28일 방송통신위원회(위원장 이효성, 이하 방통위)는 전체회의를 개최, 이스트소프트의 개인정보 유출 조사결과를 발표하고 행정처분을 내렸다고 밝혔다.

방통위는 지난해 이스트소프트로부터 개인정보 유출신고를 받고, 작년 9월 2일부터 과학기술정보통신부, 한국인터넷진흥원(KISA)과 함께 현장조사를 실시했다. 이어 조사로 확보한 사고 관련자료를 분석해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 확인했다.

지난해 12월에 검거된 해커는 이스트소프트의 ‘알툴바’ 서비스에 접속하면 외부 사이트 주소, 아이디, 비밀번호 등 이용자들이 저장한 ‘알패스’ 정보를 열람할 수 있음을 알고, 정보를 유출할 목적으로 해킹프로그램 ‘알패스(Alpass)3.0.exe’를 제작했다. 이를 이용해 미상의 방법으로 계정정보를 유출했으며, 이 정보를 토대로 ’알패스‘ 서비스에 사전대입 공격을 한 것으로 밝혀졌다.

해커에게 유출된 개인정보는 ‘알패스’ 서비스 이용자의 외부 사이트 주소, 아이디, 비밀번호 2,546만 1,263건과 16만 6,179명의 계정정보(아이디/비밀번호)로, 이용자 1인당 약 150여건의 정보가 유출됐다.

또한 해커는 유출된 이용자의 알패스 등록정보를 악용, 이용자가 가입한 포털사이트에 접속했다. 이를 통해 유출한 주민등록증과 신용카드, 사진으로 휴대전화 개통 및 해킹에 사용할 서버 5대를 임대했고, 암호화폐 거래소에 접속해 이용자가 보유 중인 암호화폐를 출금한 것으로 나타났다.

이번 조사과정에서 이스트소프트는 ▲적절한 규모의 침입차단·탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 점 ▲개인정보가 열람권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 필요한 보안대책 및 개선조치를 취하지 않은 점 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’에서 정한 개인정보 보호조치 규정(접근통제)을 위반한 것으로 나타났다.

방통위는 이스트소프트의 ‘알패스’가 이용자의 계정정보 등 민감한 정보를 다루고 있는 소프트웨어임에도 불구하고, 개인정보 보호조치 규정을 준수하지 않아 발생한 사건이라고 판단했다. 특히, 규정 미준수로 인한 취약점이 이번 해킹에 직·간접적으로 악용됐으며, 피해규모가 크고 유출된 개인정보를 활용한 추가 피해가 확인된 점 등을 종합적으로 고려해 행정처분을 의결했다고 밝혔다.

이효성 방통위원장은 “정보통신서비스제공자는 이용자를 가장한 해커의 웹페이지 공격이 성행함에 따라 피해를 예방할 수 있도록 보안을 강화할 필요가 있고, 이용자들도 서비스 이용 시 비밀번호 관리에 각별히 유념해야 한다”며, “방통위는 온라인 분야의 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다”고 말했다.