말문 연 SK컴즈...개선안 효과는 '미지수'

[아시아경제 김수진 기자] "회원정보 유출로 심려를 끼쳐드린 것을 국민 여러분들께 진심으로 사과드립니다."

SK커뮤니케이션즈의 주형철 대표와 임원진이 한꺼번에 고개를 숙였다. 29일 SK컴즈는 서대문 사옥에서 긴급 간담회를 개최하고 고객정보 보호와 2차 피해 예방대책을 내놨다. 28일 3500만명에 달하는 사상 최대 해킹사고가 발생한지 하루만이다. 그러나 이 날 발표된 개선안이 실제로 효력을 발휘할지 여부는 '미지수'라는 평가다.

주 대표는 "앞으로 보관 개인정보를 최소화하겠다"며 "이름과 아이디, 전화번호, 이메일, 비밀번호만을 보관할 것"이라고 말했다. 주소나 주민등록번호를 보관하지 않겠다는 것이다. 특히 주민등록번호의 경우 가입시 1회 본인인증만을 거친 후 보관하지 않겠다는 입장이다.

그러나 여기에는 '함정'이 있다. 현행 법률상 금융거래를 한 고객의 개인정보는 최소 5년간 보관해야 하기 때문이다. '전자상거래등에서의 소비자 보호에 관한 법률'은 주민번호는 물론이고 전화번호와 주소 등의 항목을 5년간 보장하도록 강제하고 있다. SK컴즈 서비스 내에서의 금융거래에는 싸이월드 도토리 구매 등이 해당된다. 싸이월드 서비스의 대다수가 도토리 거래를 바탕으로 이뤄지고 있다는 점을 감안할 때, SK컴즈의 최소화 결정과 상관없이 다수 회원의 주민번호는 계속 보관되는 셈이다. 이 부분에 대해서는 SK컴즈도 '묘안'을 찾지 못했다. 주 대표는 "정확한 통계는 없으나 상당수 고객이 금융거래를 하지않는 것으로 보고 있어 저장이 안 될 것으로 본다"면서도 "현행 법에 따라야 하는 부분이라 어쩔 수 없다"고 난색을 표했다. 현행법상 대안을 강구하기도 어려운 부분이다.

누출 개인정보 중 비밀번호와 주민번호는 최신기술로 암호화돼 안전하다고 자부하고 있으나 역시 장담하기 어렵다. 특히 주민번호는 바꿀 수 없는 정보다. 현재 기술로는 암호를 풀 수 없다고 하더라도 향후 2~3년 후 해독이 가능해질 수 있다. 이는 3500만명이라는 초대형 규모의 이번 사고가 '재앙'으로 번질 수 있다는 우려를 낳는다. SK컴즈 역시 "해킹 범죄자를 잡아야 한다"며 위험성을 시인했다. SK컴즈의 강은성 최고보안책임자(CSO)는 "시간이 지남에 따라 기술이 발전하면 (암호가 해독될)가능성이 있다고 본다"며 "수사기관과 협조해 빨리 검거하고 유출된 개인정보를 회수해야 한다"고 말했다.

기존 사고로 흘러나간 개인정보와 이번에 유출된 개인정보가 조합돼 악용될 가능성도 있다. 주민번호 등의 개인정보는 중국 현지에서 건당 30~50원에 거래되고 있는 것으로 알려져 있다. 이렇게 손에 넣은 기존 유출 정보와 이번에 빼낸 정보를 조합할 경우 비밀번호나 주민번호가 암호화돼 있어도 아무 소용이 없다는 얘기다. 이에 대해 강 CSO는 "기존 개인정보 유출사건과 (이번에 유출된 정보가) 조합될 경우에 대한 우려가 크다"면서 "기본적으로 비밀번호 변경캠페인을 벌이도록 하겠다"고 부연했다.

김수진 기자 sjkim@