[KT 개인정보 유출] KT, 같은 수법에 왜 또 당했나?

아주경제 장윤정 기자 = KT가 2년전 870만명 개인정보 유출 사고와 비슷한 패턴의 사고를 다시 당했다.

2년전 KT는 정보 유출 프로그램을 제작, 고객정보시스템을 조회하는 것처럼 꾸며 소량으로 고객정보를 가져가는 식으로 5개월간 870만건의 개인정보를 빼냈다. 

이번에는 KT 홈페이지를 해킹해 로그인한 후  홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 프로그램을 사용, 1년여간 1200만명의 개인정보를 야금야금 빼냈다.

지난 870만건 개인정보 유출 당시에도 협력사에서 비정상적인 개인정보 조회가 발생했는데 이를 감지하지 못했던 KT의 관리소흘이 도마에 올랐고 이번에도 많게는 하루 20~30만건 이상의 개인정보 조회라는 비정상적인 시도가 있었음에도 이를 탐지하지 못했던 KT 시스템에 의혹의 눈길이 보내지고 있다. 

관련 전문가들은 "1년 동안 개인정보가 유출되는 시도가 있었음에도 불구하고 이를 몰랐다는 것은 감시체계가 부족하다는 반증"이라고 지적했다.

염흥열 순천향대학교 정보보호학과 교수는 "하루 20~30만건의 개인정보가 조회되고 유출된 것을 1년여간 몰랐다는 것은 기술적 관리적 보호대책이 부족했다는 증거"라며 "로그정보를 주기적으로 감사하고 개인정보 유출을 판단하는 것은 개인정보보호법의 기본 준수사항으로 KT와 같은 대기업이라면 당연히 따라야할 법적 절차다. 기술적인 부분에서 해킹을 막을 수 없었다해도 개인정보 유출에 대한 비정상적인 시도를 탐지하지 못했다는 것은 엄연한 관리소흘"이라고 지적했다. 

KT는 2012년 7월 870만 건의 고객 개인정보가 유출된 적이 있다. 당시 경찰청 사이버테러대응센터는 같은 해 2월부터 5개월 간 휴대전화 고객 정보를 유출한 혐의로 최모(40)씨 등 2명을 구속하고 이를 판촉에 활용한 업자 7명을 불구속 입건했다.

당시 최씨 등은 정보를 몰래 조회할 수 있는 프로그램을 제작했다.

KT 고객정보 데이터베이스(DB)를 직접 해킹하지 않은 이들은 이 프로그램으로 영업대리점이 KT 고객정보시스템을 조회하는 것처럼 가장, 한 건 씩 소량으로 고객정보를 가져가는 치밀함을 보였다. KT는 5개월 간 유출 사실을 모르다 내부 보안점검을 통해 해킹 사실을 파악하고서 경찰에 수사를 의뢰했다.

6일 인천경찰청 광역수사대에 따르면 전문 해커 김모씨와 정모씨 등은 KT 홈페이지를 해킹해 KT 홈페이지에 로그인 후 개인정보를 빼내왔다.이들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다.

성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1천200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다.