800만 고객정보 유출…KT 과실은?

KT 휴대전화 가입자 정보 800여만건이 해킹 당했다. 이는 KT 전체 휴대전화 가입자 1천600만명의 절반에 해당하는 수치다. 유출된 개인정보는 텔레마케팅(TM) 등에 활용된 것으로 드러났다.

경찰청 사이버테러대응센터는 지난 14일부터 20일 사이 서울시 금천구 가산동 9개소에서 최 모씨㊵를 비롯한 피의자 9명을 해킹프로그램 제작 및 유포, KT 개인정보 조회 및 유출한 혐의로 검거했다고 29일 밝혔다.

이들은 지난 2월 20일부터 지난 15일까지 약 5개월간 KT의 고객정보 조회시스템(이하 영업시스템)에 접근해 고객 정보를 해킹한 후 이를 휴대폰 TM 사업에 활용했다.

KT는 5개월 동안 해당 사실을 인지하지 못하다가 내부 보안 모니터링 활동을 통해 이상 징후를 발견, 그 직후인 지난 13일 경찰에 수사를 의뢰했다.

다만 현재까지의 조사 결과로는 KT가 해킹과 관련한 직접적이고 중대한 과실을 범했다고 단정 짓기는 어려워 보인다. 해킹에 사용된 프로그램이 단시간에 대규모 고객정보를 빼내는 기존 형태와 다르게 한 건씩 순차적으로 조회, 유출하도록 설계됐다는 것이 경찰의 설명이다.

경찰은 “통상 해킹에 의한 개인정보 유출은 단시간에 이뤄지는 반면, 해당 사건은 자동화 된 해킹프로그램으로 수개월간 소량씩 장기적으로 개인정보를 유출해 오히려 이를 인지하기가 곤란한 상황이었다”고 말했다. 또한 피의자 최 모씨에 대해서는 “IT 업체 등에서 약 10년 동안 프로그램 개발, 유지, 보수 등의 경험을 쌓은 전문 프로그래머 경력자”라며 “10년 경력의 고도의 전문 프로그래머에 의한 해킹 범죄”라고 설명했다.

경찰은 KT측에 동일한 피해가 재발하지 않도록 당부하는 동시에 해당 사건과 관련해 정보통신망법상 KT의 기술적, 관리적 보호조치 의무 위반여부도 수사할 예정이다.

그러나 직접적인 과실이 없다고 해도, 고객 정보 유출에 따른 도의적 책임은 피하기 어렵다. 현재 온라인에서는 가입자들의 정보를 관리, 감독할 의무가 있는 KT에 대한 비난이 빗발치는 상태다.

또한 보안업계 일각에서는 고객정보조회시스템이 통상 허가받은 관리자에게만 접속방법이 알려져 있기 때문에 어떤 형태로든 내부자가 관여했을 가능성이 크다는 지적이 나오기도 했다.

이에 대해 KT는 “경찰수사 결과 내부자 관여는 없었다”며 선을 긋고 “고객들의 개인정보보호에 최선의 노력을 기울여 왔으나 소중한 정보가 유출된 점에 대해 머리 숙여 사과한다”고 강조했다.

이어 “내부 보안 모니터링 활동을 통해 이상 징후를 발견하고 지난 13일 경찰에 수사를의뢰했다”며 “이후 경찰이 개인정보 침해 범죄조직을 체포하는데 적극적으로 수사협조를 했다”고 해명했다.

관련기사

KT는 경찰과 협력해 유출된 개인정보를 전량 회수하고 추가적인 개인정보 유출을 차단했다. 또 경찰과 공조해 유출 경로에 대한 심층 분석 중이다.

유출된 고객정보는 총 10종으로. 휴대전화번호, 가입일, 고객번호, 성명, 주민등록번호(법인번호), 모델명, 요금제, 기본요금, 요금합계, 기기변경일 등이다. 개인정보침해 확인은 올레닷컴 또는 고객센터(국번 없이 1588-0010번)에서 가능하다.