KT 고객센터 홈페이지 해킹 사건은 결국 내부 보안관제 부실이 결정적인 원인이었던 것으로 드러났다. 따라서 문제에 대한 해결책 역시 이 부분에서 찾아야 할 것으로 보인다.
25일 미래창조과학부는 KT 해킹에 대한 민관합동조사단 중간 조사 결과를 발표했다. 이 내용에 따르면 기존에 알려진 대로 해커는 정상적인 방식으로 KT 고객센터 홈페이지에 로그인한 뒤 '파로스'라는 프로그램을 사용해 로그인 상태를 유지하면서 고객서비스계약번호를 무작위로 입력하는 방식으로 개인정보를 탈취했다.
이 사건의 핵심은 결국 한번 로그인한 사용자가 무슨 일을 했는지 관리하지 못했던 보안관제 부실이다. 국내 보안업계 관계자는 이 사건에 대해 특정IP로 수십만건씩 접속이 있었는데도 왜 내부에서 이를 발견하지 못했는지에 대해 의문을 제기했다.
▲ KT 고객센터 해킹은 보안관제 소홀 탓이었던 것으로 확인됐다.
중간 조사 결과에 따르면 보안장비 접속기록을 분석한 결과 해커가 악용한 특정IP로 하루 최대 34만1천건 접속했다. 특별한 우회방법을 쓰지 않는 한 기록은 남게 된다. 문제는 일반적으로 보안관제 과정에서 한 개 IP에서 이 정도 조회 건수가 나왔으면 누가 봐도 이상하다는 점을 눈치챌 수 있었다는 것이다.
보안관제는 방화벽, 침입탐지/방지시스템(IDS/IPS) 등에 기록된 로그를 분석해 악성코드가 유입됐거나 이상 징후가 없는 지를 판별해 대응하는 업무다.
그러나 KT 관계자에 따르면 이 회사는 자사 담당자들과 함께 KT그룹의 IT시스템 구축 업무를 맡고 있는 KTDS를 통해 보안관제 업무를 수행해 왔다. KT 관계자는 "기존에 발표된 내용대로 로그인을 거쳐 정상적인 사용자로 인식된 계정에 대해서는 추가적인 모니터링을 하지 않았던 것이 사실"이라며 "기존에는 잘못된 계정에 대한 접근시도를 차단하는 쪽에만 집중해 왔다"고 말했다. 예를 들어 잘못된 비밀번호를 수차례 입력한 계정이 접속하는 것을 차단하는 등의 기능에만 집중했었다는 것이다.
KT 입장에서 하루에 수많은 사람들이 오가는 고객센터 홈페이지가 접속 장애 없이 돌아가도록 하는 것은 보안을 유지하는 것 만큼이나 중요한 업무다. 그럼에도 불구하고, 결과적으로 보안관제를 소홀히 한 탓에 대형사고를 낸 것 또한 KT측 책임이다. 웹서비스에 대한 가용성, 보안성 중 가용성에만 초점을 맞춘 결과인 것이다.
이와 관련 KT측은 로그인한 사용자에 대해서 추가적인 보안 모니터링을 수행하는 2차적인 점검시스템을 오는 상반기 안에 마련한다는 계획이다.