GS칼텍스 고객정보 유출을 정리해보았습니다
올해 들어서 발생한 정보유출관련 사건중 최대가 될 이번 사건에 대해 정리해 보았습니다. 여기저기 신문기사를 모조리 집약해서 다시 정리해보니 상황이 조금 보이는듯 합니다. 실제로 유출된 GS칼텍스
고객정보의 내용은, 보너스카드 회원 1,107명의 정보로써
성명, 주민번호, 주소, 회사
전화번호, 이메일 정보라고 합니다.
▶ GS칼텍스 고객정보 유출사고의 전모:
사건의 본질은
고객DB를
조회할수있는 권한을 지닌 내부 직원이 외부자와 공모해 영리를 목적으로 고객의 DB를 유출한 사건입니다.
7월초:
GS넥스테이션의 직원 정모(28)씨는 왕씨(고교동창생), 김씨(후배) 등과 미리
범행을 모의하였음...
GS칼텍스 자회사에서 시스템
및 네트워크 관리를 맡고 있던 정모씨(28)는 올해 7월
초 고교동창생 왕모씨(28)에게 업무중 갖고 있던 일부 고객정보를 보여주었습니다. 그들은 이 정보를 이용할 방법을
찾던 중 사진 스튜디오에서 근무하던 사회후배 김모씨(24)를 만나 ‘돈이 될 것 같다’는 얘기를 듣고 정보유출을 본격적으로 모의하게 됩니다.
7월 ~8월: 정씨는 한달 여 동안 GS칼텍스 보너스카드 고객 데이터베이스(DB)서버에 접속해 주민등록번호와 성명, 주소, 자택 및 휴대전화번호, 이메일 정보 등
개인정보만 꾸준하게 추출해 냈다고합니다. 이과정에서 상급자의 결재를 받아서 백여차례에 걸쳐서 계획적으로 고객정보를 빼내었습니다.(사무실내 자신의 업무용 PC를 이용하여 수백차례에 걸쳐 복사해 다른 파일로 저장하였다고 합니다. )
사건 초기 GS칼텍스 측은 "고객 정보를 다운로드하는 기능 자체가 없어 PC에 데이터를 내려받을 수 없다"고 자체사고 가능성을 부인했지만
경찰관계자는 "DB를 직접 다운받을 수는 없었지만, 복사라는 간단한 방법으로
데이터를 PC에 내려받을 수 있었다"고 설명했다.
8월 29일: 정씨가 빼낸 고객정보를 GS넥스테이션 여직원 배모(30)씨가 엑셀파일 형태로 변환하였고 이를 왕씨와 김씨는 새로운 DVD 6장으로 복사함
8월 29일~9월 1일: 왕씨와 김씨는 고객DB의 판로 모색함
9월 2일: 김씨는 ‘유흥가 뒷 골목에서 DVD를 주웠다’며 3개
언론사 관계자와 접촉하여 제보함.
정씨 등은 "개인정보 유출 사건이 사회적 이슈로 떠오르면 자신들이 갖고있는 정보의 가치는 더욱 커진다고 판단해
언론사 접촉에 나섰다"고 합니다.
경찰 관계자는 “여러군데 판로를 모색하다 어렵게 되자 개인정보 유출
문제가 이슈화하면 정보가치가 올라갈 것으로 판단해 언론에 허위 제보한 것으로 보인다”고 말했습니다. 정씨는 고교동창생 왕모(28)씨의 사회후배인 김모(24)씨를 시켜 9월2일 서울 시내 모 식당에서 모 언론사 기자, 방송국 PD, 무가지 신문 기자 등 언론인 3명을 만나 DVD를 건네주며
"강남 역삼동 유흥가 골목 쓰레기 더미에서 주웠다"는 내용의 허위제보를
전달했다고 주장하고 있습니다.
결국 9월5일 모 언론사를 통해 보도된 DVD의 존재는 경찰수사의 출발점이 되었습니다. 경찰은 고객 정보가 내부 직원을 통해 유출됐을 가능성이 크다고 보고 DB 접근 권한을 가진 직원을 상대로 수사를 벌이다 정씨의 PC 하드디스크가
기사가 나간 당일 교체된 점 등을 의심해 집중 수사를 벌였다고 하구요. 사건 초기 정씨는 혐의를 부인했지만
경찰이 자신의 컴퓨터 하드디스크가 교체됐고 유출 CD 정보구조와 그가 사용하는 데이터구조가 동일한 점
등 물적 증거를 들이대자 범행을 털어놨다고 합니다. 정씨는 현재 이들 외에 추가 유출은 없다고 진술하고
있으나 경찰은 액면 그대로 받아들이기 힘들다는 입장입니다. 유출시점이 다소 지난 점, 범행 은폐를 시도한 점, 동기가 돈이 목적이었던 점 등으로 미뤄
어떤 식으로든 이미 유출이 이뤄졌을 가능성도 배제할 수는 없다는 뜻입니다. 검찰은 이에 따라
이들의 여죄와 추가 공범을 캐는 동시에 피해를 최소화하기 위한 작업을 벌이고 있다고 합니다.
경찰은 이들이 빼낸 정보가 시중에 유통됐을 가능성에
대해서도 수사를 벌이고 있습니다. 이들이 정보를 유통했을 경우 명의도용이나 금융사기 등 범죄에 이용될 가능성도
커 대규모 2차 피해도 우려됩니다.
GS칼텍스 측은 이날 오후 3시30분부터
회사홈페이지(www.gscaltex.co.kr)
및 마케팅사이트(www.kixx.co.kr)에서
본인의 정보유출 여부를 확인할 수 있도록 했습니다.
N사 대표: 형사입건,
시스템/네트웍담당직원 정모씨, 왕모씨 (정모씨 친구), 김모씨 (왕모씨 후배): 검거 (구속영장신청)
N사 여직원: 불구속
현행 정보통신망보호법은 이용자의 개인정보를 취급하고
있거나 취급했던 자는 직무상 알게 된 개인 정보를 누설해서는 안 되며 알면서도 이를 영리 또는 부정한 목적으로 제공받을 경우 5년 이하의 징역이나 5000만원 이하의 벌금에 처하도록 규정하고
있다
1. 소송으로 인한 배상금 지급
현재 인터넷카페를 중심으로 단체소송이 준비되고 있습니다.
네이버 카페 (종합법률사무소
백로): 지난 4월 포털사이트 네이버에 옥션 개인정보
유출 사건 관련 카페를 개설, 집단소송 활동을 진행해 온 ‘종합법률사무소 백로’의 백승우 변호사는 카페 공지사항을 통해 “7일 오후 2시 (GS칼텍스 고객정보 유출 사건 관련) 경찰의 중간수사결과 발표 역시
내부자 소행으로 밝혀졌다”며
“GS칼텍스
또는 GS칼텍스로부터 고객정보를 관리 위탁받은 자회사 중 적어도 한 회사는 이번 1100만명 개인정보 유출 피해에 대한 책임을 지게 됨이 명백해졌다”고 집단소송에 나설 것임을 분명히 밝혔습니다. 소송 청구금액은 1인당
100만원으로 책정해 소송을 제기하되 향후 수사결과나 증거조사 결과 밝혀지는 유출의 과정이나 경위 등을 살펴 증액하는 방안도 고려
중에 있다고 밝혔습니다.
다음 카페 (법률사무소
동국): 이뿐만 아니라 ‘법률사무소 東國’의 이동국 대표 변호사 역시 7일 포털사이트 다음 카페를 통해 GS칼텍스 관련 집단소송 인단을
모집하기 시작했습니다.
이 변호사는 공지사항을 통해 “과거 정보유출 사건과 관련해 리니지 사건 10만 원, 국민은행 사건 20만
원, LG 사건은 70만 원을 각각 배상하라는 확정 판결이
있었다”며
“금번 GS칼텍스 사건은 직원이 불법으로 개인정보를 CD에 복사해 유출한
것으로, 발견된 CD뿐만 아니라 다량의 CD가 있을 것으로 판단되므로 회원들의 피해 가능성이 농후하고 소송에서 승소할 가능성이 매우 크며 다른 사건들보다
배상액수도 더 많을 것으로 보고 있다”고 밝혔습니다. 이 변호사는 진행상황에 따라
약간의 변동은 있겠지만, 개인당 청구금액을 1인당 200만 원으로 생각하고 있다고 밝혔습니다.
1100만명이 전부 소송에 참여하고 승소하여 100만원씩 배상을 받게 될 경우 회사측은 11조원의 배상금과 소송비용을 지불해야 합니다.
2. 회사의 브랜드 가치 하락과 회원탈퇴및 매출 감소
사실 이것이 가장 무서운 것이라고 생각됩니다. 고객정보 유출의 경우 대외적인 회사의 신뢰도를 크게 떨어뜨리며 다수 회원의 탈퇴및 매출하락으로 이어집니다. 특히 온라인 사업을 하는 경우엔 회사의 존속에 위협을 줄 수 있는 정도의 타격이 예상됩니다.
GS칼텍스의 현 보안수준:
1.
DB조회 권한제한및 보안절차: 최소한의 업무담당자만 정보에 접촉권한을 가짐, 조회로그를 남기고 검색이 가능했음 (권한자
12명으로 제한되어 있었음)
2. 부족한 관리자/사용자 교육: 비밀
유지서약서를 받는 등의 비교적 평범한 보안 수준
3. 모니터링 및 감사활동 부족: 회사
직원이 두 달 동안 수십 차례에 걸쳐 개인 컴퓨터에 고객 정보를 내려 받았고 USB나 CD롬에 담아 외부로 빼냈지만, 회사는 이를 눈치 채지 못했습니다.
4. 암호화 미도입: 고객
정보가 암호화되지도 않아, 특별한 기술이 없이도 손쉽게 손에 넣을 수 있었습니다.
GS칼텍스측의 대책발표
1. 데이터베이스 암호화
10월말까지 완성
2. 보안USB 도입
3. 회사 및 자회사에 대한 보안교육 강화
타 기업에 주는 보안 의미및 대책
1. 보안절차가 정리되어 있다하더라도 모니터링/ 감사 되어 지지 않으면 의미가 없다.
3. 보안에 대한 책임소재를 분명히 하고 실재로 책임을 지는 시스템이 필요하다.
4. 가장 좋은 보안 교육은 모니터링되어진 내용을 사용자들에게 피드백해주는 것이다.
5. 고객DB를 조회하는 모든 시도는 로그로 남겨야 하고 최소한의 인원으로 제한해야 하며 정기 감사가 필요하다.
6. 고객정보를 PC에 보관할수 없도록 교육하며 실제 감사활동으로 고객정보가 PC에 보관된 것을 적발하여 처벌할 필요가 있다. (고객데이타의 패턴을 검색하여 감사해주는 솔루션 도입할 필요가 있음.