기사 내용

[한겨레]케이티 정보유출 파장과 수법 

오픈소스 이용 해킹프로그램 제작 무작위 자동입력에 고유번호 뚫려

1년동안 하루최대 30만건 빼돌려  이번에는 별도 사과도 없어

케이티(KT) 가입자 1200만명 개인정보 해킹 사건은 방대한 유출 규모는 물론이고 범행이 1년 넘게 이어져 왔다는 점에서 큰 충격을 던지고 있다. 1억건이 넘는 신용카드사 개인정보 유출 사건이 터진 지 두 달 만에 또 대형 해킹 사건이 터지면서, 주민등록번호 제도 개편에 대한 목소리도 커질 것으로 보인다.

인천지방경찰청 광역수사대가 6일 밝힌 범행 수법을 보면, 전문 해커 김아무개(29)씨 등은 인터넷 등에 공개된 프로그램인 '파로스'를 이용해 새로운 해킹 프로그램을 개발했다. 프로그램의 코드가 모두 공개되어 있는 오픈소스 소프트웨어인 파로스는 누구든지 인터넷에서 내려받을 수 있다. 파로스는 웹페이지 등의 취약점을 확인하기 위한 프로그램인데, 김씨 등은 이를 역으로 이용해 해킹 프로그램을 만들었다.

김씨는 이렇게 만든 해킹 프로그램으로 가입자의 9자리 고유번호를 통해 개인정보를 빼냈다. 케이티 누리집에 로그인한 뒤 이용대금 조회란에 숫자 9개를 무작위로 자동 입력시키는 방식으로 다른 고객들의 고유번호를 찾아냈다. 이런 식으로 김씨 등은 1년 동안 케이티 누리집에서 하루 최대 30만건의 개인정보를 훔쳐냈다. 빼낸 정보는 이름, 주민등록번호부터 휴대전화번호, 집 주소, 직업, 은행계좌 등에 이르기까지 광범위하다. 경찰 관계자는 "지금까지 밝혀진 범행 수법은 피의자의 진술을 토대로 했으며 구체적인 방식에 대해서는 아직 수사중"이라고 말했다.

심각한 문제는 명세서에 기재된 9자리 고유번호를 알아낸 것만으로 정보를 탈취할 수 있었고, 이를 케이티가 1년 동안 모르고 있었다는 점이다. 최민희 민주당 의원(미래창조과학방송통신위원회)은 "1년 동안 수십 차례에 걸쳐 해킹이 이뤄졌는데도 케이티가 전혀 몰랐던 것은 불의의 사고가 아니라 인재임을 보여준다"고 지적했다. 최 의원은 또 유출 사건 조사와 긴급현안 질의를 위해 3월 임시국회를 열자고 제안했다. 경찰은 "케이티 보안담당자의 고객정보관리 소홀 여부를 수사한 뒤 입건 여부를 결정할 방침"이라고 밝혔다.

케이티의 개인정보가 유출되기는 이번이 세번째다. 2년 전인 2012년 3월 케이티와 에스케이텔레콤(SKT)에서 고객정보 20만여건이 해커에 의해 유출됐고, 같은 해 7월에는 케이티 전산망에서 873만명의 개인정보가 유출된 사실이 드러나 사회적으로 큰 파장이 일었다. 당시 표현명 사장은 사과 기자회견을 열고 "최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다"고 약속했지만, 결국 말뿐이었던 것으로 드러났다. 케이티는 이날 별도 사과도 없이 "전문 해커에 의한 유출"이며 "추가적인 고객 피해 방지를 위해 내부 프로세스를 정비중"이라는 원론적인 견해만 표명했다.

사고 소식이 전해지자 방송통신위원회는 이날 저녁 자료를 내어 민관 합동조사단을 꾸려 사고원인 조사에 나서겠다고 밝혔다. 또 2차 피해를 막기 위해 한국인터넷진흥원(KISA)을 통해 개인정보 불법매매 사이트 등에 대한 단속과 점검 강화에 나선다. 정보보호 정책의 책임을 지고 있는 미래창조과학부는 경찰과 협력해 해킹 원인을 조사할 방침이다.

대규모의 개인정보 유출 사건이 연이어 터지면서 시민사회는 주민번호 체제 개편을 비롯한 근본적인 대책 마련을 강하게 촉구하고 나섰다. 경제정의실천시민연합, 오픈넷 등 시민단체들은 성명을 내어 "이번 유출 사고는 통신사에 주민번호를 몰아다주는 현재의 본인확인제도와 주민번호의 무분별한 수집 허용정책이 어떠한 위험성을 야기하는지 증명한 것"이라고 지적했다.

권오성 기자sage5th@hani.co.kr