한국교육방송공사(EBS) 홈페이지 해킹으로 400만명 개인정보 유출돼 수사가 진행되고 있는 가운데 개인정보보호 관리 실태로 사건의 초점이 맞춰지고 있다. 해킹에 대한 책임보다는 개인정보보호법 시행으로 더욱 강력해진 개인정보에 대한 관리 책임을 제대로 묻겠다는 것이다.
수사를 진행 중인 경찰청 한 관계자는 “해킹 수법 자체 보다는 침해상황이나 EBS의 개인정보보호 관리 실태를 중심으로 수사가 진행될 것”이라고 말했다.
보안 전문가들은 이러한 배경에 대해 실제로 완전한 보안은 없기 때문에 해킹 기술에 대한 문제보다는 얼마나 개인정보보호가 잘 이뤄지고 있었는지, 또 보안 관리를 제대로 해왔는지를 짚고 넘어가는 것이 더욱 필요하다는 설명이다.
실제로 개인정보 유출 해킹사고가 발생하면 해킹경로나 수법에 대한 이야기만 부각되는 경우가 많다. 그러나 2차 피해 방지를 위한 개인정보에 대한 관리 부분을 검토한 후에 기술적인 문제를 풀어나가는 것이 바람직하다. 일단 개인정보가 유출되면 피싱, 스팸 등과 같은 2차 피해를 우려하지 않을 수 없기 때문이다.
현재 수사가 진행 중인 상황이지만 보안업계 관계자들은 EBS의 평소 보안관리 실태에 대해서는 부정적인 평가를 내리는 경우가 대다수다. 특히 EBS가 공식적으로 밝히고 있는 사실들에 대해서도 의문을 제기하는 목소리도 높다.
지금까지 정황상 보안업계에서 예측하고 있는 EBS 공격 시나리오는 웹해킹과 데이터베이스(DB)서버접근 권한 탈취를 통한 개인정보 유출이다. 실제 EBS가 밝힌 대로 중국발IP를 통해 외부에서 홈페이지 해킹만으로 개인정보가 저장된 DB서버까지 접근했다는 것은 보안은 물론 개인정보보호에 대한 관리도 제대로 이뤄지지 않았을 가능성이 존재하기 때문이다.
관련기사
- 구멍 난 EBS 보안, 무엇이 문제인가?2012.05.22
- 해킹사고 EBS 곽덕훈 사장 대국민 사과2012.05.22
- 경찰, EBS 해킹 사건 수사 착수2012.05.22
- EBS 홈피 해킹 400만명 개인정보 유출2012.05.22
이에 대해 EBS의 한 관계자는 “유출된 개인정보 DB에도 최소한 보안을 위한 기본 장치가 설정돼 있었으나 취약한 부분이 있었던 것으로 파악된다”고 설명했다. 이는 개인정보 관리에 대한 허점이 어느 정도 있었음을 인정한 것과 다름없다.
보안업계 한 관계자는 “실제로 EBS는 완전히 기본적인 보안 외에는 관리가 거의 이뤄지지 않고 있는 것으로 알고 있다”면서 “아무리 보안 체계를 잘 구축해두더라도 이를 제대로 관리하고 통제할 수 있는 전문가가 없다면 무용지물과 다름없다”고 말했다.
