1200만명의 고객정보가 털린 KT 홈페이지 해킹 사건은 관리 소홀이 불러온 보안 참사라 할 수 있다. KT는 2년 전에도 870만건의 고객정보가 유출되는 사고가 발생했으나 또한번 방어막이 뚫렸다는 점에서 보안 불감증이 위험수위에 다다랐다는 지적에서 자유로울 수 없어 보인다.
6일 인천지방경찰청 광역수사대에 따르면 전문해커 김모(29세) 등 2명은 '파로스'란 프로그램을 이용해 KT 홈페이지에서 고객정보를 빼냈다. 전체 1800만명 가입고객 가운데 1200만명의 고객 이름과 주민번호, 휴대폰번호, 집주소, 직업, 은행계좌 등이 털린 것으로 알려졌다.
해킹에 사용된 파로스는 원래 웹사이트의 취약성이나 문제점을 분석, 보완하는데 사용하는 프로그램이다. 파로스는 사용자 PC(클라이언트)와 웹서버 사이에서 오가는 데이터들을 중간에서 가로채 변조한다.
보통 사용자가 PC로 웹사이트에 접속할 때에는 웹사이트에서 본 내용 뿐만 아니라 상품 구매 내역이나 신용카드 번호, 아이디(ID), 비밀번호, IP 주소 등의 정보를 담고 있는 쿠키 파일도 오간다. 파로스는 이러한 데이터를 빼내 문제가 없는지 살펴보는 목적으로 만들어졌으나 최근에는 해킹 도구로 사용하는 경우가 늘고 있다. 인터넷에서 쉽게 구할 수 있다.
그렇다면 파로스로 KT 고객정보를 어떻게 빼냈을까? 경찰 발표와 보안업체 설명을 종합하면 해커들은 일단 정상적인 방법으로 KT 홈페이지에 로그인한다.
이후 이용대금 조회란에 9자리의 고객 고유번호를 무작위로 자동 입력한 뒤에 이와 매칭되는 고객 정보를 빼돌린 것이다. 무작위 고유번호를 입력하는 데에는 별도의 해킹 프로그램을 이용했고, 매칭된 정보를 빼내오는데 파로스를 활용했다. KT는 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 보안시스템을 사용하는데 해커가 이를 이용한 것이다.
결국 해커는 정상적으로 홈페이지에 로그인한 다음에 고유번호를 무차별 입력하는 방식으로 타인의 개인정보를 탈취한 것이다. 이 과정에서 홈페이지의 이용대금 조회란은 해킹 통로로 활용된 것이다.
이러한 방식의 해킹은 KT가 고객번호 관리에 좀더 신경썼으면 막을 수 있었다는 지적이 나온다. 유명 '화이트(선의) 해커'이자 보안업체 SE웍스의 홍민표 대표는 "파로스를 통한 무차별 번호 대입으로도 유추가 불가능하도록 고객 고유 식별 코드를 암호화했다면 알아내기가 더 어려웠을 것"이라며 "인증을 이중화하는 것도 필요하다"라고 말했다.
KT가 해킹을 당한 것은 이번이 처음은 아니다. 지난 2012년 7월에도 870만건의 고객 정보가 털린 적이 있다. 당시 경찰청 사이버테러대응센터는 같은 해 2월부터 5개월간 고객 정보를 유출한 혐의로 최모(40)씨 등 2명을 구속하고 이를 판촉에 활용한 업자 7명을 불구속 입건했다.
KT는 당시 해킹을 당한 지 5개월이 지나서야 정보 유출에 대해 인지했는데 이번에도 해킹이 발생한지 1년이 지나도록 유출 사실을 파악하지 못한 것으로 알려졌다. 최근 금융권 등에서 잇따라 터지는 개인정보 유출 사고에도 KT가 보안에 전혀 신경쓰지 못한다는 점은 보안 불감증이 얼마나 심각한지를 드러내고 있다.