화면낭독기 사용시 다음 링크들을 이용하면 더 빠르게 탐색할 수 있습니다.
 
즐겨찾기 문화일보 PDF

EBS 회원DB 암호화조차 안했다

경찰 "정보유출 사건 수사중 일부 확인"
경영진 부실관리 책임 형사처벌 주목
막대한 공적재원 지원 무색 논란 확산 

신동규 기자 dkshin@dt.co.kr | 입력: 2012-05-21 20:26
[2012년 05월 22일자 1면 기사]

원본사이즈   확대축소   인쇄하기메일보내기         트위터로전송 페이스북으로전송 구글로전송
EBS 회원DB 암호화조차 안했다
지난 17일 해킹으로 400만건의 회원정보가 유출된 한국교육방송공사(EBS) 사건을 수사하는 과정에서 EBS가 암호화되지 않은 회원 데이터베이스(DB)를 보유하고 있는 사실이 밝혀졌다. 국가의 지원을 받는 공영방송이 법을 어기면서 회원 정보를 제대로 관리하지 않았다는 점에서 경영진에 대한 책임 논란이 불거질 전망이다.

21일 이번 사건을 수사중인 경찰청 사이버테러대응센터 관계자는 "이번 해킹을 통한 유출분과 관계없이 경찰 조사 결과 EBS가 특수목적으로 따로 관리중인 일부 회원DB가 암호화되지 않은 것으로 확인이 되고 있다"고 밝혔다. 이 관계자는 "이번에 유출된 400만명의 정보가 암호화되지 않았다는 의미는 아니지만, 조사중에 발견한 일부 다른 DB가 암호화되지 않은 것이 확인되고 있다는 의미"라고 부연했다.

하지만 EBS의 이같은 회원DB 관리 실태로 볼 때 이번에 유출된 회원정보가 암호화되지 않았을 수도 있다는 분석도 제기되고 있다. 현재 정보통신망법 시행령은 15조 4항에서 `비밀정보 및 바이오정보의 일방향 암호화 저장'을 규정하고 있다. 이에 따라 정보통신 서비스 제공자로 분류되는 EBS가 이를 어겼을 경우 2년 이하의 징역 등 형사처벌 대상이 될 수 있다. 익명을 요구한 보안 전문가는 "경찰 수사 결과 발표에서 일부 데이터베이스의 비밀번호를 암호화하지 않은 것이 사실로 밝혀질 경우 (경영진이) 관리적 책임을 피할 길이 없다"고 말했다. 또 다른 보안업계 관계자는 "해커들의 암호화 해독 기술이 일취월장하는 상황에서 짧은 시간 내에 해독할 수 있는 취약점을 보이는 `MD5' 수준의 암호화는 암호화를 안한 것으로 간주할 정도로 고객이나 회원DB 암호화에 대해 관심을 쏟는 분위기"라며 "이런 환경에서 경영진이 주요 회원 DB를 암호화 시도조차 안 했다는 것이 밝혀지면 책임을 피할 길이 없을 것"이라고 말했다.

또 이번 사고로 유출된 것으로 추정되는 회원 약 400만명 가량의 이름, 아이디, 전화번호, 이메일, 주소 등의 DB관리가 EBS 본사가 아닌 아웃소싱 업체 관리하에 있었던 것으로 알려져 관리 책임 문제까지 불거질 것으로 보인다. 특히 국민의 세금으로 운영된다고 해도 과언이 아닌 공영방송이 회원들의 정보를 허술하게 관리했다는 점에서 경영진의 책임논란에도 직면할 것으로 보인다. EBS는 지난해 3월 EBSi 수능강의 사이트가 분산서비스거부(DDoS) 공격을 받았던 터라 사후 대응 미숙 및 관리책임 논란은 더욱 커질 것으로 보인다.

EBS는 KBS, MBC, SBS 등과 함께 국내 지상파 4사중에 하나로, 올해 정부로부터 받는 공적재원이 761억원, EBS 수능 반영비율 향상 등으로 수익이 늘어 총 한해 매출이 2700억원으로 껑충 뛰었다. 공적재원은 해마다 늘고 있어 2010년의 경우 전년 대비 78%나 증가한 312억원을 기록한 바 있다. 특히 이 중 방송통신전파진흥원으로부터 지원받는 프로그램 제작지원금이 37억원인 것으로 알려졌다.

한편 경찰은 EBS측이 이번 공격을 중국발(發)IP 공격으로 발표한 것과 관련, "중국 IP 배후설은 EBS측 입장으로 정확한 수사 결과를 지켜봐야 정확한 유출 규모 및 공격 배후지 등을 특정할 수 있다"고 밝혔다.

신동규기자 dkshin@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
DT Main
선풀달기 운동본부
연예 섹션