KT 해킹, 개인정보 유출범위 얼마나 될까?

휴대전화 개통날짜부터 카드번호까지 모두 유출됐을 가능성 높아

[보안뉴스 김지언] 이번 KT 고객정보 유출사건과 관련해 보안전문가들은 유출된 개인정보가 매우 많을 것이라는 점과 전문해커가 아니더라도 쉽게 해킹이 가능했을 것이라는 견해를 나타냈다.

▲기자 계정으로 다운로드 할 수 있는 개인정보가 담긴 파일

그렇다면 해커는 어떻게 많은 사용자들의 개인정보를 획득할 수 있었을까?

본지에서 인천지방경찰청 발표자료와 관계자의 말을 종합적으로 분석해본 결과 KT 고객센터 홈페이지를 해킹한 정모 씨는 랜덤으로 9개 숫자를 대입하는 툴만 제작해 KT 고객센터 홈페이지를 해킹한 것으로 보인다.

먼저 정모 씨는 KT 고객센터 홈페이지(Olleh)에 로그인한 후 요금 명세서 조회 서비스에 접근해 파로스로 패킷을 중간에 가로챈 뒤 고정되어 있는 고객번호를 수정 가능한 상태로 만든 다음, 해커가 개발한 9개의 숫자를 자동 입력하는 툴로 고객번호를 랜덤하게 수정하면서 출력되는 고객정보를 뽑아낸 것으로 추측된다.

파로스는 웹 프록시 프로그램의 일종으로 인터넷으로 나가는 패킷을 중간에서 가로채서 저장하고 있다가 변조하는 프로그램이며, 제작사 홈페이지에 접속할 경우 누구나 다운로드 받을 수 있다.

이번 사건과 관련해 빛스캔 전상훈 이사는 “해당 해킹 기법이 서버 검증이 없었던 관계로 클라이언트 단에서의 입력을 통제할 방법이 없었을 것”이라며 “로그인한 사용자와 고객의 고유 번호가 일치하는지 여부를 확인하는 로직이 없어 이러한 문제가 발생한 것”으로 분석했다.

그렇다면 유출정보의 종류는 어느 정도라고 볼 수 있을까? 본지에서 기자의 계정으로 로그인해 추출할 수 있는 개인정보를 확인한 결과 이름, 주민등록번호, 전화번호, 주소, 이메일, 요금제, 휴대폰, 할부기록, 카드사, 카드 유효기간, 부가서비스, 미납금액, 총 청구금액, 단말기할부금, 휴대전화 개통날짜, 고객번호 외에도 다수의 정보가 암호화 되지 않은 상태로 볼 수 있는 것을 확인했다.

이로 미루어볼 때 정모 씨가 이러한 정보 모두를 유출했을 가능성이 매우 높아 보인다.

한편 현재 KT 측은 문제가 되고 있는 요금명세서 조회 서비스를 막아둔 상태이나 사용자들의 개인정보가 담긴 AJAX 데이터를 여전히 다운로드할 수 있어 문제가 되고 있다.

[김지언 기자(boan4@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다