홈페이지 해킹, 대리점주들과 마찰 등으로 몸살
내우외환의 이원구 사장, 이번 고비 넘어야 롱런할 듯
남양유업이 홈페이지 해킹과 대리점주들과의 마찰 등으로 몸살을 앓고 있다. 남양유업 대리점피해대책위원회(대책위)는 공정거래위원회 시정명령을 지키지 않았다는 이유로 남양유업을 11일에 공정위에 제소할 계획이다.
해킹으로 인한 개인정보 유출과 관련해 남양유업은 지난달 30일 홈페이지에 공식 사과문을 게시했다. 남양유업은 “해커의 PC에서 당사 홈페이지 회원정보 중 일부가 발견됐음을 8월 28일에 확인했다”고 말했다.
사과문을 보면 2011년 5월부터 2015년 말까지 가입한 남양유업 홈페이지 일부 회원의 ID, 이름, 이메일, 생년월일, 연락처 및 주소가 유출됐다. 남양유업은 주민등록번호는 수집하고 있지 않아 유출되지 않았고 비밀번호도 암호화돼 있어 안전하다고 설명했다.
이원구 남양유업 사장은 2014년 3월 취임한 이후 어려운 고비를 맞고 있다. 업계에선 이 사장이 이번 고비를 어떻게 넘기느냐에 따라 롱런 여부가 결정될 것이라고 예상하고 있다.
해커는 남양유업 어떻게 해킹했나
경찰은 남양유업 해킹사건을 수사하면서 정확한 피해 규모 등을 파악하고 있으며 약 100만 건의 개인정보가 유출된 것으로 추정하고 있다.
현재 경찰이 해커를 검거해 유출 경위, 방법, 규모 등에 대해 수사하고 있다. 경찰이 해커가 갖고 있던 컴퓨터(PC)를 확보해 조사 중에 있어 아직 상세한 범행수법에 대해선 알 수 없는 상황이다.
해커들은 해킹을 하기에 앞서 풋프린팅(footprinting) 작업을 한다. 해커들은 풋프린팅을 해서 해킹대상의 정보를 모은다. 이때 해커들이 모으는 정보는 도메인 이름, IP주소, 운영체제 종류, 침입 탐지 시스템의 유무 등이다.
해커들이 사용하는 공격수법을 보면 사전 공격, 구글 URL 리다이렉션 해킹 기법 등이 있다. 사전 공격이란 비밀번호 크래킹 방법 중 하나다. 크래킹은 불법으로 타인의 컴퓨터 시스템이나 통신망에 접근해서 파괴하는 것을 말한다.
비밀번호로 사용할 단어들을 사전 파일로 제작한 다음, 파일 안의 단어들을 순차적으로 넣어서 비밀번호를 알아낸다. 비밀번호로 빈번하게 사용되는 단어나 기호를 조합하고 사용자의 개인정보 등도 사전 파일에 넣으면 더 빠르게 비밀번호를 알아낼 수 있다.
구글 URL(인터넷 파일주소)리다이렉션 해킹기법이란 구글 URL 뒤에 ‘/url?=q=’을 붙여서 해커가 구글 URL속에 넣어둔 홈페이지로 인터넷 이용자들을 끌어들이는 수법이다.
남양유업 관계자는 “고객 개인정보를 안전하게 보호하고자 최선의 노력을 다했지만 불미스러운 일이 발생해 죄송하다”며 “현재 만에 하나라도 있을 피해 예방에 만전을 기하고자 수사당국에 긴밀히 협조하고 있으며, 피해 사실이 확인되면 적법한 절차에 따라 보상조치를 취할 예정”이라고 설명했다.
김인성 한양대 전 교수는 “지속적인 해킹에 안전한 보안은 없다”며 “그럼에도 업체들은 서버 관리에 비용과 자원을 투입해서 해킹이 어렵도록 만들어야 한다”고 강조했다.
보안 전문가들은 지금 같이 ‘법으로 정한 보안 조치’를 기업이 했다면 해킹 피해를 기업이 보상하지 않아도 되는 상황에선 기업이 보안에 비용을 투입할 이유가 없다고 지적한다.
따라서 기업들이 해킹을 당하면 어마어마한 피해 보상 금액을 사용자에게 물어야 한다는 법적 판단이 내려진다면 자발적으로 보안에 주의를 기울일 것이란 이야기도 나왔다.
남양유업 괴롭히는 ‘갑질 망령’
대책위는 공정거래위원회 시정명령을 지키지 않았다는 이유로 11일에 남양유업을 공정위에 제소할 계획이다.
일부 대리점주들은 본사가 적어도 2015년 말까지 공정위 시정 명령을 준수하지 않았다고 주장하고 몇몇 대리점주들은 본사로부터 대금 산출 근거를 정확히 듣지 못한 채 각종 대금을 추가 입금하기도 했다고 주장했다.
남양유업 갑질 논란 이후 공정위는 2013년 7월 시정명령을 내려서 대리점주와 본사 간 거래내역을 전산화해 대리점주에게 공개하고 난 다음 계좌에서 출금하는 시스템을 도입하게 했다.
다만 일부 대리점주들은 적어도 2015년 12월까지 남양유업 본사 측이 대금 산출 근거를 정확하게 밝히지 않았고 물품 대금이 계좌에서 빠진 다음 영업사원이 다른 대금 전표를 갖고 오기도 했다고 증언했다.
이에 대해 남양유업 측은 일부 대리점주의 일방적인 주장으로 사실이 아니라는 입장이다.
남양유업 관계자는 “남양유업은 공정위의 시정명령에 따라 2014년 4월, 대리점주와 본사 간 거래내역을 전산화해 대리점주에게 공개한 뒤 계좌에서 출금을 하는 시스템을 도입, 문자로도 출금금액을 전송하고 있다”며 “산출 근거 없이 대리점에게 청구한 적은 결코 없었다”고 설명했다.
이어 “또한 작년에 일부 대리점주가 동일한 건으로 검찰에 고발을 하고 공정위에 제소하였지만 모두 무혐의 처분을 받았다”고 덧붙였다.
남양유업 사측의 반론에 대해 김대형 남양유업대리점협의회 사무국장은 “2013년 7월 공정위에서 남양유업에게 결제시스템 변경을 명령했다”며 “대리점주들은 그 이후로도 결제 시스템이 변경되지 않았다는 주장과 투명하지 않은 결제시스템으로 인해 피해가 발생되었다는 주장을 한다”고 말했다.
이어 김 사무국장은 “남양유업이 결제시스템을 변경한 사실이 있음을 인정한다”며 “팜스21프로그램에 있는 거래내역서는 눈속임용에 불과하며 대리점주들은 팜스21 전산 거래내역서를 인정할 수 없다”고 주장했다.
그는 대리점주들이 사용하는 팜스21 프로그램에 업로드된 거래내역서를 엑셀로 다운로드한 자료인 OO팜스 전산거래내역서와 영업사원이 직접 준 페이퍼 거래내역서인 ‘OO 거래내역서’를 공개했다.
또 남양유업이 2014년 4월부터 팜스21프로그램에 업로드해서 대리점이 확인 가능하게 했다는 주장에 대해 “OO팜스 전산거래내역서를 살펴보면 2014년 7월부터 시트가 있다”며 “OO팜스전산거래내역서와 OO거래내역서에 있는 각 해당 월 입금 금액을 비교해 보면 입금 금액이 전혀 틀린 것을 알 수 있으며 전산거래내역서는 신뢰할 수 없다”고 주장했다.
대리점은 전산 거래내역서가 아닌 페이퍼 거래내역서로 입금을 했고 남양유업은 물품대금 확인 없이 카드사에 일방적으로 청구했다는 것이 김 사무국장의 설명이다.
김 사무국장은 “팜스21 전산거래내역서에 나와 있는 청구금액대로 입금된 시점은 2016년 7월경”이라며 “현재 팜스21 결제시스템은 청구금액이 틀려도 인정할 수밖에 없는 강제 시스템”이라고 지적했다.
매월 8일 경 전월 입금금액을 정산해서 업로드하는데 이 금액에 대해 ‘승인’, ‘조건부 승인’, ‘반려’를 선택할 수 있고 이 선택을 12일까지 해야만 주문을 할 수 있다는 이야기다.
또 “팜스21프로그램에 업로드한 전산 거래내역서는 대리점주들이 전혀 신뢰할 수 없는 내역서로 공정위를 속이기 위한 시스템 개선일 뿐”이라며 “팜스21 청구내역서가 문제가 있어도 승인을 강요하고 승인을 하지 않으면 주문을 할 수가 없다”고 말했다.
김 사무국장은 “이는 공정위의 대리점에 공급한 물품대금 결제 시 제품 주문량·공급량 및 대금 산정근거 등을 대리점이 확인·승인한 후 대금지급이 이뤄지도록 결제방식을 변경한 뒤 그 내용을 공정위에 보고하라는 시정명령을 위반한 것”이라고 덧붙였다.
대리점주들도 “남양유업에서 대리점 확인 승인절차 없이 물품 대금을 일방적으로 카드사에 청구한 후 3일에서 7일이 지나서야 물품 대금 거래내역서를 보여준 것은 시정명령 위반을 한 것”이라며 “이로 인해서 대리점은 알 수 없는 금액을 청구해 받아가는 경우가 발생되기도 했다”고 증언했다.
곽호성 기자
주간한국