[디지털데일리 이종현기자] 코로나19로 사용이 급증한 비대면(언택트) 서비스에 대한 보안 불안감이 커지는 가운데 국내 한 화상회의 플랫폼의 고객정보가 유출사고가 발생했다. 중소벤처기업부의 비대면 서비스 바우처 사업의 공급 솔루션인 ‘나우앤나우’다.

31일 업계에 따르면 보안기업 엘림넷이 운영하는 화상회의 플랫폼 나우앤나우의 고객 데이터베이스(DB)가 유출됐다. 피해 규모는 수백에서 수천개 계정이다.

유출된 정보는 최신 정보가 아닌 2016년경 데이터다. 아이디/패스워드 등 계정정보를 포함해 PG사를 통한 신용카드 결제 내역에 대한 트랜잭션 등이다. 러시아 딥웹 포럼에 공개됐다.

유출 사실을 확인한 보안 전문가는 “국내 화상회의 플랫폼 회사의 고객사 DB가 해킹으로 유출됐다”며 “올해는 다크웹/딥웹을 통해 국내 금융 정보 유출이 빈번하게 발생하고 있다”고 알리며 주의를 당부했다.

계정정보 유출은 추가 피해를 양산할 수 있기에 사고 발생 후 대처가 중요하다. 여러 서비스에서 같은 아이디 패스워드를 쓰는 이용자가 다수인 만큼 추가적인 피해로 이어질 수 있다. 연초에 연예인의 스마트폰이 해킹된 사고도 기 유출된 계정정보를 바탕으로 한 크리덴셜 스터핑이었다.

이와 같은 사고가 발생할 경우 개인정보보호법에 따라 한국인터넷진흥원(KISA)이나 개인정보보호위원회(이하 개인정보위)에 신고할 의무가 발생한다. 개인정보보호법은 ‘사실을 안 때부터 24시간 내에’, 시행령은 ‘지체없이’라고 명시돼 있다. 취약점 점검 및 보완 등 ‘정당한 사유’가 있을 경우는 예외다.

엘림넷은 현재 해킹 피해에 대한 안내는 고지하지 않은 상태다. 엘림넷 관계자는 “과거에 해킹당한 것이 최근 유출되는 것으로 보인다. 피해 사실을 확인 중이고 현재는 보안 조치가 모두 이뤄졌다”며 “피해사실 인지 후 KISA에 연락했고 가이드에 따라 절차를 진행 중이다. 피해 사실이 확인될 경우 신고할 예정”이라고 말했다.

피해 사실이 확인될 경우 KISA와 개인정보위뿐만 아니라 피해 당사자에게도 개인정보 유출을 안내할 의무가 발생한다.

한편 이번 사고와는 별개로 화상회의 등 비대면 서비스가 위협에 노출돼 있다는 지적은 꾸준히 있어 왔다. 이용자가 집중되면서 이를 겨냥한 해커들의 공격도 지속하고 있는데, 내년에는 더욱 공격이 거세질 것으로 보인다는 게 보안업계의 관측이다.

정부가 비대면 서비스 바우처 등을 통한 비대면 산업 육성에 공을 들이는 가운데 보안 문제는 반드시 해결해야 하는 과제다. KISA, 금융보안원 등이 비대면 서비스의 보안 강화에 힘 쏟고 있지만 워낙 많은 서비스가 나오는 만큼 한계가 있다는 지적이 제기된다.

보안업계 관계자는 “지난해의 경우 예기치 못한 상황에서 업무 연속성을 위해 어쩔 수 없이 보안이 검증되지 않은 서비스를 이용하는 경우가 많았다”라며 “2021년에는 보안 문제를 해결한, ‘안전한 비대면 서비스’가 주요 관심사로 떠오를 것이라 생각한다”고 피력했다.

<이종현 기자>bell@ddaily.co.kr