[단독] 옥션 해킹 피해 추가확인 파장…자신 정보유출 모른채 추가 피해 가능성

이번에 공개된 옥션 개인정보 유출 추정 규모는 기존 경찰 발표 수치와 900만명 가까이 차이가 난다. 경찰 관계자는 “복원 가능한 자료가 일부에 불과했기 때문”이라고 말했다. 삭제된 데이터 중 복원 불가능한 구간이 있는 만큼 개인 정보 유출 피해자에 대한 정확한 수치 발표는 불가능하다는 것이다. 때문에 자신의 정보 유출 사실을 모르는 피해자가 상당수 존재할 가능성이 높다.



◆기존 발표 숫자와 왜 다른가=경찰은 2008년 2월 옥션의 자진 신고로 개인정보 유출 사건을 조사하기 시작했다. 조사 결과 경찰은 옥션 시스템 분석을 통해 해커가 직접 옥션 데이터를 탈취, 국내 모 의류업체 서버에 백업 파일을 생성한 후 중국으로 가져갔음을 확인했다. 이 의류업체 서버 역시 정보를 가져가기 위한 경유지로 해킹을 당한 것이다.



경찰은 이 의류업체 서버를 분석하는 과정에서 삭제된 백업 파일 자료를 발견하고 복원을 시작했다. 이후 복원된 자료를 다시 옥션 회원 자료 등과 대조하며 회원 정보를 일일이 재확인했다. 경찰은 이 같은 과정을 통해 회원 정보가 공식 확인된 수치만을 정보유출 인원으로 발표했다.



하지만 서버 내 삭제된 데이터 위에 다른 데이터를 덮어쓸 경우 그 구간은 복원이 불가능하다. 때문에 유출 가능한 개인정보 의심 건수를 모두 확인하지 못한 것으로 보인다.



경찰 관계자는 “디지털 데이터는 쉽게 변조되고 위조될 수 있어 실제로 몇 명의 개인정보가 유출됐는지는 복원되지 않은 자료를 포함한 데이터 상의 회원정보와 실제 회원정보를 직접 대조해봐야 한다”며 “데이터 백업 파일이 만들어졌다는 사실로 모든 정보가 유출됐다고 단언하기는 어렵다”고 말했다. 그는 이어 “현재 중국 공안과 공조 수사를 하고 있다”며 “범인을 검거한 뒤 조사를 마쳐야 정확한 유출 규모를 파악할 수 있다”고 설명했다.



◆개인 정보 피싱에 이용될 수도=옥션은 경찰 조사발표 이후 개인정보 유출 확인 서비스를 통해 회원에게 정보 유출 여부를 확인토록 했다. 정보 유출이 확인된 회원들에게는 개인정보를 수정하고 옥션을 통한 은행 거래계좌를 바꾸도록 했다.



그러나 실제로 유출된 옥션 개인정보 건수가 수사보고서 상 추정 전송건수(1971만건)와 큰 차이가 없다면 당시 회원 절반 정도는 잘못된 정보를 받았을 수 있다. 이 경우 개인정보 유출 대상자가 아니라는 통지를 받은 회원이 아이디나 계좌번호 수정을 하지 않았다면 현재까지도 피싱 등에 악용되고 있을 가능성이 높다는 게 전문가들의 지적이다.



재판에도 영향을 미칠 수 있다. 소송이 가능했던 원고인단 숫자가 달라지기 때문에 재판 성격이 달라질 수 있다. 옥션 피해자 소송인단 원고 측 박진식 변호사는 “그동안 옥션이 개인정보 유출 건수를 정확히 공개했다는 점이 판결에 긍정적인 영향을 미쳤던 만큼 이번 자료가 사실로 밝혀질 경우 재판 결과도 달라질 수 있다”고 말했다.

전웅빈 기자, 쿠키뉴스 김현섭 기자 imung@kmib.co.kr