내부자에 의한 보안사고 사례 - 부정(Fraud)

 

 

CJ홈쇼핑 회원 200만명 개인정보 유출사건

① 사건 개요
『경기지방경찰청 사이버범죄수사대는 2005년 3월 28일 택배회사로부터 CJ홈쇼핑 회원 200만 명의 개인정보를 빼내 영업에 이용한 혐의(정보통신망 이용 촉진 및 정보보호에 관한 법률위반)로 텔레마케팅업체인 C홈쇼핑 대표 박 모(42) 씨를 구속했다. 또 회원들의 개인정보를 택배 배송을 독점하는 조건으로 박 씨에게 넘겨준 혐의로 CJ그룹 계열사인 CJ GLS 모 영업소 소장 이 모(38) 씨를 구속했다.
경찰에 따르면 텔레마케팅업체 대표 박 씨는 K 홍삼음료의 택배 배송을 이 씨가 독점할 수 있도록 해주는 대가로 2004년 6월 15일부터 12월 말까지 모두 10차례에 걸쳐 이 씨로부터 CJ홈쇼핑 회원 200만명의 이름과 주소, 전화번호를 넘겨받은 혐의다. 박 씨는 또 2004년 5월 13일부터 2005년 1월 27일까지 텔레마케팅을 통해 소비자들을 속여 K 홍삼음료를 판매하는 방법으로 1만9천여명으로부터 모두 11억5천여만원을 가로챈 혐의도 받고 있다.
CJ GLS 영업소장인 이 씨는 박 씨에게 개인정보를 넘겨준 대가로 2004년 5월 24일부터 2005년 1월 27일까지 K 홍삼음료 택배 4만700여건을 처리해 주고 택배 운임료 1억2천3백여만원을 챙긴 혐의를 받고 있다.』 

 

② 사건 경위
CJ GLS 모 영업소 소장 이 모(38) 씨는 평소 알고 지내던 텔레마케팅업체인 C홈쇼핑 대표 박 모(42) 씨에게 운반비용 1억2천3백여만원가량의 4만700여건의 홍삼음료 배송을 처리해주는 조건으로 CJ홈쇼핑 회원 200만명의 이름과 주소, 전화번호, 이동전화 번호 등이 담긴 개인정보를 넘겨주었다. 또한, 박 모 씨는 이 정보를 넘겨받은 뒤 CJ홈쇼핑 회원들에게 “이벤트에 당첨됐는데 5만9천원만 내면 성인병 예방에 좋은 59만원의 홍삼엑기스를 준다”며 속여 홍삼음료를 팔았으며, 1만9천여명한테서 모두 11억5천여만원을 받았다.

③ 유출 경로
CJ홈쇼핑의 택배를 담당하는 CJ GLS의 전국의 각 영업소 소장들은 “통합택배시스템”에 접속하여 홈쇼핑 회원들의 정보를 열람 및 복사할 수 있다는 점을 이용해서, CJ GLS 영업소장 이씨는 “통합택배 시스템 전산망”에 자신의 아이디로 접속, 여러 차례에 걸쳐 CJ홈쇼핑 회원들의 정보를 다운로드한 뒤 이 정보를 CD에 담아 텔레마케팅 업체 대표 박 씨에게 넘겨주었다.

④ 피해 규모
이름, 주소, 전화번호, 이동전화 번호 등이 포함된 200만명의 개인정보가 유출되었다.

⑤ 적용 법률
“정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제28조의2(개인정보의 누설금지)” 혹은 “제49조(비밀 등의 보호)” 등 적용할 수 있으며, 벌칙은 “5년 이하의 징역 또는 5천만원 이하의 벌금”에 처할 수 있다.

 

GS칼텍스 고객 1,107만명 개인정보 유출사건

① 사건 개요
『경찰청 사이버테러대응센터는 8일 GS칼텍스의 콜센터 운영 자회사인 N사의 시스템 및 네트워크 담당 직원 정 모(28) 씨, 정 씨의 고교 동창 왕 모(28·회사원) 씨, 왕 씨의 후배 김 모(24) 씨 등 3명을 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 위반 혐의 등으로 붙잡아 조사 중이며 조만간 구속영장을 신청할 예정이라고 밝혔다. 경찰은 또 정 씨 등이 빼낸 고객정보를 엑셀 파일 형태로 정리하는 등 범행을 도운 혐의로 자회사 여직원 배 모(30) 씨를 불구속 입건했다. 아울러 직원들에 대한 관리책임을 물어 N사 대표를 형사 입건하고, GS칼텍스 측에 대해서도 불법행위 사실이 드러날 경우 관련자를 처벌할 방침이다. 경찰에 따르면 GS칼텍스의 고객정보 DB 접근 권한이 있는 정 씨는 왕 씨, 김 씨 등과 범행을 모의한 뒤 지난 7∼8월 사무실의 업무용 컴퓨터에서 고객 1,100만여 명의 주민등록번호, 이메일 주소 등 개인정보를 빼낸 뒤 엑셀 파일로 전환, 새로운 DVD 6장을 제작한 혐의를 받고 있다.
경찰은 정 씨 등이 빼낸 정보를 돈을 받고 시중에 유통하거나 GS칼텍스 측을 협박해 돈을 뜯어내려 했던 것으로 보고 있다.』 

② 사건 경위
GS칼텍스 자회사인 N사의 직원 정 모(28) 씨와 고등학교 동창인 왕 모(28·회사원) 씨, 왕 씨가 사회에서 알게 된 김 모(24스튜디오 근무) 씨와 함께 2008년 7월 13일 GS칼텍스 보너스카드 고객의 개인정보를 빼내 팔기로 모의했다. 정 씨는 회사의 개인정보가 포함된 시스템에 접근할 수 있는 권한을 악용하여 2008년 7월 초부터 GS칼텍스 고객관리 서버에 접속한 후 개인정보를 빼내서 DVD에 저장했다. 이 과정에서 같은 회사 직원 배 모(30·여) 씨에게 엑셀 파일로 내용을 정리해 줄 것을 요청하였다. 또한 자신들이 절취한 고객정보가 언론에 보도될 경우 사회적 이슈가 되어서 활용 가치가 더욱 높아지고, 집단소송이 가능하다는 점을 노려서 S 법무법인 사무장 강 모(33·남) 씨와 사전 공모하여 2008년 8월 3일 김씨의 지인 등을 통해 인터넷 언론 등의 기자 2명, 한 방송국 외주제작사 PD 1명을 서울 강남 영동시장 근처로 불러 모아서, “강남의 쓰레기통에서 주웠다.”면서 복사된 DVD 6장을 기자 등에게 제공했다. 이후 개인정보를 제공한 한 기자가 언론에서 2008년 8월 5일 처음 보도하면서 개인정보 유출은 사회적인 이슈로 부상했다

③ 유출 경로
GS칼텍스의 고객관리용 시스템에의 접근 권한이 있는 내부 직원 정 씨의 계정을 이용하여 고객 1,107만명의 개인정보를 유출한 뒤 엑셀 파일로 전환하여 DVD 6장에 저장한 후 외부로 유출하였다.

④ 피해 규모
유출된 CD에는 “GS Caltex 고객정보”라는 이름의 폴더에 76개의 엑셀 파일로 총 1,107만명의 “주민등록번호”, “이름”, “집 주소”, “회사 주소”, “전화번호”, “이동전화 번호”, “이메일 주소” 등이 수록되어 있다.  

⑤ 적용 법률
“정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제28조의2(개인정보의 누설금지)” 혹은 “제49조(비밀 등의 보호)” 등 적용할 수 있으며, 벌칙은 “5년 이하의 징역 또는 5천만원 이하의 벌금”에 처할 수 있다.

 

삼성카드 고객 47만명 개인정보 유출사건

① 사건 개요
『서울중앙지검은 2012년 2월 7일 삼성카드 전 직원 박 모(33) 씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반(정보통신망 침해) 혐의로 구속기소하고, 박 씨가 빼돌린 고객정보를 건네받은 박모(36)·이모(36) 등 두 명을 불구속기소 했다고 밝혔다. 검찰에 따르면, 박 씨는 삼성카드 가맹점 마케팅실에서 근무하며 2010년 1월부터 2011년 8월까지 고객정보 조회 프로그램에 비정상 명령문을 입력하는 수법 등으로 196회에 걸쳐 192만여명의 고객정보를 해킹한 혐의를 받고 있다. 검찰 조사 결과, 박 씨는 해킹으로 빼낸 고객 정보를 따로 저장한 뒤 260여회에 걸쳐 4,700여장의 인쇄물을 출력했다. 박 씨가 빼낸 고객 정보 중 일부는 또 다른 박 씨 및 이 씨 등에게 건네졌다. 이들은 2010~2011년 삼성카드 가입자 300명의 이름, 생일, 연락처, 직장명 등이 기재된 인쇄물을 2차례에 나눠 주고받은 혐의를 받고 있다. 고객정보를 건네받은 이들은 부동산담보 대출 관련 업무에 사용할 목적이었던 것으로 조사됐다.』 

 

② 사건 경위
전직 삼성카드 직원인 박 모(33) 씨는 삼성카드 가맹점 마케팅실에서 근무하면서 2010년 1월부터 2011년 8월까지 삼성카드 보안망을 뚫고 비정상 명령문을 입력하는 방법으로 서버를 해킹해서 196회에 걸쳐서 192만여건에 달하는 개인정보를 불법 조회하였다. 또한 조회한 47만건의 개인정보를 본인 노트북에 다운받아서 261회에 걸쳐서 4,752장의 종이로 출력하였다. 박 씨가 절취한 개인정보 중 300건은 대부업자인 이 모 씨와 또 다른 박 모 씨에게 넘겼으며 이 과정에서 이 씨가 친구의 은행 계좌를 이용하여 고액의 현금거래를 한 것으로 파악되고 있다. 이 씨 등은 넘겨받은 개인정보를 이용해서 “저금리, 당일 대출, 무담보, 신용대출”이라는 대출 홍보 문자메시지를 대량으로 보내서 담보대출 관련 업무에 사용하였다.  

③ 유출 경로
삼성카드 내부 직원인 박 씨가 내부 시스템을 해킹하는 방법으로 개인정보를 불법으로 조회하였다. 또한 조회한 개인정보 중 47만건의 개인정보를 박 씨의 노트북에 다운로드하여서 261회에 걸쳐서 4,752장의 종이로 출력하였다. 20개월 동안 여러 번에 걸쳐서 일부 개인정보만을 출력하고 출력된 종이를 유출하여 내부통제를 피하는 방법을 사용하였다.

④ 피해 규모
“이름”, “직장명”, “전화번호”, “주민등록번호”, “주소”, “카드번호”, “현금서비스 승인내역 여부”, “카드론 대출”, “대출 전력”, “대출금액 및 만기내역” 등이 포함된 47만명의 개인정보가 유출되었다.  

⑤ 적용 법률
“정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제28조의2(개인정보의 누설금지)” 혹은 “제49조(비밀 등의 보호)” 등 적용할 수 있으며, 벌칙은 “5년 이하의 징역 또는 5천만원 이하의 벌금”에 처할 수 있다.