6일 LG데이콤의 마이070 인터넷전화서비스 웹사이트(http://www.mylg070.com/)에서 해당 전화 서비스 가입자들의 이름과 주소, 전화 이용요금 등 개인정보가 그대로 노출되는 심각한 허점이 있는 것으로 확인됐다.
가입자가 자신의 아이디와 비밀번호로 로그인 한 뒤 '이용요금 조회'나 '내 가입정보 조회' 등 서비스를 이용할 경우, 인터넷주소(URL)에 나오는 숫자를 다른 숫자로 바꾸기만 하면 다른 가입자의 정보가 그대로 보인다.
이 같은 방식을 통해 확인 가능한 개인정보 범위는 다른 가입자의 이름과 주소, 전화번호, 휴대전화 등 신상정보는 물론 전화서비스 세부 이용내역도 볼 수 있는 것으로 확인됐다.
URL 속의 숫자만 바꿔 타인의 정보를 그대로 볼 수 있는 것은 해당 웹사이트에서 '프로세스 아이디' 값이 외부에 그대로 노출돼 있기 때문이다.
특히 이처럼 프로세스 아이디 값 역시 누구나 쉽게 유추할 수 있는 단순 나열방식으로 구성돼 있어, 누구나 쉽게 타인의 정보를 볼 수 있다는 점에서 충격적이다.
문제는 이 같은 웹사이트 보안 취약점이 이미 잘 알려진 허점이라는 것.
실제 지난 2006년 같은 그룹 내 계열사인 LG전자 대규모 입사지원자 정보유출사고 원인도 이런 취약점 때문인 것으로 알려졌다.
보안 업계의 한 전문가는 "적어도 개인정보 같은 기밀정보의 경우, 아무리 외부에서 열람할 수 있다손 치더라도 프로세스 아이디를 외부에서 볼 수 없도록 감추는 것이 개인정보 관리의 기본"이라며 "이미 사이버 공격자들 사이에서도 이 같은 취약점 정보는 잘 알고 있다는 점에서 이미 수많은 정보가 빠져나갔을 가능성도 배제할 수 없다"고 밝혔다.
한편, LG데이콤의 인터넷전화 마이LG070 가입자는 지난달 80만명을 돌파하는 등 올 들어 급증하고 있다.
LG데이콤은 이번 사건으로 기본적인 가입자 정보관리에 전혀 신경을 쓰지 않았다는 비난을 피할 수 없게 됐다.
특히 방송통신위원회가 인터넷전화의 확산을 위해 '번호이동제' 도입을 논의 중인 가운데 불거진 국내 최대의 인터넷전화 업체인 LG데이콤의 허술한 고객정보 관리가 향후 번호이동제 도입 등에 어떤 영향을 미칠지 주목된다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>