의원실의 국정감사자료
[홍지만의원실-20121009][문방위] 방통위_안랩(안철수연구소), 개인정보유출 사과해야
의원실
2012-10-09 09:41:55
43
43
SK컴즈 및 넥슨의 4,820만명 개인정보유출,
안철수연구소가 보안관제 담당인 것으로 드러나
- 안철수 원장은 대국민 사과해야 -
1. 안랩, SK컴즈 등 6건의 대형 해킹사고 당시 보안관제 및 백신공급 맡아
□ SK컴즈 해킹사고는 유사 이래 가장 많은 개인정보가 유출된 해킹사고로써 당시 네이트온과 싸이월드 회원 3500만명의 개인정보가 유출되었음.
→대통령, 국무위원, 국회의원 등 대한민국 성인 대부분의 개인정보 유출
□ 방송통신위원회의 자료에 따르면 해킹 사고 당시 SK컴즈에 대한 외부침입을 감지․차단하는 보안관제서비스를 안랩이 담당하고 있었던 것으로 드러났음.
→SK컴즈(네이트/싸이월드) 해킹의 경우, 외부에서 불법침입을 통해 관리자PC를 감염시킨 후 개인정보를 유출시킨 사건이기 때문에 외부침입을 감지하고 차단하는 보안관제의 역할이 중요할 수밖에 없었음. 안랩 책임 매우 커.
→따라서 최근 SK컴즈와 관련한 이용자들의 손해배상 소송에서 법원이 이용자의 손을 들어주고 있는 것에 비춰볼 때 SK컴즈의 보안관제를 담당했던 안랩 역시 책임을 면할 수 없을 것으로 보임. 안랩도 2012년 분기보고서에서 이 소송사건들을 중요한 소송사건으로 분류하고 있음.
□ 더 충격적인 것은 SK컴즈 외에도 많은 개인정보가 유출된 다른 대규모 해킹사건에서도 안랩이 보안관제나 백신 담당업체였다는 사실임.
→지난해 SK컴즈 해킹사고 4개월여 후(2011년 11월 18일)에 터진 넥슨의 메이플스토리 해킹(개인정보 1,320만건 유출) 때도 안랩이 보안관제를 담당하고 있었고, 2008년 1월 3일 옥션 해킹(개인정보 1,900만건 유출)에서도 안랩이 투자하고 기술제휴를 한 당시 자회사 ‘인포섹’이 보안관제를 담당하고 있었음.
→이외에도 각각 해킹으로 422만건의 개인정보가 유출된 EBS(2012년 5월), 35만건이 유출된 한국앱손(2011년 8월), 175만건이 유출된 현대캐피탈(2011년 4월) 등에서도 바이러스백신으로 ‘안랩의 V3’를 사용했던 것으로 드러나 큰 충격과 함께 안랩의 기술력에 대한 의문을 낳고 있음.
□ 특히 경찰청 사이버테러대응센터의 자료에 따르면, 2011년 7월에 발생한 SK컴즈 해킹과 이후 4개월여 만에 발생한 11월의 넥슨(메이플스토리) 해킹의 경우, 2건 모두 중국발IP를 통해 외부에서 개인정보에 접근가능한 직원PC를 해킹해 악성코드를 감염시킨 다음 개인정보를 유출한 사건으로 해킹수법이 동일함.
→그런데 수사결과 SK컴즈 뿐만 아니라 넥슨의 보안관제도 안랩이 담당했던 것으로 드러났음. 즉, 해커들이 안랩의 보안취약점을 노리고 안랩이 보안관제를 맡고 있던 SK컴즈를 해킹한 지 4개월도 지나지 않아 또다시 안랩이 보안관제를 담당하고 있던 넥슨까지 뚫어버린 것임.
→따라서 안랩은 SK컴즈와 넥슨 해킹으로 인한 4820만명(중복포함)의 피해에 대한 책임을 결코 면할 수 없음.
□ 이처럼 SK컴즈 외에도 대량의 개인정보가 유출된 해킹사고 당시 안랩(안철수연구소)이 보안관제 및 백신프로그램을 공급했던 사실이 밝혀짐에 따라 많은 개인정보 유출 피해자들이 안랩을 상대로 한 집단소송을 벌일 것으로 예상됨.
2. 안랩이 북한에 V3견본품 제공 의혹, 북한의 잦은 대남 해킹에 활용됐나
□ 안랩이 2000년 통일부 및 국가정보원의 승인 없이 V3 견본품을 비공식적으로 북한에 넘긴 의혹이 있는데, 만약에 그렇다면 이것이 북한의 해킹 기술 연구개발의 교본으로 쓰였을 가능성을 배제할 수 없음.
→경찰청 사이버테러대응센터의 자료에 따르면, 지난해 7월부터 11월까지 연달아 발생한 SK컴즈/한국앱손/넥슨의 개인정보 유출사건은 모두 중국발IP를 통해 관리자PC를 해킹한 것으로 당시 안랩은 이들 업체의 보안관제 및 백신프로그램 공급을 담당하고 있었음.
□ 따라서 이들 사건에 대한 북한의 관련 여부를 배제할 수 없으며, 북한에 제공된 안랩 제품과의 연계성에 대한 철저한 검증 필요.
3. 안랩은 백신탐지율 80의 B급 업체, 기술력 낮아 해킹에 자주 뚫려
□ 안랩의 보안관제 및 백신프로그램이 해킹에 무방비로 노출된 것은 안랩의 기술력이 세계적 보안업체들에 비해 턱없이 낮은데 있음.
→우리 보안시장에서 안랩 60 이상의 시장점유율을 지키다보니 국민들은 안랩의 기술력이 세계적 수준인 것으로 생각하고 있지만, 정작 세계적으로 권위있는 보안 및 백신평가매체인 바이러스 불러틴(Virus Bulletin)이 2011년 11월에 발표한 자료에 따르면 안랩은 백신 탐지율이 80 정도(기존에 알려진 바이러스 사후 탐지율 88/알려지지 않은 바이러스 사전탐지율 77)로 B급 업체에 불과한 것으로 드러났음. 특히 업계에서는 세계 50대 백신업체에도 포함되지 않는 상황임.
→실상이 이렇다 보니 안랩은 일본과 중국에 지사를 설립하고도 2011년 기준 수출액이 21억5천만원에 그치는 등 전체 매출액(1031억6,800만원)에서 차지하는 비중이 0.2에 불과함.
→이처럼 안랩의 기술경쟁력이 세계적으로 하위권이다 보니 주식시장에서 안랩에 대한 외국인 주주 비중 역시 1.38(2011년 기준) 밖에 되지 않는 등 외국 투자자들로부터도 외면당하고 있는 것으로 나타났음.
□ 안철수 원장은 안철수연구소 대표로 있던 지난 2004년 3월 23일, 한 언론(헤럴드경제-CEO인터뷰)에서 “2010년까지 세계 10대 보안 전문회사로서 국제적으로 인정받는 소프트웨어 업체가 되겠다”고 공언했고 3년내 일본에서 100억 매출과 중국 내 3대 보안업체 진입을 목표로 한다고 했지만, 이는 모두 공염불에 지나지 않았음.
→안철수 원장이 안랩의 기술경쟁력 투자와 강화에는 소홀한 채 외부강연과 교수, 정치인 등으로 활동하면서 정작 자신의 기반인 안랩은 나날이 하향 길을 걷고 있는 것임.
→연구개발비 비중도 2003년 매출액 대비 25.11이던 것이 2011년에는 25.20로 0.09P 증가하는데 그쳤음.
4. 안랩(안철수연구소), SK컴즈 해킹사고 피해자들로부터 집단소송 피소
□ 안랩(안철수연구소)의 2012년 1/4분기 분기보고서(63~64p)에 따르면 안랩이 지난 2011년 발생한 SK컴즈(네이트온-싸이월드) 해킹사건과 관련해 피해자 2,900여명(중복포함)으로부터 29억여원 가액의 손해배상 집단소송사건 4건에 대한 피고로 계류되어 있는 것으로 드러났음.
SK컴즈 해킹사고 관련 안랩 집단소송 사건(출처: 안랩 2012년 분기보고서)
사건번호
원고
피고
소송가액
소송내용
2011가합14138
강민재외 4인
(총 587명)
안랩 외 3인
5억8700만원
SK컴즈(네이트온)의 개인정보 유출과 관련하여 집단소송
2011가합13234
김경환외 1인
(총 1710명)
안랩 외 3인
17억 900만원
2011가합11733
강욱외 5인
(총537명)
안랩 외 3인
5억3500만원
2011가단79954
김경환외 3인
(총57명)
안랩 외 3인
5600만원
□ 최근 법원은 SK컴즈와 관련한 안랩 피소사건들을 서울서부지방법원 제12민사부에서 병합심사토록 결정했고 오는 11월 9일이 제5차 변론기일임. 해킹의 피해자들이 보안관제 업체를 상대로 집단소송을 제기한 것은 이번이 처음으로, 재판에서 보안관제를 담당했던 안랩의 실책이 인정될 경우 안랩이 보안관제 및 백신을 공급한 여러 건의 대형 해킹사고와 관련해서도 많은 집단소송이 제기될 것으로 예상됨.
안철수연구소가 보안관제 담당인 것으로 드러나
- 안철수 원장은 대국민 사과해야 -
1. 안랩, SK컴즈 등 6건의 대형 해킹사고 당시 보안관제 및 백신공급 맡아
□ SK컴즈 해킹사고는 유사 이래 가장 많은 개인정보가 유출된 해킹사고로써 당시 네이트온과 싸이월드 회원 3500만명의 개인정보가 유출되었음.
→대통령, 국무위원, 국회의원 등 대한민국 성인 대부분의 개인정보 유출
□ 방송통신위원회의 자료에 따르면 해킹 사고 당시 SK컴즈에 대한 외부침입을 감지․차단하는 보안관제서비스를 안랩이 담당하고 있었던 것으로 드러났음.
→SK컴즈(네이트/싸이월드) 해킹의 경우, 외부에서 불법침입을 통해 관리자PC를 감염시킨 후 개인정보를 유출시킨 사건이기 때문에 외부침입을 감지하고 차단하는 보안관제의 역할이 중요할 수밖에 없었음. 안랩 책임 매우 커.
→따라서 최근 SK컴즈와 관련한 이용자들의 손해배상 소송에서 법원이 이용자의 손을 들어주고 있는 것에 비춰볼 때 SK컴즈의 보안관제를 담당했던 안랩 역시 책임을 면할 수 없을 것으로 보임. 안랩도 2012년 분기보고서에서 이 소송사건들을 중요한 소송사건으로 분류하고 있음.
□ 더 충격적인 것은 SK컴즈 외에도 많은 개인정보가 유출된 다른 대규모 해킹사건에서도 안랩이 보안관제나 백신 담당업체였다는 사실임.
→지난해 SK컴즈 해킹사고 4개월여 후(2011년 11월 18일)에 터진 넥슨의 메이플스토리 해킹(개인정보 1,320만건 유출) 때도 안랩이 보안관제를 담당하고 있었고, 2008년 1월 3일 옥션 해킹(개인정보 1,900만건 유출)에서도 안랩이 투자하고 기술제휴를 한 당시 자회사 ‘인포섹’이 보안관제를 담당하고 있었음.
→이외에도 각각 해킹으로 422만건의 개인정보가 유출된 EBS(2012년 5월), 35만건이 유출된 한국앱손(2011년 8월), 175만건이 유출된 현대캐피탈(2011년 4월) 등에서도 바이러스백신으로 ‘안랩의 V3’를 사용했던 것으로 드러나 큰 충격과 함께 안랩의 기술력에 대한 의문을 낳고 있음.
□ 특히 경찰청 사이버테러대응센터의 자료에 따르면, 2011년 7월에 발생한 SK컴즈 해킹과 이후 4개월여 만에 발생한 11월의 넥슨(메이플스토리) 해킹의 경우, 2건 모두 중국발IP를 통해 외부에서 개인정보에 접근가능한 직원PC를 해킹해 악성코드를 감염시킨 다음 개인정보를 유출한 사건으로 해킹수법이 동일함.
→그런데 수사결과 SK컴즈 뿐만 아니라 넥슨의 보안관제도 안랩이 담당했던 것으로 드러났음. 즉, 해커들이 안랩의 보안취약점을 노리고 안랩이 보안관제를 맡고 있던 SK컴즈를 해킹한 지 4개월도 지나지 않아 또다시 안랩이 보안관제를 담당하고 있던 넥슨까지 뚫어버린 것임.
→따라서 안랩은 SK컴즈와 넥슨 해킹으로 인한 4820만명(중복포함)의 피해에 대한 책임을 결코 면할 수 없음.
□ 이처럼 SK컴즈 외에도 대량의 개인정보가 유출된 해킹사고 당시 안랩(안철수연구소)이 보안관제 및 백신프로그램을 공급했던 사실이 밝혀짐에 따라 많은 개인정보 유출 피해자들이 안랩을 상대로 한 집단소송을 벌일 것으로 예상됨.
2. 안랩이 북한에 V3견본품 제공 의혹, 북한의 잦은 대남 해킹에 활용됐나
□ 안랩이 2000년 통일부 및 국가정보원의 승인 없이 V3 견본품을 비공식적으로 북한에 넘긴 의혹이 있는데, 만약에 그렇다면 이것이 북한의 해킹 기술 연구개발의 교본으로 쓰였을 가능성을 배제할 수 없음.
→경찰청 사이버테러대응센터의 자료에 따르면, 지난해 7월부터 11월까지 연달아 발생한 SK컴즈/한국앱손/넥슨의 개인정보 유출사건은 모두 중국발IP를 통해 관리자PC를 해킹한 것으로 당시 안랩은 이들 업체의 보안관제 및 백신프로그램 공급을 담당하고 있었음.
□ 따라서 이들 사건에 대한 북한의 관련 여부를 배제할 수 없으며, 북한에 제공된 안랩 제품과의 연계성에 대한 철저한 검증 필요.
3. 안랩은 백신탐지율 80의 B급 업체, 기술력 낮아 해킹에 자주 뚫려
□ 안랩의 보안관제 및 백신프로그램이 해킹에 무방비로 노출된 것은 안랩의 기술력이 세계적 보안업체들에 비해 턱없이 낮은데 있음.
→우리 보안시장에서 안랩 60 이상의 시장점유율을 지키다보니 국민들은 안랩의 기술력이 세계적 수준인 것으로 생각하고 있지만, 정작 세계적으로 권위있는 보안 및 백신평가매체인 바이러스 불러틴(Virus Bulletin)이 2011년 11월에 발표한 자료에 따르면 안랩은 백신 탐지율이 80 정도(기존에 알려진 바이러스 사후 탐지율 88/알려지지 않은 바이러스 사전탐지율 77)로 B급 업체에 불과한 것으로 드러났음. 특히 업계에서는 세계 50대 백신업체에도 포함되지 않는 상황임.
→실상이 이렇다 보니 안랩은 일본과 중국에 지사를 설립하고도 2011년 기준 수출액이 21억5천만원에 그치는 등 전체 매출액(1031억6,800만원)에서 차지하는 비중이 0.2에 불과함.
→이처럼 안랩의 기술경쟁력이 세계적으로 하위권이다 보니 주식시장에서 안랩에 대한 외국인 주주 비중 역시 1.38(2011년 기준) 밖에 되지 않는 등 외국 투자자들로부터도 외면당하고 있는 것으로 나타났음.
□ 안철수 원장은 안철수연구소 대표로 있던 지난 2004년 3월 23일, 한 언론(헤럴드경제-CEO인터뷰)에서 “2010년까지 세계 10대 보안 전문회사로서 국제적으로 인정받는 소프트웨어 업체가 되겠다”고 공언했고 3년내 일본에서 100억 매출과 중국 내 3대 보안업체 진입을 목표로 한다고 했지만, 이는 모두 공염불에 지나지 않았음.
→안철수 원장이 안랩의 기술경쟁력 투자와 강화에는 소홀한 채 외부강연과 교수, 정치인 등으로 활동하면서 정작 자신의 기반인 안랩은 나날이 하향 길을 걷고 있는 것임.
→연구개발비 비중도 2003년 매출액 대비 25.11이던 것이 2011년에는 25.20로 0.09P 증가하는데 그쳤음.
4. 안랩(안철수연구소), SK컴즈 해킹사고 피해자들로부터 집단소송 피소
□ 안랩(안철수연구소)의 2012년 1/4분기 분기보고서(63~64p)에 따르면 안랩이 지난 2011년 발생한 SK컴즈(네이트온-싸이월드) 해킹사건과 관련해 피해자 2,900여명(중복포함)으로부터 29억여원 가액의 손해배상 집단소송사건 4건에 대한 피고로 계류되어 있는 것으로 드러났음.
SK컴즈 해킹사고 관련 안랩 집단소송 사건(출처: 안랩 2012년 분기보고서)
사건번호
원고
피고
소송가액
소송내용
2011가합14138
강민재외 4인
(총 587명)
안랩 외 3인
5억8700만원
SK컴즈(네이트온)의 개인정보 유출과 관련하여 집단소송
2011가합13234
김경환외 1인
(총 1710명)
안랩 외 3인
17억 900만원
2011가합11733
강욱외 5인
(총537명)
안랩 외 3인
5억3500만원
2011가단79954
김경환외 3인
(총57명)
안랩 외 3인
5600만원
□ 최근 법원은 SK컴즈와 관련한 안랩 피소사건들을 서울서부지방법원 제12민사부에서 병합심사토록 결정했고 오는 11월 9일이 제5차 변론기일임. 해킹의 피해자들이 보안관제 업체를 상대로 집단소송을 제기한 것은 이번이 처음으로, 재판에서 보안관제를 담당했던 안랩의 실책이 인정될 경우 안랩이 보안관제 및 백신을 공급한 여러 건의 대형 해킹사고와 관련해서도 많은 집단소송이 제기될 것으로 예상됨.