검색 본문 바로가기 회사정보 바로가기
> 산업 >

천재해커 이두희 "개인정보 1억건 유출, 터질게 터졌다"

[단독인터뷰]서울대 해킹해 3만명 정보 빼낸 8년전 데자뷰
무차별 주민번호 수집 바꿔야...액티브X 기반 공인인증서도 문제

(서울=뉴스1) 지봉철 기자 | 2014-01-21 23:09 송고
서울대 출신 천재해커 이두희. 그는 국내 온라인 쇼핑업체의 70~80%s는 해킹에 무방비 상태라며 온라인결제 인증방식의 국제 표준화를 더 이상 지체해서는 안된다고 충고했다.© News1

"힘들었죠. 방송 이후 한 이틀은 수면제를 먹고 잠을 청해야 했을 정도로요."

서울대 출신 천재 해커 이두희(32)는 아직도 그날의 충격에서 벗어나지 못한 듯 몸서리쳤다. 인터뷰하는 내내 "열받는다"는 표현을 자주 썼다.

서바이벌 게임 프로그램 tvN '더 지니어스2' 6화에서 이두희가 이상민, 은지원 등 '연예인 연합'의 희생양이 되면서 큰 논란을 불러 일으켰다. 당시 방송에서 은지원은 이두희의 게임 참여 수단인 '신분증'을 훔쳐 게임에서 완전히 배제시켜 버렸고 이는 이두희 탈락에 결정적인 영향을 끼쳤다.

하지만 이 방송은 결과적으로 개인정보(신분증) 관리의 중요성을 보여준 사례가 됐다. 개인정보가 다른 누군가의 손아귀에 들어가 악용되면 어떤 위험이 있는 지 경고한 셈이다. 천재 해커이자 방송에서 신분증 도난으로 피해를 당한 이두희를 직접 만나봤다.

◇카드사 개인정보 유출, 8년전 서울대 사건과 데자뷰

"이번에 사고가 난 금융권보다 더 큰 문제는 보안이 취약한 중소 온라인 쇼핑몰들입니다. 이 쇼핑몰 가운데 70~80%는 다 뚫린다고 보면 되요. 문제는 그런 사이트들조차도 주민등록번호 등 개인정보를 지나치게 광범위하게 수집하고 이를 무차별적으로 공유하고 있었다는 점이죠."

현재 네오위즈게임즈에서 가상화 시스템 고도화 연구개발에 참여중인 이두희씨는 최근 발생한 KB국민카드·롯데카드·NH농협카드 등 3개 카드사에서 1억건에 달하는 개인 신용정보가 통째로 유출되는 사건을 두고 흥분을 감추지 못했다. 10년전이나 지금이나 기업이나 학교의 '보안불감증'은 전혀 개선되지 않았기 때문에 이런 일이 발생했다는 지적이다.

그는 서울대 재학시절 모교 전산망 보안이 취약하다는 자신의 경고를 학교측이 무시하자 직접 해킹해서 서울대생 3만명의 개인정보를 공개한 주인공으로 유명하다. 당시 의류학과 99학번인 배우 김태희의 고등학교 졸업사진이 포함돼 언론의 주목을 받기도 했다. 당시 해킹에 대해 그는 "그냥 뚫을 수 있을까 궁금해서 시도해봤다"며 웃었다.

"그 일로 제적 위기에 몰렸지만 이런 일이 일어날 수 있다는 경각심을 주고 싶었어요. 2006년 서울대 전산망은 무려 66차례나 해킹시도가 있을 정도로 보안에 취약했거든요. 그 뒤로 학교에서 보안에 더 신경을 쓴 건 사실이에요. 이번 사상 초유의 개인정보 유출 사태도 미리 대비했더라면 벌어지지 않았겠죠."
천재해커 이두희는 인터뷰 내내 '국제표준'을 강조했다. © News1

◇주민번호 수집·액티브X 기반 공인인증서 폐지해야

그가 이번 사건이 벌어진 근본 원인을 크게 두가지로 지적했다. 첫째는 개인정보 유출사고가 빈번하게 발생하는 것은 기업의 정보망 보안이 매우 취약하기 때문이고, 두번째는 기업들이 무차별적으로 주민등록번호를 수집하고 있기 때문이라고 했다. 주민등록번호의 활용도가 높다보니 이를 빼내려는 해킹시도가 끊임없이 일어나고 있는데 기업들은 보안에 대해 거의 신경쓰지 않고 있는데서 비롯된 '인재'라는 게 그의 주장이다.

특히 우리나라에서만 사용되고 있는 공인인증서도 문제라고 꼬집었다. 공인인증서는 인터넷 익스플로러의 '액티브X' 기반으로 개발돼 있다. 이미 알려진 것처럼 액티브X는 악성코드 유포경로로 해커들의 표적이 되고 있는데, 우리나라는 이처럼 보안에 취약한 액티브X 기반의 공인인증서로 각종 온라인결제를 할 수 있도록 돼 있다. 물론 주민번호 대신 가상 주민번호와 1회용 비밀번호(OTP) 등을 사용하도록 정부는 권고하고 있지만, 대부분의 은행들은 여전히 공인인증서를 보편적으로 활용하도록 방치하고 있다.

그는 인터뷰 내내 '국제표준'을 강조했다. "해외의 경우는 암호화인증통신(SSL)과 1회용 비밀번호 생성기(OTP), 문자메시지(SMS) 인증 등 공인인증서가 아닌 다른 방식을 사용하고 있다"고 말하는 그는 "반면 우리나라에서 사용하고 있는 공인인증서 방식은 국제표준이 아닙니다"라고 말했다.

이어 그는 "액티브X는 비표준기술이어서 구글 크롬·애플 사파리같은 웹브라우저 사용자들이 이용할 수 없다"면서 "대부분의 금융권들이 보안에 취약한 인터넷 익스플로러에서만 이용할 수 있는 공인인증서를 발급하고 있어서 해커의 표적이 될 수밖에 없다"고 했다. 스마트폰 등 모바일기기가 확산되고 있기 때문에 더 늦기전에 온라인결제 인증방식을 국제표준화시켜야 한다고 주장하는 그는 개인 사용자들의 보안의식도 개선될 필요가 있다고 주문했다.

"별다른 생각없이 식당이나 술집 같은데서 배터리를 충전한다고 스마트폰을 통째로 맡기는 분들이 간혹 있는데 이건 해킹보다 더 위험합니다. 상대가 나쁜 마음만 먹으면 특정 폴더(NPKI)에 저장된 공인인증서는 물론 스마트폰을 통째로 복사할 수도 있기 때문이죠."

이외에도 그는 똑같은 비밀번호를 여러 곳에 사용하는 것과 도박사이트 접속도 금기라고 조언했다. 사용자들의 보안의식이 약하면 "모든 게 무용지물"이라는 충고도 덧붙였다.


janus@news1.kr

이런 일&저런 일

    더보기