침해사고/위협동향

‘KT, 고객정보 전량 회수’… 네티즌 “어느 정도 신뢰할 수 있나”

이민형 기자
[IT전문 미디어 블로그=딜라이트닷넷]


지난 2월부터 6월까지 약 5개월동안 870만건의 개인정보를 유출시킨 KT의 사과문의 일부 문구가 네티즌들로부터 지적을 받고 있다.

 

해당 사과문을 살펴보면 ‘KT는 경찰의 조사에 적극 협력해 범죄조직이 불법 수집한 개인정보를 전량 회수 했으며, 추가적인 개인정보 유출을 차단했다’ 라는 문구를 확인할 수 있다.

여기서 업계관계자들과 네티즌들이 걸고 넘어진 부분은 ‘유출된 개인정보의 전량 회수’ 부분.

KT가 ‘전량 회수’라는 표현을 쓴 이유는 이번 범행에 사용됐던 PC, 노트북, 모바일디바이스, 하드디스크 등을 모두 경찰이 압수했기 때문으로 예상된다. 그러나 복제와 유포가 손쉬운 디지털 파일의 특성 상, 전량 회수라는 부분은 어색하다.

과거 GS칼텍스 개인정보 유출사고에서도 GS칼텍스는 ‘개인정보 전량 회수’라는 표현을 사용된 적이 있다.

2008년 9월에 발생한 GS칼텍스 개인정보 유출사건은 GS칼텍스 자회사 직원 정 모씨가 1125만건의 개인정보를 유출한 사건이다. 당시 정 모씨는 해당 개인정보 파일을 6장의 DVD로 제작, 이중 세 장은 언론사에게 제보의 형태로 배포하는 등의 간 큰 배짱을 보여줬다.

당시 수사과정에서 경찰은 정 씨 등이 만들었다고 진술한 개인정보 DVD를 모두 회수했다고 발표했다. 그러나 디지털 파일의 특성상 외부에 유출됐을 가능성을 배제하지 않고 조사하고 있다고 밝힌 바 있으며, 다행히도 최종결론은 추가유출이 없었다는 것으로 나왔다.

GS칼텍스 사건은 ‘DVD등 기록장치의 추가제작’과 ‘개인정보 판매’가 없었다는 가정하에 ‘전량 회수’라는 표현을 제한적으로 사용할 수 있을 것으로 생각된다.
 
그러나 KT 개인정보 유출사건은 이와는 성격이 다르다. 당초 txt형태로로 저장된 파일이었고, 아무런 보호조치없이 스토리지에 저장돼 있었으며, 용의자들이 다른 텔레마케팅 업체들에게 사용자 개인정보를 판매해 ‘7억원’의 부당이익을 봤다는 점에서 이미 ‘전량 회수’는 불가능해졌다.

해당 개인정보 파일을 구입했던 사람들까지 모두 검거해 조사하고, 유포 경로를 모두 차단하지 않는 이상 ‘전량 회수’라는 말은 곤란하다.

870만건의 개인정보가 하나의 엑셀 파일에 담겨있다고 가정할 때, 해당 파일의 용량(10*870셀을 가진 엑셀파일의 용량 165KB, (165*10000/1024/1024=10.78GB)은 10기가가 채 안된다. 텍스트파일로 가정하면 그보다 용량은 더 줄어든다. 16기가 USB하나만 있으면 얼마든지 무한대로 퍼져나갈 수 있다.

임종인 고려대 정보보호대학원장은 “다른 업체에게 개인정보를 팔아넘길 때 해당 파일을 복제해서 넘겼을텐데, 원본만 회수했다고 전량 회수라고 이야기하는 것은 잘못됐다”며 “과거 현대캐피탈 사건의 경우 암호화된 파일이 복호화되기전 범인과 파일을 회수했다. 그 경우엔 전량 회수라는 표현을 쓸 수 있어도, 전문이 공개돼 있는 상황에서 전량 회수는 말이 안된다”고 말했다.

KT가 전량회수라는 말을 쓰려면, KT고객영업시스템에 남겨진 로그의 모든 분석을 마치고 해당 시점에 시스템에 접근, 조회한 모든 영업점의 기록을 살펴본 후, 이상징후가 없을 때다.

[이민형 기자 블로그=인터넷 일상다반사]

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널