[업다운뉴스 조승연 기자] 하나투어 해킹도 북한 소행일까?

국내 최대 여행사 하나투어 서버가 해킹을 당해 고객들의 개인정보 100만 건이 유출돼 경찰이 수사에 착수한 가운데 그 해킹 주체가 북한에 대한 의구심이 증폭되고 있다. 채널A는 17일 “정보 당국도 하나투어 해킹 사실을 파악하고 관련 내용을 조사 중인데 배후에 북한이 있을 가능성이 높다고 보고 있다”고 보도했다.

박정호 한국인터넷진흥원(KISA) 부원장은 이날 국정감사에서 하나투어 해킹과 관련해 북한 소행이 맞느냐는 질문에 “KISA가 발표한 부분이 아니라 언론의 추정”이라고 말을 아꼈지만 최근 북한이 해킹 행태가 경찰에 의해 잇따라 적발되고 있는 상황에서 북한 개입 가능성을 결코 배제할 수 없는 상황이다.

16일 검찰은 지난 6월 가상화폐 거래사이트 '빗썸'의 해킹으로 회원 개인정보가 유출되고 500억원 상당의 가상화폐 계좌가 해커의 손에 넘어간 사건에 대해 북한 소행에 무게를 두고 수사하고 있다고 밝힌 바 있다.

빗썸은 비트코인 등 가상화폐 8종을 거래할 수 있는 세계적 규모의 가상화폐 거래소. 검찰에 따르면 해커들은 빗썸 직원 이메일을 해킹해 고객 정보 약 3만 건을 유출했다. 검찰은 국내 가상화폐 거래소가 무역제재 강화 등으로 자금줄이 막힌 북한의 표적이 될 가능성도 배제하지 않고 있는 것이다. 미국 보안업체 파이어아이 보고에 따르면, 북한은 올해 들어 한국의 가상화폐 사이트 3곳을 상대로 해킹을 시도한 것으로 드러난 바 있다.

경찰청 사이버안전국도 지난 9월 국내 가상화폐 비트코인 거래소들을 대상으로 해킹이 시도된 사건을 수사한 결과 북한 소행임을 확인했다고 밝혔다. 전자우편 접속지가 북한으로 확인된 해커들은 경찰, 검찰 등 정부기관을 사칭해 비트코인 거래소 대표 혹은 직원 25명에게 정교하게 제작한 스피어 피싱 악성메일을 전송한 뒤 이들의 PC를 통해 회사 내부망을 해킹, 비트코인 탈취가 목적인 것으로 드러난 것이다.

이번 하나투어 해킹은 어떻게 알려졌고, 어떻게 유출 여부를 확인할 수 있을까?

하나투어는 유지보수 업체 직원의 PC가 악성코드에 감염됐음을 인지하고 조사하던 중 지난달 28일 PC를 통해 개인정보 파일 일부가 유출된 정황을 확인했다는 설명과 함께 해킹 피해에 대한 사과문을 홈페이지에 올렸다. 유출된 개인정보는 2004년 10월부터 2007년 8월 사이 생성된 파일에 해당하며 이름, 휴대전화번호, 주민등록번호, 자택전화번호, 자택주소, 이메일주소 등이다.

하나투어는 서버 관리자계정을 해킹당했는데, 이를 통해 유출된 다량의 고객정보를 빌미로 비트코인을 요구받았다는 내용의 고소장을 지난 13일 제출했다. 이에 경찰은 14일부터 수사에 착수했고, 경찰청 사이버안전국에서 이번 사안을 다루고 있다. 한국인터넷진흥원도 하나투어 개인정보 유출사건을 조사하고 있다.

하나투어 해킹과 관련해 개인정보 유출 여부를 확인하려면 하나투어 홈페이지를 통해 알 수 있다. 유출 사실 여부 및 개인별 정확한 유출 항목은 개인정보 침해사고 전담센터 사이트에서 확인할 수 있다. 피해가 발생했거나 예상되는 경우, 하나투어의 고객피해 구제위원회에 신고하면 필요한 조사를 거쳐 구제절차가 진행될 예정이다.

국내 여행업계 1위 하나투어 해킹은 충격파를 낳고 있다. 높은 시장점유율 만큼 피해 건수가 100만 건이나 되기 때문이다. 일본에서도 지난해 6월 일본 최대 여행사인 JTB가 해킹을 당해 790만 고객의 개인정보가 유출 가능성 보도가 나와 열도를 발칵 뒤집어 놓은 바 있다. 당시 2007년 9월부터 JTB가 외국인을 상대로 운영하는 자체 숙박여행 예약 사이트인 재패니칸의 한국어 사이트를 통해 일본 내 숙소를 예약한 한국인들의 이름과 성별, 생년월일, 이메일, 주소, 우편번호, 전화번호 등도 해킹 유출 의심 대상에 포함돼 국내에 파장을 낳기도 했다.

하나투어 해킹은 이처럼 고객층이 다양하고 이용자들도 많아 피해 우려가 확산되고 있다.
때마침 이날 국회 과학기술정보방송통신위원회 국정감사 열려 하나투어 해킹을 계기로 사이버 보안 관련 이슈가 화두로 부각됐다.

여야 의원들은 과방위 소관 5개 진흥원을 대상으로 한 국정감사에서 기업들의 개인정보 유출사고를 비롯해 사물인터넷(IoT) 보안, 해킹 등 보안 관련 현안과 문제점에 대해 지적을 쏟아냈다.

박홍근 더불어민주당 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했음에도 인증을 받은 기업들에서 개인정보유출 사고가 발생하는 사례가 반복되고 있다"고 지적했다. 아직까지 정보보호관리체계(ISMS) 보안인증을 받은 기업 중 개인정보 유출사고로 인증이 취소가 된 적이 없다. 이에 박 의원은 "개인정보 유출 등 보안사고가 발생한 기업에 대해서는 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 촉구했다.

인터넷진흥원은 ISMS인증 이외에도 개인정보보호관리체계(PIMS) 인증제도도 운영하고 있는데 한 인터넷 쇼핑몰의 경우 ISMS와 PIMS 인증 두 가지 모두 받았음에도 개인정보 유출사고가 발생해 인증제도 자체가 유명무실하다는 지적이 이어졌다. 

김성태 자유한국당 의원은 "최근 5년간 160여개에 달하는 기업에서 개인정보 5300만개가 유출됐다"면서 "더 심각한 것은 유출사고 116건 중 23건은 유출정보도 파악되지 않는다"고 비판했다. 이어 "개인정보인증체계가 기업에 재정적 부담을 주고 혈세낭비로 이어진다"며 "개인정보 보호의 가치를 (ISMS와 PIMS로) 나누는 것은 이해가 되지 않는다. 법률로 통합해야 한다"고 주장했다.

박정호 KISA 부원장은 "유출사고가 반복되면 인증을 취소하는 것도 규정에 있다. (재인증) 강화 방안에 대해 관계 부처와 논의하겠다"며 "ISMS와 PIMS는 공통사항이 있지만 다른 부분도 있다. 통합은 긴밀하게 검토하고 있다"고 밝혔다.

하나투어 해킹을 계기로 보안인증 기업에 대한 제재와 보안당국의 철저한 감독과 관리의 목소리가 높아지고 있다. 이번 하나투어 해킹이 북한의 소행으로 드러나도 그것이 면죄부가 될 수는 없다. 해킹에 취한 구조적인 원인에 대한 분석을 통해 고객과 기업이 서로 믿고 서비스를 이용할 수 안전한 사이버 생태계를 구축해야 한다는 지적이다.