방통위, '16만명 개인정보 유출' 이스트소프트에 과징금 1억1200만원

지난해 16만명이 넘는 이용자의 개인정보 유출 사고로 물의를 일으킨 보안업체 이스트소프트에 대해 방송통신위원회가 총 1억1200만원의 과징금과 1000만원의 과태료를 부과했다.

방통위는 28일 전체회의를 열고 알툴바‧알패스‧알집 등 소프트웨어를 개발·제공하는 이스트소프트에 대한 개인정보 유출 조사결과를 발표하고 과징금 및 과태료 등의 처분을 내리기로 의결했다.

지난해 12월 경 검거된 해커는 자체제작한 해킹프로그램 ‘알패스(Alpass)3.0.exe’를 이용해 지난해 2월부터 9월까지 미상의 방법으로 획득한 계정정보로 여러 웹사이트의 아이디, 비밀번호 저장‧관리 프로그램 알패스 서비스에 사전대입 공격을 했다.

사전대입공격이란 공격자가 사전에 확보한 계정정보 또는 일반적으로 사용되는 정보파일을 가지고 프로그램을 통해 하나씩 모두 대입시켜 보는 해킹방법을 뜻한다.

해커에게 유출된 개인정보는 알패스 서비스 이용자의 외부 사이트 주소‧아이디‧비밀번호 2546만1263건과 16만6179명 계정정보다. 이용자 1인당 약 150여건의 알패스 정보가 유출된 것이다.

또한 해커는 유출된 이용자의 알패스 등록정보로 포털사이트에 부정 접속해 이용자들이 저장한 주민등록증과 신용카드, 사진을 확보한 뒤 휴대전화 개통 및 해킹에 사용할 서버 5대를 임대했다. 가상통화 거래소에 부정 접속해 이용자가 보유 중인 가상통화를 출금하기도 했다.

방통위는 이스트소프트가 △적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 점 △개인정보가 열람권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 필요한 보안대책 및 개선조치를 취하지 않은 점 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법’에서 정한 개인정보 보호조치 규정(접근통제)을 위반했다고 판단했다.

이같은 취약점이 해킹에 직·간접적으로 악용된 점, 피해규모가 크고 이용자 추가 피해가 확인된 점 등을 종합적으로 고려해 이스트소프트에 대해 △과징금 1억1200만원 △과태료 1000만원 △위반행위의 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등의 행정처분을 내렸다.

이효성 방통위원장은 “이용자를 가장한 해커의 웹페이지 공격이 성행함에 따라 이에 따른 피해를 예방할 수 있도록 정보통신서비스제공자의 보안을 강화할 필요가 있고, 이용자들도 서비스 이용 시 비밀번호 관리에 각별히 유념해야 한다”며 “방통위는 온라인 분야의 개인정보 보호를 위해 노력하고 관련 사업자에 대한 점검을 강화해 나갈 것”이라고 밝혔다.