KT 홈페이지, 암호화 과정도 안거쳐
KT가 해킹을 당한 ‘올레닷컴’ 홈페이지를 통해 가입자들의 개인정보를 취급하면서 보안상 필수적인 ‘암호화’과정을 거치지 않은 것으로 나타났다. 2년전 873만명의 고객 개인정보유출사고를 일으킨 뒤 “보안체계를 대폭 개선하겠다”고 밝혔지만 기본적인 보안수칙조차 지키지 않은 셈이다.
■개인정보 암호화 안한 채 전송
7일 국내 한 웹사이트개발 전문가는 “사고 당일(6일) KT의 올레닷컴 홈페이지를 점검한 결과 KT가 서버에서 고객의 개인정보를 고객의 컴퓨터로 전달할 때 별도의 암호화 과정을 거치지 않은 것으로 나타났다”고 밝혔다.
KT의 서버는 가입자가 올레닷컴에 로그인해 요금조회를 요청하면 가입자의 컴퓨터(클라이언트)로 해당 정보를 보내준다. 해킹범들은 ‘파로스 프록시’를 사용해 서버에서 클라이언트로 넘어가는 정보(패킷)를 탈취해 개인정보를 빼냈다.
문제는 KT가 정보를 보내면서 제대로 암호화하지 않은데서 발생했다. 이 전문가는 “웹브라우저에 기본적으로 내장된 ‘개발자 도구’로만 이 정보를 해석해봐도 주민등록번호, 카드 유효기간, 은행계좌번호, 단말기할부금, 사용중인 카드사 정보, 주소, 우편번호 등 거의 모든 개인정보가 확인됐다”며 “이중 숫자만이라도 못알아보게 ‘별표’ 등으로 표시하는 기본적인 ‘암호화(마스킹)’ 과정만 거쳤어도 정보유출을 막을 수 있었을 것”이라고 말했다.
KT는 “2년전 사고 이후 내부전산시스템을 전면 개편하고 전담 보안팀도 신설하는 등 대책을 세워왔다”며 “고객들의 개인정보도 서버에 저장될 땐 기본적으로 암호화 과정을 거친다”고 밝혔다. 하지만 홈페이지 내 암호화 문제에 대해선 별다른 답변을 내놓지 못했다.
■황창규호 출범부터 ‘흔들’
황 회장은 이날 열린 사고관련 간담회에 직접 등장해 ‘대국민 사과문’을 읽어내려갔다. 황 회장은 “2년전 사고와 유사한 사건이 발생한 점에 대해 변명의 여지가 없다”며 “ IT전문기업인 KT로서는 너무나도 수치스러운 일”이라며 고개를 숙였다.
지난 1월 취임한 황 회장은 전임 이석채 회장이 남긴 KT 내부의 여러 문제점을 개선하고 적자로 돌아선 회사 살림을 정상화시켜야하는 여러 과제들을 안고있다. 취임을 전후로 전담조직을 만들어 강도높은 개혁을 추진 중이지만 잇달아 ‘대형 악재’가 터지며 출발부터 흔들리고 있다. 지난달에는 KT의 계열사인 KT ENS의 직원이 연루된 3000억원대의 대출사기사건이 발생했다. KT ENS가 범행에 쓰인 법인인감 관리를 제대로 못했다는 의혹이 제기돼 수사결과에 따라서는 피해금액 일부를 물어줘야 할 판이다.
이번 개인정보유출건은 더 치명적이다. KT는 지난해부터 가입자가 급격히 경쟁사들로 이탈해 점유율 유지에 큰 어려움을 겪고 있다. 개인정보유출로 인한 추가적인 가입자 이탈도 예상돼 향후 시장경쟁에 있어서도 불리한 위치에 놓일 가능성이 높다.
■개인정보 암호화 안한 채 전송
7일 국내 한 웹사이트개발 전문가는 “사고 당일(6일) KT의 올레닷컴 홈페이지를 점검한 결과 KT가 서버에서 고객의 개인정보를 고객의 컴퓨터로 전달할 때 별도의 암호화 과정을 거치지 않은 것으로 나타났다”고 밝혔다.
KT의 서버는 가입자가 올레닷컴에 로그인해 요금조회를 요청하면 가입자의 컴퓨터(클라이언트)로 해당 정보를 보내준다. 해킹범들은 ‘파로스 프록시’를 사용해 서버에서 클라이언트로 넘어가는 정보(패킷)를 탈취해 개인정보를 빼냈다.
문제는 KT가 정보를 보내면서 제대로 암호화하지 않은데서 발생했다. 이 전문가는 “웹브라우저에 기본적으로 내장된 ‘개발자 도구’로만 이 정보를 해석해봐도 주민등록번호, 카드 유효기간, 은행계좌번호, 단말기할부금, 사용중인 카드사 정보, 주소, 우편번호 등 거의 모든 개인정보가 확인됐다”며 “이중 숫자만이라도 못알아보게 ‘별표’ 등으로 표시하는 기본적인 ‘암호화(마스킹)’ 과정만 거쳤어도 정보유출을 막을 수 있었을 것”이라고 말했다.
KT는 “2년전 사고 이후 내부전산시스템을 전면 개편하고 전담 보안팀도 신설하는 등 대책을 세워왔다”며 “고객들의 개인정보도 서버에 저장될 땐 기본적으로 암호화 과정을 거친다”고 밝혔다. 하지만 홈페이지 내 암호화 문제에 대해선 별다른 답변을 내놓지 못했다.
■황창규호 출범부터 ‘흔들’
황 회장은 이날 열린 사고관련 간담회에 직접 등장해 ‘대국민 사과문’을 읽어내려갔다. 황 회장은 “2년전 사고와 유사한 사건이 발생한 점에 대해 변명의 여지가 없다”며 “ IT전문기업인 KT로서는 너무나도 수치스러운 일”이라며 고개를 숙였다.
지난 1월 취임한 황 회장은 전임 이석채 회장이 남긴 KT 내부의 여러 문제점을 개선하고 적자로 돌아선 회사 살림을 정상화시켜야하는 여러 과제들을 안고있다. 취임을 전후로 전담조직을 만들어 강도높은 개혁을 추진 중이지만 잇달아 ‘대형 악재’가 터지며 출발부터 흔들리고 있다. 지난달에는 KT의 계열사인 KT ENS의 직원이 연루된 3000억원대의 대출사기사건이 발생했다. KT ENS가 범행에 쓰인 법인인감 관리를 제대로 못했다는 의혹이 제기돼 수사결과에 따라서는 피해금액 일부를 물어줘야 할 판이다.
이번 개인정보유출건은 더 치명적이다. KT는 지난해부터 가입자가 급격히 경쟁사들로 이탈해 점유율 유지에 큰 어려움을 겪고 있다. 개인정보유출로 인한 추가적인 가입자 이탈도 예상돼 향후 시장경쟁에 있어서도 불리한 위치에 놓일 가능성이 높다.