“일회용 비밀번호 등 추가 보안 수단도 쓰지 않아”

하나투어 고객의 개인정보 유출 관련 재판이 지난 2일 서울동부지법에서 진행됐다. 사진은 하나투어 사옥ⓒ출처=더팩트

[오피니언타임스=이상우] 2017년 고객 개인정보의 대량 유출 사태와 관련된 하나투어 재판에서 해킹당한 노트북은 보안점검을 받지 않았다는 증언이 나왔다.

5일 업계에 따르면 서울동부지법 형사4단독 박준민 부장판사는 지난 2일 정보통신망법 위반 혐의를 심리하는 2차 공판기일을 열었다. 피고인은 김진환 하나투어 최고고객책임자(상무), (주)하나투어다. 증인으론 하나투어 데이터베이스(DB) 관리 업무를 담당한 외주업체 직원 황 모 씨가 출석했다.

하나투어는 2017년 9월 황 씨 노트북에 저장된 관리자용 계정을 해킹당했다. 해커는 이 계정으로 하나투어 DB를 휘저었다. 하나투어는 고객 개인정보 46만여건, 임직원 개인정보 3만여건을 빼앗겼다. 검찰은 지난 6월 비밀번호 암호화 등 정보통신망법상 보호조치를 하지 않았다며 김진환 상무와 하나투어를 불구속 기소했다.

2차 공판 때 황 씨는 야간 업무 등을 위해 사무실 업무용 PC와 별도로 집에서 개인 노트북 2대를 사용했다고 했다. 그는 노트북 바탕화면에 하나투어 보안망 접속이 가능한 접근 통제 솔루션의 아이디, 비밀번호를 담은 스티키 노트(Sticky Notes)를 저장했다고도 했다. 스티키 노트는 윈도 메모 프로그램이다.

황 씨는 자신의 PC와 노트북은 보안점검을 받지 않았다고 했다. 책상 서류나 민감한 정보를 적은 포스트잇 부착 여부 등은 점검받았지만 컴퓨터 속을 누가 들여다보진 않았다는 얘기다. 그는 일회용 비밀번호(OTP) 등 추가 보안 수단도 안 썼다고 했다.

다만 황 씨는 하나투어 중앙 시스템이 엑셀, 텍스트 등에 저장된 고객 개인정보를 찾아내 삭제하라는 지시를 했다고 했다. 시스템이 스티키 노트를 검출하지 못한 기술적 문제는 있지만 보안 조치가 없었던 건 아니라는 설명이다. 자신이 스티키 노트를 안 썼다면 해킹은 발생하지 않았을 거라고도 했다.

피고 측은 황 씨 상급자였던 김 모 씨와 이 모 하나투어 정보보호팀장을 증인 신청했다. 재판부는 이를 받아들였다.

다음 공판기일은 내달 14일이다.

저작권자 © 논객닷컴 무단전재 및 재배포 금지