2024년 2월 25일 일요일

INNI-POLITICS-TOP

INNI-POLITICS-SUBTOP

Home정치/사회2021년 인도네시아를 괴롭힌 ‘사이버 보안 사건’ 어떤 게 있었나…

2021년 인도네시아를 괴롭힌 ‘사이버 보안 사건’ 어떤 게 있었나…

사진 : 게티이미지

작년 5월 건강보험앱, eHAC, 경찰청 등
공공분야 해킹 건수 역대급
인니 국가사이버암호원(BSSN)도 당해…

정부와 국회, 데이터 관리기관 놓고 힘겨루기
정부 ‘정보부 산하’ vs 국회 ‘독립적 기구’

작년 한해 인도네시아는 사이버 공격으로 인한 역대급 개인정보 유출 사건이 발생함에 따라 개인정보보호법에 대한 필요성이 제기되고 있다.

웹사이트 변조부터 데이터 유출에 이르기까지 인도네시아 주요 기관에 대한 사이버 공격이 거세지고 있는 가운데 아직 까지도 인도네시아는 개인정보를 보호할 법적 제도가 미비한 상태다.

작년 5월 인도네시아를 발칵 뒤집은 해킹 사건이 연이어 발생했다. 토코페디아(Tokopedia)의 9,100만명의 회원정보가 유출돼 한동안 판매가 중단되었고, 뒤이어 인도네시아 국민건강보험(BPJS Kesehatan)이 운영중인 앱에서도 데이터가 유출된 사건이 발생했다.

데이터 거래 사이트 ‘레이드포럼(RaidForums)’에서 ‘Kotz’라는 닉네임의 한 해커가 자신이 2억명이 넘는 인도네시아 건강보험 앱(JKN)의 정보를 갖고 있다고 폭로했다. 그 증거라면서 ‘Kotz’는 2백만명의 정보가 담긴 파일 3개의 링크를 해당 사이트에 게시했지만 이 링크는 얼마 후 사라졌다.

인도네시아 정보통신부는 해당 데이터가 보험증권 번호, 보험료 납부 현황 등의 개인 정보를 포함하고 있어 JKN 데이터와 일치한다고 판단, 라피드포럼 사이트를 차단했다. 최소 십만개 이상의 데이터가 유효한 것으로 추정된다.

인도네시아 국방부는 JKN 프로그램을 관리하는 국민건강보험의 이사회를 소집하고 보건부와 국가사이버안전센터(BSSN)의 공조를 지시했다.

그로부터 몇 달 뒤인 8월 인도네시아 입국자 건강정보(eHAC) 시스템의 데이터 유출 사건이 발생하면서 규정 마련을 위한 심의가 지연되기도 했다. eHAC 시스템에는 약 130만명의 연락처, 주소, 주민등록번호, 코로나19 검사결과 등이 저장되어 있었다.

그러나 인니 당국은 데이터베이스에 일부 보안문제가 발생했을 뿐 eHAC 서버 해킹은 사실무근이라며 7일만에 사건을 종결했다. 당국이 사건을 서둘러 종결한 점, 7월 보안업체 ‘vpnMentor’가 문제점을 처음 발견했을 당시 데이터 유출 여부에 대해 명확히 밝히지 않은 점 등에 대해 전문가들은 잇따라 의구심을 제기했다.

비슷한 시기 BRI Life(PT Asuransi BRI Life)의 2백만 고객 정보가 담긴 46만개의 파일을 판매한다는 글이 레이드포럼에 올라오는 가 하면, 10월에는 인도네시아 아동보호위원회(KPAI)가 해킹되면서 아동학대 사건 신고자들의 개인정보가 데이터 거래사이트에 올라왔다.

인도네시아 경찰청 사이버범죄수사국과 국가사이버암호원(BSSN)은 즉각 사건 조사에 착수했다. 하지만 일주일 후 BSSN 마저 브라질 해커에 의해 공격당하면서 사람들은 BSSN 보안 능력에 대해서도 의문을 갖게 되었다.

11월 트위터에 한 계정(@son1x777)에는 경찰청 시스템에 침입해 경찰관 수천명의 신원 및 개인정보를 확보했다는 글이 올라오기도 했다.

이처럼 국가 기관에 대한 반복적인 사이버 공격이 발생하고 있음에도 적극적인 조치를 취하고 있지 않은 정부에 대해 비평가들은 보안 인식이 부족하기 때문이라고 비판했다.

수년간 개인정보보호법을 주창해 온 정책연구 및 옹호연구소(Elsam)의 와휴디 자파르(Wahyudi Djafar)는 “당국이 보안 취약성에 대한 조사와 원인을 규명하는 데 실패했다”면서 “불법 데이터 거래에 대한 세부 규범은 물론 데이터의 위법한 침해 행위와 구제 수단을 구체적으로 정립할 필요가 있다”고 강조했다.

개인정보보호법은 정부가 2014년 초안을 발의했지만 수년 간 지연되어 왔다. 올해 우선순위에 올랐지만 통과 여부는 아직까지 불투명하다.

작년 eHAC 데이터 유출 사건 이후 인도네시아 하원의장(Ketua DPR RI) 푸안 마하라니(Puan Maharani)는 개인정보보호 법안 통과를 약속했지만, 12월 16일 마지막 본회의 날 까지도 이렇다 할 진전 없이 회의가 마무리됐다. 정부와 국회의 힘겨루기 때문으로 해석된다. 정부는 데이터 관리 기관을 정보부 산하에 두기를 원하는 반면, 국회는 이해충돌 방지를 이유로 독립적인 기구를 설립해야 한다고 주장하고 있다.

인니투데이 사회부
[저작권자(c) 인니투데이, 무단 전재-재배포 금지]

RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

TODAY NEWS HEADLINES

INNI-POLITICS-SIDE-A

INNI-POLITICS-SIDE-B

최신 기사

error: Content is protected !!
Secured By miniOrange