KT 해킹, 개인정보 유출범위 얼마나 될까?

휴대전화 개통날짜부터 카드번호까지 모두 유출됐을 가능성 높아

[보안뉴스 김지언] 이번 KT 고객정보 유출사건과 관련해 보안전문가들은 유출된 개인정보가 매우 많을 것이라는 점과 전문해커가 아니더라도 쉽게 해킹이 가능했을 것이라는 견해를 나타냈다.

▲기자 계정으로 다운로드 할 수 있는 개인정보가 담긴 파일

그렇다면 해커는 어떻게 많은 사용자들의 개인정보를 획득할 수 있었을까?

본지에서 인천지방경찰청 발표자료와 관계자의 말을 종합적으로 분석해본 결과 KT 고객센터 홈페이지를 해킹한 정모 씨는 랜덤으로 9개 숫자를 대입하는 툴만 제작해 KT 고객센터 홈페이지를 해킹한 것으로 보인다.

먼저 정모 씨는 KT 고객센터 홈페이지(Olleh)에 로그인한 후 요금 명세서 조회 서비스에 접근해 파로스로 패킷을 중간에 가로챈 뒤 고정되어 있는 고객번호를 수정 가능한 상태로 만든 다음, 해커가 개발한 9개의 숫자를 자동 입력하는 툴로 고객번호를 랜덤하게 수정하면서 출력되는 고객정보를 뽑아낸 것으로 추측된다.

파로스는 웹 프록시 프로그램의 일종으로 인터넷으로 나가는 패킷을 중간에서 가로채서 저장하고 있다가 변조하는 프로그램이며, 제작사 홈페이지에 접속할 경우 누구나 다운로드 받을 수 있다.

이번 사건과 관련해 빛스캔 전상훈 이사는 “해당 해킹 기법이 서버 검증이 없었던 관계로 클라이언트 단에서의 입력을 통제할 방법이 없었을 것”이라며 “로그인한 사용자와 고객의 고유 번호가 일치하는지 여부를 확인하는 로직이 없어 이러한 문제가 발생한 것”으로 분석했다.

그렇다면 유출정보의 종류는 어느 정도라고 볼 수 있을까? 본지에서 기자의 계정으로 로그인해 추출할 수 있는 개인정보를 확인한 결과 이름, 주민등록번호, 전화번호, 주소, 이메일, 요금제, 휴대폰, 할부기록, 카드사, 카드 유효기간, 부가서비스, 미납금액, 총 청구금액, 단말기할부금, 휴대전화 개통날짜, 고객번호 외에도 다수의 정보가 암호화 되지 않은 상태로 볼 수 있는 것을 확인했다.

이로 미루어볼 때 정모 씨가 이러한 정보 모두를 유출했을 가능성이 매우 높아 보인다.

한편 현재 KT 측은 문제가 되고 있는 요금명세서 조회 서비스를 막아둔 상태이나 사용자들의 개인정보가 담긴 AJAX 데이터를 여전히 다운로드할 수 있어 문제가 되고 있다.

[김지언 기자(boan4@boannews.com)]

코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
	마이크로소프트의 팀즈(Teams)
	시스코시스템즈의 웹엑스(Webex)
	구글의 행아웃 미트(Meet)
	줌인터내셔녈의 줌(Zoom)
	슬랙의 슬랙(Slack)
	NHN의 두레이(Dooray)
	이스트소프트의 팀업(TeamUP)
	토스랩의 잔디(JANDI)
	기타(댓글로)