1,000만명이 넘는 고객정보 유출 사건은 돈벌이에 눈이 먼 GS칼텍스 관계사 직원의 소행으로 드러났다. 특히 범인은 고객 데이터베이스(DB)를 직접 관리하는 직원으로 확인됨에 따라 대기업의 허술한 고객 정보 관리에 대한 비난도 거세질 전망이다.
■ 회사내 PC로 다운로드
7일 경찰에 붙잡힌 정모(28)씨는 GS칼텍스가 고객 DB를 위탁 관리한 업체인 GS넥스테이션의 직원으로 고객 DB 접근권을 부여받은 12명의 직원 중 한명이었다.
경찰에 따르면 정씨는 올 7월중순부터 8월중순까지 한달여간 GS칼텍스 고객 DB를 사무실 내 자신의 업무용 PC로 수백차례에 걸쳐 복사해 다른 파일에 저장했다. 경찰 관계자는 "정씨가 처음에는 한꺼번에 자료를 복사하려 했지만 자료량이 워낙 방대해 컴퓨터가 다운되는 등 시간이 걸렸다"고 말했다.
사건 초기 GS칼텍스 측은 "고객 정보를 다운로드하는 기능 자체가 없어 PC에 데이터를 내려받을 수 없다"고 자체사고 가능성을 부인했지만 정씨의 해결방식은 이런 회사측 해명을 무색케 하는 것이다. 경찰 관계자는 "DB를 직접 다운받을 수는 없었지만, 복사라는 간단한 방법으로 데이터를 PC에 내려받을 수 있었다"고 설명했다.
정씨는 이어 8월 29일 내려받은 자료를 같은 회사 여직원 배모(30)씨를 통해 일반인이 쉽게 볼 수 있는 엑셀파일 형태로 변환한 뒤 파일이 담긴 DVD 1장을 제작해 회사 외부로 빼돌렸다. 고객 DB를 수시로 내려받고, 이 자료를 또 손쉽게 개인용 이동매체에 담아 회사 밖으로 빼돌리는 동안 회사측은 전혀 눈치를 채지 못했다.
■ 언론사 제보 통해 정보가치 제고?
정씨는 애당초 고객정보를 빼돌린 뒤 이를 판매해 몫돈을 챙길 생각으로 범행을 모의한 것으로 드러났다. 경찰 관계자는 "이들은 올해 초 발생한 옥션 해킹 사고를 보고, 고객정보의 가치가 높다고 생각해 범행키로 모의한 뒤 처음에는 판로를 모색했다"고 말했다.
하지만 판매가 여의치 않자 이들은 새로운 돌파구를 모색했다는 게 경찰 설명이다. 경찰에 따르면 정씨 등은 "개인정보 유출 사건이 사회적 이슈로 떠오르면 자신들이 갖고있는 정보의 가치는 더욱 커진다고 판단해 언론사 접촉에 나섰다"고 진술했다.
정씨는 고교동창생 왕모(28)씨의 사회후배인 김모(24)씨를 시켜 9월2일 서울 시내 모 식당에서 모 언론사 기자, 방송국 PD, 무가지 신문 기자 등 언론인 3명을 만나 DVD를 건네주며 "강남 역삼동 유흥가 골목 쓰레기 더미에서 주웠다"는 내용의 허위제보를 전달했다고 주장하고 있다. 결국 9월5일 모 언론사를 통해 보도된 DVD의 존재는 경찰수사의 출발점이 됐다.
경찰은 고객 정보가 내부 직원을 통해 유출됐을 가능성이 크다고 보고 DB 접근 권한을 가진 직원을 상대로 수사를 벌이다 정씨의 PC 하드디스크가 기사가 나간 당일 교체된 점 등을 의심해 집중 수사를 벌여 정씨로부터 범행일체를 자백 받았다.
하지만 범인들이 정보가치 제고를 위해 DVD를 언론사에 넘겼다는 대목은 어딘지 석연치 않다. 범인들은 의도했던 대로 이슈화에는 성공했다 하더라도 결국은 스스로 범행의 단서를 제공하는 '자살행위'를 한 꼴이 되기 때문이다.
경찰은 범인들이 언론사에 허위제보한 경위와 함께 DVD가 실제 시중에 유통됐을 가능성에 대해서도 추가 수사를 벌일 방침이다.
■ 개인정보 유출 원인·대책
옥션, GS칼텍스 등 기업들의 개인정보 유출사고가 잇따르면서 기업들의 고객 정보 관리가 도마에 올랐다.
7일 업계에 따르면 금융, 서비스 업종 등의 기업들은 카드 발급과 가입자 유치 등 각종 영업활동을 통해 수집한 고객의 주민등록번호, 이메일 주소, 휴대폰 번호 등 개인 정보를 보관한다.
이렇게 수집된 개인 정보는 컴퓨터와 인터넷을 통해 디지털 파일로 만들어져 고객 관리, 영업메일(DM) 발송이나 계열사 영업활동에 사용된다.
문제는 개인정보가 돈벌이 수단으로 악용되면서 각종 사고로 연결되고 있다는 점이다. 최근 초고속인터넷 업체인 하나로텔레콤, KT, LG파워콤 등은 가입자 정보를 신용카드사 등 다른 업체의 영업활동에 유용한 사실이 드러나 방송통신위원회로부터 영업정지를 당하기도 했다.
또 해킹 등으로 유출된 개인 정보는 음란 사이트 가입이나 불법 게임계정을 만드는데 쓰이기도 한다. 이처럼 개인 정보는 전화영업(텔레마케팅)은 물론이고 보이스피싱 등의 금융사기, 대량 광고(스팸) 등 범죄에 무방비로 노출돼 있는 상황이다. 이를 노린 해커들이 개인정보를 빼내 판매하는 것은 공공연하다.
그만큼 기업들로서는 수집한 개인정보를 철저하게 관리해야 하는데도 현실은 그렇지 않다. 일부 기업들은 허술하기 짝이없는 관리로 협력업체 직원들이 개인정보를 열람하는 경우도 있다. 이번 GS칼텍스의 개인 정보 유출 사고도 협력업체 직원이 내부 시스템에 접근할 수 있을 정도로 관리가 부실했기 때문에 발생했다.
전문가들은 이번 사고를 계기로 업체들이 개인정보 관리를 보다 철저히 해야 한다고 지적하고 있다. 한 전문가는 "무엇보다 개인정보에 접근할 수 있는 권한을 제한해야 한다"며 "직원이나 고객들의 개인 정보는 아무나 열람할 수 없도록 암호화와 보안 소프트웨어를 통해 철저하게 관리하고 있는 외국의 사례를 본받을 필요가 있다"고 말했다.
고객의 개인 정보는 직원들이 문서, CD, 이메일 등으로 함부로 출력 및 복사, 전송할 수 없도록 해야 한다는 것이다.
한 인터넷보안업체 관계자는 "기업들은 각종 보안 소프트웨어를 활용해 직원들이 개인 정보를 복사, 전송을 통해 함부로 유출할 수 없도록 하는 게 급선무"라고 말했다.
송용창 기자 hermeet@hk.co.kr최연진 기자 wolfpack@hk.co.kr
아침 지하철 훈남~알고보니[2585+무선인터넷키]
기사 URL이 복사되었습니다.
댓글0