“SK컴즈, 비밀번호 안전하다더니… 3초만에 풀려”

SK컴즈 해킹 관련 보안전문가 김승주 교수 주장
“주민번호 폐기” 방지대책 발표에 포털들도 동참

“사과드립니다” 주형철 SK커뮤니케이션즈 대표(왼쪽에서 세 번째)와 임직원들이 개인정보가 유출된 사고와 관련해 기자회견을 마친 뒤 고개를 깊이 숙이며 사과하고 있다. 양회성 기자 yohan@donga.com

SK커뮤니케이션즈의 해킹 사고로 유출된 3500만 명의 개인정보 가운데 암호화돼 안전하다던 비밀번호가 사실은 쉽게 해독된다는 주장이 나왔다. 이번 해킹으로 가입자의 실명, ID, 전화번호, e메일, 혈액형, 주소, 주민등록번호, 비밀번호 데이터가 새어 나갔는데 SK커뮤니케이션즈 측은 이 중 주민등록번호와 비밀번호는 암호화돼 안전하다고 밝힌 바 있다.

고려대 정보보호대학원 김승주 교수는 29일 “SK커뮤니케이션즈가 ‘일방향 압축 방식의 해시함수’로 암호화했다고 주장한 비밀번호는 전혀 안전하지 않다”며 “8자리 이하의 암호는 시중에서 50만 원만 주면 구할 수 있는 장비로 30분 내에 모두 풀 수 있었다”고 밝혔다. 김 교수는 동아일보와의 전화 인터뷰에서 “6자리 이하 암호는 단 3초면 해독되므로 SK커뮤니케이션즈는 ‘비밀번호는 암호화돼 안전하다’고 할 게 아니라 가입자에게 당장 비밀번호를 바꾸라고 안내해야 한다”고 말했다. 해킹으로 함께 유출된 주민등록번호는 좀 더 복잡한 방식으로 암호화돼 상대적으로 안전한 편이다.

이에 대해 SK커뮤니케이션즈는 “김 교수의 주장은 우리가 채택한 암호화 방식을 제대로 이해하지 못해 나온 것”이라고 해명했다. 하지만 김 교수는 2006년에도 이 회사의 네이트온 메신저를 해킹하는 데 성공했던 보안 전문가라서 논란이 이어질 것으로 전망된다.

○ 수집하는 개인정보 줄이겠다

SK커뮤니케이션즈는 이날 서울 서대문구 미근동 본사에서 해킹 재발 방지 대책을 발표하는 기자회견을 열었다. 주형철 사장은 “우선 그동안 수집한 주민등록번호와 주소를 데이터베이스에서 삭제하고 앞으로 신규 가입자의 정보도 저장하지 않겠다”고 밝혔다.

이번 해킹 사고에서 새어 나간 주민등록번호와 실명 등은 오프라인의 실존 인물과 일대일로 연결되면 보이스피싱(전화사기) 등 범죄에 악용될 수 있다. 이런 우려를 줄이기 위해 아예 수집 자체를 포기한 것이다.

그러자 경쟁 포털사이트도 이를 환영하고 나섰다. 네이버와 다음 측은 “SK커뮤니케이션즈가 주민등록번호를 저장하지 않겠다며 중요한 첫발을 뗐다”며 “이런 움직임에 동참할 계획”이라고 밝혔다. 많은 인터넷 업체가 가입자의 나이와 성별, 출신지역 정보가 담긴 주민등록번호를 마케팅에 써왔다.

문송천 KAIST 경영공학과 교수는 “주민등록번호는 현실의 인물과 온라인 속의 인물을 연결해 모든 정보를 빼낼 수 있도록 해주는 만능열쇠”라며 “해외에서는 수사기관 외에는 조회도, 이용도 불가능한 정보를 한국에서는 너무 허술하게 관리하는 게 문제”라고 말했다.

○ 재발방지 약속에도 집단소송 움직임

SK커뮤니케이션즈는 앞으로 주민등록번호와 비밀번호는 물론이고 실명과 ID, 전화번호 등 이 회사가 수집하는 모든 개인정보를 암호화하기로 했다. 약 50억 원의 시설투자 비용이 추가로 들지만 법적 요구 기준보다 더 적극적인 보안 조치를 하겠다는 것이다. 또 고객의 개인정보에 접근하는 사람들을 별도로 관리하고 감사도 벌이는 보안운영센터(SOC)를 SK텔레콤과 공유해 통제 수준도 높일 계획이다. 하지만 이날 기자회견장에서는 “미리 시행했어야 하는 대책인데 소 잃고 외양간 고치기인 셈”이라는 지적도 나왔다.

이 때문에 SK커뮤니케이션즈가 재발방지 대책을 내놓았지만 가입자 사이에선 집단소송 움직임이 나오고 있다. 이미 각 포털사이트에는 복수의 집단소송 카페가 개설됐다. 이에 따라 현재 경찰청 사이버수사대가 진행하고 있는 조사 결과가 주목된다. 이 조사에서 SK커뮤니케이션즈의 위법 사실이 발견되면 집단소송에서도 가입자들이 승소할 확률이 높아진다.

김상훈 기자 sanhkim@donga.com