[인천=박용근 기자] 지난 2012년 전산시스템 해킹을 통해 고객정보 870만 건이 유출된 바 있는 KT가 이번에는 홈페이지 해킹으로 1200만명의 고객 정보가 빠져나갔다. 특히 해킹 당한 홈페이지는 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 시스템으로 이뤄져 있어 고객정보 관리를 소홀히 한 것이 아니냐는 지적이다.

인천경찰청 광역수사대는 6일 KT 홈페이지를 해킹, 개인정보를 빼내 휴대폰을 개통·판매 영업한 A(29)씨 등 2명을 정보통신망이용촉진 및 정보보호등에 관한 법률위반 혐의로 구속했다.

이들 해커는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등 해킹을 통해 빼낸 고객정보를 휴대폰 개통·판매 영업에 활용해 지난 1년간 115억원의 부당이득을 챙긴 것으로 조사됐다. 또 A씨 등을 고용해 범행을 공모한 텔레마케팅 업체 대표 B(37)씨를 같은 혐의로 불구속 입건했다.

다만 해커가 불특정 다수에게 정보를 판매한 것이 아니라 텔레마케팅 업체 대표에 고용돼 정보를 빼낸 것으로 조사돼 다행히도 1200만명의 고객 정보가 해외나 외부에 추가로 유출되거나 보이스 피싱 등에 사용될 가능성은 적다.

그러나 문제는 KT의 개인정보 유출은 이번이 처음이 아니라는 점이다. KT는 2012년 7월 말 전산망을 해킹당하면서 KT 고객 870만 명의 개인정보가 유출됐다. 2월부터 5개월간 이름, 주민등록번호, 휴대전화 번호, 요금제 등 모두 10종의 개인정보가 줄줄 샜으며 유출된 개인정보는 텔레마케팅(전화영업) 업자에게 넘겨져 활용된 것으로 확인됐다.

당시 KT는 고객정보 보호를 위한 5중 해킹방지체계 도입을 발표했다. KT가 밝힌 해킹방지체계 완료 기한은 지난해 3분기였다.

표현명 당시 KT 개인고객부문 사장은 기자간담회를 열고 "이번 사고에 대해 다시 한 번 사과 드리고 재발 방지를 위한 장기적이고 구체적인 대책을 말씀 드리기 위해 이 자리에 섰다"면서 "이번 사고로 KT고객과 국민 여러분께 걱정과 심려를 끼쳐드려 진심으로 다시 한번 사과 드린다"고 밝힌 적이 있다.

하지만 해킹 사건 발생 후 2년도 채 지나지 않아 홈페이지 해킹으로 또 다시 고객 정보가 유출돼 KT 고객으로서는 당혹스러움을 감출 수 없는 상황이다. 이번에 사용된 해킹 프로그램은 웹사이트에 대한 취약성 분석 등을 할 수 있는 '파로스 프로그램'으로 해커들은 이를 이용해 신종 해킹프로그램을 개발했다.

KT 홈페이지에 로그인 후 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시켜 고객들의 고유번호를 찾아내 고객정보를 빼내는 기술이다. 예컨대 홈페이지 조회란에 9자리의 숫자를 1부터 마지막 숫자까지 순차적으로 반복해 지속 입력하는 방법을 통해 고객의 고유번호를 찾아내는 것. 이에 경찰에서도 이번 개인정보 유출과 관련해 KT의 책임 여부가 있는지도 조사할 예정이다.

경찰 관계자는 “만일 이들이 검거되지 않았다면 증권사, 인터넷 게임사 등에 가입한 추가 고객정보도 유출되어 피해가 확산될 수 있었다”면서“KT 보안담당자의 관리소홀 여부 확인 후 입건 예정”이라고 밝혔다.

◆KT 홈피 해킹한 ‘파로스’ 프로그램은?

국내 대표 이동통신사인 KT가 해킹사건으로 1200만명의 개인정보가 유출되자 해킹에 이용된 파로스 프로그램에 관심이 쏠리고 있다.

경찰에 따르면 A씨 등은 파로스 프로그램을 이용해 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인한 뒤 고객의 개인정보를 빼냈다. A씨 등은 홈페이지 이용대금 조회란에 고유숫자를 무작위로 입력시키는 프로그램에 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼내왔다.

이번 사건에 이용된 파로스(Paros) 프로그램은 웹 해킹 오픈 소스 프로그램으로 웹 보안을 위한 공개용 웹프락시(web proxy)툴로 알려져 있고 기능 또한 막강하다. 하지만 2006년 이후로 더 이상 업그레이드 되지 않아 최근 보안 이슈에 대한 대응이 미흡한 단점을 가지고 있다. 이번에 KT를 해킹한 전문 해커 역시 이러한 취약점을 이용한 것으로 알려졌다.

특히 이번 사건으로 인해 KT시스템에 적용된 성능관리 솔루션인 파로스에 대한 문의도 높아지고 있는 것으로 알려졌다.

파로스(Pharos) 제품을 개발한 김진목 유피니트 전무는“파로스 해킹 프로그램과 KT의 CRM, 빌링시스템, 주문관리 시스템 등에 적용된 어플리케이션 성능관리 제품인 파로스(Pharos)와는 전혀 무관하다”고 말했다.

한편 이번 사건에 연루된 해커들은 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등 해킹을 통해 빼낸 고객정보를 휴대폰 개통·판매 영업에 활용해 지난 1년간 115억원의 부당이득을 챙긴 것으로 조사됐다.