두루넷 인터넷 쇼핑몰(www.thrushop.com)을 이용한 개인회원 수만명의 신상정보가 인터넷 사이트에 무방비로 노출됐던 것으로 밝혀져 파문이 일고 있다.
특히 이번에 노출된 자료에는 회원 이름을 비롯해, 집 주소와 휴대전화번호, 전자우편 등 각종 중요한 개인 신상정보들이 자세히 수록돼 있어 개인정보 유출에 따른 피해가 우려되고 있다.
<오마이뉴스>가 최근 입수한 '두루넷 쇼핑 자료 원본'이라는 제목의 문건에는 지난 1월1일부터 10월 2일까지 두루넷 쇼핑몰을 이용했던 2만1822명의 고객들의 이름, 집 주소, 유무선 전화번호, 전자우편과 상품 주문 현황과 배송 상태 등이 그대로 기록돼 있다.
<오마이뉴스> 취재진이 지난 24~26일에 걸쳐 이들 고객 가운데 무작위로 20여명을 상대로 전화로 확인해 본 결과 문서에 기록된 날짜와 상품명, 개인 정보 등이 정확히 일치한 것으로 나타났다.
지난 10월 2일 '파워유청골드'라는 상품을 구입한 것으로 기록돼 있는 황 아무개씨(서울시 강남구)는 "그때 그곳을 통해 물건을 산 것은 맞다"면서 "쇼핑몰의 생명은 보안인데, 어떻게 그와 같은 개인정보가 나돌 수 있는지 이해가 안된다"며 목소리를 높였다.
또 기자에게 '어떻게 자신의 (핸드폰) 번호를 알았느냐'고 되물었던 양 아무개씨(부산시 사하구)는 "쇼핑몰의 보안시스템이 그 정도로 허술하다면 큰 문제"라며 "아직까지 이로 인한 피해가 발생한 것은 아니지만 앞으로 쇼핑몰 이용하기가 겁날 정도"라고 토로했다.
그는 두루넷 쇼핑몰을 통해 지난 9월 말 '하모니 칼라주전자'라는 물건을 구입했다.
이들 이외 대부분의 쇼핑몰 이용자들은 자신들의 정보가 어느 정도까지 공개됐느냐고 되물으면서 허술한 개인정보 보안 시스템에 분통을 터뜨렸다.
수만명의 개인정보가 수개월동안 방치?
이같은 내용이 알려진 것은 지난 12월 초, 김 아무개씨가 우연히 인터넷 검색엔진을 통해 들어간 웹사이트를 통해서다. 그가 당시에 접속했던 사이트로부터 두루넷 쇼핑몰 이용자들의 정보가 담겨져 있는 파일을 열어볼 수 있게됐다는 것이다. 김씨가 파일을 받았을때의 파일 주소는 'http://XXXXX.kcp.co.kr/thrunet/excel_file/thrunet_shop_2002_10_02_04_12_03.csv'이었다. 그가 접속했던 사이트는 최근에야 비로소 폐쇄 됐고 이같은 파일도 더 이상 열리지 않는다.
김씨는 파일 내용 자체가 쇼핑몰을 이용한 이용자들의 신상정보를 자세히 담고 있어, 해당 쇼핑몰 관계자에게 이같은 사실을 알렸다. 하지만 회사쪽으로부터 김씨가 받은 답변은 실망스러운 것이었다.
김씨는 "해당 쇼핑몰 운영자가 '그와 같은 정보가 유출될 가능성이 없다'는 내용의 답장을 보내왔고 이후 별다른 조치를 취하지 않았다"면서 "파일을 입수한 경위를 알려주었고 해당 사이트가 패쇄되긴 했지만 이런 식의 개인정보 유출은 심각한 문제"라고 지적했다.
문제는 이같은 개인정보가 어떻게, 얼마나 웹사이트에 노출돼 있었느냐다.
A4 용지 20매 분량으로 마이크로소프트 엑셀파일 형식을 갖추고 있는 파일 문서의 크기는 5메가바이트(M byte)를 훨씬 넘을 정도로 상당히 큰 편이다.
쇼핑몰을 이용한 날짜와 주문상품 이름, 가격, 주문번호와 배송상태, 입금 방법 등 자세한 상품내역과 함께 회원 성명, 우편번호, 주소, 전자우편, 유무선 전화번호 등이 상세히 적혀있기 때문이다.
파일 내용을 보면, 지난 9월 23일 이후 주문된 물량에 대해 '배송중'이라고 적혀있고, 10월 2일까지는 배송이 되지 않은 상태에서 '입금 완료'라고만 적혀 있는 점을 감안할 때 결제나 배송을 담당하는 곳에서 파일이 만들어졌을 가능성이 크다.
또 지난 10월 초부터 수개월동안 문건이 인터넷상에 그대로 방치돼 있을 가능성도 배제할 수 없다.
두루넷 쇼핑몰쪽, 정확한 원인을 파악중
| | | 통신서비스 업체들, 개인정보 누출에 무감각 | | | | 최근 들어 인터넷을 통한 상거래가 일반화되면서 이를 이용하는 고객들의 정보가 각종 경로를 통해 누출되고 있다. 또 이렇게 새어나간 정보들은 각 업체들의 불법 판촉행위로 이어지면서 소비자 피해가 심각하다.
특히 통신서비스에 가입한 소비자들의 신상정보 노출 사례가 빈번하다. 이는 개인정보 보호의 중요성에 대한 통신서비스 사업자들의 무감각과 무지에 따른 결과라는 것이 통신업계 전문가들의 지적이다.
최근 KTF는 016 가입자 가운데 9천번대 국번 사용자들의 신상정보를 한 인터넷 사이트를 통해 누구나 볼 수 있는 상태로 오랜 기간 방치했던 것으로 드러나 충격을 줬다.
이 같은 사고는 KTF와 제유하고 있는 한 무선인터넷 콘텐츠 업체가 개발한 모바일 쿠폰의 연동시험을 위해 KTF의 가입자 정보를 공유한 것이 원인이 됐다. 이는 엄연히 가입자들의 동의를 받아야 하는 약관을 위반한 것이다.
또 지난 10월부터 전화 정액요금 상품을 판매하고 있는 KT도 판촉을 위해 통합고객정보시스템을 일반직원들에게까지 개방해 물의를 일으켰다. 전화이용자들의 주민등록번호는 물론 부가서비스 상품 가입현황, 요금남부 내역, 요금결제계좌번호 등 개인 비밀 정보들도 광범위하게 노출시켰다.
LGT도 지난 7월 무선인터넷 서비스 '이지 아이' 판촉행사를 위해 개발한 사이트의 한 코너에서 019 가입자들의 이름, 주민등록번호, 주소 등의 개인정보를 노출시킨 바 있다. 더욱이 LGT는 가입자들로부터 개인정보 노출 사실을 신고 받고도 한동안 이를 묵살했던 것으로 알려졌다.
| | | | |
현행 정보통신망 이용촉진및정보보호등에관한법에 따르면 통신업체는 가입자의 신상정보를 안전하게 관리해야 한다. 또 이들 정보를 분실하거나 유출시키지 말아야 되며, 도난당해서도 안된다고 적고 있다.
특히 규정을 위반하여 이용자의 개인정보를 훼손·침해 또는 누설한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다고 되어 있다.
참여연대 시민권리국 한재각 팀장은 "이번 문제는 OECD 프라이버시 보호 8대 기본원칙의 '정보보호의 안정성'에 명백히 위반되는 것"이라며 "어떤 형태로든 고객들의 신상정보가 노출됐다면 노출 당사자는 물론 관리감독을 해야 하는 두루넷쇼핑도 그 책임을 피할수 없다"고 말했다.
이에 대해 두루넷 쇼핑몰의 개인정보담당 임원은 "쇼핑몰의 온라인 결제 등을 담당하고 있는 KCP라는 회사와 함께 정확한 원인을 파악 중에 있다"고 말했다.
그는 이어 "KCP쪽으로부터 김씨가 받았다는 파일의 디렉토리가 존재했다는 보고를 받았다"면서 "하지만 디렉토리의 내용이 김씨의 파일내용과 같은 것인지, 어떻게 외부로 나갔는지 확인중에 있다"고 밝혔다.
쇼핑몰의 온라인 결제와 배송 등의 전산시스템을 담당하는 KCP의 마케팅 지원팀 관계자는 "기능적으로 제한이 돼 있기 때문에 상식적으로 그와 같은 파일이 만들어진 것 자체가 이해가 안된다"면서 "자체 기술팀이 두루넷 쇼핑쪽과 접속 경로를 확인하는 등 원인을 찾고 있는 중이며 오는 30일께나 결과가 나올 것"이라고 밝혔다.