[KT 870만명 개인정보 유출] 영업정보 '족집게 해킹'…KT 5개월간 몰라
[KT 870만명 개인정보 유출] 영업정보 '족집게 해킹'…KT 5개월간 몰라
휴대폰 가입자 870만명의 개인정보가 유출된 사실이 드러나면서 KT의 허술한 개인정보 관리가 또다시 도마 위에 올랐다. 지난 3월 19만여건의 개인정보가 유출된 데 이어 올 들어서만 두 번째다.

이번에 유출된 개인정보는 텔레마케팅(전화영업) 업체들의 영업에 활용됐지만, 회사 측은 5개월 동안이나 이런 사실을 몰랐던 것으로 확인됐다.

◆“전문 프로그래머에 의한 범죄”

경찰청 사이버테러대응센터는 이번 사건에 대해 “10년 경력의 전문 프로그래머 주도로 조직적으로 이뤄진 범죄”라고 했다.

KT 고객 정보 조회시스템 해킹프로그램을 개발한 최모씨(40)는 IT(정보기술) 업체에서 프로그램 개발·유지·보수 등을 해온 전문 프로그래머였다. 최씨는 지난해 4월부터 텔레마케팅 사업을 하던 중 해킹프로그램을 개발했다. 최씨는 해킹프로그램 개발에만 7개월을 매달렸을 정도로 치밀하게 준비했고, 그만큼 해킹 방식도 높은 수준이라고 경찰은 밝혔다.

최씨는 이 해킹프로그램으로 함께 텔레마케팅 사업을 해온 황모씨(35)와 공모해 5개월 동안 휴대폰 가입자 870만명의 개인정보를 빼내 자신들의 영업에 활용했다. 개인정보가 유출된 가입자 수로 볼 때 이동통신사 업계 사상 최대 규모다.

최씨는 또 우모씨(36) 등 또 다른 텔레마케팅 업자 4명에게 자신이 빼낸 개인정보와 해킹프로그램을 돈을 받고 되팔기도 했다. 우씨 등은 월 사용료 200만~300만원을 내고 해킹프로그램을 건네받아 지난 4월부터 최근까지 휴대폰 가입자 200만명의 개인정보를 조회, 자신들의 영업에 사용했다.

◆가입자에게 전화해 기기변경 유도

최씨 등이 유출한 개인정보는 △주민등록번호(법인등록번호) △고객번호 △가입일 △단말기명(名) △요금제 △기본요금 △요금 합계 △기기 변경일자 등이다. 이 가운데 이들이 주목한 것은 단말기 종류와 기기 변경일자였다. 사용한 지 오래된 휴대폰일수록 사용자가 최신 기종으로 바꿀 가능성이 높기 때문에 구형 휴대폰을 쓰고 있는 가입자 정보만을 추렸다.

이들은 이렇게 빼낸 개인정보로 휴대폰 약정 만료일이 다가오거나 요금제 변경이 필요한 고객들에게 전화를 걸어 기기 변경이나 요금제 상향 조정 등을 권유했다. ‘공짜폰을 줄테니 요금제를 바꾸라’거나 ‘현금을 받고 LTE 요금제에 가입하라’며 부추기는 식이다. 이런 수법으로 이들은 가입자를 대리점에 연결시켜 주고, 기기 변경은 건당 10만~15만원씩, 요금제 변경은 건당 수만원씩 받아, 총 10억원가량의 부당이득을 챙겼다.

◆한 건씩 빼내 … 유출 파악 못해

최씨가 개발한 해킹프로그램은 별도의 인증 절차를 거치지 않고도 KT의 고객 정보 조회시스템을 열람할 수 있도록 하는 것이었다. 최씨 등은 이를 통해 자신들이 휴대폰 가입자 개인정보를 조회할 때마다 대리점이 고객 정보 조회시스템을 열람하는 것처럼 보이게 했다.

또 한 번에 대량의 정보를 유출하는 대신 한 건씩 소량의 정보를 장기간에 걸쳐 고객 정보를 빼낸 것으로 드러났다. 경찰은 이 때문에 KT가 지난 5개월 동안 고객 정보 유출 사실을 알아차리지 못했으며, 뒤늦게 내부 보안 점검을 통해 해킹 사실을 파악한 뒤 수사 의뢰했다고 말했다.

KT 측은 이날 사과문을 발표하고 “내부 보안 모니터링 활동을 통해 이상 징후를 발견하고 지난 13일 경찰에 수사를 의뢰했으며 경찰 수사에 적극 협조했다”며 “유출된 고객 정보는 전량 회수했고 추가 유출 가능성도 모두 차단했다”고 밝혔다.

KT 측은 또 “이번 일을 계기로 내부 보안체계를 강화하고 이러한 일이 다시 발생하지 않도록 최선의 노력을 다하겠다”고 덧붙였다.

하헌형 기자 hhh@hankyung.com