[아시아경제 김영식 기자]미래창조과학부는 25일 KT 홈페이지 해킹 개인정보 유출 사건에 대한 민관합동조사단의 조사결과를 발표했다.
민관합동조사단은 "KT에 남아 있는 최근 3개월간 홈페이지 접속 기록 538기가바이트(GB) 분량을 조사한 결과, 해커가 약 1266만번 접속한 기록(로그)을 확인했으며, 홈페이지 프로그램에서 타인의 고객서비스 계약번호 변조 여부를 확인하지 않는 취약점을 악용해 이뤄졌다고 밝혔다.
또 해커가 사용한 또다른 해킹 프로그램을 조사한 결과 가입자 여부 확인 없이 조회 가능한 9개 홈페이지 취약점이 확인됐으며, 접속기록 약 8만5999건이 확인돼 경찰과 방송통신위원회와 정보를 공유하고 KT 측에 보안조치를 요청했다.
이하는 홍진배 정보보호정책과장과의 질의응답이다.
▲해킹에 사용된 자동화 프로그램이란 번호를 임의로 형성하는 프로그램을 지칭하는 것인가. 동일한 IP가 서버에 계속 접속할 때 이상 여부를 감지하는 프로그램은 없었나.
= 해커는 파로스 프로그램으로 정상 로그인 정보값을 획득한 뒤 무작위로 생성한 고객서비스계약번호 리스트를 대입해 타인정보를 조회했다. 이 번호는 해커가 난수로 만든 것이다. 처음부터 고객번호를 알 수 없었기에 임의의 번호를 미리 만들어놓고 자동으로 조회하도록 제작됐다. KT는 내부에 침입방지시스템(IPS)을 운영하고 있으나 이같은 침투는 감지하지 못했던 것으로 확인됐다.
▲추가 해킹 프로그램 조사 결과 9개 홈페이지 취약점이 확인됐다고 했는데 자세히 설명해 달라.
= 조사 결과 해킹 프로그램 두 가지를 확인했다. 처음에 알려진 것과 별도로 제작된 다른 프로그램이 있어 이를 분석했다. 추가로 확인된 9개 취약점은 KT에서 운영한 다른 홈페이지 도메인의 URL주소였으며, 역시 타인 개인정보를 조회할 수 있는 취약점이었다. 경찰과 방통위, KT 측에 알려 조치했으며 현재 조사가 이뤄지고 있다.
▲ 또다른 프로그램으로도 해킹이 이뤄졌는가.
= 접속 기록을 확인해봤더니 8만5999건이 확인됐다. 데이터를 빼내간 것이 아직 확인된 것은 아니며, 경찰이 조사중이다.
▲그렇다면 피해 규모가 지금까지 밝힌 981만명보다 더 늘어날 수도 있는가.
= 수사 결과에 따라 달라질 수 있다.
▲ 민관합동조사단에서 피해자 리스트를 KT에 제공해 개별적으로 파악할 수 있도록 된 것으로 아는데, 범인측으로부터 확보한 파일 리스트를 그대로 복사해 온 것이라면 신뢰도가 떨어질 수도 있지 않나. 이 리스트에 없는 피해자가 있다면 어떻하나.
= 유출된 데이터의 진본여부는 방통위가 조사하고 있으며, 개인정보 유출에 대해서는 방통위가 별도로 검증할 사안이다. 이번 발표는 해킹이 어떤 과정을 이뤄졌는지 기술적 차원에서 조사해 먼저 알리는 것이다.
▲ 추가적 유사 피해를 방지하기 위해 통신사, 포털, 쇼핑몰, 웹하드 등 업체에 취약점 점검과 보안조치를 하도록 했는데, 어떤 취약점이 발견됐으며 또 해커들의 공격 대상이 될만한 징후가 포착된 것이 있는지 말해달라.
= 완전히 동일한 취약점이 보고된 것은 없다. 다만 이와 유사하게 정상적으로 로그인한 뒤 취약점을 찾아 타인정보를 조회할 수 있는 취약점은 없는지, 비슷한 유형의 공격을 막기 위해 점검해 보라고 조치한 것이다.
▲ 또다른 접속 기록 8만5999건이 확인된 것에 대해 KT에 향후 점검할 계획이 또 있는가.
= 국제적으로 홈페이지 취약점을 점검할 수 있는 권고사항 10가지 정도가 있는데, 이를 참고해 보안을 강화할 것을 요청한 것이다. 결과는 이후 경과보고를 받은 후 판단해 나갈 계획이다.
▲ KT같은 대규모 개인정보를 가진 회사가 검증 없이 홈페이지가 제작되고 1200만건 개인정보가 빠져나갈 정도로 몰랐다는 건데, KT가 이정도면 개인정보를 보관하고 잇는 다른 많은 업체 홈페이지들은 더 허술하다고 볼 수 있지 않는가.
= 단정하긴 어렵다. 개발방법이나 서비스운영에 따라 설계단계부터 다 다르기 때문이다. 홈페이지는 한번 만들면 끝이 아니고 수정과 업데이트를 계속하며, 그 과정에서 발생하는 문제점을 관리하는 것이다. 다른 업체들도 보안 취약점 점검하고 관리하는 것이 중요하다. 공통적인 취약점이 있다거나 하는 문제는 아니며, 점검에서도 보고된 바 없다.
▲ 3개월간 시스템에서 감지를 못했다면 KT가 해커 접속조차 몰랐다는 것이 맞는가. KT가 모니터링을 제대로 못한 것인지, 아니면 기술적으로 파악 안될 정도로 고도의 해킹인지.
= KT가 인지하지 못한 것이 맞다. 기술적 수준 따지긴 어렵다. 관리적 문제는 추후 조사를 통해 파악할 것이다
▲중간 조사 결과인데 나중에 최종 조사 결과가 또 나오는가.
= 사이버공격 경과파악 차원에서 조사할 건 다했다. 중간 보고 형태로 먼저 밝히고, 미진한 부분 보완해 마무리할 계획이다. 공격 루트에 관해서는 현재까지 밝힐 수 있는 것은 다했다고 말할 수 있다.
김영식 기자 grad@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
