허술한 보안망 2년전 그대로 인터넷서 쉽게 구할수 있는 해킹 프로그램 ‘수차례 숫자 오류 땐 자동잠금’기능도 없어

KT 홈페이지의 고객 정보를 해킹한 해커는 인터넷에서 쉽게 구할 수 있는 해킹 도구로 1년 넘게 매일같이 제집 드나들듯 홈페이지에 접속해 1200만명의 고객 정보를 모조리 빼 갔다. 그러나 KT는 해커가 종횡무진 활보하고 있었는데도 경찰이 수사 결과를 발표할 때까지 유출 사실조차 모르고 있었다. 2012년 7월 전산망 해킹으로 873만명의 개인 정보 유출 사고가 일어난 지 7개월 만에 다시 뚫렸고, 이 같은 사실을 1년 동안 까맣게 몰랐다는 점에서 KT의 엉성한 보안의식에 대한 비난이 쏟아지고 있다. 2년 전 표현명 KT 개인고객부문 사장은 “세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다”고 약속했지만 결국 공염불이었다. 미래창조과학부가 ‘엄벌 의지’를 밝힌 것도 이런 도덕적 해이를 문제 삼은 것이다.

전문가들조차 이번 KT의 정보 유출 사고는 아무리 잘 봐주려고 해도 도저히 이해할 수 없는 사고라는 데 방점을 찍었다. 보안의식이 ‘빵점’이 아니고서는 도저히 있을 수 없는 사고라는 것이다. 먼저 KT 홈페이지 해킹에 사용된것으로 알려진 ‘파로스’는 PC와 서버 사이에 오가는 정보를 가로챌 수 있는 툴로 인터넷에서 누구나 공짜로 내려받을 수 있다. 해커는 이를 이용해 9자리 이용 대금 고객 정보 조회란에 000000000부터 999999999까지 9개의 숫자를 자동 입력하고 이와 일치하는 정보를 빼돌렸다.

업계의 한 전문가는 “잘못된 숫자가 수차례 입력되면 잠금 기능이 작동되는 기본적인 기능만 두었더라도 이번 사태를 막을 수 있었을 것”이라면서 “하루 20만~30만건의 정보가 유출됐다면 1년 동안 엄청난 트래픽 흐름이 있었을 텐데 이를 인지하지 못했다는 건 KT가 눈 감고 있었다는 것”이라고 지적했다. 또 다른 전문가는 “KT는 이용 대금 명세서에 적힌 9자리 고유번호만 입력해도 주민등록번호, 전화번호 등 민감한 개인 정보를 모두 확인할 수 있게 한 것으로 보인다”면서 “고객 정보를 너무 허술하게 관리한 것 같다”고 진단했다. 현재 KT 홈페이지의 보안은 자회사인 KT DS가 담당하고 있다.

미래부와 방송통신위원회도 발칵 뒤집혔다. 국민은행과 농협 등 금융기관 개인 정보 유출 사고가 발생한 게 엊그제인데 다른 곳도 아니고 이통사에서 이런 일이 발생했다는 데 경악을 금치 못하고 있다. 사고가 알려진 직후 보안업체 전문가 등 민관 합동 조사관 8명을 급파한 것도 이런 맥락이다. 전문성이 뛰어난 민간 조사관을 통해 철저히 이번 사고를 들여다보겠다는 취지다. 미래부 고위 관계자는 “유출 사실과 KT가 이를 알고도 묵과한 부분이 있는지 확인하고 사실로 드러날 경우 형사처벌도 마다하지 않겠다”고 강조했다. 방통위는 지난 유출 사고에도 KT가 정보통신망 이용 촉진 및 정보보호 등에 관한 법률상 개인정보보호의무 중 일부를 위반한 것으로 판단해 과징금 7억 5300만원을 부과한 바 있다.

김양진 기자 ky0295@seoul.co.kr

명희진 기자 mhj46@seoul.co.kr