과열 마케팅·지능적 해킹의 합작품
매일경제 입력2012.07.29 17:47기사 내용
KT 5개월간 870만명 개인정보 유출
KT의 870만 고객 개인정보 유출은 통신사들의 과열된 마케팅과 고도화된 해킹 기법이 결합해 나타난 사고다.
이번 KT 개인정보 유출 사건은 텔레마케팅(TM)이라는 분명한 목적을 가지고 시도됐다는 점에서 과거 대형 해킹 사건과 다르다는 분석이다. 지난해 농협과 현대캐피탈, SK커뮤니케이션즈, 넥슨에서 개인정보 유출 사건이 일어났지만 정확한 사건 경위가 밝혀지지 않았다. 인터넷주소(IP)를 중국 등지로 4~5차례 세탁해서 해킹하기 때문에 '누가' '왜' 해킹했는지 알려지지 않고 있다. 주민등록번호 등 개인정보 한 건당 30~50원에 거래되는 관행으로 개인정보 판매를 위한 해킹으로 추측할 뿐이다.
방송통신위원회가 이통 3사의 과도한 롱텀에볼루션(LTE) 마케팅에 경고를 하기도 했다.
특히 KT의 경우 경쟁사의 LTE 가입자 수를 따라잡기 위해 과도한 보조금을 뿌려왔다. 실제 해킹 프로그램을 만들었던 최 모씨 등은 "KT가 가장 많은 마진을 준다"며 범행 동기를 설명했다. 어떤 수단을 활용해 가입자를 모으더라도 통신사로부터 대당 수십만 원에 이르는 이득을 얻을 수 있기 때문에 불법을 자행한 것이다.
여기에 IT업계에서 10년가량 일해온 전문 프로그래머가 치밀하게 해킹 프로그램을 만들어 KT는 속수무책으로 당했다.
이번에도 지난해 일어난 대형 해킹사건과 마찬가지로 지능형지속위협(APT) 해킹 방법이 쓰였다. APT는 오랜 시간을 두고 조금씩 정보를 빼가는 방법을 말한다.
최씨 등이 만든 해킹 프로그램은 KT 대리점으로 가장해 KT영업시스템이 일선 대리점에서 고객정보 조회를 요청하는 것처럼 착각을 일으키도록 만드는 수법을 썼다. 서버에 있는 고객정보를 한꺼번에 대량 유출하는 것이 아니라 고객정보를 한 건, 한 건씩 조회하는 방법을 썼기 때문에 대리점에서 정보를 요청하는 것과 큰 차이가 없었다. 이 때문에 KT가 인지하지 못한 것이다.
KT의 전ㆍ현직 직원이 가담했을 가능성도 제기된다. 대리점 조회시스템 프로그램의 프로토콜 취약점을 알고 접근한 것이기 때문이다.
지난 3월에 이어 두 번째 개인정보 유출을 막지 못한 KT는 책임을 피할 수 없다. KT는 올해 3월에도 SK텔레콤과 함께 고객정보 20만여 건을 해킹당했다.
당시 KT와 SK텔레콤 협력회사 직원들은 위치정보 조회 서비스의 유지 업무를 하면서 개인정보 조회 프로그램을 만들었고 이를 통해 19만8000여 건에 이르는 고객 위치정보를 빼돌렸다. 통신사들은 경찰이 범행 사실을 통보하기 전까지 고객정보가 유출된 것도 모르고 있었다.
KT는 이번에도 개인정보 유출이 시작된 지 다섯 달이 지나서야 유출 사실을 눈치챘다는 점에서 허술한 개인정보 보호 체계에 대한 비판을 면키 어렵게 됐다.
이에 대해 경찰은 "고객정보 유출사건과 관련해 정보통신망법상 KT의 기술적ㆍ관리적 보호조치 의무 위반 여부도 수사할 예정"이라고 밝혀 KT의 과실 여부에 대해 조사를 계속할 계획을 밝혔다.
통신 이용자들은 통신사의 안전불감증에 부글부글 끓고 있다. 한 보안업계 관계자는 "집단소송으로 이어질 경우 보안 관리를 제대로 하지 못한 KT가 불리한 입장에 서게 될 것"이라고 말했다.
보안업계 전문가들은 무엇보다 기업들의 허술한 보안의식 개선이 시급하다고 지적한다. 아울러 개인정보 해킹을 막기 위해 정부가 기업들에 강력한 보안시스템 구축을 강제하고 철저히 책임을 묻는 법체계를 마련해야 한다고 강조한다.