KT의 고객정보 870만 건이 유출된 사건에 대해, 해킹 자체 보다 개인정보 관리 방식에 더 큰 문제가 있다는 주장이 제기됐다. 특히 전국 KT대리점의 고객정보 조회를 위한 인증시스템에 대한 보안 대책이 허술했다는 지적도 나왔다.
6일 관련업계에 따르면, KT 정보유출 사건의 주범인 최아무개씨㊵가 개발한 해킹 프로그램은 KT대리점에서 사용되는 'KT고객정보조회시스템'을 그대로 모방했다. 보안 전문가들은 이 해킹 프로그램이 KT DB서버와 통신하는 과정에서 필요한 인증을 우회하는 기법을 사용했을 것으로 보고 있다.
이에 대해 루멘소프트 보안기술연구팀의 이종호 연구원은 기존 프로그램 자체를 모방하는 것은 고난이도 기술은 아니다라며 그 보다는 KT대리점에서 별다른 어려움 없이 고객정보를 조회할 수 있다는 점이 문제일 것이라고 지적했다.
경찰 조사 결과 발표된 해킹 프로그램은 국번과 지번을 입력한 뒤 조회를 선택하면 사용자의 개인정보를 임의로 가져오도록 했다. 자동화된 해킹 프로그램은 KT의 개인정보가 저장된 DB서버를 공격했다기보다는 암호화가 풀린 개인정보를 가로 챘다.
KT 관계자는 해킹을 통해 DB를 직접 긁어간 것이 아니라, 정보를 조회할 수 있는 대리점의 ID와 비밀번호가 외부로 유출된 것으로 파악하고 있다고 설명했다.
이 때문에 KT의 고객정보 관리 방식에 문제가 제기된다. KT의 고객정보가 해킹 프로그램을 통해 유출된 것이 아니라면, 대리점에서 조회한 개인정보를 얼마든지 미상의 방법으로 빼돌릴 수 있다는 것이 더 큰 문제라는 것이다.
■KT 대리점인증시스템, DB암호화 등 '보안관리 허술'
더구나 실제로 KT대리점 인증시스템을 구축했던 사업자 중 하나는 고객정보조회시스템에 접속하기 위해 사용되는 비밀번호가 그동안 암호화되지 않았었다고 주장해 파문이 일고 있다.
익명을 요구한 이 관계자는 KT의 '대리점인증시스템'이 DB암호화나 접근제어관리와 같은 기본적인 보안관리 기술이 적용되지 않았었다고 설명했다. 이 시스템은 KT의 IT서비스 자회사인 KTDS가 지난 2000년 구축해 운영해왔다.
그는 또한 수년 간 정보유출 우려 탓에 시스템 보안 강화와 노후된 서버 교체를 권고했지만 예산부족을 이유로 별다른 조치를 취하지 않았다고 덧붙였다.
그러나 이번 정보유출 사건이 터지자 KT는 대리점인증시스템 개선작업을 서둘렀다. 이 관계자에 따르면, KTDS는 KT 해킹 사건이 드러난 29일에 앞서 급히 해당 시스템을 구축했던 사업자와 미팅을 진행했다. 지난달 24일 오후 2시, 7시, 9시경 무려 3차례에 걸쳐 이뤄진 미팅의 요지는 '일요일(29일) 밤 11시까지 대리점인증시스템의 DB암호화 등을 포함한 보안 솔루션을 구축해줄 수 있냐'는 내용이었다.
본지가 이날 입수한 KTDS의 '대리점인증시스템 개선 및 대/개체 사업 구매요구서(사진)'에는 사업의 목적에 '정보통신망법 및 개인정보보호 규정 준수를 위한 대리점 인증시스템의 DB암호화 적용'이라는 내용이 명시돼있다.
■KT측, 시스템 개선 사업, 해킹과 별개의 것
이에 대해 KT측은 지난달 29일 도입한 시스템은 네트워크 장비로 2000년대 후반에 첫 도입한 시스템에 관한 것이며 이 건과는 무관하다고 설명했다.
KT의 한 관계자는 고객정보조회시스템의 비밀번호는 당연히 암호화 돼있다라고 말했다. 고객정보 DB가 해킹된 것이 아니라 대리점의 ID와 비밀번호가 외부로 유출된 것으로 파악하고 있다는 답변이다.
그러나 시스템을 구축했던 업계 관계자의 주장은 KT측과 다르다. 고객 개인정보 DB가 암호화 돼있는 것은 맞지만, 대리점에 구축된 고객정보조회시스템에 접속할 수 있는 ID와 비밀번호는 암호화되지 않았다는 설명이다.
처음 문제를 제기한 이 관계자는 대리점 인증시스템에 사용되는 ID와 비밀번호가 암호화 돼있지 않아 해킹 프로그램 등을 통해 쉽게 정보를 유출할 수 있다고 주장했다. 전국 5천여개의 KT대리점의 ID와 비밀번호를 해킹해 알아낸다면 수백만의 개인정보 조회 권한을 갖게 된다는 것이다.
이에 대해 한 보안업계 관계자는 이통사 대리점처럼 ID와 비밀번호를 사용하는 단말기를 해킹한다면, 설령 암호화가 돼있더라도 충분히 이를 알아낼 수 있다며 암호화가 안돼있었다면 더 쉽게 정보를 빼갈 수 있을 것이라고 말했다.
관련기사
- 넥슨 1320만 해킹 ‘무혐의’...KT 870만은?2012.08.06
- KT 집단소송, 변호사에 물었더니…2012.08.06
- ‘KT 정보유출’ 텔레마케팅 업체 대표 구속기소2012.08.06
- 방통위 “KT 과실 적발되면 엄격 조치”2012.08.06
한편, 이번 KT의 개인정보유출 사건은 허술한 정보 관리 방식과 더불어 대리점 내 보안의식 부재도 그 원인이라 할 수 있다. KT고객정보조회시스템은 가상사설망(VPN)을 이용해 대리점에서 내부시스템으로 접속할 수 있도록 구성됐다. 이 시스템은 KT 휴대폰 판매 대리점 당 1명의 사용자에게만 대리점 내 고정IP를 통해 접속할 수 있도록 돼있는 것이 보통이다. 즉 외부에서 다른 IP를 통해 고객정보조회시스템에 접속할 수 없다는 설명이다.
이 때문에 이번 개인정보 유출은 KT대리점 내에서 이뤄졌을 것으로 보안업계에서는 짐작하고 있다. 즉 정보 조회 권한을 가진 내부 관리자를 통해 1차로 계정이 유출됐을 가능성을 제기하는 이유다.
