지난 6월 초, 한 대형 OTT 서비스가 신속하게 보안 사고를 보고했다는 뉴스가 나갔을 때, 표면적으로는 '신고했다'는 사실이 중요해 보였다. 하지만 그 속사정은 전혀 달았다. 사고를 알게 된 지 정확히 23시간 59분이 지난 후에야 관계 기관에 신고했다는 것이 밝혀졌다. 법으로 정해진 신고 기한을 1분 남겨두고 신고한 것이다.
이 1분은 단순한 우연이 아니었다. 사건이 알려진 후, 기업이 신고 시간을 의도적으로 지연시키려 했다는 의혹이 제기되고 있다.
이번 사고의 규모는 상상을 초월한다. 1,300만 명이라는 숫자는 대한민국 국민 4명 중 1명꼴로 개인정보가 유출되었다는 뜻이다.
더 심각한 것은 유출된 정보의 종류다. 이 중에는 'CI(연계정보)'라고 불리는 정보가 포함되어 있다. CI는 개인의 주민번호를 암호화해 만든 고유 식별자로, 금융기관·통신사·공공기관 등에서 본인 확인을 위해 광범위하게 활용된다. 한 번 유출되면 단순한 개인정보 유출과 다르다. 법적으로 재발급받을 수도 없으며, 평생 동안 악용의 위험에 노출되는 것이다. 현재 이 CI 정보들이 다크웹을 돌아다니고 있는 것으로 파악되고 있다.
사건의 발단은 기초적인 보안 실수였다. 개발팀의 일원이 GitHub에 AWS 클라우드 접속 키를 평문으로 남겨뒀다. 이는 개발자 커뮤니티에서 '초보 실수'로 악명 높은 사례다. 그런데 1,300만 회원을 거느린 플랫폼에서 이런 실수가 나왔다는 것 자체가 조직의 보안 감시 체계가 얼마나 허술했는지를 보여준다.
해커들은 이 노출된 키를 이용해 데이터베이스에 침투했다. 그들이 무단으로 명령을 입력하고 정보를 빼내는 동안, 회사는 21시간 동안 아무것도 모르고 있었다. 사이버 침해 감지 시스템이 제대로 작동하지 않았거나, 작동했더라도 즉시 대응 체계가 부재했다는 의미다.
사고를 인지한 후의 대응도 문제가 있었다. 관련 법률은 개인정보 유출 사고 발생 시 '지체 없이' 관계 기관에 신고하도록 규정하고 있다. 구체적으로는 사고 발생을 알게 된 지 24시간 이내에 신고해야 한다.
회사는 정확히 그 기한을 지켰다. 1분을 남겨두고. 이것을 어떻게 해석할 것인가? 우연의 일치일 가능성도 있지만, 보안 사건의 규모를 최소화하기 위해 신고를 최대한 미룬 것 아닌가 하는 의심이 제기되는 이유다. 신고 전에 언론에 먼저 유출되면 더 큰 파장이 생길 수 있으니, 기한이 만료되기 직전에 신고하는 전략일 수도 있다는 분석도 나오고 있다.
이런 대형 개인정보 유출은 이번이 처음이 아니다. 최근 몇 년간 국내 대형 기업들의 보안 사고가 잇따랐다. 통신사, 이커머스 업체, 금융사들이 차례대로 대규모 유출 사건에 휘말렸다. 매번 '조사 중'이라는 안내만 나왔다가, 시간이 흐르면서 유출 규모는 점점 커지고, 결국 수습 차원의 보상으로 마무리되는 패턴이 반복되어왔다.
왜 이런 일이 계속되는가? 첫째, 기업들이 보안을 비용으로만 여기고 필수 투자로 보지 않는다. 둘째, 사건이 터진 후의 처벌이 수준 이하라는 점이다. 회사가 낼 수 있는 벌금이 미미하다면, 보안에 돈을 쓰는 것보다 위험을 감수하는 게 더 경제적일 수 있다.
올해 9월부터 개인정보보호법이 개정되어 시행된다. 가장 큰 변화는 위반 시 부과하는 과징금의 상한이 대폭 인상된다는 것이다. 기존에는 보다 낮았지만, 개정안에서는 기업의 매출액 10%까지 부과할 수 있게 된다.
이는 대형 플랫폼에게는 엄청난 타격이 될 수 있다. 이번 사건이 개정 전에 터진 것이 얼마나 다행인지, 역설적으로 구법이 적용되는 마지막 대형 유출 사례가 될 수 있다는 점에서도 알 수 있다. 앞으로는 기업의 무관심과 지연 대응이 훨씬 큰 대가를 초래할 것이다.
📌 원문 발췌
해커가 DB에 침투해 무단으로 명령어를 입력하는 동안 21시간이나 인지조차 하지 못했습니다. 사고 인지 후 정확히 23시간 59분이 지나 법정 신고 기한을 단 1분 남겨두고 ***에 신고했습니다.
원본 출처: 더쿠 핫
원문 첨부 이미지
