[업다운뉴스 조승연 기자] 무료 바이러스 백신 알약(Alyac)과 PC용 무료 압축 프로그램 알집(alzip)으로 유명한 소프트웨어 업체 이스트소프트의 웹 사이트 알툴즈가 해킹돼 13만여 명의 개인정보인 아이디와 비밀번호가 유출됐다.

서비스 특성상 이스트소프트 개인정보 유출에 따라 2차 피해로 이어질 가능성이 높다은 상황이어서 이를 막으려면 아이디와 비밀번호를 바꿔야 한다는 지적이다.

방송통신위원회는 지난 2일 이스트소프트로부터 이와 같은 개인 정보 유출 사실을 신고받고 조사를 진행하고 있다고 5일 밝혔다.

유출된 정보는 알집 등 무료 소프트웨어를 내려받는 알툴즈 웹 사이트의 이용자 아이디와 비밀번호 13만3800건이다. 또한 알패스 사용자가 등록한 외부 웹사이트 리스트와 아이디와 비밀번호가 유출됐는데 이것이 더 큰 문제로 지적된다. 알패스는 사용자가 자주 이용하는 웹 사이트 아이디와 비밀번호를 기억했다가 해당 사이트를 재방문하면 자동으로 로그인을 수행해주는 비밀번호 관리 프로그램이다.

이스트소프트는 지난 1일 오후 4시 45분쯤 신원 미상의 해커로부터 회원 개인정보를 볼모로 한 협박성 이메일을 받았다고 밝혔다. 해커는 비트코인이나 현금 등 구체적인 액수를 제시하지는 않았지만 유출한 개인정보 일부를 증거로 제시하며 이스트소프트 측에 협상을 요구했고 이에 회사 측은 방통위에 신고한 것이다.

이스트소프트는 홈페이지에 올린 ‘개인정보 침해사고(도용) 가능성에 대한 안내 및 사과의 말씀’을 통해 “이스트소프트사 제품을 신뢰해주고 사랑해주신 고객님께 심려 끼쳐드린 점 머리 숙여 사과드린다”며 “현재 해커 검거와 추가적인 고객 피해 발생을 미연에 방지하기 위해 관련 기관과의 긴밀한 공조 체제를 유지하고 가능한 모든 자원을 동원해 진상 규명 및 재발 방지책을 마련하고 있다”고 전했다.

현재 이스트소프트는 웹 사이트 방문자와 개인 정보 유출이 의심되는 회원들에게 즉시 아이디와 비밀번호를 바꿀 것을 권장하고 있다. 방통위도 "다른 사이트에서 알툴즈 웹 사이트와 동일한 아이디와 패스워드를 쓸 경우 해커들이 유출된 아이디로 타 사이트에 로그인해 개인 정보를 빼내는 2차 해킹 피해를 볼 수 있으니 바로 비밀번호를 바꾸는 것이 좋다"고 당부했다.

이스트소프트는 개인정보 유출에 따라 피해를 막기 위한 3가지 고객 대처방법을 공지했다. 우선 알툴즈 사이트에 안내돼 있는 ‘개인정보 침해 사실 조회’ 창을 통해, 자신의 개인정보가 침해되었는 지 확인하면 된다. 개인정보가 침해된 사용자는 알패스에 저장된 외부 사이트의 아이디, 패스워드가 노출됐을 가능성이 높기 때문에 알패스 사이트 목록을 확인하고 반드시 비밀번호를 변경해야 한다. 개인정보 침해 사실 조회 창에서 목록 다운로드가 가능하다. 침해되지 않은 사용자의 경우에도 피해 예방을 위해, 알툴즈 사이트 로그인 후 특수문자, 대소문자, 숫자 조합으로 10~20자의 비밀번호를 변경하는 게 좋다.

“이번 이스트소프트 개인정보 유출 건과 관련해 엄정한 조사를 통해 정확한 유출규모 및 유출경위 등을 파악할 예정”이라고 밝힌 방통위는 정보통신망법 위반사항 발견 시 과태료·과징금 등 행정처분을 할 계획이다.

이와 같이 소프트웨어 백신 업체에까지 해커가 침투해 개인정보를 빼내가는 사이버 범죄가 기승을 부리고 있는 가운데 국내 현금자동입출금기(ATM) 전산망에 대한 해킹으로 빼낸 수십만 건의 금융거래정보를 북한 해커로부터 넘겨받아 시중에 유통하고 부당이득을 얻은 일당이 경찰에 적발됐다.

경찰청 사이버안전국은 6일 해외 정보판매 총책인 중국동포 허모(45)씨와 복제카드를 제작·사용한 손모(33)씨, 현금 인출책 김모(24)씨 등 3명을 정보통신망법, 여신전문금융업법 위반 등의 혐의로 구속해 검찰에 송치했다고 밝혔다. 또 경찰은 다른 사건으로 이미 구속된 국내 정보판매 총책 조모(29)씨를 검찰에 송치하고 해외로 도주한 정보유통 총책 김모(38)씨 등 3명에 대해 인터폴 적색수배조치를 내렸다.

이들은 지난해 9월부터 올해 8월까지 전국 마트와 편의점에 설치된 ATM기기 63대에서 빼낸 전자금융거래정보 23만여 건을 북한 해커로부터 전달받아 시중에 유통하고 이를 이용해 복제한 카드로 1억264만여원을 부당하게 쓴 혐의를 받는다.

국내 ATM기기 전산망 해킹을 통해 유출된 정보는 카드번호와 비밀번호, 결제은행 및 계좌 잔액, 이름, 주민(법인)등록번호 등으로 국내 주요 시중은행이나 카드회사에 가입해 카드를 발급받은 상당수의 고객 정보가 북한 해커에 의해 빼돌려졌다. 경찰은 악성프로그램 프로파일링과 접속로그 IP 추적을 통해 공격주체가 북한 해커라는 사실은 물론 범행에 가담한 일당을 붙잡아 북한해커의 소행이라는 증거과 진술을 확보했다. 기존에는 북한의 사이버테러가 전산망 교란 공격이나 방위산업 기술 탈취 등에 집중했던 것과 달리 최근 들어서는 외화벌이를 위해 이같이 국민의 실생활까지 위협하고 있다.

경찰청은 앞으로 국민의 개인 및 금융정보가 유출되고 복제되는 사례가 재발되지 않도록 유관기관들을 통해 외부 원격접속 차단, 망분리 등 국내 ATM기기 전산망 시스템보안 강화조치를 권고할 계획이다.