[일문일답]'KT 개인정보 유출 피해, 조사결과 따라 더 나올 수도'

[아시아경제 김영식 기자]미래창조과학부는 25일 KT 홈페이지 해킹 개인정보 유출 사건에 대한 민관합동조사단의 조사결과를 발표했다. 민관합동조사단은 "KT에 남아 있는 최근 3개월간 홈페이지 접속 기록 538기가바이트(GB) 분량을 조사한 결과, 해커가 약 1266만번 접속한 기록(로그)을 확인했으며, 홈페이지 프로그램에서 타인의 고객서비스 계약번호 변조 여부를 확인하지 않는 취약점을 악용해 이뤄졌다고 밝혔다.또 해커가 사용한 또다른 해킹 프로그램을 조사한 결과 가입자 여부 확인 없이 조회 가능한 9개 홈페이지 취약점이 확인됐으며, 접속기록 약 8만5999건이 확인돼 경찰과 방송통신위원회와 정보를 공유하고 KT 측에 보안조치를 요청했다.이하는 홍진배 정보보호정책과장과의 질의응답이다. ▲해킹에 사용된 자동화 프로그램이란 번호를 임의로 형성하는 프로그램을 지칭하는 것인가. 동일한 IP가 서버에 계속 접속할 때 이상 여부를 감지하는 프로그램은 없었나. = 해커는 파로스 프로그램으로 정상 로그인 정보값을 획득한 뒤 무작위로 생성한 고객서비스계약번호 리스트를 대입해 타인정보를 조회했다. 이 번호는 해커가 난수로 만든 것이다. 처음부터 고객번호를 알 수 없었기에 임의의 번호를 미리 만들어놓고 자동으로 조회하도록 제작됐다. KT는 내부에 침입방지시스템(IPS)을 운영하고 있으나 이같은 침투는 감지하지 못했던 것으로 확인됐다.▲추가 해킹 프로그램 조사 결과 9개 홈페이지 취약점이 확인됐다고 했는데 자세히 설명해 달라.= 조사 결과 해킹 프로그램 두 가지를 확인했다. 처음에 알려진 것과 별도로 제작된 다른 프로그램이 있어 이를 분석했다. 추가로 확인된 9개 취약점은 KT에서 운영한 다른 홈페이지 도메인의 URL주소였으며, 역시 타인 개인정보를 조회할 수 있는 취약점이었다. 경찰과 방통위, KT 측에 알려 조치했으며 현재 조사가 이뤄지고 있다. ▲ 또다른 프로그램으로도 해킹이 이뤄졌는가. = 접속 기록을 확인해봤더니 8만5999건이 확인됐다. 데이터를 빼내간 것이 아직 확인된 것은 아니며, 경찰이 조사중이다. ▲그렇다면 피해 규모가 지금까지 밝힌 981만명보다 더 늘어날 수도 있는가.= 수사 결과에 따라 달라질 수 있다.▲ 민관합동조사단에서 피해자 리스트를 KT에 제공해 개별적으로 파악할 수 있도록 된 것으로 아는데, 범인측으로부터 확보한 파일 리스트를 그대로 복사해 온 것이라면 신뢰도가 떨어질 수도 있지 않나. 이 리스트에 없는 피해자가 있다면 어떻하나.= 유출된 데이터의 진본여부는 방통위가 조사하고 있으며, 개인정보 유출에 대해서는 방통위가 별도로 검증할 사안이다. 이번 발표는 해킹이 어떤 과정을 이뤄졌는지 기술적 차원에서 조사해 먼저 알리는 것이다. ▲ 추가적 유사 피해를 방지하기 위해 통신사, 포털, 쇼핑몰, 웹하드 등 업체에 취약점 점검과 보안조치를 하도록 했는데, 어떤 취약점이 발견됐으며 또 해커들의 공격 대상이 될만한 징후가 포착된 것이 있는지 말해달라.= 완전히 동일한 취약점이 보고된 것은 없다. 다만 이와 유사하게 정상적으로 로그인한 뒤 취약점을 찾아 타인정보를 조회할 수 있는 취약점은 없는지, 비슷한 유형의 공격을 막기 위해 점검해 보라고 조치한 것이다. ▲ 또다른 접속 기록 8만5999건이 확인된 것에 대해 KT에 향후 점검할 계획이 또 있는가. = 국제적으로 홈페이지 취약점을 점검할 수 있는 권고사항 10가지 정도가 있는데, 이를 참고해 보안을 강화할 것을 요청한 것이다. 결과는 이후 경과보고를 받은 후 판단해 나갈 계획이다.▲ KT같은 대규모 개인정보를 가진 회사가 검증 없이 홈페이지가 제작되고 1200만건 개인정보가 빠져나갈 정도로 몰랐다는 건데, KT가 이정도면 개인정보를 보관하고 잇는 다른 많은 업체 홈페이지들은 더 허술하다고 볼 수 있지 않는가.= 단정하긴 어렵다. 개발방법이나 서비스운영에 따라 설계단계부터 다 다르기 때문이다. 홈페이지는 한번 만들면 끝이 아니고 수정과 업데이트를 계속하며, 그 과정에서 발생하는 문제점을 관리하는 것이다. 다른 업체들도 보안 취약점 점검하고 관리하는 것이 중요하다. 공통적인 취약점이 있다거나 하는 문제는 아니며, 점검에서도 보고된 바 없다.▲ 3개월간 시스템에서 감지를 못했다면 KT가 해커 접속조차 몰랐다는 것이 맞는가. KT가 모니터링을 제대로 못한 것인지, 아니면 기술적으로 파악 안될 정도로 고도의 해킹인지.= KT가 인지하지 못한 것이 맞다. 기술적 수준 따지긴 어렵다. 관리적 문제는 추후 조사를 통해 파악할 것이다▲중간 조사 결과인데 나중에 최종 조사 결과가 또 나오는가.= 사이버공격 경과파악 차원에서 조사할 건 다했다. 중간 보고 형태로 먼저 밝히고, 미진한 부분 보완해 마무리할 계획이다. 공격 루트에 관해서는 현재까지 밝힐 수 있는 것은 다했다고 말할 수 있다.김영식 기자 grad@asiae.co.kr<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>