중국 해커 조직이 국내 78개 인증기관의 평가 능력을 평가해 인정하는 한국인정지원센터(KAB)의 서버를 뚫어 회원사 직원들의 개인정보가 다량 유출됐다.

산업통상자원부 산하 기관인 KAB는 품질 및 환경 분야를 포함한 경영시스템 인증과 자격 인증 분야에서 인정하는 일을 한다.

20일 정보보안 업계에 따르면 중국 해커조직인 ‘샤오치잉’은 지난 18일 오후 KAB 회원사 직원들의 개인정보 데이터를 텔레그램에 유포했다.

이 파일에는 삼성전자, LG전자, 산자부, 환경부, 국방과학연구소 등 수십 곳의 기업·정부기관의 품질 관련 부서 전·현직 담당자들의 개인정보가 담겼다. 기관명과 부서, 주소는 물론 ID, 비밀번호, 이메일, 전화번호, 주민번를 식별할 수 있다.

유출된 정보는 총 4만 9000여 건이고, 이 가운데 1만 6800여 명은 주민등록번호까지 유출된 것으로 나타났다.

한국인터넷진흥원(KISA) 관계자는 “해킹 사실을 파악하자마자 산업부·국정원과 공유해 조치를 취했다"고 말했다.

개인정보보호법 제24조에 따르면 개인정보처리자는 주민번호 등 고유식별정보를 암호화해 저장해야 하지만 KAB는 이 조치를 하지 않은 것으로 파악됐다. 개인정보보호법 위반이다.

KAB 관계자는 “해킹 사실을 인지하고 19일 회원들에게 메일을 통해 유출 사실을 안내했고, 관련 데이터베이스를 모두 삭제했다”고 말했다.

KAB에 따르면 개인정보 외 중요 데이터 유출 피해는 없는 것으로 알려졌다.

하지만 유출 정보가 텔레그램 등을 통해 공유돼 추가 피해 우려를 배제할 수 없다.

보안업계 관계자는 “샤오치잉의 공개 후 중국 해커들 사이에서 해당 파일들이 공유되고 있다. 기업·기관의 주요 제품 담당자의 정보 유출이 추가 해킹으로 이어지면 국내 기술·산업 경쟁력에 치명적이고 산업스파이들에게는 좋은 재료가 될 수 있다”고 지적했다.

사이렌스 정기홍 기자 hong@naver.com 정기홍 기자의 기사 더보기

저작권자 ⓒ 사이렌스. 무단 전재 및 재배포 금지