허술한 보안망 2년전 그대로 인터넷서 쉽게 구할수 있는 해킹 프로그램 ‘수차례 숫자 오류 땐 자동잠금’기능도 없어
전문가들조차 이번 KT의 정보 유출 사고는 아무리 잘 봐주려고 해도 도저히 이해할 수 없는 사고라는 데 방점을 찍었다. 보안의식이 ‘빵점’이 아니고서는 도저히 있을 수 없는 사고라는 것이다. 먼저 KT 홈페이지 해킹에 사용된것으로 알려진 ‘파로스’는 PC와 서버 사이에 오가는 정보를 가로챌 수 있는 툴로 인터넷에서 누구나 공짜로 내려받을 수 있다. 해커는 이를 이용해 9자리 이용 대금 고객 정보 조회란에 000000000부터 999999999까지 9개의 숫자를 자동 입력하고 이와 일치하는 정보를 빼돌렸다.
업계의 한 전문가는 “잘못된 숫자가 수차례 입력되면 잠금 기능이 작동되는 기본적인 기능만 두었더라도 이번 사태를 막을 수 있었을 것”이라면서 “하루 20만~30만건의 정보가 유출됐다면 1년 동안 엄청난 트래픽 흐름이 있었을 텐데 이를 인지하지 못했다는 건 KT가 눈 감고 있었다는 것”이라고 지적했다. 또 다른 전문가는 “KT는 이용 대금 명세서에 적힌 9자리 고유번호만 입력해도 주민등록번호, 전화번호 등 민감한 개인 정보를 모두 확인할 수 있게 한 것으로 보인다”면서 “고객 정보를 너무 허술하게 관리한 것 같다”고 진단했다. 현재 KT 홈페이지의 보안은 자회사인 KT DS가 담당하고 있다.
미래부와 방송통신위원회도 발칵 뒤집혔다. 국민은행과 농협 등 금융기관 개인 정보 유출 사고가 발생한 게 엊그제인데 다른 곳도 아니고 이통사에서 이런 일이 발생했다는 데 경악을 금치 못하고 있다. 사고가 알려진 직후 보안업체 전문가 등 민관 합동 조사관 8명을 급파한 것도 이런 맥락이다. 전문성이 뛰어난 민간 조사관을 통해 철저히 이번 사고를 들여다보겠다는 취지다. 미래부 고위 관계자는 “유출 사실과 KT가 이를 알고도 묵과한 부분이 있는지 확인하고 사실로 드러날 경우 형사처벌도 마다하지 않겠다”고 강조했다. 방통위는 지난 유출 사고에도 KT가 정보통신망 이용 촉진 및 정보보호 등에 관한 법률상 개인정보보호의무 중 일부를 위반한 것으로 판단해 과징금 7억 5300만원을 부과한 바 있다.
김양진 기자 ky0295@seoul.co.kr
명희진 기자 mhj46@seoul.co.kr
2014-03-07 8면