세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
‘청부해킹’ 범죄에 징벌적 손해배상제 필요한 이유
  |  입력 : 2018-06-03 16:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국민 개인정보 대량 유출·유통하고 해외 판매하는 범죄
기업뿐만 아니라 해커도 징벌적 손해배상제 적용받아야
서비스형 범죄 증가로 청부해킹도 대중화... 엄중 처벌 필요


[보안뉴스 오다인 기자] 11년 전 가을, 다음커뮤니케이션이 해킹 당했다. 고객 상담 시스템에 들어있던 7,000여 건의 정보가 유출됐다. 그로부터 5개월 뒤, 국내 주요 통신업체들이 해킹당해 약 11만 건의 개인정보가 유출됐다. 3개월 뒤에는 모기업 고객정보 100만 건이 유출됐다. 2007년~2008년 발생한 3건의 사건, 총 112만 건에 이르는 정보유출이 단 한 사람에 의해 발생했다.

[이미지=iclickart]


3건의 해킹을 저지를 당시, 신모씨(44세·남성)는 경찰의 추적을 피해 필리핀으로 도주한 상태였다. 신씨가 이른바 ‘청부해킹’을 시작한 것은 필리핀에서부터다. 그는 필리핀에서 도박사이트 운영자의 청부를 받아 경쟁사를 해킹하며 돈을 벌었다. 건당 100만~200만 원을 받았다. 그러던 2011년 누군가 그에게 “현대캐피탈을 해킹하면 큰돈을 주겠다”고 말했다. 현대캐피탈 해킹으로 국민 총 175만 명의 개인정보가 유출됐다.

이 범죄로 신씨가 받은 형량은 1년 6개월이다. 일단 유출된 개인정보는 도로 담을 수 없다는 점, 신씨가 반복적으로 해킹을 저질렀다는 점 등을 고려한다면 매우 낮은 수준이다. 출소 후 신씨의 행적은 알려진 바 없으나 수사관들 사이에선 “(신씨가) 어딘가에서 또 해킹을 하고 있을 것”이라는 추측이 나온다.

청부해킹은 계속 일어나고 있다. 지난해 숙박 애플리케이션 ‘여기어때’의 개인정보 유출 역시 중국인 해커를 고용한 청부해킹이 원인이 됐다. ‘여기어때’는 고객 숙박예약정보 324만 건과 개인정보 99만 건을 유출당했다. 범죄자 일당은 2심에서 징역 10개월~1년을 받았다. 반면, 여기어때의 운영사인 위드이노베이션은 개인정보 관리·소홀 책임으로 피해자 1인당 최대 300만 원의 배상하라는 집단손해배상 소송에 직면하고 대표이사에 대한 형사 고소까지 접수됐다.

이렇게 유출된 개인정보는 헐값에 거래된다. 한국인 주민번호·아이디·비밀번호가 ‘건당 1원’에 거래됐다는 사실이 2010년 드러났다. 해당 사건은 심지어 국내에서 외국으로 팔린 한국인 개인정보가 외국에서 국내로 되판매되는 경우였다.

청부해킹을 사주한 자나 해커 당사자에 대한 처벌은 최대 3년을 초과하지 않는다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)은 위법하게 정보통신망에 침입한 자에 대해 “3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다”고 규정하고 있다.

그러나 청부해킹으로 기업이 입는 손해는 범죄자 해커가 받는 형량과 비교할 때 매우 심각하다. 고객정보를 제대로 보호·관리하지 않는다는 기업 이미지 타격에서부터 집단소송에 휘말리기 일쑤다. 정보통신망법을 애당초 위반한 자가 기업 고객정보에 불법적으로 접근한 뒤 불법적으로 유출·유통했다는 사실은 기업이 손가락질 받는 사이 쉽게 묻힌다.

금전적인 손해배상 책임을 해커가 지지 않고 기업이 온전히 부담한다는 부분도 기업을 겨냥한 청부해킹 또는 해킹이 반복되는 이유라는 지적도 나온다. 경찰청 사이버안전국에서 근무한 경력이 있는 백명훈 스트리미 이사는 “현재 징벌적 손해배상은 기업에만 적용하지 해커에게는 적용하지 않고 있다”고 짚었다.

실제로, 여기어때가 청부해킹 당해 곤욕을 치른 위드이노베이션은 개인정보 관리·소홀로 인한 징벌적 손해배상의 최초 적용 사례가 될 것인지 관심 받았다. 징벌적 손해배상 제도란 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 분실·도난·유출·위조·변조 또는 훼손돼 정보주체에게 손해가 발생한 때에 법원이 손해액의 3배를 넘지 않는 범위에서 손해배상액을 정하도록 한 제도를 말한다(개인정보 보호법 제39조 제3항).

백명훈 이사는 “기업은 평시에도 보안을 위한 인력과 자금을 투입하는데 청부를 받은 해커의 공격이 발생하면 부가적인 투입이 필요한 상황에 놓인다”고 설명했다. 그는 특히 해커가 민간 기업뿐 아니라 사회기반시설을 공격할 경우 엄벌에 처해질 수 있다는 위기감이 현재로선 매우 낮다고 지적했다. “해외의 경우 우리나라보다 형량이 훨씬 높다”면서 “해킹이 초래하는 피해와 사회적 파급력을 고려할 때 현재 우리나라의 해킹 범죄 형량은 매우 불합리한 수준”이라고 강조했다.

청부해킹은 점차 대중화되고 있다는 점에서 더욱 심각하다. 2016년 임모(당시 16세)군 등 10대 고교생 4명이 인터넷 도박 사이트들을 청부해킹한 사건이 드러나 파장이 일었다. 이들은 ‘테러·해킹 전문 4인조 해커팀’이라는 사이트를 개설한 뒤 “먹튀 사이트에서 떼인 돈을 받아준다”며 의뢰인을 모집했다. 의뢰가 들어오면 사이트에 디도스(DDoS) 공격을 가했는데, 총 52개 사이트를 공격하고 1,600여만 원을 받은 것으로 알려졌다.

이처럼 사이버 범죄가 개인별 맞춤화 또는 서비스화 되는 추세를 가리켜 ‘서비스형 범죄(CaaS: Crime-as-a-Service)’라 부르기도 한다. 특별한 지식이나 기술이 없어도 다크웹(Dark Web) 등의 지하 포럼에서 구매·이용할 수 있는 공격 툴이 최근 몇 년 사이 대폭 증가해 왔다. 대표적인 예로 ‘서비스형 랜섬웨어(RaaS: Ransomware-as-a-Service)’가 있다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)