KT 개인정보 유출 “해킹 때문이 아니다”

화이트 해커의 쓴소리

굴지의 정보통신 기업이 초보적 수준의 해킹에 속수무책 당했다. KT의 허술한 보안 의식에 고객의 질타가 쏟아지고 있다.

경찰청 사이버테러대응센터는 올해 7월 29일 KT 올레닷컴의 휴대전화 고객정보 877만건을 유출시켜 10억원대의 이득을 챙긴 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반)로 해커 최모(40)씨와 황모씨(35) 등 2명을 구속했다. 올해 2월 20일부터 7월 15일까지 근 두 달 동안 해킹으로 최씨가 챙긴 돈은 약 7억원에 달한다.

이번 사건은 국내 이동통신업계 개인정보 유출 피해 중 최대 규모다. 고객정보 유출 사고는 옥션 1081만 명(2008년), 하나로텔레콤 600만명(2008년), GS칼텍스 1100만명 (2008년), 현대 캐피탈 175만명(2011년), SK 네이트 3500만명(2011년), 게임업체 넥슨 1320만명(2011년), EBS 400만명(2012년) 등이다. 수치로만 보면 국민 모두의 개인정보가 사이버 상에 유출된 셈이다. 해커들의 수법은 날로 진화하고 있다.

단기간에 다량의 개인정보를 유출시키던 기존 해킹 방식과 달리 소량의 정보를 교묘하게 장기간 동안 빼내는 방법을 사용했다. KT 내부 영업시스템에서 고객 정보를 열람할 수 있는 해킹 프로그램을 개발한 뒤 영업대리점에서 고객 정보를 조회하는 것처럼 속였다. 보안망이 뚫리는 데는 KT측의 허술한 보안의식도 한몫했다. KT 설명대로라면 특정 대리점에서 하루 평균 6만 명의 고객정보가 조회되는데도 5개월간 몰랐다는 얘기다.

해킹 프로그램을 통해 모니터링을 우회하는 수법에 당한 것이다. 결국 KT측은 “서버 과부하를 접하고 나서야 정상적인 조회 상태가 아니라는 것을 파악했다”고 밝혔다. 수많은 고객 정보를 다루는 업체에서 정보 보호 의무를 소홀히 했다는 법적 처벌을 피하기 힘든 부분이다.

▲ KT측은 하루 평균 6만명의 고객정보가 조회되는데도
5개월간 알지 못했다.

특히 피해 고객들은 일선 대리점에서 마음만 먹으면 무단으로 고객정보 조회가 가능하다는 사실에도 분개하고 있다. 해킹의 주요 표적일 될 수 있는 중요 정보를 다루는 기업이지만 보안 관련 투자 및 개발에 소홀하다는 증거다. KT는 지난 3월에도 불법 프로그램의 공격에 속수무책 무너져 휴대전화 가입자의 위치정보와 인적사항을 대량으로 유출시킨 바 있다.

보안 기술업체 루멘소프트의 이종호 화이트 해커(연구원)는 “이번 사태는 전문적 해킹에 기업 보안이 뚫린 사례이기 보다는 KT측의 관리 소홀 책임이 더 크다”며 “정상적인 패킷을 받아서 대리점에서 조회하듯 정보를 빼낸 수법을 인지하지 못하는 정도의 보안 수준이라면 내부시스템에 접근해 DB를 흔드는 해킹 수법에는 속수무책으로 당했을 것”이라고 말했다.

방송통신위원회는 최근 KT 정보유출 관련 브리핑에서 “근본적으로 해커에게 개인 정보는 돈이지만 기업 입장에서는 관리해야 할 비용으로 여겨지는 것이 보안벽을 뚫는 구멍이 되고 있다”며 “SKT, LGU+ 등 타 이동통신사도 시스템 구축에 대한 투자와 지속 점검에 노력을 기울여야 한다”고 덧붙였다.
정다운 기자 justonegoal@thescoop.co.kr|@itvfm.co.kr

이윤찬 기자 다른기사 보기