지난 2014년 야후에서 5억 명 이상의 이용자 개인정보가 유출된 것으로 드러났다. 이번 개인정보 유출은 사상 최대 규모다. 범인의 배후, 집단소송 등에 따라 엄청난 후폭풍을 불러올 것으로 전망된다. 일각에서는 버라이즌의 야후 인수에도 영향을 줄 수 있다고 보고 있다.





미국 포털사이트 야후는 지난 22일(현지시간) 2014년 자사 컴퓨터망이 해킹을 당해 약 5억 명 개인정보가 유출됐다고 밝혔다. 야후는 고객의 이름, 이메일 주소, 전화번호, 출생일, 비밀번호, 본인 인증 확인 등의 정보가 탈취됐다고 설명했다.

야후는 2014년 이후 비밀번호를 바꾸지 않은 가입자에 비밀번호를 변경하도록 권고하는 한편, 피해 가능성이 있는 사용자에 위험성을 고지하고 계정 보안 조치를 취하고 있다고 설명했다.

외신 등에 따르면, 개인정보 유출 사실은 '피스(Peace)'라는 아이디를 쓰는 해커가 지난 8월 초 수 천 개의 비밀 사이트로 이뤄진 암시장에 훔친 야후 계정의 사용자 이름과 비밀번호, 출생일에 관한 정보를 팔려고 시도하는 과정에서 드러났다. 미국 연방수사국(FBI)은 이번 사건에 대해 조사를 벌이고 사이버 범죄 용의자를 추적하고 있다고 밝혔다.

범인 정체에 따라 파장 예고

앞서 지난 6월 외신들은 해커가 소셜네트워크서비스(SNS) 마이스페이스 사용자 3억6000만 명의 이메일 주소와 암호 등을 온라인에서 판매하려고 시도하고 있다고 보도했다. 이 해커는 이에 앞서 5월 비즈니스 SNS 사이트 링크드인의 사용자 1억6400만 명의 정보도 해킹했다. 해커는 비트코인을 받고 훔친 정보를 판매하려고 했다. 마이스페이스 해킹은 야후 해킹이 알려지기 전까지 사상 최대 정보 유출로 알려졌다.

그런데 바로 이 해커가 야후 정보 유출 사건의 범인과 같은 '피스(Peace)‘라는 아이디를 사용하고 있다. 각각 사건의 범인이 다를 수도 있지만 정보를 빼내 판매하려는 수법이 비슷한 것으로 볼 때 동일인이나 집단일 가능성을 배제할 수 없다. 해커가 동일인이라면 10억 명 이상의 정보를 빼냈다는 뜻이다.

이에 따라 해커의 정체에 관심이 쏠리고 있다. 외신들은 해커가 특정 국가의 지원을 받고 있는 것으로 추정된다고 보도했다. 거론되는 국가는 러시아, 중국, 북한 등이다. 어느 경우든 미국과 갈등이 불가피할 것으로 보인다.

러시아는 해킹 등으로 미국 대선에 개입하는 것이 아니냐는 의혹을 받고 있다. 이런 상황에서 실제로 개인정보 유출에 관여됐다면 미국이 크게 반발할 수 있다. 중국일 경우도 마찬가지다. 미국은 중국이 미국 기업, 기관 등에 대해서 해킹을 시도한다고 주장해왔다. 미국은 또 2014년 소니픽처스 해킹 사건 후 북한에 대해 의혹을 눈초리를 보내고 있다. 상황에 따라 자칫 사이버전쟁이 반발할 수도 있다.

또 특정 국가와 관련 없는 개인 해커나 집단으로 밝혀진다고 해도 범인들이 잡히지 않을 경우 많은 기업이 해킹 공포에 떨 것으로 보인다.






야후 2년간 정보 유출 몰랐나

지난 7월 미국 최대 통신사 버라이즌커뮤니케이션은 야후를 48억3000만 달러(약 5조4940억 원)에 인수하기로 최종 합의했다고 밝혔다. 야후는 버라이즌이 지난해 44억 달러에 인수한 아메리카온라인(AOL)에 편입될 예정이며, 두 회사는 2017년 1분기까지 인수절차를 마무리할 계획이다. 월스트리트저널 등 외신은 버라이즌이 야후 인수로 디지털 미디어, 광고 부문의 사업을 강화할 것이라고 전망했다.

그런데 이번에 초대형 해킹 사건이라는 변수가 발생했다. 외신들은 버라이즌이 야후를 인수하는데 이번 사건이 영향을 줄 것으로 보고 있다. 정보 유출 피해를 당한 야후 이용자들이 집단소송을 제기할 경우 야후는 막대한 규모의 배상을 해야 할 것으로 보인다. 이 경우 막대한 손실이 발생할 수 있다.

또 다른 변수는 정보 유출 인지 시점이다. 이번 사건은 2014년에 발생했는데 2016년에서야 알려졌다. 만약 야후가 정보 유출 징후를 알고도 은폐하거나 묵인했을 경우 소송은 물론 미국 정부로부터 처벌을 받을 수도 있다. 야후가 정보 유출을 몰랐다고 해도 야후의 보안 수준과 무능을 보여준 것이어서 비난을 면하기 어려울 것으로 보인다.

버라이즌은 이같은 상황을 종합적으로 고려해 인수 재협상을 요구하거나 최악의 경우 인수를 포기할 수도 있다. 야후 정보 유출 사건의 파장은 수사 결과와 범인의 정체, 그리고 피해자들의 대응에 따라 판가름 날 것으로 전망된다.

[테크M = 강진규 기자 (viper@techm.kr)]