[한국미디어뉴스통신=서재탁 기자] 금일 3월 28일 방송통신위원회(위원장 이효성, 이하 ‘방통위’)가 알툴바·알패스·알집 등 소프트웨어를 개발·제공하는 ㈜이스트소프트에 대한 개인정보 유출 조사결과를 발표하고, 과징금 및 과태료 등의 처분을 하였다.
방통위는 ㈜이스트소프트로부터 개인정보 유출신고를 받고 지난 2017년 9월 2일부터 과기정통부, 한국인터넷진흥원(KISA)과 함께 현장조사를 실시하여 확보한 사고 관련자료 분석을 통해 해킹의 방법 및 절차, 개인정보 유출규모 등을 아래와 같이 파악했다.
해커는 ㈜이스트소프트의 알툴바 서비스 접속 시 이용자들이 저장한 알패스 정보(외부 사이트 주소, 아이디, 비밀번호)를 열람할 수 있음을 알고, 자체 제작한 해킹 프로그램 ‘알패스(Alpass)3.0.exe’를 이용하여 미상의 방법으로 획득한 계정정보(아이디, 비밀번호)로 알패스 서비스에 사전대입 공격을 한 것으로 밝혀졌다.
유출된 개인정보는 ‘알패스’ 서비스 이용자의 외부 사이트 주소, 아이디, 비밀번호 25,461,263건과 166,179명의 계정정보(아이디/비밀번호)로, 이용자 1인당 약 150여건의 알패스 정보가 유출되었다.
또한 해커는 유출된 이용자의 알패스 등록정보를 악용하여 이용자가 가입한 포털사이트에 부정 접속해 이용자들이 저장한 주민등록증과 신용카드, 사진을 확보한 뒤 휴대전화 개통 및 해킹에 사용할 서버 5대를 임대하였고, 가상통화 거래소에 부정 접속해 이용자가 보유 중인 가상통화를 출금한 것으로 확인되었다.
이번 조사과정에서 ㈜이스트소프트는 적절한 규모의 침입차단·탐지 시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하지 않은 점, 취약한 보안체계를 개선하지 않은 점 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)에서 정한 개인정보보호조치 규정(접근통제)를 위반하고 있는 것으로 나타나 이에 과징금 1억 1,200만원, 과태료 1,000만원, 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 행정처분을 의결했다.
이효성 방통위원장은 “이용자를 가장한 해커의 웹페이지 공격이 성행함에 따라 이에 따른 피해를 예방할 수 있도록 정보통신서비스제공자의 보안을 강화할 필요가 있고, 이용자들도 서비스 이용 시 비밀번호 관리에 각별히 유념하여야 한다”고 당부하면서, “방통위는 온라인 분야의 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다”고 밝혔다.
