굴지의 정보통신 기업 보안망이 해킹에 속수무책으로 뚫리는 일이 발생했다. 피해 규모도 가입자 절반이 넘는다. 해킹 수법은 나날이 교묘해지는데 기업들의 보안 수준이 따라가지 못하고 있다.

경찰청 사이버테러대응센터는 29일 KT 올레닷컴의 휴대전화 고객정보 877만건을 유출시켜 10억원대의 이득을 챙긴 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반)로 해커 최모(40)씨와 황모씨(35) 등 2명을 구속했다.

이번 사건은 국내 이동통신업계 개인정보 유출 피해 중 최대 규모다. 고객정보 유출 사고는 옥션 1081만 명(2008년), 하나로텔레콤 600만명(2008년), GS칼텍스 1100만명(2008년), 현대 캐피탈 175만명(2011년), SK 네이트 3500만명(2011년), 게임업체 넥슨 1320만명(2011년), EBS 400만명(2012년) 등이다. 피해 규모가 갈수록 커지고 있다. 수치로만 보면 국민 모두의 개인정보가 사이버 상에 유출된 셈이다.

해커들의 수법은 날로 진화한다. 단기간에 다량의 개인정보를 유출시키던 기존 해킹방식과 달리 소량의 정보를 교묘하게 장기간 동안 빼내는 방법을 사용했다. KT 내부 영업시스템에서 고객 정보를 열람할 수 있는 해킹 프로그램을 개발한 뒤 영업 대리점에서 고객 정보를 조회하는 것처럼 속였다.

뿐만 아니라 해킹 프로그램에 몰래 악성 코드를 삽입해 정보를 구매한 텔레마케팅 업체에서 유출하는 개인정보도 실시간으로 자신의 서버에 전송되도록 했다. 전 KT 직원이던 피의자 김씨는 네트워크 인증 기능을 우회할 수 있도록 변조해 사용료를 내지 않고 정보를 유출했다.

보안망이 뚫리는 데는 KT측의 허술한 보안 의식도 한몫했다. KT 설명대로라면 특정 대리점에서 하루 평균 8만명분의 고객정보가 조회되는데도 5개월간 몰랐다는 얘기다. 수많은 고객 정보를 다루는 업체에서 정보 보호 의무를 소홀히 했다는 법적 처벌을 피하기 힘든 부분이다.

특히 피해 고객들은 일선 대리점에서 마음만 먹으면 무단으로 고객정보 조회가 가능하다는 사실에도 분개하고 있다. 이에 대해 KT는 “일선 대리점에서 개인정보를 빼가는지 지속적으로 감시하고 있지만 이번 해킹은 대리점 감시망을 우회하는 방식으로 일어나 알아차리는데 시간이 걸렸다”고 해명했다.

하지만 KT는 지난 3월에도 불법 프로그램의 공격에 속수무책 무너져 휴대전화 가입자의 위치정보와 인적사항을 대량으로 유출시킨 바 있다. 해킹의 표적이 되는 중요 정보를 다루는 기업이지만 보안 관련 투자 및 개발에 소홀하다는 증거다.

2차 범죄 발생 우려에 대해 KT측은 “관련자들의 PC와 서버를 압수하고 유출된 개인정보를 전량 회수해 추가 피해 가능성이 낮다”고 전했지만 업계 전문가들은 의견이 달랐다. “개인정보를 종이문서로 출력하거나 휴대용 저장장치에 담아 다른 곳에 넘기면 기술적으로 확인이 어렵다”는 것이다.

보안 기술업체의 한 관계자는 “근본적으로 해커에게 개인 정보는 돈이지만 기업 입장에서는 관리해야 할 비용으로 여겨지는 것이 보안벽을 뚫는 구멍이 되고 있다”며 “시스템 구축에 대한 투자뿐만 아니라 지속적 점검에도 노력을 기울여야 한다”고 말했다. 

정다운 기자 justonegoal@thescoop.co.kr|@itvfm.co.kr

정다운 기자 다른기사 보기