An egregious leak of private data

The website of the country’s second-largest mobile carrier was reported to have been compromised by hackers only two months after three of Korea’s major credit card companies experienced the country’s worst personal information leak. More than 12 million clients had their personal data stolen over the course of one year. KT is a household name in the telecommunications and information technology fields in Korea. So what company can we trust if we can’t rely on KT for its security?

KT, however, has an embarrassing track record. It lost the information of 920,000 clients to hackers in 2004, and 8.7 million clients in July 2012.

Hacking is an illegal act that threatens the safety of modern society. But responsibility also lies with the company for failing to protect its computer data. Mining and the theft of personal information has become commonplace these days. An institution or company that needs to compile, collect and store personal information should already have in place a strong fence against illegal predators.

KT, which has often been a target of hacking, should have been extra vigilant on the security front. But the company was seemingly unaware that the leak, which was accomplished by a simple hacking program, had been going on for a year. It is not just insensible, but also irresponsible and negligent. It can hardly be trusted to lead the domestic information and communications technology industry.

Authorities must carry out thorough investigations, and KT should be held accountable for repeated accidents. Authorities must prevent further damages from the abuse of stolen information. We have repeatedly asked the government and authorities to conduct a comprehensive checkup on companies and financial institutions that collect personal information for their business. The government must re-examine the security systems of all companies, public institutions and enterprises to prevent further leaks. Otherwise, our modern credit-based society could be seriously undermined and the public will never be free of anxiety regarding their personal information.

JoongAng Ilbo, March 8, Page 30

신용카드사에서 1억 건이 넘는 개인정보 유출 사건이 터진 지 두 달 만에 또다시 이동통신사에서 대규모 고객정보 유출사고가 벌어졌다. 정보통신기술(ICT)의 총아라는 거대 통신기업인 KT가 해커 한 명에게 1년에 걸쳐 무려 1200만 명의 고객 개인정보를 털렸다는 것이다. KT는 지난 2004년 92만 명분의 개인정보가 유출됐고, 불과 1년8개월 전인 2012년 7월에도 877만 명분의 개인정보를 해킹당한 전력이 있다. 이번 사고를 포함하면 벌써 세 번째 고객정보 유출사고를 낸 것이다.
해킹을 통한 개인정보 유출사고는 해킹이라는 불법적 범죄행위가 1차적 원인이지만 이 같은 시도를 막지 못한 정보관리자에게 더 큰 책임이 있다. 개인정보의 수집행위가 일상적인 범죄의 대상이 된 오늘날, 막대한 개인정보를 수집해 보관하는 기관이나 기업은 당연히 해킹 시도가 있을 것을 전제하고 이를 사전에 차단해야 마땅하다. 특히 정보 유출 시도의 개연성이 큰 데다 이미 그런 사고의 전력이 있는 KT는 예상할 수 있는 모든 해킹 시도와 정보 유출 가능성에 대비했어야 했다. 그런데 KT는 범인이 극히 초보적인 해킹프로그램을 이용해 고객의 개인정보를 빼내가는 것을 1년간이나 모른 채 방치했다. 이는 단순한 ‘보안 불감증’이 아니라 ‘보안 무책임’이나 ‘직무 유기’에 해당하는 처사가 아닐 수 없다. 과연 이러고도 우리나라 정보통신산업의 선두주자가 되겠다고 할 수 있는지 의문이다.
일단 철저한 수사를 통해 해킹을 한 범인 일당을 처벌하는 것은 물론 KT에 대해서도 반복적으로 정보 유출을 방치한 책임을 엄중히 물어야 한다. 또한 이번 개인정보 유출로 인한 2차 피해가 발생하지 않도록 대책 마련이 시급하다. 우리는 신용카드사 정보 유출 사건 때 정보 유출 가능성이 있는 개인정보를 수집한 기관과 기업에 대해 일제점검을 벌일 것을 촉구했다. 지금이라도 다른 통신사 등 기업과 공공기관은 개인정보 관리와 보안 상태를 철저히 점검해 또 다른 정보 유출 사고가 없는지 확인하기 바란다. 그게 국민의 불안을 더는 첫걸음이다.