허술한 개인정보 보안시스템 해커 표적

카드 3사 고객정보 1억여건, 대한의사협회 등 225개 사이트 1천700만건, KT 홈페이지 1천200만건….

올해 들어 대규모 개인정보 유출 사건이 끊이지 않고 있다.

인터넷상에서는 ‘이미 개인정보가 다 털려 더 털릴 것도 없다’는 등 분노를 넘어 냉소적인 반응이 파다하다.

개인정보를 탈취하는 해킹 수법은 다양하지만 각 사건을 들여다보면 해당 사이트의 보안시스템이 허술해 해커 공격에 취약했다는 공통점을 지니고 있다.

이번 KT 홈페이지 해킹에서도 가입고객의 이용대금 명세서에 기재된 고유번호 9자리 만으로 고객 정보를 확인할 수 있는 허술한 보안시스템이 해커 공격에 속수무책으로 당했다.

해커 김모(29)씨와 정모(38)씨는 지난해 2월부터 최근까지 1년간 KT 홈페이지에 로그인, 수시로 개인정보를 빼냈다.

이들은 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발, KT 가입고객의 이용대금 명세서 고유번호 9자리를 맞춰 개인정보를 탈취했다.

성공률이 높을 땐 하루 20만∼30만건의 개인정보가 유출되는 등 최근 1년간 1천200만명의 고객정보가 유출됐지만 KT는 이를 전혀 눈치채지 못했다.

수사를 담당한 한 경찰관은 “연초 카드 3사 고객정보 유출사건을 계기로 개인정보 보안관리가 강화될 줄 알았는데 해커의 공격에 여전히 취약했다”며 “KT 홈페이지가 이렇게 해커 공격에 뚫린 것을 보고 우리도 놀랐다”고 말했다.

이번에 유출된 개인정보는 김씨 일당의 휴대전화 판매·개통 사업에 날개를 달아줬다.

김씨 일당은 KT 직원을 사칭한 뒤 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다며 판매망을 넓혔다. 이들은 이런 수법으로 휴대전화 1만1천대를 팔아 1년간 115억원의 부당이득을 챙겼다.

이번 건은 그나마 개인정보가 휴대전화 교체를 앞둔 잠재 고객을 대상으로 한 영업행위에 악용됐지만 개인정보 유출이 ‘맞춤형 스미싱·파밍’ 등 2차 피해로 이어질 수 있다는 점에서 개인 각자의 각별한 주의가 요구된다.

예를 들어 본인 직장이나 소속단체 이름으로 문자 메시지가 오면 수신자는 별다른 의심 없이 문자 메시지를 열어 링크된 인터넷 주소에 접속할 가능성이 큰데 이때 스미싱 수법으로 소액결제가 이뤄질 수 있다.

경찰은 2차 피해를 막으려면 각 회원이 어떤 정보가 유출됐는지 확인하고 아이디와 비밀번호를 교체해야 한다고 밝혔다. 또 의심 가는 문자와 이메일 속의 특정 인터넷 사이트에는 접속하지 말아야 한다고 덧붙였다.

연합뉴스