황창규 KT 회장은 홈페이지 개인정보 유출 사건이 터지고 지난 15일 토요일인데도 간부들을 불러 모아 결의대회를 열었다. 이때 간부들은 “법규와 기준을 엄격히 준수할 것”을 서약했다. KT의 고객정보를 빼낸 해커가 3개월 동안 1200만 번이나 홈페이지를 접속했으나 KT는 깜깜했던 것으로 드러났다. 황 회장이 이런 서약을 요구할 만하다.

미래창조과학부는 25일 과천 정부청사에서 KT 홈페이지 해킹을 통한 개인정보 유출 사건과 관련해 해킹 경로와 해킹수법에 대한 민관합동조사단의 조사결과를 발표했다.

민관합동조사단은 KT에 남아 있는 최근 3개월 동안 홈페이지 접속기록 538 기가바이트(GB)를 조사한 결과 해커가 약 1266만 번 접속한 기록(로그)을 확인했다고 밝혔다.

해커는 '해커ID 로그인', '타인 고객번호 변조', '취약 홈페이지 접속', '타인 개인정보 수집 등 총 4단계를 거쳐 개인정보를 빼냈다. 짧은 시간 동안 많은 개인정보 해킹을 위해 자동화된 프로그램을 제작해 사용한 것으로 확인됐다.

특히 이번 해킹은 사용자의 '고객서비스계약번호'에 의해 조회되는 KT의 홈페이지 프로그램에서 다른 사람의 '고객서비스계약번호' 변조를 확인하지 않는 취약점을 악용했다. 통상 개인정보(DB) 조회 때 '고객서비스계약번호'의 본인 여부를 검증하는 단계가 있으나 KT의 홈페이지는 이 절차가 전혀 없었다.

또 보안장비 접속 기록을 분석한 결과 특정IP에서 1일 최대 34만1천여 건이나 접속했으나 KT는 이 사실을 전혀 알아채지 못한 것으로 드러났다. 특정 IP에서 과도한 접속이 일어나면 내부 보안 시스템에서 해당 IP를 차단하는 등 보안 조처를 하는 것이 일반적이다. 하지만 KT는 아무런 조처를 취하지 않았다.

미래창조과학부가 이번 해킹 경로와 별도로 해킹프로그램을 해킹 가능한 경로를 조사한 결과 정당한 가입자 여부가 확인되지 않아도 조회 가능한 홈페이지가 9개로 확인됐다. 미래창조과학부는 검찰과 경찰, 방송통신위원회 등에 관련 정보를 공유하고 KT에 보안 조처를 요청했다.

미래창조과학부는 유사 피해를 막기 위해 통신사, 포털, 쇼핑몰, 웹하드 등의 업체에게 취약점 점검 및 보완 조처를 하도록 요청했다. 홍진배 정보보호정책과 과장은 "사이버공격 신속하게 대응하기 위해 방통위 금융위 검찰 경찰 등 관계기관과 긴밀히 협력해 나가겠다“고 말했다.