KT 정보유출, 우리가 정말 보고 싶은 것은?

흔히 물이나 공기는 없어봐야 그 소중함을 느낀다고 말한다. 평소에 아무런 문제가 없을 때는 당연하게 느껴지기에 아무도 소중하다고 생각하지 않는다. 하지만 물과 공기가 크게 오염되면 사람은 살 수 없다. 이윤추구가 목표인 기업에 있어 보안의 가치는 물이나 공기에 비유해도 좋을 듯 싶다. 평상시 보안은 아무 이윤도 창출하지 않지만 일단 보안이 깨지면 엄청난 위기를 불러오기 때문이다.

 

얼마전 터진 금융권 개인정보유출에 이어 KT가 방대한 양의 개인정보를 해킹당했다. 여기에 그 과정의 속사정이 밝혀지면서 KT의 허술한 방비와 사후 대책이 논란을 부르고 있다. KT의 개인정보유출 사태를 둘러싼 '사건의 재구성'을 해보자.

 

2014년 3월 6일, KT의 개인정보 유출 사건이 터졌다. 인천경찰청 광역수사대가 KT를 해킹해 고객정보를 유출한 뒤 휴대폰 영업에 활용한 일당을 붙잡아 검거했다. 인천경찰청은 “전문해커 김모씨(29세)와 이 개인정보를 사들여 부당 수익을 올린 텔레마케팅 대표 박모씨(37세)등 3명을 검거했다”고 밝혔다. 유출된 개인정보는 1,200만여 건이었다. KT의 가입자는 총 1,600만명. 대부분 가입자의 정보가 유출된 것이다.

 

문제는 이들이 쓴 해킹수법이었다. 이들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시켜 KT 가입 고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 고유번호가 맞을 때 홈페이지로 전달하는 패킷을 변조해서 사용자 정보를 수집했다. 김씨가 해킹을 위해 활용한 툴은 인터넷에 널려 있는 초보 수준인 것으로 알려지고 있다. 이 방식은 시스템 관리자가 수없이 반복되는 수상한 무작위 입력을 알아차리기만 한다면 즉각 발견할 수 있었다. 기본적으로 KT의 해킹 방지 시스템 자체가 제대로 동작하지 않았다는 의미가 된다.

 

다음날인 3월 7일, 방송통신위원회와 미래창조과학부는 유출사고의 원인을 조사하기 위해  민․관합동조사단을 현장에 파견했다. 방통위는 KT로 하여금 누출된 개인정보 항목, 유출 시점 및 경위, 피해 최소화를 위한 이용자의 조치방법, 이용자 상담 등을 접수 할 수 있는 부서 및 연락처 등을 이용자에게 우편 및 이메일로 통지토록 하고 자사 홈페이지에 개인정보누출 조회시스템을 구축하도록 했다.

 

빠른 대응으로 보이는 이런 행동조차도 알맹이가 없었다. 이 사건이 터지던 작년에 정부가 취약점 점검을 해놓고서도 KT의 보안이 비교적 양호하다는 평가를 내렸다는 사실이 알려졌다. 미래창조과학부는 2013년 11월 18일부터 12월3일까지 16일 간 한국인터넷진흥원(KISA)을 통해 국내 주요 이동통신사, 포털회사, 웹하드사 등 11곳을 대상으로 인터넷 홈페이지에 대한 취약점 점검을 했다. 당시 대상 기업에는 KT를 포함해 SK텔레콤, LG유플러스, 네이버, 다음, 네이트 등이 있었다.

 

점검 항목은 홈페이지를 통한 악성코드 유포 및 개인정보유출 여부, 액티브X 설치 프로그램의 안전성이었다. 전반적으로 취약점이 있는 것으로 나타났지만 이통사가 가장 양호한 점수를 받았다. 정부는 "이통사는 웹보안시스템, 인력 및 취약점 보완절차가 갖춰져 있다"는 결과를 내놓았다. KT 해킹사건이 보도된 것은 2014년 3월 6일이지만 해킹범이 범행을 시작한 것은 2013년 2월부터였다.

 

2014년 3월 9일, 최문기 미래창조과학부 장관이 KT 개인정보 유출 현장을 방문했다. 추가 피해를 방지하기 위해 통신3사를 대상으로 홈페이지 취약점을 긴급 점검하고 통신사 직영대리점에 대한 모니터링 강화를 지시했다. 또 미래부 소관 주요 정보통신기반시설 60개에 대해 보안점검 및 대비태세 강화를 조치하는 등 긴급 보안조치를 취했다. 

 

이 자리에서 KT는 이용자 보호를 위한 조치방법 안내, 개인정보누출 조회시스템 구축 현황, 홈페이지 보안패치 등 긴급조치 현황과 함께 향후 추진대책에 대해 보고했다. 미래부와 방통위는 국장급을 공동 단장으로 하는 ‘정보통신분야 개인정보유출 대책단’을 별도로 구성해 사고원인 조사와 근본적인 재발방지 대책을 추진하기로 했다. 

 

최문기 장관은 이 자리에서 “한국을 대표하는 ICT 전문기업에서 대규모 개인정보 유출사고가 반복적으로 일어나는 것은 매우 유감스러운 일”이라며 “뼈를 깍는 고통으로 거듭나야 할 것이고, 재발방지 대책 마련에도 최선을 다해달라”고 당부하기도 했다.

 

3월 10일, 황창규 KT 회장은 고객 개인정보 유출과 관련해서, 전 임직원에 이메일을 보내 “지금 상황에서 하나만 더 잘못돼도 우리에게는 미래가 없다”고 혁신의 중요성을 강조했다. 3월 7일 대국민 사과를 발표한 황 회장은 이날 “비통하고 안타까운 마음을 금할 길이 없다”며 “지난 2012년 대규모 고객정보유출 이후 다시 유사한 사건이 발생한 점은 변명의 여지가 없다”고 강조했다.

 

하지만 막상 대책으로 내놓은 조치 역시 논란 요소를 안고 있었다. 2014년 3월 11일 KT 홈페이지 해킹으로 유출된 1,200만 명의 개인정보를 오는 11일부터 올레닷컴 홈페이지를 통해 확인할 수 있게 되었다. 그런데 전면 사과문과 함께 내놓은 KT의 개인정보 누출 조회시스템은 SMS인증을 위해 성별이나 내외국인 여부 같은 불필요한 개인정보를 다시 요구했고 네 개나 되는 이용동의를 받아야만 이용이 가능했다. 때문에 네티즌은 분노를 넘어 냉소했다. 하상욱 시인은 3월 11일 트위터에 "털린 거 확인하라는 건지 털릴 거 제공하라는 건지"라는 글을 올렸다.

 

보안은 기본적으로 사전 예방과 사후 처리의 두 가지 요소를 가진다. 사전에 예방하는 것이 최선이지만 이미 사건이 터졌다면 사전에 대비한 대로 최대한 빠르고 확실하게 공지와 사과, 재발방지 처리를 해야한다. 외국의 사례를 보면 해킹 시도 초기에 이런 상황을 눈치채고 곧바로 이용자에게 알리는 한편 비밀번호를 바꿔줄 것을 시스템적으로  요청하기도 했다.

 

KT 개인정보 유출 사태에서는 시스템이 사전에 주의를 기울여 초기 해킹을 눈치채지도 못했다. 방비가 없었던 셈이다. 또한 사건이 외부로 공개되고 조치를 요구했을 때 제대로 단계에 따라 조치한 흔적도 없다. 유출대책에 대한 사전 매뉴얼도 전혀 없었던 셈이다. 이것은 근본적으로 보안에 대해 투자도 하지 않고 주의도 없었다는 뜻이다. 또한 규제당국 역시 이런 회사를 제대로 감시하지도 못했고 실효성 있는 대책을 내놓게 하지 못했다.

 

KT 홈페이지 해킹을 통해 유출된 고객 정보는 1,170만 8,875건으로 집계됐다. 중복 가입을 제외하면 총 981만 8,074명의 개인정보가 유출됐다. 유출된 개인 정보 가운데 통지 대상은 12개 항목이다. 이름, 주소, 주민등록번호, 전화번호, 이메일, 신용카드번호, 카드유효기간, 은행계좌번호, 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 관련정보 등이다. 신용카드 비밀번호와 CVC 번호는 KT가 처음부터 보관하지 않아 유출되지 않았다.

 

현재 KT가 열심히 하고 있는 것은 아무런 근본대책이 되지 못하는 유출확인과 고객사과뿐이다. 보다 근본적인 보안대책과 사전 매뉴얼에 대한 언급, 보안 투자계획 발표는 전혀 없다.

 

이런 가운데  KT가 3월 13일부터 발송할 정보유출 고객 사과문도 논란에 휩싸였다. 우체국 집배 업무의 가중과 예산 낭비라는 비난에 일었다. 네티즌은 “아무도 보지 않는 사과서신을 보낼 돈으로 보안 관리나 똑바로 하라”며 KT의 사고 수습방법을 지적하고 있다. 다른 네티즌은 “개인정보보호법상 1만건 이상의 개인 신용정보가 유출되면 고객에게 5일 이내에 통지하도록 돼 있다”면서 “이를 위반하면 3,000만원 이하의 과태료가 부과되기 때문에 정보 유출 사고만 나면 기업들이 편지를 보내는 것”이라고 지적하기도 했다.

 

지금 KT가 가장 집중해야 할 것은 유출확인에서조차 쓸데없는 개인정보를 다시 요구하는 시스템과 보지도 않을 사과메일을 발송하는 형식주의를 극복하는 일이 아닐까. 이용자들이 보고 싶은 것은 말 뿐인 사과가 아니라 확실한 방비와 대책일 것이다.