■ 10억 챙긴 해커 2명 구속
“고객님, 좋은 조건으로 최신 휴대폰으로 바꿀 수 있는 상품이 나와서 전화 드렸습니다. 약정도 이제 두 달밖에 안 남으셨네요.”
벌써 한 주 사이에 두 번째 전화. 회사원 박모 씨(31)는 짜증을 내며 “도대체 내 번호를 어떻게 알았느냐”며 따져 물었다. 수화기 너머로 텔레마케터가 대답했다. “무작위로 전화를 돌리고 있습니다.”
하지만 여전히 의문이 남았다. 어떻게 약정 만료 일자까지 정확히 알고 있었던 것일까. 정답은 해킹이었다. KT 가입자 870만여 명의 개인정보가 무더기로 유출됐던 것이다. 국내 이동통신업계 개인정보 유출 피해 중 최대 규모다.
정보기술(IT)업체에서 약 10년 동안 프로그램 개발과 유지, 보수 등을 해 온 전문 프로그래머 최모 씨(40)는 지난해 8월부터 KT 고객정보조회시스템에 접속해 가입자의 고객정보를 빼낼 수 있는 맞춤형 해킹프로그램을 만들기 시작했다. 7개월 만에 프로그램을 만든 그는 올 2월부터 7월 15일까지 고객정보를 빼내 자신이 운영하는 텔레마케팅 업체의 판촉 활동에 사용했다. 또 이 해킹 프로그램을 다른 텔레마케팅 업체에 판매하는 한편 가입자의 휴대전화번호와 모델명만 따로 떼어내 다른 텔레마케팅 업체에 넘겼다.
경찰청 사이버테러대응센터는 최 씨 등 해킹 프로그램 제작자 2명과 이들로부터 해킹프로그램 및 유출된 개인정보를 구입해 판촉에 활용한 업자 7명을 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거했다고 29일 밝혔다. 경찰에 따르면 이런 불법 판촉영업으로 최 씨 등이 벌어들인 수익은 최소 10억1000여만 원에 이르는 것으로 드러났다.
최 씨가 KT 맞춤형 해킹프로그램을 제작한 것은 KT가 텔레마케팅 업체를 통해 고객들이 기기나 요금제를 변경하면 건당 10만∼15만 원을 해당 업체에 지급하기 때문. 최 씨 등이 해킹으로 유출한 개인정보에는 이름, 주민등록번호, 휴대전화번호, 휴대전화 모델명, 사용요금제, 기기변경일, 요금 합계액 등 가입자의 핵심 정보가 대부분 포함됐다.
이 해킹 프로그램은 일선 영업대리점이 고객정보시스템을 조회하는 것처럼 가장해 한 건씩 소량으로 고객정보를 빼냈기 때문에 KT에서도 5개월 동안이나 해킹 사실을 알지 못했다. 사이버테러대응센터 관계자는 “최 씨는 다른 텔레마케팅 업체에 해킹 프로그램을 팔 때 몰래 악성코드를 삽입해 놔 다른 업체에서 유출하는 개인정보도 실시간으로 자신의 서버에 전송되도록 했다”고 밝혔다. 경찰은 KT가 정보통신망법상 기술적·관리적 보호조치 의무를 위반했는지에 대해서도 추가로 조사할 계획이다.
KT는 “관련자들의 PC와 서버를 압수하고 유출된 개인정보를 전량 회수해 추가피해 가능성이 낮다”고 강조했다. 그러나 명의 도용, 보이스 피싱처럼 해킹에 따른 2차 범죄가 발생할 가능성은 있다. 해킹 프로그램을 산 텔레마케팅 회사가 수집한 개인정보를 재판매할 수 있기 때문이다. 개인정보를 종이문서로 출력하거나 휴대용 저장장치(USB)에 담아 다른 곳에 넘기는 범죄행위는 기술적으로 확인이 어렵다.
KT와 같은 대형 IT업체의 낮은 보안의식이 문제라는 지적도 나온다. 피의자 최 씨 등은 마치 KT 대리점인 양 위장해 KT 고객정보관리시스템에 접근했다. 정상적이라면 KT는 특정 대리점들이 5개월 동안 870만 건에 이르는 대량 개인정보를 조회하는 사실 자체를 의심해야 했다. 그러나 KT의 내부 보안 모니터링 시스템은 이를 실시간으로 감지해내지 못했다. 한 보안전문가는 “일선 대리점이 평상시에도 고객정보를 조회하는 관행을 감안하면 다른 이동통신사에서도 KT와 유사한 사고가 언제라도 터질 수 있다”고 지적했다.
유출된 개인정보의 폭이 넓고 유출의 목적이 텔레마케팅으로 특정됐기 때문에 KT 가입자들이 집단소송을 제기할 가능성도 있다. 이날 상당수 KT 가입자들은 KT 홈페이지(www.olleh.com)를 통해 개인정보 침해사실을 확인했다. 이모 씨(28)는 “평소 요금은 꼬박꼬박 받아가면서 통신회사가 고객 보안에는 관심도 없다”며 “향후 집단소송이 추진되면 참여할 생각”이라고 말했다.
박희창 기자 ramblas@donga.com
정진욱 기자 coolj@donga.com