韩国通信（KT）870万名顾客的费用信息被盗

KT 고객 870만명, 요금정보까지 털렸다

Posted July. 30, 2012 07:55

KT 고객 870만명, 요금정보까지 털렸다. July. 30, 2012 07:55. by 박희창 정진욱 ramblas@donga.com coolj@donga.com. 고객님. 좋은 조건으로 최신 휴대폰으로 바꿀 수 있는 상품이 나와서 전화 드렸습니다. 약정도 이제 두 달밖에 안 남으셨네요. 벌써 한 주 사이에 두 번째 전화. 회사원 박모 씨(31)는 짜증을 내며 도대체 내 번호를 어떻게 알았느냐며 따져 물었다. 수화기 너머로 텔레마케터가 대답했다. 고객님들께 무작위로 전화를 돌리고 있습니다. 하지만 여전히 의문이 남았다. 그녀는 어떻게 약정 만료 일자까지 정확히 알고 있었던 것일까. 정답은 해킹이었다. KT 가입자 870만 여명의 개인정보가 무더기로 유출됐던 것이다. KT 맞춤형 해킹 프로그램 제작 정보기술(IT)업체에서 약 10년 동안 프로그램 개발과 유지, 보수 등을 해 온 전문 프로그래머 최모 씨(40)는 지난해 8월부터 약 7개월 동안 KT 고객정보조회시스템에 접속해 가입자의 고객정보를 빼낼 수 있는 맞춤형 해킹프로그램을 제작했다. 그런 다음 올 2월부터 7월 15일까지 고객정보를 빼내 자신이 운영하고 있는 텔레마케팅 업체의 판촉 활동에 사용했다. 또 이 해킹 프로그램을 다른 텔레마케팅 업체에 판매하는 한편 가입자의 휴대전화번호와 모델명만 따로 떼어내 다른 텔레마케팅 업체에 넘겼다. 이런 불법 판촉영업으로 최씨 등이 벌어들인 수익은 최소 10억1000여만 원에 이르는 것으로 드러났다. 최 씨가 KT 맞춤형 해킹프로그램을 제작한 것은 KT가 텔레마케팅 업체에 지급하는 돈이 다른 이동통신업체에 비해서 높기 때문이었다. KT는 텔레마케팅 업체를 통해 고객들이 기기나 요금제를 변경하면 한 건당 10만15만 원을 해당 업체에 지급했다. 최 씨 등이 해킹으로 유출한 개인정보에는 이름, 주민등록번호, 휴대전화번호, 휴대전화 모델명, 사용요금제, 기기변경일, 요금 합계액 등 가입자의 핵심 정보가 대부분 포함됐다. 이 해킹 프로그램은 KT 영업대리점이 고객정보시스템을 조회하는 것처럼 가장해 한 건 씩 소량으로 고객정보를 빼냈기 때문에 KT에서도 5개월 동안이나 해킹 사실을 알지 못했다. 경찰청 사이버테러대응센터 관계자는 최 씨가 다른 텔레마케팅 업체에 해킹 프로그램을 팔 때 몰래 악성코드를 삽입해 놔 다른 업체에서 유출하는 개인정보도 실시간으로 자신의 서버에 전송되도록 했다며 최 씨가 치밀하게 범행을 준비했다. 해킹 방식도 상당히 높은 수준이었다고 밝혔다. 경찰은 KT가 정보통신망법상 기술적관리적 보호조치 의무를 위반했는지에 대해서도 추가로 조사할 계획이다. 이날 KT의 고객정보 유출이 알려지면서 KT 가입자들은 KT 홈페이지(www.olleh.com)를 통해 개인정보 침해사실을 확인했다. 자신의 정보가 유출됐다는 것을 확인한 이모 씨(28)는 평소 요금은 꼬박꼬박 받아가면서 통신회사가 고객 보안에는 관심도 없다며 이후에 집단소송이 추진되면 참여할 생각이라고 말했다. 다른 통신사도 안심 못해 이번 사건과 관련해 KT는 고객들의 소중한 정보가 유출된 점에 대해 머리 숙여 사과한다며 관련자들의 PC와 서버를 압수해 유출된 개인정보를 전량 회수해 추가피해 가능성이 낮다고 강조했다. 그러나 명의 도용, 보이스 피싱처럼 해킹에 따른 2차 범죄가 발생할 가능성은 있다. 해킹 프로그램을 산 텔레마케팅 회사가 수집한 개인정보를 재판매할 수 있기 때문이다. 개인정보를 종이문서로 출력하거나 휴대용 저장장치(USB)에 담아 다른 곳에 넘기는 범죄행위는 기술적으로 확인이 어렵다. 개인정보를 e메일이나 메신저 등으로 전달하는 때에만 서버에 유출기록이 남는다. KT와 같은 대형 IT업체의 낮은 보안의식도 문제라는 지적이 나온다. 피의자 최씨 등은 KT 대리점 관리자의 계정을 탈취한 뒤 마치 KT 대리점인 양 위장해 KT 고객정보 관리 시스템에 접근했다. 정상적이라면 KT는 특정 대리점이 5개월 동안 870만 건에 이르는 대량 개인정보를 조회하는 사실 자체를 의심해야 했다. 그러나 KT의 내부 보안 모니터링 시스템은 이를 실시간으로 감지해내지 못했다. 한 보안전문가는 일선 대리점이 평상시에도 고객정보를 조회하는 관행을 감안하면 다른 이동통신사에서도 KT와 유사한 사고가 언제라도 터질 수 있다고 지적했다. 한편 방송통신위원회와 행정안전부는 법률을 개정해 개인정보 유출 사건과 관련한 정보보호 의무를 소홀히 한 기업은 매출액의 1%를 과징금으로 부과하는 한편 해당 회사 대표의 직무 정지해임 등을 권고하는 방안을 추진 중이다.

中文

고객님. 좋은 조건으로 최신 휴대폰으로 바꿀 수 있는 상품이 나와서 전화 드렸습니다. 약정도 이제 두 달밖에 안 남으셨네요.

벌써 한 주 사이에 두 번째 전화. 회사원 박모 씨(31)는 짜증을 내며 도대체 내 번호를 어떻게 알았느냐며 따져 물었다. 수화기 너머로 텔레마케터가 대답했다. 고객님들께 무작위로 전화를 돌리고 있습니다.

하지만 여전히 의문이 남았다. 그녀는 어떻게 약정 만료 일자까지 정확히 알고 있었던 것일까. 정답은 해킹이었다. KT 가입자 870만 여명의 개인정보가 무더기로 유출됐던 것이다.

KT 맞춤형 해킹 프로그램 제작

정보기술(IT)업체에서 약 10년 동안 프로그램 개발과 유지, 보수 등을 해 온 전문 프로그래머 최모 씨(40)는 지난해 8월부터 약 7개월 동안 KT 고객정보조회시스템에 접속해 가입자의 고객정보를 빼낼 수 있는 맞춤형 해킹프로그램을 제작했다. 그런 다음 올 2월부터 7월 15일까지 고객정보를 빼내 자신이 운영하고 있는 텔레마케팅 업체의 판촉 활동에 사용했다. 또 이 해킹 프로그램을 다른 텔레마케팅 업체에 판매하는 한편 가입자의 휴대전화번호와 모델명만 따로 떼어내 다른 텔레마케팅 업체에 넘겼다. 이런 불법 판촉영업으로 최씨 등이 벌어들인 수익은 최소 10억1000여만 원에 이르는 것으로 드러났다.

최 씨가 KT 맞춤형 해킹프로그램을 제작한 것은 KT가 텔레마케팅 업체에 지급하는 돈이 다른 이동통신업체에 비해서 높기 때문이었다. KT는 텔레마케팅 업체를 통해 고객들이 기기나 요금제를 변경하면 한 건당 10만15만 원을 해당 업체에 지급했다. 최 씨 등이 해킹으로 유출한 개인정보에는 이름, 주민등록번호, 휴대전화번호, 휴대전화 모델명, 사용요금제, 기기변경일, 요금 합계액 등 가입자의 핵심 정보가 대부분 포함됐다.

이 해킹 프로그램은 KT 영업대리점이 고객정보시스템을 조회하는 것처럼 가장해 한 건 씩 소량으로 고객정보를 빼냈기 때문에 KT에서도 5개월 동안이나 해킹 사실을 알지 못했다. 경찰청 사이버테러대응센터 관계자는 최 씨가 다른 텔레마케팅 업체에 해킹 프로그램을 팔 때 몰래 악성코드를 삽입해 놔 다른 업체에서 유출하는 개인정보도 실시간으로 자신의 서버에 전송되도록 했다며 최 씨가 치밀하게 범행을 준비했다. 해킹 방식도 상당히 높은 수준이었다고 밝혔다. 경찰은 KT가 정보통신망법상 기술적관리적 보호조치 의무를 위반했는지에 대해서도 추가로 조사할 계획이다.

이날 KT의 고객정보 유출이 알려지면서 KT 가입자들은 KT 홈페이지(www.olleh.com)를 통해 개인정보 침해사실을 확인했다. 자신의 정보가 유출됐다는 것을 확인한 이모 씨(28)는 평소 요금은 꼬박꼬박 받아가면서 통신회사가 고객 보안에는 관심도 없다며 이후에 집단소송이 추진되면 참여할 생각이라고 말했다.

다른 통신사도 안심 못해

이번 사건과 관련해 KT는 고객들의 소중한 정보가 유출된 점에 대해 머리 숙여 사과한다며 관련자들의 PC와 서버를 압수해 유출된 개인정보를 전량 회수해 추가피해 가능성이 낮다고 강조했다.

그러나 명의 도용, 보이스 피싱처럼 해킹에 따른 2차 범죄가 발생할 가능성은 있다. 해킹 프로그램을 산 텔레마케팅 회사가 수집한 개인정보를 재판매할 수 있기 때문이다. 개인정보를 종이문서로 출력하거나 휴대용 저장장치(USB)에 담아 다른 곳에 넘기는 범죄행위는 기술적으로 확인이 어렵다. 개인정보를 e메일이나 메신저 등으로 전달하는 때에만 서버에 유출기록이 남는다.

KT와 같은 대형 IT업체의 낮은 보안의식도 문제라는 지적이 나온다. 피의자 최씨 등은 KT 대리점 관리자의 계정을 탈취한 뒤 마치 KT 대리점인 양 위장해 KT 고객정보 관리 시스템에 접근했다. 정상적이라면 KT는 특정 대리점이 5개월 동안 870만 건에 이르는 대량 개인정보를 조회하는 사실 자체를 의심해야 했다. 그러나 KT의 내부 보안 모니터링 시스템은 이를 실시간으로 감지해내지 못했다. 한 보안전문가는 일선 대리점이 평상시에도 고객정보를 조회하는 관행을 감안하면 다른 이동통신사에서도 KT와 유사한 사고가 언제라도 터질 수 있다고 지적했다.

한편 방송통신위원회와 행정안전부는 법률을 개정해 개인정보 유출 사건과 관련한 정보보호 의무를 소홀히 한 기업은 매출액의 1%를 과징금으로 부과하는 한편 해당 회사 대표의 직무 정지해임 등을 권고하는 방안을 추진 중이다.

박희창 정진욱 ramblas@donga.com coolj@donga.com

Editions

KT 고객 870만명, 요금정보까지 털렸다

KT 고객 870만명, 요금정보까지 털렸다

热门新闻

要闻

论坛