지난 2012 년 7월 870 만명의 고객정보가 유출된 KT 정보 유출 사건이 발생한지 채 2 년이 지나지 않아 이번에는 더 많은 1200 만명의 KT 고객정보가 해킹당했다고 합니다. 아마 이 소식을 뉴스를 통해 접하시면서 뭔가 데자뷰 (deja vu) 같은 느낌이 드시는 분들도 있을 것 같습니다. 왜냐하면 계속 동일한 뉴스들이 시간과 장소만 달리해서 들리고 있기 때문이죠.
2012 년의 KT 정보 유출 사고의 경우 KT 고객 정보를 몰래 조회할 수 있는 해킹 툴을 만든 해커가 이름, 주민등록번호, 휴대폰번호, 휴대폰 모델명, 요금제, 사용 금액, 기기 변경일 등 주요 정보를 해킹한 후 이를 텔레마케팅 업체들에 팔았던 사건이었습니다. 텔레마케팅 업체들은 약정 만료일이 다가오거나 요금제 변경이 필요한 고객을 골라 전화를 걸어 단말기를 저렴하게 바꿔준다는 등의 감언이설로 물건을 판매해 10 억 1000 만원 상당의 부당이익을 올렸다가 경찰청 사이버 테러 대응 센터의 단속에 걸렸었습니다. (http://blog.naver.com/jjy0501/100163496317 참조)
당시 KT 표현명 사장은 대국민 사과를 하면서 고객 정보 해킹 재발 방지를 위한 장기적이고 근본적인 대책을 마련하겠다고 이야기 했습니다. 그러면서 새로운 선진 영업 시스템으로 통해 해킹 방지 체계가 지금보다 한단계 업그레이드 된다고 이야기 했었죠. 이런 큰 사건을 당했는지라 당연히 모든 사람들이 보안 시스템을 대대적으로 업그레이드 했는지 알았습니다.
그리고 다시 2014 년 3월. 인천 경찰청 광역 수사대는 KT 를 해킹해 고객 정보를 빼내 이를 휴대폰 영업등 텔레마케팅에 사용해 115 억원의 부당수익을 올린 일당을 검거했습니다. 이들이 빼돌린 정보는 전체 KT 고객의 3/4 에 달하는 1200 만명의 이름, 전화번호, 요금제는 물론 다른 민감한 개인 정보를 포함하고 있다고 알려져 있습니다.
이들은 파로스라는 오픈 소스 해킹 도구를 개량해서 KT 홈페이지를 해킹했는데 (정확히는 이용대금 조회 사이트를 해킹) 그 방법은 의외로 단순해서 고객에게 부여된 별도의 고유번호 9 자리수를 무작위로 입력한 후 맞아떨어지면 계정 정보를 해킹할 수 있었다고 합니다.
이들은 이런 방식으로 1 년에 걸쳐 많게는 하루 수십만건의 정보를 해킹했는데 만약 KT 가 다량의 트래픽이 짧은 시간안에 동일 IP 에서 발생하는 것을 감지했거나 누군가 무작위로 번호를 입력해 개인 정보에 접근하려 든다는 사실을 감지했다면 쉽게 성공할 수 없었던 일이었습니다. 아니면 이 숫자 자체를 암호화 해서 처리했다면 역시 가능하지 않은 해킹이었습니다. 물론 좀 더 조사를 통해서 더 상세한 진상이 밝혀져야 하겠지만 일단 지금까지 드러난 사실은 그렇다고 하네요.
이를 수사한 인천 경찰정 광역 수사대는 KT 가 이용대금 명세서에 기재된 고유번호 9 자리 만으로도 고객 정보를 확인할 수 있는 보안 시스템을 통해 고객 정보 관리를 소홀히 했는지 수사하고 있다고 합니다. 실제로 수사팀에 의하면 이 해커들은 증권사등 다른 조회 시스템 사이트도 해킹하려 했지만 성공하지 못했는데 KT 는 해킹이 가능했다고 하네요. 물론 KT 는 1 년이 넘게 자신이 해킹당해 고객들의 정보가 대부분 새어나간 것을 전혀 모르고 있다가 경찰 발표를 보고서야 알았다고 합니다.
사실 1200 만 고객의 정보가 새어나간 것, 그리고 그로 인한 2 차 피해가 우려되는 것 이상으로 걱정되는 일은 2 년 사이 조금만 디테일이 다를 뿐 거의 똑같은 대형사고가 터졌다는 것입니다. 더구나 1 억 명 이상의 정보가 새어나간 대규모 개인 정보 유출 사건이 터지고 다시 1700 만명의 개인 정보가 새어나간 정보 유출 사고가 있은지 얼마 안되는 시점입니다.
이쯤 되면 뭔가 국내 보안 시스템 자체과 관련 법률에 근본적인 문제가 있다는 결론이 나올 수 밖에 없어 보입니다. 공인 인증서라는 세계에서 유래가 없는 시스템을 도입하고 온갖 보안 모듈이 난무하는 대한 민국에서 왜 이런 대형 보안 사고가 줄을 이어 터지는지 심각하게 고민할 때가 된 것 같습니다.
참고
댓글
댓글 쓰기