Go to contents

KT加入者870万人の個人情報が流出

Posted July. 30, 2012 07:55,   

한국어

「お客様。良い条件で最新の携帯電話に換えることができる商品をご紹介するために、お電話差し上げました。契約が2ヵ月しか残っていません」

1週間で2度の電話。会社員のパクさん(31)はイライラして、「一体、番号がどうして分かったのか」と聞いた。受話器の向こうで、テレマーケターが答えた。「無作為でかけています」。

しかし、依然、疑問が残った。どうやって契約満了の日時まで正確に知っていたのか。正解はハッキングだった。KT加入者約870万人の個人情報が大量流出したのだ。

●KT対応型ハッキング・プログラムを作成

情報技術(IT)の会社で約10年間、プログラムの開発や維持、セキュリティなどを担当してきたプログラマーのチェ容疑者(40)は、昨年8月から約7ヵ月間、KTの顧客情報照会システムにアクセスし、加入者の個人情報を抜き出すことができるハッキング・プログラムを作った。そして今年2月から7月15日までの間、顧客情報を抜き出し、自分が運営するテレマーケティング会社の販促活動に使用した。また、このハッキング・プログラムを別のテレマーケティング会社に販売したほか、加入者の携帯電話の番号とモデル名だけを別のテレマーケティング会社に渡した。このような不法販促営業でチェ容疑者らが得た収益は、少なくとも10億1000万ウォンにのぼるとことが明らかになった。

チェ容疑者がKT対応型ハッキング・プログラムを作成したのは、KTのテレマーケティング会社への支給額が別の移動通信社よりも高いためだった。KTは、テレマーケティング会社を通じて顧客が機器や料金制を変更すれば、1件あたり10万〜15万ウォンを会社に支給した。チェ容疑者らがハッキングで得た個人情報には、名前、住民登録番号、携帯電話の番号、携帯電話のモデル名、使用料金制、機器変更日、料金合計額など、加入者の情報がほぼ含まれていた。

このハッキング・プログラムは、KTの営業代理店が顧客の情報システムを照会するのを装って、1件ずつ顧客情報を抜き出したため、KTでも5ヵ月間もの間、ハッキングの事実を認識できなかった。警察庁サイバーテロ対応センター関係者は、「チェ容疑者が、別のテレマーケティング会社にハッキング・プログラムを売る際、密かに悪性コードを入れ、別の会社から流出する個人情報もリアルタイムで自分のサーバーに転送するようにした」とし、「チェ容疑者が緻密に犯行を準備し、ハッキングの方法もかなり高いレベルだった」と明らかにした。警察は、KTが情報通信網法上、技術的・管理的保護措置の義務を違反したかどうかについても、捜査する計画だ。

KTの顧客情報の流出が伝えられ、KT加入者はKTホームページ(www.olleh.com)で個人情報の侵害を確認した。自分の情報が流出したことを確認したイさん(28)は、「料金はしっかり取りながら、通信会社は顧客のセキュリティには関心がない。集団訴訟が起これば参加するつもりだ」と話した。

●「ほかの通信会社も安心できない」

今回の事件と関連して、KTは「顧客の大切な情報が流出した点について謝罪する」とし、「関係者のPCとサーバーを押収して流出した個人情報をすべて回収した。追加被害の可能性は低い」と強調した。

しかし、名義の盗用やボイスフィッシングなどのハッキングによる2次犯罪が発生する可能性はある。ハッキング・プログラムを購入したテレマーケティング会社が収集した個人情報をほかに販売できるためだ。個人情報を文書で出力したり、携帯用保存装置(USB)に保存して流す犯罪行為は、技術的に確認が難しい。個人情報を電子メールやメッセンジャーなどで伝える時にのみ、サーバーに流出記録が残る。

KTのような大手IT企業の低いセキュリティ意識も問題という指摘が出ている。チェ容疑者らは、KT代理店の管理者のアカウントを得て、まるでKTの代理店のように装い、顧客情報管理システムにアクセスした。正常なら、KTは特定の代理店が5ヵ月間で870万件にのぼる大量の個人情報を照会することに疑いを抱くべきだった。しかし、KTの内部のセキュリティ・モニタリングシステムは、リアルタイムで感知できなかった。あるセキュリティの専門家は、「代理店が平常時に顧客情報を照会する慣行を考えると、別の移動通信社でもKTと類似の事故がいつでも起こる可能性がある」と指摘した。

一方、放送通信委員会と行政安全部は、法律を改正し、個人情報流出事件と関連して情報保護義務を疎かにした企業に対し、売上額の1%を課徴金として賦課する一方、会社代表の職務停止・解任などを勧告する案を推進している。



ramblas@donga.com coolj@donga.com