Don’t just blame the hackers

Bilingual News

Published: 29 Jul. 2011, 19:38

Don’t just blame the hackers

Personal information of about 35 million users of the popular Nate portal and social network Cyworld, operated by SK Communications, has been stolen in a hacking attack. When users log onto these sites with their user IDs and passwords, they receive notices that their personal data, including mobile phone numbers, citizen registration numbers, birthdays, e-mail addresses, IDs and passwords have been hacked. They are warned of spam mail and phishing scams and advised to change their IDs and passwords. The number adds up to just about every Korean capable of using a computer. Our personal information is being hacked and leaked overseas, probably to China.

Hacking and information leakages from Korean Web sites have become commonplace. In 2008, 10.81 million users of the Internet shopping mall Auction were attacked and last year Shinsegae Department Store lost data on 20 million customers. Credit card and financing company Hyundai Capital and the state-funded commercial bank Nonghyup were recently hacked. Authorities promised security reinforcement and protection from hackers. But hackers have gotten through every time, bombarding consumers with spam and phishing e-mails. Local companies demand various personal details when users subscribe, yet look the other way when they lose customers’ information due to their poor surveillance and protection.

We need new security standards. Despite repeated assurances of their vigilance, companies discover they have been violated long after the attacks take place. SK Communications tried to comfort clients by saying their IDs and passwords were encrypted. But hackers are experts in decoding.

Companies must thoroughly investigate these incidents and find out who is at fault. We cannot tolerate companies with poor security. They should be restricted from demanding sensitive identification information and strictly punished when found negligent in their management of client information. Except for financial transactions, American companies rarely demand social security numbers from users.

Companies must refrain from demanding and gathering too much personal information. Such practices only attract hackers and create social disorder and distrust. To online companies, clients’ information is crucial to their viability. But they must pay their clients due respect in exchange for access to valuable information. If they are incapable of protecting information, they should only ask for the basics.

SK커뮤니케이션즈의 네이트와 싸이월드에서 3500만명의 개인정보가 해킹당했다. 지금 이들 사이트에 들어가 아이디와 주민번호를 치면 “고객님의 ID, 이름, 생일, 이메일, 성별, 연락처(핸드폰), 암호화 주민번호, 암호화 비밀번호는 유출됐다”는 안내문이 뜬다. “보이스 피싱에 주의하라, 스팸메일에 주의하라, 비밀 번호를 변경해 달라”는 경고문도 붙어 있다. 정보가 유출된 3500만 명은 컴퓨터를 다룰 줄 아는 거의 모든 국민에 해당된다고 할 수 있다. 우리도 모르는 사이에 신상 정보가 해외 사이트에 둥둥 떠다니고 있는 것이다. 꺼림칙한 기분을 지울 수 없다.

국내 업체들의 개인정보 유출은 일상 다반사(茶飯事)가 됐다. 2008년에 옥션 회원 1081만명이 당했고, 지난해에는 신세계백화점에서 2000만건의 개인정보가 유출됐다. 현대캐피탈과 농협이 해킹당한 것도 불과 얼마 전이다. 사건이 일어날 때마다 “보안을 강화해 재발을 막겠다”고 다짐하고도 번번히 다시 뚫리고 있다. 온 국민이 보이스 피싱과 스팸메일 공해에 전전긍긍할 수밖에 없는 게 현실이다. 국내 업체들이 회원 가입을 유도할 때는 온갖 개인정보를 요구해 놓고는 정작 자신들의 나태한 정보관리가 초래한 부작용은 온 국민에게 고스란히 떠넘기고 있는 것이다.

이제는 새로운 차원의 기준이 필요하다. 기업들이 아무리 보안을 강화해도 이를 뚫으려는 해커들에겐 못 당하기 일쑤다. 자료가 유출된 지 한참 지나서야 해킹 사실을 깨닫는 것 자체가 “실시간 모니터링한다”는 자신들의 주장을 무색하게 만들 뿐이다. SK커뮤니케이션즈 측은 “비밀번호와 주민등록번호가 암호화돼 있어 큰 문제는 발생하지 않을 것”이라 하지만 군색한 해명이다. “결국 시간문제지 해커들이 마음만 먹으면 풀 수 있다”는 보안 전문가들의 지적이 훨씬 설득력 있어 보인다.

재발 방지를 위해서도 이번 사건은 유출 원인을 철저히 가리고 엄중한 책임을 물어야 한다. 무엇보다 국내 업체들의 방만한 개인 정보 수집 관행에 법적인 제동을 걸 필요가 있다. 보안의식도 제대로 못 갖춘 채 고객정보를 멋대로 다루는 업체들을 이대로 방치할 수는 없다. 가장 민감한 주민등록번호와 휴대전화 번호 수집부터 제한하고, 개인정보 관리에 실패한 기업에 대해서는 엄중한 책임을 물어야 한다. 미국만 봐도 우리나라의 주민번호 격인 사회보장번호를 요구하는 경우는 거의 없다. 그럼에도 회원 관리나 비지니스에 별다른 지장이 있다는 소리는 들리지 않는다. 소비자를 위해 필요한 정보가 아니라 기업 이익에 이용하기 위한 정보수집이기 때문이다.

기업들은 보호할 자신이 없는 개인 정보들은 미리 털어내야 할 것이다. 온갖 정보를 요구하는 관행이 되레 해커들을 유혹하고, 자료가 유출될 때마다 온 사회를 불안에 몰아넣는 게 아닌지 짚어봐야 한다. 인터넷 업체로선 고객정보가 자산이자 존립기반일 것이다. 그렇다면 거기에 상응하는 책임을 다하든지, 아니면 꼭 필요한 정보만 수집하는 선에서 그쳐야 한다. 더 이상 속수무책으로 당한 뒤 “비밀번호를 바꾸라, 보이스피싱을 조심하라”는 사후약방문(死後藥方文)이 되풀이돼선 안 된다.