개인정보보호, 소프트웨어 정책
인터넷에 떠도는 공개SW 파로스 이용한 단순 해킹
동일 IP 트래픽 과다 탐지 못해..전송구간 암호화도 안 돼
증권사, 게임사, 통신사 등 비슷한 인터넷조회시스템도 위험
[이데일리 김현아 이유미 기자] KT 홈페이지가 해킹당해 1200만 명 고객의 이름, 주민등록번호, 휴대전화번호, 집 주소, 직업, 은행계좌 등이 털렸다. 6일 인천경찰청 광역수사대에 따르면 해커들은 ‘파로스프로그램’이라는 공개 소프트웨어(SW)를 이용해 ‘이용대금 조회사이트’를 해킹했다.조회 사이트에 고유숫자 9개를 무작위로 입력시키는 방법으로 개인정보를 탈취한 것이다.
경찰과 보안전문가들은 KT뿐 아니라 다른 기업들의 인터넷 조회시스템 사이트도 같은 방식으로 해킹당할 수 있다고 우려했다.
|
파로스 프로그램은 소스코드가 공개돼 있으며 누구나 인터넷에서 다운로드 받을수 있다. 이번 사건 역시 해커가 자신의 PC에 파로스 프로그램을 깔고, 자기 PC에서 KT 요금조회 사이트에 보내는 정보(패킷)을 변조해 KT홈페이지를 속인 뒤 사용자 정보를 수집한 것이다. 파로스는 클라이언트와 웹서버 사이에 있다가 패킷을 변조하는 기능이 있다.
물론 이 때 ▲KT가 동일한 인터넷주소(IP)에서 다량의 트래픽이 짧은 시간내에 일어나는 걸 감지하는 탐지시스템을 갖췄거나 ▲요금조회 시 본인임을 확인하는 고유숫자 9자리를 암호화했다면 파로스는 무용지물이었다. 실제로 이번 사건의 해커는 증권사 등의 비슷한 인터넷 조회시스템 사이트도 해킹하려 했지만, 성공을 거두지 못했기 때문이다.
손영준 정보화사회실천연합 대표는 “KT에 탐지시스템이 없었거나 있더라도 요금조회사이트는 감시하지 않은 것”이라면서 “고유번호 역시 암호화하지 않아 이번처럼 랜덤으로 숫자를 넣는 방식으로 해킹당한 것”이라고 말했다.
특히 그는 “법적 의무사항은 아니지만 전송구간 암호화는 그래서 중요하다”면서 “KT뿐 아니라 같은 방식의 금융사, 게임업체들도 같은 방식으로 해커에게 당할 수 있다”고 우려했다.
조성인 인천경찰청 광역수사대 강력2반장은 “KT는 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 보안시스템을 통해 고객정보 관리를 소홀히 한 것으로 확인됐다”며 “이번 사건의 해커들을 검거하지 않았으면 증권사, 인터넷 게임사 등에 가입한 추가 고객정보도 유출돼 피해가 확산될 수 있었다”고 말했다.
보안업계 전문가는 “파로스는 원래 데이터베이스에서 정보를 읽는데 필요한 쿼리에 대한 취약점인 ‘쿼리 인젝션(Injection)’을 체크하는 프로그램”이라면서 “아마 KT홈페이지에 이에 대한 보안취약점이 있지 않았을까 한다”고 말했다.
|
김현아 (chaos@edaily.co.kr)