[KT 1200만명 고객정보 털렸다] 고객정보 하루 최대 30만건 빠져나가…KT는 1년 동안 '깜깜'

입력2014.03.06 20:36 수정2014.03.07 10:45 지면A3

9자리 숫자 자동입력에 뚫려…보안 '허술'
보이스피싱·스미싱 등 '2차 피해'도 우려

홈페이지가 해킹당해 1200만명의 고객 정보가 유출됐다는 소식이 전해진 6일 서울 광화문 KT 사옥에서 직원들이 대책을 논의하고 있다. 정동헌 기자 dhchung@hankyung.com

KT 가입자 1200만명의 개인정보가 유출됐다. 전체 가입자 1600만명의 75%에 해당되는 규모로 거의 모든 가입자 정보가 털렸다. KT는 지난해 2월부터 1년 넘게 가입자 정보가 빠져나가는지도 모르고 있었다. 최고의 정보통신기술(ICT) 기업이라고 자처해온 KT가 보안 의식뿐 아니라 보안 시스템마저 허술했던 것으로 드러난 것이다. 카드사에 이어 통신사까지 개인정보가 대량 유출되는 사건이 잇따르면서 소홀한 정부의 관리 감독도 도마에 오를 전망이다.

○1년 넘게 개인정보 빼내

KT 홈페이지를 해킹한 전문해커 김모씨(29)는 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발했다. 이 프로그램을 이용해 KT 홈페이지에 로그인한 뒤 개인정보를 빼냈다. 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력해 KT 가입자의 9자리 고유번호를 맞춘 뒤 정보를 탈취하는 방식이다. 성공률이 높을 땐 하루 최대 20만~30만건의 개인정보를 빼냈다. 이런 식으로 지난해 2월부터 최근까지 1년 넘게 1200만명의 개인정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대폰 번호, 집주소, 직업 등이다.

이들은 이 개인정보를 텔레마케팅 회사 대표 박모씨(37)에게 팔았다. 박모씨는 휴대폰 개통·판매 영업에 이를 활용했다. KT 직원을 사칭해 주로 약정 기간이 끝나가는 가입자에게 전화를 걸어 시세보다 싼 가격에 휴대폰을 살 수 있다고 속여 판매했다. 확보한 개인정보 중 500만건은 휴대폰 대리점 세 곳에 팔아넘겼다. 이들도 역시 휴대폰 판매에 개인정보를 활용했다.

○KT 보안 시스템 허술

경찰은 “KT의 보안 시스템이 허술한 것으로 드러났다”고 말했다. 정보를 빼내는 데 사용한 해킹 프로그램이 누구나 쉽게 사용할 수 있는 파로스 프로그램으로 밝혀지자 KT가 보안의 기본조차 지키지 않았다는 지적도 나온다.

파로스 프로그램은 홈페이지에 들어가면 누구나 내려받기할 수 있고 자세한 사용법을 담은 게시물이 각종 블로그에 널려 있어 초보 해커는 물론 일반 누리꾼도 쉽게 사용할 수 있다. 경찰은 김모씨 등이 파로스 프로그램을 토대로 개발한 신종 프로그램을 범행에 사용했다고 밝혔으나 업계에선 이들이 파로스 프로그램의 주요 기능을 이용한 것으로 보고 있다. 임종인 고려대 정보보호대학원장은 “해커가 1년 이상 고유번호를 지속적으로 입력했는데도 몰랐다는 것은 기본적인 모니터링 제도조차 없었던 것”이라고 말했다.

이들은 다른 통신사의 홈페이지에서도 해킹을 시도했다. 그러나 현재까지 다른 통신사의 개인정보는 유출되지 않은 것으로 보인다고 경찰은 밝혔다.

KT는 2012년에도 해킹당해 870만명의 가입자 정보를 털렸다. 반년 만에 똑같이 가입자 정보를 도둑질당한 것이다. 임 원장은 “보안 개념 없이 효율성만 추구하다 보니 유출 사고가 반복되는 것”이라며 “관리 감독을 소홀히 한 미래창조과학부도 책임을 져야 할 것”이라고 말했다.

○가입자 추가 피해 우려

현재까지 밝혀진 가입자 피해는 휴대폰 판촉 전화 정도다. 최근 1년간 통신 3사 가운데 KT의 가입자 이탈이 가장 많았던 것도 이번 해킹 사건과 관련이 있다는 분석이 나오고 있다.

서울중앙지방검찰청 첨단범죄수사부 검사 출신인 구태언 테크앤로 법률사무소 대표변호사는 “이번에 유출된 KT 가입자 정보 중에 은행 계좌번호나 신용카드번호 등 대단히 민감한 정보는 없는 것으로 보인다”며 “현재로선 휴대폰 판촉 전화와 스팸 문자메시지 등에만 쓰인 것 같다”고 말했다. 그러나 주민등록번호와 휴대폰 번호, 집주소 등이 유출됐다는 점에서 보이스피싱이나 스미싱 등 범죄 대상이 될 가능성을 배제할 수 없다.

■ 파로스 프로그램

웹 응용프로그램이나 웹사이트 보안 취약점을 분석하기 위한 목적으로 개발된 소프트웨어. 소프트웨어 해킹에 악용되기도 한다.

전설리/김보영 기자 sljun@hankyung.com

관련 뉴스

1

벤투가 왜 거기서 나와?…"모든 게 클린스만과 비교된다"

최근 한국 축구가 흔들리는 가운데 2022 카타르 월드컵 16강을 이끈 파울루 벤투 전 국가대표팀 감독(사진)이 등장한 게임 관련 콘텐츠가 이목을 끌고 있다.26일 업계에 따르면 넥슨이 서비스하는 온라인 축구게임 ‘EA 스포츠 FC 온라인’은 지난 24일 콘텐츠 ‘명장로드’를 공개했다. 이 콘텐츠는 세계적 축구 감독을 찾아가 축구 대표팀 차기 감독 선임과 한국 축구 발전에 대해 조언을 구하는 시리즈인데, 첫 화에 벤투 전 감독이 화상 통화로 깜짝 출연한 것이다.손흥민(토트넘 홋스퍼) 이강인(파리 생제르맹) 김민재(바이에른 뮌헨) 등 역대 최강 멤버로 평가받던 대표팀이 아시안컵 요르단전 패배로 결승 진출에 실패한 이후 기획됐다. 위르겐 클린스만 감독이 물러난 후 차기 감독을 찾는 성격의 콘텐츠다. 마침 이날(한국시간) 23세 이하 아시안컵 8강에서 인도네시아에 져 40년 만에 올림픽 출전이 무산된 터라 축구 팬 관심이 더욱 쏠렸다.‘명장 로드’에는 게임 이용자(유저) 사이에서 ‘정무 형’으로 통하며 FC 온라인 서비스를 총괄하는 박정무 넥슨 그룹장과 성승헌 캐스터, 축구 예능 채널 ‘이스타TV’ 이주헌 해설위원, 축구 전문 크리에이터 ‘새벽의 축구 전문가’ 페노 등이 출연했다. 벤투 전 감독은 영상 중반에 등장해 한국 대표팀을 맡던 시절을 회상하며 조언을 건넸다.대표팀 감독 재직 시절 경기 고양시 일산에 거주했던 벤투 전 감독은 그 이유로 “국가대표팀 감독이기 때문에 그 나라와 문화를 이해하는 것이 중요했다”면서 “많은 시간 파주 훈련장(축구 대표팀 트레이닝 센터·NFC)에 가야 했다. 일산을 선택한 이유였고 좋은 선택이었
2

서비스경영학회 춘계학술대회

한국서비스경영학회는 ‘서비스 혁신과 고객경험가치 창출’을 주제로 오는 5월 1일 한국과학기술회관에서 춘계학술행사를 연다. 최신 정보통신기술을 활용한 서비스 기업의 경쟁력 강화 방안이 논의된다. 최정일 한국서비스경영학회장(사진)은 “산·학·연·관 종사자들이 모여 디지털 혁신 방안과 고객경험가치 창출을 논의하길 바란다”고 했다.
3

'중세판 배그' 흥행 조짐…크래프톤 성장 탄력

총 쏘기 생존 게임 ‘펍지: 배틀그라운드’(배그)로 글로벌 시장을 공략 중인 크래프톤의 신작이 흥행 조짐을 보이고 있다. 배그의 게임 콘셉트에 중세 분위기를 더한 게임 ‘다크앤다커 모바일’이 이 회사의 새로운 성장동력으로 자리 잡을지 관심이 쏠린다.26일 업계에 따르면 크래프톤은 다크앤다커 모바일 출시 시점을 올해 3분기로 잡았다. 이 게임은 크래프톤이 개발한 생존 게임으로 지하 감옥을 탐험하며 아이템을 수집한 뒤 탈출하는 게 핵심 콘텐츠다. 국내 게임사 아이언메이스가 개발한 PC 게임 ‘다크앤다커’가 기반이다. 크래프톤은 24~28일 진행하는 시험 서비스 인원을 5만 명으로 설정했다가 26일 인원 제한을 두지 않기로 했다. 체험 신청자가 5만 명을 웃돈 데 따른 조치다.지난 15~19일 기자단에 제공된 시험 버전을 플레이해봤다. 다크앤다커 모바일은 ‘중세풍 배그’로 부를 만한 게임이다. 크래프톤은 배그로 2018년 1월 PC 게임 플랫폼인 스팀에서 동시 접속자 약 326만 명을 기록하며 ‘대박’을 냈다. 이 기록은 지금도 깨지지 않고 있다. 다크앤다커 모바일에서도 배그의 향기를 느낄 수 있다. 여러 이용자가 점점 좁아지는 전장에서 생존을 위해 싸우는 구성이 비슷하다.눈여겨볼 지점은 모바일 게임의 덕목인 가벼움이다. 99명이 모여 한 판에 30분가량을 쏟아야 하는 배그와 달리 다크앤다커 모바일은 6명이 10분이면 끝낼 수 있다. 원작에서 음산했던 동굴 분위기도 밝아졌다. 파이터, 바바리안 등 5개의 직업 구성도 중세풍 역할수행게임(RPG) 이용자에겐 친숙한 요소다.넥슨이 아이언메이스와 소송을 벌이고 있다는 점은 변수다. 아이언메이스는 넥슨에서