네이버의 자회사 캠프모바일이 제공하는 지인 기반 소셜 네트워크 서비스(SNS) '밴드(BAND)'에서 계정 도용 사고가 무더기로 발생했다. 침해로 인해 서비스 이용 제한 조치된 사용자의 불편이 가중될 전망이다.
네이버 한 관계자는 "밴드에서 영구조치란 서비스를 앞으로 못 쓰는 것을 의미하는 것이 아니라 추가 인증을 통해 가입자 자신임을 증명하면 다시 서비스를 재개해주는 것을 의미한다"며 "용어 때문에 사용자 혼란이 더 가중된 것으로 보인다"고 설명했다.
그는 또 "네이버 서버를 점검한 결과, 내부에서 해킹을 당한 흔적은 없었고 밴드에서도 정상적인 로그인 기록밖에 없었다"며 "다른 사이트에서도 네이버, 밴드와 ID와 비밀번호를 동일하게 쓴 회원의 정보가 다른 경로로 유출된 후 밴드 계정 도용에 쓰인 것으로 판단된다"고 말했다.
이 관계자의 설명에 따르면, 대부분의 사용자들은 네이버를 비롯해 여러 인터넷 서비스에서 동일한 ID와 비밀번호를 쓴다. 해커는 이 중 보안이 취약한 인터넷 서비스에서 ID와 비밀번호를 빼낸 후 다른 인터넷 서비스에도 입력해본다. 로그인에 실패하면 그뿐이다. 해커는 성공할 때까지 다른 ID와 비밀번호를 입력한다. 보안 업계는 이러한 해킹 수법을 '무차별 대입 공격(brute force cracking)'이라고 부른다.
만약 ID와 비밀번호를 유출한 주체가 네이버라면 귀책 사유는 충분하다. 네이버 이용약관 제7조 '개인정보보호 의무' 항목에는 '회사는 정보통신망법 등 관계 법령이 정하는 바에 따라 회원의 개인정보를 보호하기 위해 노력한다. 개인정보의 보호 및 사용에 대해서는 관련법 및 회사의 개인정보처리방침이 적용된다'고 명시하고 있다.
하지만, 네이버는 이번 계정 도용 사고의 원인이 된 계정 정보 유출과는 무관하다는 입장이다. 계정 정보 유출은 다른 곳에서 이뤄졌고, 계정 도용 사고의 주 원인은 여러 인터넷 서비스에서 동일한 ID와 비밀번호를 사용한 사용자에게 있다는 것이다. 네이버 이용약관 제8조 '회원의 ID 및 비밀번호의 관리에 대한 의무' 1항에는 '회원의 ID와 비밀번호에 관한 관리 책임은 회원에게 있으며, 이를 제3자가 이용하도록 해서는 안 된다'고 명시하고 있다. 다른 곳에서 유출된 계정 정보로 네이버 로그인이 가능한 것은 비록 고의가 아니더라도 ID와 비밀번호를 안일하게 관리한 사용자 책임이 크다는 게 네이버의 판단이다.
네이버는 약관의 의무를 위반하거나 서비스의 정상적인 운영을 방해한 경우 경고, 일시정지, 영구이용정지 등으로 사용자의 활동을 제한할 수 있다. 사용자가 네이버의 조치에 이의가 있다면 네이버가 정한 절차에 따라 직접 소명해야 한다. 이의가 정당하다고 판단되면 네이버는 해당 회원의 서비스 이용을 재개한다. 하지만, 계정 도용 사실을 사용자가 입증하기란 쉽지 않다. 네이버 역시 형평성을 고려하면서 침해 사실을 가려낼 마땅한 방법이 현재로서는 없다는 입장이다.
네이버 관계자는 "기술적으로도 특정 회원이 계정 도용으로 자신도 모르게 성인광고 게시물이 올라갔는지, 또는 자신이 직접 올렸는지 확인할 수 있는 길이 없다"며 "추가적인 피해 확산 방지를 위해 밴드에서 네이버 이메일을 연동해 사용 중인 회원을 대상으로 비밀번호 변경과 혹시 모를 다른 기기에서의 접속을 차단하는 방법을 안내할 예정이다"라고 말했다.