침해사고/위협동향

경찰 “KT, 홈페이지 보안 소홀히 했다”

이민형

[디지털데일리 이민형기자] 인천경찰청 광역수사대는 KT의 1200만건 개인정보유출 사건과 관련 홈페이지 보안이 취약했다고 6일 밝혔다. 또 보안담당자의 관리소홀 여부를 확인한 뒤 입건할 예정이라고 덧붙였다.

인천경찰청은 이날 KT 홈페이지를 해킹해 얻은 고객정보를 악용해 115억원의 부당이득을 올린 해커 일당을 검거했다고 발표했다.

용의자들은 KT 고객센터 홈페이지를 해킹해 1200만명의 고객정보를 탈취하고 이를 텔레마케팅 업체에 판매했으며, 텔레마케팅 업체는 유출된 고객정보를 이용해 1년간 115억원 상당의 부당수익을 올린 것으로 수사결과 드러났다.

인천경찰청은 “이용대금 명세서에 기재된 고유번호 9자리만으로 고객정보를 확인할 수 있는 시스템은 분명 고객정보 관리를 소홀히 한 것”이라며 “만일 이들이 검거되지 않았다면 증권사, 인터넷 게임사 등에 가입한 추가 고객정보도 유출돼 피해가 확산될 수 있었다”고 전했다.

KT 사용자들은 9자리의 고유 계정번호를 부여받게 된다. 일반적으로 홈페이지에 로그인 할 경우 로그인 세션과 일치하는 계정정보만을 열람할 수 있도록 스크립트가 짜여져 있으나, 이 스크립트를 무력화 할 경우 다른 사용자의 계정번호를 통해서도 개인정보 열람이 가능하게 된다. 인천경찰청은 스크립트가 손쉽게 무력화된다는 점을 지적한 것으로 보인다.

현재까지 알려진 바에 따르면 용의자들은 웹페이지와 함께 로딩되는 스크립트를 파로스(Paros)를 사용해 동작하지 못하게 만든 뒤, 임의의 계정번호를 입력한 뒤 조회되는 개인정보를 탈취했다.

보안업계 관계자는 “이를 예방하기 위해서는 이상 요청(Bad Request)을 사전에 탐지할 수 있는 시스템을 구축하거나, 개인정보를 호출하는 과정에 복수의 인증 체계를 갖춰야 한다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널