨셉, 에이블리, 브랜디, 무신사를 다 합해야 2021년 약 3조원의 매출이 되거든요. 그러니까 패션계에서 제일 잘나가는 업체를 다 합해야 라온과 비슷한 규모가 나옵니다. 라온이 대단하네요.
그런데 이 대단한 업체가 어처구니없는 보안 결함을 갖고 있었죠. 우선 이 드라마에서 나오는 모든 공격은 실재하는 겁니다. APT는 해킹 용법이라기보다는 지능적이고, 지속적인 공격이라는 뜻이고요. 범위가 넓은 단어라서 사실 법정에서 쓰기에 적합한 말은 아니에요. 정의가 애매합니다.
스피어 피싱, 자주 벌어지는 일입니다. 특정 인물이나 기관을 딱 정하고 그걸 연구해서 해킹하는 거죠. 올해도 3월에 대통령 인수위에 악성코드를 뿌린 사례가 있었죠.
키로거는 자체는 단순한 툴이에요. 저도 고등학교 때 써봤습니다. 그런데 감염시키는 과정은 어렵습니다. 보안 툴을 뚫고 들어가야 되기 때문이죠. 키로거가 설치되면 설치된 PC에서 입력한 정보들이 해커에게 옵니다. ID·비번, 카톡 이런 거 키보드로 치면 다 걸립니다. 그래서 인터넷 뱅킹 쓸 때 키보드 말고 마우스로 비밀번호 클릭하라고 나오잖아요. 키로거를 방지하기 위해서 하는 겁니다.
문서 파일에 악성코드 심는 거 가능합니다. 스네이크 키로거라고 올해도 문서 악성코드가 돌아다녔죠. PDF를 열면 워드로 열어라 이런 메시지가 뜨고요. 열면 해킹되는 방식이었습니다. 드라마와 비슷하죠?
실제 사례는 드라마와 더 비슷합니다. 2016년 인터파크 사건과 비슷한데요. 여동생을 가장한 메일로 침투가 시작돼서 2540만명의 개인정보가 유출됐죠. 드라마처럼 인터파크도 보안 조치와 해킹 사이에 인과관계가 없다-라고 주장했죠. 그런데 드라마와는 다르게 인과관계가 없더라도 해킹 과징금을 부과할 수 있는 상태였습니다. 법 개정은 2014년에 이뤄졌고요. 그래서 인터파크는 44억8000만원의 과징금을 받았죠. 3000억원보다는 적지만 역대 최대 과징금이었던 건 사실입니다.
드라마에서 1000만명 유출했는데 1억만 물었다 라는 사례도 등장했는데 이건 KT 2014년 사건과 비슷합니다.
인터파크 같은 경우에는 드라마보다 죄질이 더 나빴어요. 최고의 로펌인 태평양을 선임했고요. 한바다-태평양 비슷하죠? 라온은 문제가 생기자마자 방통위에 보고했습니다. 24시간 내에 신고해야 하거든요. 그런데 인터파크는 방통위에는 신고를 안 하고 사고 발생 두달 후에 경찰에 신고했습니다. 어이가 없네.
44억 8000만원을 받은 근거는 이거예요. 드라마에서는 매출 10%를 법적으로 이야기하고 있지만 당시 기준으로는 관련 매출 3%였습니다. 지금은 전체 매출의 3%로 바뀌었습니다. 인터파크 같은 경우에는 커머스만 하니까 전체 매출이나 관련 매출이나 똑같아요. 그런데 만약 네이버나 카카오가 털리면? 1800억원 이상 과징금을 내야 할 수도 있습니다.
3000억원은 실질적으로도 어려운 수치입니다. 지금 유럽의 일반 데이터 보호 규칙, GDPR이라고 있거든요. 이게 개인정보보호법 중에서 제일 셉니다. 그래서 우리나라를 비롯해서 대부분 국가의 기준이 되고 있죠. GDPR에서 제일 많이 과징금 얻어맞은 게 구글인데요. 누적 664억원이고요. GDPR을 위반할 경우에 전 세계 매출의 4% 혹은 2000만유로(약 268억원) 중에 더 비싼 걸 냅니다. 전 세계인 기준인데 600억원대니까 3000억원은 좀 드라마적 설정인 것 같아요.
자, 지금은 인터파크 같은 사례 없지 않지만 점차 사라져갈 겁니다. 좋은 보안 툴들이 많이 생겼고요. 보통 자체 서버를 온프레미스라고 하는데, 요즘은 온프레미스보다는 클라우드를 많이 쓰거든요. 아마존, 구글, MS 이런 데에 우리 회사의 서버를 가상으로 두는 거예요. 이런 가상 데스크톱 같은 경우에는 일반적인 파일을 막 못 엽니다. 클라우드 시스템이 모든 파일을 검사하거든요. 그러니까 저런 파일이라고 막 열진 못하죠.
그리고 사내망과 사외망을 분리하는 곳도 많습니다. 제 전 직장에서는 네이버, 카카오톡 이런 거 사내망에서는 못 썼고요. 업무 데이터가 담겨있지 않은 별도의 PC를 허가 받은 다음에 썼었죠. 해킹은 계속해서 나옵니다. 발란 같은 경우에도 올해 고객 DB가 털렸죠. 그런데 드라마에서처럼 단순하게는 작동하지 않는다-이렇게 보시면 되겠습니다. 어쨌든 개인정보 유출, 고객 신뢰를 한순간에 잃는 거거든요. 괜히 과징금 물지 마시고 사전에 조치 열심히 하시기 바라겠습니다.
자, 개인의 경우엔 어떨까요? 단순합니다. 불법 파일 최대한 쓰지 마시고요. 불법 사이트도 조심하셔야 됩니다. 랜섬웨어 같은 거 감염되면 복구할 방법이 거의 없거든요. 해커가 돈을 요구하는데 돈을 줘도 못 복구하는 경우도 많습니다. 그러니까 불법 사이트, 불법 파일 최대한 쓰지 마시고요. 우영우 변호사도, 정품 윈도우 사용하시기 바랍니다.
자, 다음에도 드라마에서 IT 소식이 등장하면 다시 찾아오도록 하겠습니다. 자, 그럼 그때까지 구독, 팔로우, 알림 설정.
영상. 바이라인네트워크
<이종철 기자> jude@byline.network