[IT전문 미디어블로그 = 딜라이트닷넷]

#1
“당사는 지난 주 이후 도토리 관련 민원이 늘어 이를 조사하던 중 계정 도용과 관련된 단서를 포착하여 2010년1월 25일 서울경찰청 사이버수사대에 수사를 의뢰했습니다. 현재 정확한 피해사례는 조사 중입니다. 또한, 일부에서 제기된 것처럼 싸이월드가 해킹된 적은 없음을 분명히 밝혀 드립니다.”

#2
“싸이월드는 세계 최고 수준의 보안 시스템을 갖추고 있다. 싸이월드의 ID와 패스워드, 주민번호 등 주요 회원 정보는 암호화 처리되어 있어 암호해독이 불가능하고, 텍스트 및 이미지 게시물 또한 게시물 단위, 폴더 단위, 서비스 단위 등 다중 보안 시스템을 적용해 외부 유출이 불가능하다”

첫 번째 장면은 지난 2010년 1월 싸이월드의 사이버머니 인 ‘도토리’를 갈취하는 사례가 잇따라 발생하자 SK커뮤니케이션즈측(이하 SK컴즈)이 발표한 내용입니다.

당시 SK컴즈측은 이용자 개인들의 PC에 악성코드가 숨겨져 있어 이를 통해 개인정보가 유출됐고, 이를 통해 도토리도 갈취한 것이라고 발표했습니다.

당시 범죄자들은 도토리를 네이트온 문자 쿠폰으로 교환 후 광고성 스팸 문자 발송에 사용하고 있었습니다.

이에 대한 SK컴즈측의 해법은 “비밀번호를 주기적으로 변경하라”였습니다. 비밀번호를 오랫동안 변경하지 않은 사용자들에게 강제 변경 캠페인을 진행하기도 했습니다.

두 번째 장면은 그보다 앞서 지난 2009년 6월 미니홈피 불법 방문자 추적 프로그램 일당이 검거됐을 때 SK컴즈측의 반응입니다.

당시 회원들의 이름, IP, 방문시간 등이 노출돼 논란이 됐었는데, 회사측은 주민등록번호, 전화번호, 주소 등 주요 개인정보 관련 데이터베이스가 유출된 것이 아니기 때문에 해킹이 아니다고 설명했습니다.

특히 당시 SK컴즈측은 “싸이월드 해킹은 불가능하다”고 단언했습니다.

그러나 불행히도 네이트와 싸이월드는 완전히 해킹당했습니다. 그 결과 3500만명이라는 사상 초유의 대규모 개인정보유출 사고를 일으키고 말았습니다.

IT업계에는 ‘보안에 대해 너무 자신하지 말라’는 암묵적 격언이 있습니다. 100% 완벽한 보안은 있을 수 없으며, 보안을 자랑하는 순간 해커들의 승부욕을 자극하기 때문입니다.

이번 대규모 해킹 사건은 앞서 몇 차례 구설수가 일었을 때 잘못 대처한 결과가 아닐까 생각해 봅니다.

[심재석기자 블로그=소프트웨어&이노베이션]