내 이름과 가입일을 알고 최신 스마트폰으로 바꿔주겠다는 텔레마케팅 전화가 어떻게 걸려왔는지 이유가 밝혀졌다. KT (40,300원 ▼1,200 -2.89%) 가입자 절반의 개인정보가 해킹 프로그램으로 유출된 결과다.
◇KT 개인정보 유출 어떻게
경찰은 KT 고격정보를 자동 조회할 수 있는 해킹프로그램으로 약 800만명의 이동전화 가입자의 개인정보를 무단 조회·유출한 최 모씨 등 9명을 검거했다고 29일 밝혔다.
이동통신 대리점은 가입자의 개인정보를 조회할 수 있으나 인가된 사용자만 접근할 수 있고 조회한 내역은 기록에 남게 된다. 게다가 조회한 화면은 캡처 등이 되지 않기 때문에 대리점에서 개인정보를 유출하려면 하나하나 받아쓰는 것 외에는 불가능하다.
◇5개월동안 개인정보 800만건, KT 몰랐나
다만 최 모씨가 5개월간 약 800만명의 개인정보를 조회 유출할 동안 KT가 이상징후를 발견하지 못한 것에 대해서는 의문이 남는다. 개인정보를 조회한 다음에 요금제변경, 기기변동 등 조치를 취하지 않는 경우 경고가 발생하기 때문이다.
또 최 모씨는 직접 KT 대리점을 운영하지 않았다. 영업시스템에 접근할 수 있는 권한 자체가 없었던 셈이다. 이에 대해 경찰은 "대리점을 운영하지 않았지만 KT 내부망에 접속할 수 있는 방법을 알아내서 해킹했다"고 설명했다.
이 시각 인기 뉴스
경찰 조사에 따르면 이들은 7개월간의 연구 끝에 해킹 프로그램을 개발했고 해킹에 따른 개인정보 유출사실을 인지하도록 못하도록 하루에 소량씩 장기적으로 개인정보를 유출하는 치밀함을 보였다.
KT는 내부 보안 모니터링 활동을 통해 이상 징후를 발견했다는 입장이다. KT는 "지난 13일 경찰에 수사를 의뢰했고 적극적으로 협조했다"며 "침해 감지 직후 접근 IP 차단 등 영업시스템에 대한 보안규제를 한층 더 강화했다"고 말했다.
◇KT 과실 여부 조사…다른 이통사도 조사중
경찰과 방송통신위원회는 KT가 기술적 관리적 보호조치 의무를 다했는지 조사한다는 계획이다. 경찰은 "기술적, 관리적 보고조치를 다 했는지 KT 과실을 조사할 것"이라고 말했다.
방통위 관계자는 "기술적으로 제대로 조치했는지, 법적으로 설치할 프로그램을 제대로 설치했는지에 대해 조사하고 있다"며 "조사결과, 위반 사항이 발견되면 과징금이나 과태료를 부과하게 된다"고 말했다.
최 모씨가 개발한 해킹프로그램은 KT 영업시스템에만 적용된다. 하지만 유사한 해킹 프로그램으로 SK텔레콤과 LG유플러스 가입자 개인정보를 빼낼 가능성도 배제할 수 없다.
이는 경찰이 "이번 해킹프로그램은 KT전용"이라고 확인했지만 SK텔레콤과 LG유플러스 등 다른 이동통신사에도 고객정보 조회시스템 보안을 강화해줄 것을 권고한 이유다.
방통위 관계자는 "이번 해킹 프로그램은 KT에만 가능하지만 다른 이동통신사에서 비슷한 방법의 해킹 시도가 있었는지 조사하고 있다"고 말했다.
