홈페이지 해킹으로 1,200만명의 개인정보가 유출된 사건과 관련해 KT측의 부실한 고객정보 관리와 보안시스템이 도마에 올랐다. KT의 고객정보 대량 유출은 2004년 92만명, 2012년 870만명에 이어 벌써 3번째다.
6일 경찰 등에 따르면 해커 김모(29)씨는 휴대전화 이용대금 명세서에 기재된 고유번호 9자리만으로 고객정보를 확인할 수 있는 KT 보안시스템의 취약점을 노렸다.
김씨는 KT 고객센터 홈페이지의 이용대금 조회란에 고객의 고유번호 9자리를 무작위로 자동 입력시키는 프로그램을 직접 개발해 개인정보를 빼냈다. 최근 1년 동안 많게는 하루 30만건씩 모두 1,170만명의 고객정보가 털렸다. 김씨가 홈페이지 로그인을 위해 1년 넘게 매일 엄청난 횟수의 접속을 무작위로 시도했음에도 KT측이 이를 알아채지 못한 것은 보안 관리에 치명적인 문제가 있다는 지적이다. 업계에서는 잘못된 개인 암호가 수차례 반복 입력되면 자동으로 잠금 기능이 작동하도록 하는 등의 기능만 있었어도 개인정보 유출을 막을 수 있었을 것으로 보고 있다.
김씨를 고용한 텔레마케팅 업체는 빼낸 고객정보를 휴대전화 개통·판매 영업 등에 써 1년간 115억원을 챙겼다. 이들은 KT 직원을 사칭해 약정기간이 끝나가는 고객에게 전화를 걸어 "휴대전화를 싸게 살수 있다"며 휴대전화 1만1,000대를 팔았다. 500만명의 고객정보를 휴대전화 대리점 3곳에 팔기도 했다. 텔레마케팅 업체로부터 급여 명목으로 2억원을 받아 챙긴 해커 김씨는 KT 홈페이지를 해킹한 사실을 인터넷 사이트 게시판에 자랑 삼아 올리기까지 한 것으로 드러났다.
이번에 유출된 개인정보는 휴대전화번호, 기기명, 약정기간 등이다. KT는 고객의 신용카드번호 등 금융정보는 유출되지 않았다고 밝혔다.
KT와 관련된 개인정보 유출 사고가 반복적으로 발생하고 있는 점도 문제로 지적된다. 2012년 위치정보 등 870만건의 고객정보가 유출됐을 당시 KT는 "단기간 대량 유출방식이 아닌, 소량의 정보가 장기적으로 유출돼 몰랐다"고 해명했었다. 그럼에도 지난 2년간 KT가 보안시스템에 별다른 보완조치를 취하지 않았던 셈이다.
더구나 김씨가 사용한 해킹 프로그램은 누구나 쉽게 사용할 수 있는 '파로스 프록시'(Parosproxy)를 이용한 것으로 밝혀졌다. 때문에 보안업계에서는 KT가 보안의 기본을 지키지 않았다고 지적했다.
이와 관련해 KT 관계자는 "현장 조직에서 알고도 보고를 안 했는지, 정말 몰랐는지 여부는 내부조사를 해봐야 알 것"이라며 "홈페이지를 직접 운영하며 암호화 등 철저한 보안조치를 취했지만 신종 해킹수법이라 막지 못한 것으로 본다"고 말했다.
경제정의실천시민연합과 소비자시민모임 등은 이날 공동성명을 통해 "KT가 2012년 8월 고객정보 해킹 관련 재발방지 대책을 발표했는데도 또 정보가 유출된 것은 허술한 고객정보 관리와 한심한 보안수준의 현실을 그대로 반영한 것"이라며 "이번 유출사고로 통신사에 주민번호를 몰아주는 현재의 본인확인제도, 무분별한 주민번호 수집 허용정책의 위험성이 증명됐다"고 지적했다.
KT는 유출된 고객정보 자료를 경찰로부터 넘겨 받는 대로 고객들이 고객센터(02-100), 홈페이지를 통해 자신의 개인정보가 유출됐는지 여부를 확인할 수 있도록 할 계획이다.
최연진기자 wolfpack@hk.co.kr
인천=이환직기자 slamhj@hk.co.kr
기사 URL이 복사되었습니다.
댓글0