하나투어가 주민등록번호 등 고객정보를 암호화했지만 유출을 막지 못한 것으로 드러났다. 개인정보를 저장한 데이터베이스(DB) 암호화 외에 접속기록 이상 징후 탐지, 유지보수협력 직원 관리 부실 등 보호조치가 미흡했던 정황이다.

하나투어는 최근 공지문을 올려 유지보수 업체 직원 PC에 악성코드가 감염돼 개인정보가 유출됐다고 밝혔다. 유지보수업체 직원 관리 소홀을 시인했다. 2014년 발생한 카드 3사 개인정보유출사고 후 유지보수나 협력업체 직원 보안 관리가 강화됐지만 이번에도 침해 사고를 막지 못했다.

DB암호화 외에 기술적 조치도 이슈다. DB암호화는 암호화와 복호화가 이뤄지는 위치에 따라 두 가지로 나뉜다. 애플리케이션 방식과 그 외 방식으로 구분된다. 애플리케이션 방식은 암복호화가 모두 애플리케이션에서 이뤄진다. DB에 정보가 암호화돼 저장된다. DB와 애플리케이션 서버 간 통신에도 암호화된 데이터가 오간다.

다른 방식 역시 DB에 정보를 암호화해 저장하는 건 동일하다. 하지만 정보가 DB에서 나와 애플리케이션 서버로 올 때 암호화가 풀린 상태로 전송된다.

문제는 애플리케이션 방식이던 아니던 웹 애플리케이션 서버가 해킹당하면 둘 다 무용지물이다. 한 보안전문가는 “애플리케이션 서버는 암호화한 데이터를 복호화하는 정당한 절차를 갖고 있다”며 “해커가 이를 장악해 DB에 암호화된 정보를 복호화해 가져간다”고 설명했다. 그는 “이런 취약점을 막으려면 DB 암호화 외에 웹 서버 보호 조치에 투자해야 한다”고 덧붙였다.

또 다른 전문가는 “DB나 애플리케이션 서버에서 갑자기 과도한 개인정보를 조회하거나 내려 받으면 이상징후로 탐지해 차단하거나 조치해야 한다”면서 “이번 사고 역시 외부에서 개인정보 유출 사실을 먼저 인지해 하나투어에 통보해 조사가 이뤄졌다”고 설명했다.

10년 넘은 개인정보 보관도 거론된다. 하나투어는 유출된 개인정보가 2004년부터 2007년 사이 생성된 파일이라고 밝혔다. 최소 10년 전에 생성된 개인정보파일이다.

개인정보 유출 공지 과정도 논란이다. 하나투어는 홈페이지에 사과문을 올리고 정보유출조회 서비스를 시작했다. 하나투어는 개인정보가 유출된 고객에 '유출여부를 정확하게 확인하기 위해서 개인정보침해사고 전담센터로 문의하시기 바랍니다'라고 공지한다.

구체적 유출 내역을 알려면 온라인 조회 후 다시 전화를 해야 한다. 2014년 신용카드 3사는 유출 여부 서비스를 제공했는데 상세 내역을 모두 알려준 것과 비교된다.

한 피해자는 “온라인 조회할 때 알려주면 될 것을 전화까지 걸게 한다”면서 “상담원 대응도 미숙해 유출된 정보 범위를 제대로 설명하지 못한다”고 지적했다.

김인순 보안 전문기자 insoon@etnews.com