아주경제 장윤정 기자 = KT의 1200만명 개인정보 유출사고와 관련해 보안업체 안랩 등 보안업계는 해킹에 사용한 것으로 알려진 '파로스 프로그램'과 백신 등 보안 프로그램의 상관 관계에 대해 설명했다.

안랩은 파로스 프로그램이란 클라이언트와 웹서버 사이에 위치해 있다가 HTTP와 HTTPS 데이터뿐만 아니라 쿠키와 폼필드 등을 중간에서 가로채 변조하는 것이라고 설명했다.

간단히 말해 프록시 프로그램이 패킷을 변조하는 것이다. 해커는 해당 프로그램을 이용해서 홈페이지로 전달하는 패킷을 변조해서 사용자 정보를 수집한 것으로 추정된다. 

파로스프로그램은 프록시 프로그램으로 인터넷으로 나가는 패킷을 중간에서 가로채 저장하고 있다가 변조한다.

그런데 이 프로그램은 서버에 설치된 것이 아니라 해커가 자신의 PC에 파로스 프로그램을 설치하고 있다가 KT 홈페이지에 접속, 특정 페이지에서 버그를 이용해 고객정보를 빼내간 것으로 보인다.

보안업계 관계자들은 KT가 파로스 공격에 대한 대응책이 미진했던 것으로 예상하고 있다.

보안전문가들은 "파로스의 경우 소스 수정을 하지 않으면 헤더에 파로스가 찍혀서 전송되기 때문에 충분히 막을 수 있다. 다만 공격자가 소스를 수정해서 파로스임을 숨길 경우엔 검출이 불가능하다”며 “그러나 특정 IP 대역에서 반복적으로 이상 요청(Request)를 보냈음에도 이를 감지하지 못했다는 것은 문제가 될 수 있다”고 설명했다.

또 파로스는 서버에 설치된 것이 아니라 해커의 PC에 설치된 것으로 백신 등 보안제품의 이슈는 아니라고 전문가들은 설명했다.

KT 개인정보가 유출된 홈페이지의 영역은 회사에서 관리하는 영역이다. 즉 홈페이지 자체의 취약점(버그를)을 노린 것으로 추정되는 것이기 때문에 보안 제품과는 무관하다는 안랩측의 설명이다. 

하지만 다량의 개인정보 조회 요청에도 불구하고 이를 감지하지 못한 것은 관리 소흘로 볼 수 있기 때문에 KT가 홈페이지 관리에 소흘했다는 지적은 피해갈 수 없을 전망이다.