KT의 참 알기 쉬운 전산서버 비번 ‘KTF’ | ||||||||||||
“유출 자체는 보상 범위 아냐” | ||||||||||||
| ||||||||||||
[월요신문 성현 기자] 고객 870여만명의 개인정보가 유출된 KT의 내부 보안관리가 졸속으로 이뤄져 왔다는 구체적인 주장이 제기됐다. 정보유출 고객 측 변호를 맡은 법무법인 평강은 지난해 말 열린 4차 변론에서 KT의 가상사설망(VPN) 계정 관리 미흡과 인증토큰의 유효성 검사 미실시 등의 문제점이 있었다고 주장했다. 심지어 말소된 아이디로도 서버 접근이 가능했으며 계정 비밀번호 역시 ‘KTF’로 매우 단순한 상태였다고 의혹을 제기했다. 고객들과의 손해배상청구소송 첫 판결이 조만간 나올 것으로 예상되는 가운데 KT 측은 이 같은 지적에 대해 유보적인 답변을 내놓고 있다.
고객 정보유출 사건 손배소송 중 법무법인 평강에서 진행 중인 사건의 1심 판결이 다음달 중 나올 예정이다. 평강에서 진행 중인 손배소송은 오는 15일 마지막 변론이 열릴 예정으로 원고 측은 이달 말이나 다음달 초 법원의 판결이 나올 것으로 내다봤다. 평강 관계자는 “(재판이) 병합되지는 않았지만 KT의 요청으로 정보유출에 대해 제기된 여러 소송이 같은 재판부에 배정돼 동일하게 진행되고 있다”며 “변론 이후 2주 뒤 결과가 나올 것으로 본다”고 밝혔다. 해킹 사실 5개월간 몰랐던 KT KT 개인정보 유출 피해를 입은 것으로 추정되는 고객 수는 무려 870여만에 달한다. 이는 당시 KT의 휴대전화 전체 가입자(1600여만명)의 절반이 넘는 규모다. 유출된 개인정보는 고객의 이름과 주민등록번호, 휴대전화번호, 휴대전화 모델명, 사용 요금제, 요금 합계액, 기기변경일 등 핵심 정보가 대부분 포함됐다. 이 같은 사실은 경찰청이 KT 고객정보를 텔레마케팅에 활용한 혐의(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반)로 해커 최모(40)씨 등 2명을 지난 2012년 7월 구속하면서 드러났다. KT는 해킹 이후 5개월 동안이나 고객정보가 유출당한 사실을 알아차리지 못하다 뒤늦게 내부 보안점검을 통해 이 사실을 파악한 것으로 나타났다. 그러나 피해 고객에 대한 손해배상은 이루어지지 않았다. 송정희 KT 부사장은 사고가 알려진지 10여일 뒤 연 기자회견에서 “유출 자체는 피해 보상 범위가 아닌 것으로 알고 있다”며 “개인정보 유출로 인해 다른 피해가 발생했다면 보상할 것”이라고 말했다.
결국 집단소송이 제기됐다. 강모씨 등 고객 100명이 지난 2012년 8월 14일 낸 손해배상청구소송을 시작으로 그 다음달에는 고객 2만8000여명이, 10월에는 고객 215명이 소송을 냈다. 소송금액은 1인당 50만원씩 약 140억원 규모다. 고객들은 소장에서 “KT는 고객정보 유출을 방지해야 할 의무가 있는데도 부실한 보안으로 관리를 소홀히 했고 5개월간 유출 사실을 몰랐다”며 “명백한 과실에 대해 손해를 배상할 책임이 있다”고 주장했다. 현재 평강 측에서 주장하는 KT의 과실은 ▲취약한 VPN 인증 ▲불완전한 접근통제 ▲암호화 조치 미준수 ▲부실한 모니터링 시스템 ▲내부 정보보호지침 미준수 등 5가지다. VPN란 외부에서 기업의 내부망 접속이 가능한 유일한 장치다. VPN을 통과하면 내부직원과 동등하게 망의 모든 서버에 접속이 가능하다. 구동 방식은 전용선으로 접속망을 구축하는 방법과 공중선로(인터넷망)로 설치하는 방법이 있는데 각각 비용이 과다하게 투입된다는 점과 상대적으로 보안에 취약하다는 단점이 있다. 절충안으로 공중선로(인터넷망)이용하되 그 구간을 암호화하는 방식이 있는데 KT는 이 같은 형식을 사용했다. 하지만 평강은 KT의 VPN 인증 절차에 몇가지 문제가 있었다고 지적했다. 평강은 지난해 11월 20일 열린 5차 변론에서 “(서버 접근 계정의) 아이디와 비밀번호는 대리점 직원 간에 공유되고 있었으며 아이디+비밀번호 방식의 단순한 인증 수단을 사용했다”고 주장했다. 이는 방송통신위원회의 개인정보 기술적·관리적 보호조치기준 제4조 제4항의 ‘정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보 처리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증 수단을 적용하여야 한다’는 것을 위반한 것이라고 평강은 설명했다. 계정의 비밀번호도 지극히 단순했다. 해커 우모씨는 피의자심문과정에서 “정확한 아이디는 기억나지 않고 패스워드는 대문자 ‘KTF’였다”고 진술했다. KTF는 지난 2009년 6월 KT가 흡수합병한 한국통신프리텔의 영어 약자다. 평강은 이 자리에서 “매우 단순한 비밀번호를 썼다”고 비판했다. 또 유효기간(6개월)이 지난 계정으로도 접근이 가능한 보안상의 취약성도 발견됐다. 평강은 접근통제도 불완전했다고 봤다. 평강 관계자는 “KT의 개인정보처리시스템에 접근하기 위해서는 N-STEP포탈과 AUT, ESB, OM을 경유하는 것을 전제하고 있지만 실질적으로는 시스템이 경유를 강제하고 있지 않았다”고 말했다. 접속방법을 강제하기 위한 인증토큰도 최종 서버에서 유효성 검사가 이뤄지지 않아 그 목적을 상실한 것으로 파악됐다. 또 방통위의 보호조치 기준 상 암호화 돼도록 지정돼 있는 주민등록번호와 계좌번호는 암호화돼 있지 않았다. 접속자 사후 관리도 제대로 이뤄지지 않았다. 방통위의 보호조치기준 제5조 제1항에는 ‘정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독해야 한다’고 명시돼 있다. 그러나 KT는 시스템 접속기록을 남기지 않았고 과다조회탐지시스템도 동작하지 않았다. 평강 관계자는 “(이로 인해) 5개월간 870만건 유출되는 동안 알 수 없었다”고 주장했다. 원고 측의 이 같은 주장에 대해 KT는 유보적인 입장을 보였다. KT 관계자는 “아직 재판이 진행 중인 만큼 구체적인 내용에 대해 답변하기 곤란하다”며 “재판 결과가 나오면 그때 자세하게 소명하도록 하겠다”고 말했다. |