고객 정보 2년 만에 또 유출
1년간 해킹 계속됐지만 전혀 몰라
인증 허술 … 하루 30만 건 빼내기도
KT "고객 피해 보상, 보안 강화"

2012년 해킹당해 870만 명의 고객정보가 새나간 KT. 2년이 흘렀으나 허술한 정보 보호는 나아진 게 없었다. 홈페이지에서 1200만 명의 개인정보를 빼냈다가 구속된 해커 김모(29)씨가 “프로그램을 만들어 여기저기 해킹을 시도했는데 다른 데는 안 됐고 KT만 통했다”고 할 정도였다.

<iframe id="viewimg_ad" class="ad100" title="광고" noResize="" height="0" marginHeight="0" src="about:blank" frameBorder="0" width="0" allowTransparency="" marginWidth="0" scrolling="no"></iframe>

▷여기를 누르시면 크게 보실 수 있습니다

　해킹 방법은 단순했다. 일단 KT 고객으로 가입해 고객센터 홈페이지에 로그인 한 뒤 9자리 숫자인 ‘고객고유번호’를 입력하면 주민등록번호 같은 개인정보를 들여다볼 수 있는 점을 이용했다. 고객고유번호는 KT 서비스 가입자 개개인에게 부여하는 특정 번호다. 경찰은 “정상적이라면 번호 입력자가 고유번호의 원래 주인이 맞는지 확인하는 절차를 거쳐야 한다”고 했다. 예컨대 고유번호 원주인의 휴대전화로 비밀번호를 보내고, 이를 다시 입력하게 하는 식이다. 하지만 KT에는 이런 게 없었다. 남의 고유번호를 알아내 입력하면 그 사람의 개인정보를 고스란히 확인할 수 있었던 것이다.

　해커 김씨는 바로 이런 점을 노렸다. KT 홈페이지에 무작위로 만들어진 9자리 숫자를 입력하는 프로그램을 돌렸다. 때때로 이 숫자가 누군가의 실제 고유번호와 맞아떨어질 때마다 개인정보를 빼낼 수 있었다. 사건을 수사 중인 인천경찰청은 “김씨가 많게는 하루 20만~30만 건까지 개인정보를 해킹했다”고 밝혔다.

　해킹은 지난해 2월부터 1년간 계속됐다. 하지만 KT는 전혀 눈치채지 못했다. 경찰이 해커를 검거하고 나서 KT에 통보한 뒤에야 이 같은 사실을 알았다. 인천경찰청 소완선 사이버수사대장은 “하루 종일 같은 인터넷주소(IP)에서 수없이 고객고유번호를 입력하는 데도 KT가 알아차리지 못했다는 건 이해할 수 없다”고 말했다. 경찰이 KT 보안 담당자를 사법 처리하려는 이유다.

　경찰에 따르면 KT 홈페이지를 해킹한 김씨는 고졸 독학 해커였다. 고교를 졸업하고 아르바이트를 전전했다. 잠시 인터넷업체에서 일하며 해킹에 관심을 두게 됐다. 군 복무를 마친 뒤 인터넷 등을 통해 해킹 기술을 익혔다. 그러다 지난해 개인정보를 빼내서 팔아 돈을 벌기로 마음먹었다고 그는 경찰에서 밝혔다.

　마침 그때 텔레마케팅 업체 임원 정모(38)씨가 개인정보를 빼내자고 제안했다. 정씨와 김씨는 수년 전 김씨가 아르바이트를 하면서 우연히 알게 된 사이였다. 정씨 또한 해커 출신으로, 2000년대 중반 한 인터넷서비스 업체 홈페이지를 해킹했다가 구속된 전력이 있다.

　정씨의 사주를 받은 김씨는 인터넷에 떠도는 프로그램을 이용해 자체 해킹 프로그램을 개발했다. 이를 갖고 여기저기 해킹을 시도하던 중 KT가 뚫렸다. 해킹을 공모한 텔레마케팅 업체는 빼낸 개인정보를 이용해 KT의 고객들에게 접촉해서는 신규로 휴대전화 가입을 시키는 방식으로 115억원을 벌었다.

　해커 김씨는 해킹에 성공한 대가로 일단 일시불 2억원을 받았다. 또 공모한 텔레마케팅 업체가 빼낸 정보를 활용해 휴대전화 신규 고객을 유치할 때마다 건당 5000원의 성과급을 받았다. 경찰은 성과급만 최소 5000 만원에 이르는 등 김씨가 모두 2억5000만원 이상을 받은 것으로 파악하고 있다. 김씨는 이 돈으로 고급 수입차를 샀다. 경찰은 김씨가 지난해 인천 송도에 165㎡(약 50평) 아파트를 장만한 사실도 확인하고 구입자금의 출처를 캐고 있다.

　텔레마케팅 업체는 개인정보 중 500만 명분을 다른 휴대전화 대리점 3곳에 팔기도 했다. 경찰은 ‘해커가 개인정보를 빼내 텔레마케팅에 쓴다’는 첩보를 입수하고 수사에 나서 김씨 등을 붙잡았다. 경찰은 “해킹한 사이트가 KT 홈페이지란 사실은 이들을 검거한 뒤에 알았다”고 밝혔다. 경찰이 덮쳤을 때 김씨는 KT에 이어 증권사 두 곳과 게임 사이트 한 곳의 해킹을 준비 중이었다. 경찰은 “모두 KT와 비슷한 취약점이 있는 것을 알아내고 김씨가 이를 뚫을 별도의 해킹 프로그램을 만들어 놓은 상태였다”고 전했다.

　경찰은 KT에서 흘러나간 개인정보가 스미싱이나 피싱 같은 금융사기에 이용되지 않았는지에 대해서도 수사하고 있다. 미래창조과학부와 방송통신위원회는 합동 조사단을 현장에 파견해 조사 중이다. KT 측은 “보안 시스템을 강화하고 피해를 본 고객에게는 보상하겠다”고 밝혔다.