KT 정보유출 2012 vs 2014 데자뷰

KT는 왜 정보유출사태 못 막았나

2012년“시스템과 보안인력을 획기적으로 강화해 해킹을 막겠다”고 했던 표현명 전 KT사장의 약속이 깨졌다. 만 2년도 되지 않아 똑같은 해킹을 당해서다. 해킹기술은 초보적이었고, KT의 고객정보는 암호화 돼 있지 않았으며, 직원들의 보안의식은 약했다. KT는 도대체 2년 동안 뭘 한 걸까.

2014년 KT 정보유출 사태
“1200만명 정보유출 365일 동안 몰랐다”

▲ KT의 시스템이 초보적 해킹에 또 무너졌다. 황창규 KT 회장이 고개를 숙였다. [사진=뉴시스]

KT 홈페이지가 또 털렸다. 2012년 수백만건의 고객정보가 유출된 후 2년 만이다. 경찰에 따르면 KT 홈페이지를 턴 해커들은 하루 20만~30만건의 개인정보를 해킹하고, 1년 동안 1200만명의 고객정보를 빼냈다. KT가 ‘해킹의 저주’에 시달리고 있다.

KT 홈페이지가 전문해커에 의해 해킹을 당해 가입고객 1600만명 중 1200만명의 고객정보가 유출됐다. 2012년 전산시스템 해킹을 통해 고객정보 870만건이 유출된 이후 2년 만이다. 인천경찰청 광역수사대는 3월 6일 KT 홈페이지를 해킹해 개인정보를 빼내 휴대전화를 개통ㆍ판매한 A씨 등 2명을 정보통신망이용촉진 및 정보보호등에 관한 법률위반 혐의로 구속했다. 이들 해커는 이름ㆍ주민등록번호ㆍ휴대전화번호ㆍ집주소ㆍ직업ㆍ은행계좌 등을 해킹으로 빼내 휴대전화 개통ㆍ판매에 활용했다. 이런 방법을 통해 지난 1년간 115억원의 부당이득을 챙긴 것으로 조사됐다. A씨 등을 고용해 범행을 공모한 텔레마케팅 업체 대표 B씨를 같은 혐의로 불구속 입건했다.

경찰에 따르면 A씨 등은 지난해 2월부터 최근까지 신종 해킹 프로그램을 개발해 KT 홈페이지에 로그인한 뒤 고객의 개인정보를 빼냈다. 이들은 홈페이지 이용대금 조회란에 고유숫자를 무작위로 입력하는 프로그램에 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼내왔다. 가령 홈페이지 조회란에 9자리의 숫자를 1부터 마지막 숫자까지 순차적으로 반복해 입력하는 방법으로 고객의 고유번호를 찾아낸 것이다. 경찰조사 결과, 이들은 하루 20만∼30만건의 개인정보를 해킹하고 1년 동안 1200만명의 고객정보를 빼냈다.

KT관계자는 “정보 유출 경위에 대해 경찰수사에 적극 협조해 고객 피해 최소화를 위해 노력하겠다”며 “이번 사건은 전문 해커가 주도한 사건으로 범인들은 홈페이지를 해킹해 개인 정보를 유출한 것으로 밝혀졌다”고 말했다. 경찰 관계자는 “텔레마케팅 업체에서 이들 해커를 고용해 개인정보를 수집해 올린 매출이 115억원으로 나타났다”며 “다행히 개인정보가 추가로 외부에 빠져나거나 유출된 정보가 해외 등에 판매될 일은 없다”고 밝혔다. 또한 전문해커 일당이 다른 방식의 해킹프로그램을 추가 제작해 증권사 등의 홈페이지도 해킹하려다 검거된 것으로 밝혀져 추가 해킹 피해여부를 확인하고 있다.

여야는 KT의 해킹사건을 한목소리로 비판했다. 박대출 새누리당 대변인은 “지난해부터 하루에 최대 수십만건의 개인정보를 빼내 갈 동안 대한민국에서 가장 큰 통신회사인 KT는 뭘 하고 있었는지 모르겠다”며 “KT의 보안시스템과 보안관리감독이 얼마나 허술했는지 보여주는 인재사고”라고 비판했다.

한정애 민주당 대변인은 서면 브리핑에서 “지난 카드사 개인정보 대량유출 사태처럼 정부의 무능한 관리감독과 KT의 허술한 보안이 만들어낸 합작품”이라며 “끊임없이 터져 나오는 개인정보 유출사건에 경악스럽기만 하다”고 꼬집었다. 한 대변인 “KT의 보안시스템과 관리감독 수준이 이 정도밖에 되지 않는다는 점에서 실망하고 예방이 가능한 인재사고였다는 점에서 분노를 금할 수 없다”며 “소 잃고 외양간 고치지 말라는 속담은 사전예방을 강조한 말인데, 지금 대한민국은 몇번째 소를 잃어버렸지만 외양간을 제대로 고치지 못하고 있다”고 비판했다.

2012년 KT 정보유출 사태
“일 6만명 정보조회 5개월 동안 몰랐다”

▲ 2012년 KT는 초보적 수준의 해킹에 시스템이 뚫려 질타를 받았다. [사진=뉴시스]

KT의 정보유출사태는 2012년에도 있었다. 그때 역시 초보적 수준의 해킹에 속수무책으로 당했다. KT의 허술한 보안 의식에 대한 고객의 질타 역시 쏟아졌다. 2012년과 2014년의 KT 정보유출사건은 무엇이 다를까.

경찰청 사이버테러대응센터는 2012년 7월 29일 KT 올레닷컴의 휴대전화 고객정보 877만건을 유출해 10억원대의 이득을 챙긴 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반)로 해커 최모씨와 황모씨 등 2명을 구속했다. 2012년 2월 20일부터 7월 15일까지 다섯달 동안 해킹으로 최씨가 챙긴 돈은 약 7억원에 달한다. 당시 사건은 국내 이동통신업계 개인정보 유출 피해 중 최대 규모였다. 고객정보 유출 사고는 옥션 1081만명(2008년), 하나로텔레콤 600만명(2008년), GS칼텍스 1100만명 (2008년), 현대캐피탈 175만명(2011년), SK 네이트 3500만명(2011년), 게임업체 넥슨 1320만명(2011년), EBS 400만명(2012년) 등이다. 수치로만 보면 국민 모두의 개인정보가 사이버 상에 유출된 셈이다. 해커들의 수법은 날로 진화하고 있다.

단기간에 다량의 개인정보를 유출시키던 기존 해킹 방식과 달리 소량의 정보를 교묘하게 장기간 동안 빼내는 방법을 사용했다. KT 내부 영업시스템에서 고객 정보를 열람할 수 있는 해킹 프로그램을 개발한 뒤 영업대리점에서 고객 정보를 조회하는 것처럼 속였다. 보안망이 뚫리는 데는 KT측의 허술한 보안의식도 한몫했다. KT 설명대로라면 특정 대리점에서 하루 평균 6만 명의 고객정보가 조회되는데도 5개월간 몰랐다는 얘기다.

해킹 프로그램을 통해 모니터링을 우회하는 수법에 당한 것이다. 결국 KT측은 “서버 과부하를 접하고 나서야 정상적인 조회 상태가 아니라는 것을 파악했다”고 밝혔다. 수많은 고객 정보를 다루는 업체에서 정보 보호 의무를 소홀히 했다는 법적 처벌을 피하기 힘든 부분이다. 특히 피해고객들은 일선 대리점에서 마음만 먹으면 무단으로 고객정보 조회가 가능하다는 사실에도 분개했다.

해킹의 주요 표적일 될 수 있는 중요 정보를 다루는 기업이지만 보안 관련 투자 및 개발에 소홀하다는 증거다. KT는 2012년 3월에도 불법 프로그램의 공격에 속수무책 무너져 휴대전화 가입자의 위치정보와 인적사항을 대량으로 유출시킨 바 있다. KT의 허술한 보안의식에 고객의 질타가 쏟아진 이유가 여기에 있다. 한 보안기술업체의 해커는 “이번 사태는 전문적 해킹에 기업 보안이 뚫린 사례이기 보다는 KT측의 관리 소홀 책임이 더 크다”며 “정상적인 패킷을 받아서 대리점에서 조회하듯 정보를 빼낸 수법을 인지하지 못하는 정도의 보안 수준이라면 내부시스템에 접근해 DB를 흔드는 해킹 수법에는 속수무책으로 당했을 것”이라고 말했다.

방송통신위원회는 KT 정보유출 관련 브리핑에서 “근본적으로 해커에게 개인 정보는 돈이지만 기업 입장에서는 관리해야 할 비용으로 여겨지는 것이 보안벽을 뚫는 구멍이 되고 있다”며 “SK텔레콤, LG유플러스 등 다른 이동통신사도 시스템 구축에 대한 투자와 지속 점검에 노력을 기울여야 한다”고 덧붙였다.
김은경 더스쿠프 객원기자 kekisa@thescoop.co.kr

김은경 객원기자 kekisa@thescoop.co.kr