KT 홈페이지 해킹…1천200만명 개인정보 털렸다 (2014.03.06)

[새벽길]

 
http://www.etnews.com/20140309000015
[이슈분석]통신업계 전체 개인정보보호 둔감…곳곳이 지뢰밭 (전자신문, 오은지 기자, 2014.03.09)
밑빠진 개인정보 유출, 악순환의 고리
“개인정보가 더 이상 유통되거나 악용되지 않도록 하겠다.”
“새로 경영을 맡은 이상 과거의 잘못된 투자·정책을 잡는 건 물론이고…(중략)…원점에서 다시 들여다 보고 시작하겠다.”
황창규 KT 회장은 지난 7일 자사 홈페이지 해킹 사태에 대해 사과하면서 재발방지 약속과 개인정보가 유통·악용되지 않도록 하겠다고 약속했다. 하지만 통신사업자간 과도한 가입자 유치 경쟁과 수집한 개인정보를 마케팅에 활용하는 한 근본적인 유출 방지는 불가능하다는 지적이다.
개인정보 관리가 총체적으로 부실해 곳곳이 ‘개인정보 유출 지뢰밭’이라는 비판도 나온다. 이번 KT 홈페이지 해킹도 고객 개인정보 데이터베이스(DB)를 암호화하지 않고 그대로 노출한 게 피해를 키웠다. 간단한 데이터 수집 프로그램으로도 KT 홈페이지에서 확인할 수 있는 정보는 이름·주소·전화번호·나이·요금제·부가서비스·미납내역·결제방법·계좌번호 등으로 금융·서비스 거래상 필요한 내용을 모두 담고 있다.
SK텔레콤은 홈페이지에서 일정한 본인인증만 거치면 전화번호 마지막 4자리가 가려진 통화내역도 확인할 수 있다.
수차례 지적됐음에도 불구하고 통신 3사가 ‘프리랜서 판매원’을 통한 영업을 벌이고 있는 것도 여전하다. 프리랜서 판매원은 통신사 대리점과 계약해 전화·문자메시지서비스 등으로 휴대폰 영업을 하는 것을 일컫는다. 대리점에서는 ‘권매사’, ‘판매사’ 등으로 불린다. 주민등록번호·주소·직업·휴대폰요금 등이 포함된 개인정보를 엑셀 파일로 허술하게 관리하고 있지만 프리랜서 판매원 현황, 개인정보 관리 현황이 전혀 파악되지 않는다. 텔레마케팅 서비스, 통신사 법인 사칭 등 변종 영업장으로 흘러들어갔을 가능성도 크다.
각 통신사 대리점 등에서 계약을 하기 때문에 통신사와는 직접 계약관계가 없어 이들이 개인정보를 유출했을 때 통신사나 대리점에 법적으로 책임을 물을 수 없다. 통신사 한 관계자는 “독립 법인인 대리점·판매점의 위탁 계약에 대해 통신사가 관여할 수 없다”고 설명했다.
통신사와 계약한 대리점 법인에 대해서도 통제가 되지 않고 있다. 경찰 조사 결과 이번 해킹 사건 일당 역시 KT의 법인 영업을 했던 것으로 드러났다. 텔레마케팅 업체를 함께 운영하면서 많게는 하루 150대 가까이 팔았지만 특정 영업점 판매 실적이 갑자기 증가하는데도 KT측은 방관하고 있었던 것으로 보인다.
실제로 가입자가 모르게 부가서비스 기능이나 고가의 요금제로 변조해 놓는 사례도 빈발하고 있다. 인천 효성동에 거주하는 이모씨(57)는 통신사 IPTV 서비스를 이용하면서 요금 결제를 자동이체로 처리한다. 그러다 최근 고지서에서 부가서비스 항목이 추가된 것을 발견하고 고객서비스센터에 전화를 했다가 황당한 이야기를 들었다. “성인채널을 유료로 이용했다며 가족 중 다른 누군가가 봤을 것”이라는 답변이 돌아왔다. 이씨는 “같은 기간 가족들 모두 미국 여행을 간 시기라 집이 비어 있었다고 항의하자 그때서야 시스템 오류라는 등 둘러대면서 요금을 되돌려 줬다”며 “통신사는 대리점 위탁점이 한 일이라 책임이 없다며 나몰라라 했다”며 분통을 터뜨렸다.
보안 업계 관계자는 “이번 해킹 사건도 웬만한 서비스 업체라면 다 하는 암호화도 하지 않은 탓이 컸다”며 “관리 소홀로 볼 수밖에 없다”고 말했다.
 
http://news.donga.com/3/all/20140309/61560503/1
“반복되는 정보유출 사고, SI사업 하청-재하청 구조 탓” (동아, 정호재 기자, 2014-03-10 03:00:00)
검증 안된 자회사에 맡긴 KT… 시스템 문제 제대로 파악 못해
전문가 “정보보호 특별법 시급”
KT를 비롯한 일부 대기업의 반복되는 보안 관련 사고의 근본 원인이 시스템통합(SI) 사업 전반에 만연한 하도급 구조 때문이라는 지적이 나오고 있다. 특히 KT는 검증되지 않은 자회사에 시스템 구축을 맡기면서 전체적인 관리 감독이 제대로 이뤄지지 않았다는 분석이 나온다.
이번에 1200만 명의 고객 정보를 유출한 KT의 온라인 고객센터인 ‘올레닷컴’의 경우도 ‘KT 본사-SI 계열사-중소업체-인력파견업체’ 등 다단계 하도급 구조로 사업이 진행됐다. KT 본사는 이 때문에 상당 기간 시스템에 어떤 문제가 있는지조차 제대로 파악하지 못했다.
올레닷컴은 2009년 KT와 KTF의 합병 발표 이후 2년간 준비한 끝에 2011년부터 서비스를 시작한 KT의 포털사이트다. 당시 KT 측은 “2000만 명에 달하는 KT 유·무선 통신 이용자들에게 보다 나은 서비스와 콘텐츠를 제공해 네이버의 독주를 저지하겠다”고 선언하고 투자를 늘렸다.
KT는 성격이 다른 두 회사의 고객 정보(DB)를 통합하고 여기에 각종 콘텐츠 및 상품 판매 시스템을 결합해 포털사이트로 바꾸는 작업에 어려움을 겪었다. 이 사업은 KT의 마케팅 부문에서 발주하고 KT DS, KT ENS, KTH 등 대여섯 개의 자회사가 참여한 것으로 돼 있다. 하지만 실제로는 외주 인력을 통한 재하청으로 상당 부분 진행된 것으로 알려졌다.
당시 KT 계열사의 외주 업체로 작업에 참여한 한 소프트웨어(SW) 개발자는 “원활한 고객 서비스를 위해 작업을 서두르다 보니 일부 꼼꼼하게 진행되지 못한 측면이 있었다”며 “하지만 아직까지 이 같은 문제가 해결되지 않고 그대로 남아 있는 점은 이해하기 힘들다”고 말했다.
KT의 경우 실적이 검증되지 않은 자회사를 활용하는 바람에 문제가 터졌다는 지적이 나온다. 올레닷컴의 운영은 KT그룹의 시스템 유지 보수를 담당하는 KT DS가 맡고 있다. KT DS는 SI 사업과 관련해 투명하지 못한 하청 문제로 공정거래위원회로부터 수차례 지적을 받은 곳이다. 지난 3년간 1조 원 이상 투입된 내부전산시스템 BIT 사업 역시 유사한 하청 구조 때문에 아직 제대로 가동되지 않고 있다는 분석도 있다.
임종인 고려대 정보보호대학원장은 “대규모 보안 사고를 반복하는 기업들이 대개 ‘주인 없는 회사’라는 점에 주목해야 한다”며 “특별법을 만들어서라도 국민 대다수의 정보를 취급하는 통신사나 금융사의 정보보호 관리 체계를 따로 관리할 필요가 있다”고 지적했다.
 
http://joongang.joins.com/article/aid/2014/03/10/13690790.html
휴대전화 판매 4만 곳 … 줄줄 새는 개인정보 백화점 (중앙일보, 손해용·김영민 기자, 인천=윤호진 기자, 2014.03.10 00:32)
[이슈추적] 개통정보로 대포통장·보험사기 … 범죄 사각지대
주민번호·은행계좌·신분증까지
은행만큼 다루는데 관리는 소홀
"이동통신 본사 책임 강화해야"

휴대전화 판매점이 개인 정보보안의 ‘사각지대’라는 우려가 나오고 있다. 통신사는 정부가 주민등록번호를 수집할 수 있게 인정한 곳이다. 그래서 통신사와 계약을 맺고 영업하는 휴대전화 판매점에서는 은행 지점만큼이나 알짜배기 개인정보에 쉽게 접근할 수 있다.
하지만 이에 대한 관리감독은 소홀하다는 지적이 나온다. 실제로 판매점이 신청서를 복사한 뒤 이를 다른 영업을 위한 고객 유치에 활용하는가 하면, 일부는 개인정보 불법 판매상 등에게 넘기는 사례가 최근 잇따라 발생했다. 이번에 KT에서 1200만 명의 고객정보를 빼돌린 해커의 공범도 KT 단말기 판매를 전문으로 하는 법인영업점 대표였다.
이통사 본사에서 직접 통제하는 직영점과는 달리 판매점은 직영점·대리점과 임의로 계약을 맺고 가입자를 모집해 넘기는 역할을 한다. 사실상 통신업체의 통제에서 벗어나 있기 때문에 직원에 대한 보안 교육이나 관리·감독이 쉽지 않은 구조다. 전국 이통사 판매점은 약 4만 곳으로 주유소(1만3000개)·편의점(2만4000개)보다 많다. 개인정보를 악용해 범죄를 저지르는 판매점은 극히 일부지만, 유출될 경우를 생각하면 고객은 불안하지 않을 수 없다.
이른바 ‘나까마’로 불리는 온라인 판매점은 더 불안하다. 온라인 판매점은 인터넷으로 가입자를 모집하면서 신분증 사본을 공공연히 요구한다. 현행법에서는 온라인 개통 시 본인 인증 방식을 신용카드와 공인인증서로 제한하고 있어 신분증 파일을 받는 것은 위법이다. 특히 불법 보조금 단속을 피하기 위해 잠시 사이트를 개설했다가 폐쇄하기 때문에 개인정보가 제대로 관리되고 있는지 확인하기도 힘들다.
한 통신사 관계자는 “매일 개업과 폐업을 반복하는 수많은 판매점을 일일이 관리하는 건 쉽지 않은 일”이라며 “이건 시스템의 문제가 아니라 개인의 양심 문제로 봐야 한다”고 말했다. 관리감독 부서인 방송통신위원회도 인원 부족 등의 이유로 점검에 사실상 손을 놓고 있다. ‘대리점·판매점 개인정보 가이드라인’에 ‘신분증 사본은 가입 절차 완료 후 반환·파기해야 한다’는 조항이 있지만 이를 현장에서 점검하는 경우는 거의 없다. 새누리당 이상일 의원(미래창조과학방송통신위원회)은 “가입부터 주요 개인정보를 노출하지 않고 진행할 수 있는 체계가 마련돼야 정보 유출을 원천 차단할 수 있다”며 “본사의 책임을 강화하고, 불법 텔레마케팅에 대한 모니터링을 수시로 진행하는 등 규제의 실효성을 높여야 할 것”이라고 지적했다.
한편 KT 개인정보 유출 사건과 관련, 인천경찰청 광역수사대는 KT의 담당 보안팀장을 10일 불러 조사한다. 경찰은 1년 가까이 해킹이 이어졌는데도 KT가 이를 전혀 몰랐다는 점에서 정보관리 시스템에 과실이 있을 것으로 보고 있다. 경찰은 “KT 내부 보고 체계상 책임이 있다고 판단되면 경영진까지 소환할 것”이라고 밝혔다.
 
http://biz.chosun.com/site/data/html_dir/2014/03/10/2014031002516.html
[기자수첩] KT의 본인확인기관 자격을 당장 박탈하라 (조선, 박정현 기자, 2014.03.10 16:07)
KT(케이티) 고객 1200만명의 이름과 휴대전화번호, 주민등록번호, 은행계좌번호, 집주소 등 중요한 개인정보가 유출됐다. 주변의 KT 가입자들은 “이미 내 개인정보는 중국 어디쯤을 헤매고 있을 것”이라며 “더 이상 놀랍지도 않다”고 말하고 있다.
주민등록번호는 우리 정부가 대한민국 국민의 출생과 혼인, 사망을 확인하기 위해 부여하는 고유번호다. 타인이 내 이름과 주민번호를 알면 신분을 도용하는데도 쓰일 수 있기 때문에 특히 신중하게 다뤄져야 한다. 그런데 정부가 이동통신사에 주민등록번호 수집 권한을 주면서 국민의 개인정보가 무방비로 유출되고 있다.
방송통신위원회는 지난 2013년 초 민간기업인 이동통신 3사(SK텔레콤, KT, LG유플러스를 본인확인기관으로 지정했다. 문제는 통신3사 가운데 KT가 개인정보 관리 능력이 터무니없이 모자란다는 사실이 여러 차례에 걸쳐 드러났음에도 정부가 KT를 공신력 있는 본인확인기관으로 지정했다는 것이다.
KT는 이미 지난 2012년 3월과 7월 두 번에 걸쳐 해킹으로 인해 고객 개인정보가 유출되는 사건을 겪었다. 이후 2012년 8월, KT는 고객 정보보호를 강화하겠다며 대책을 발표했다. 그로부터 5개월후 방통위는 KT를 본인확인기관으로 지정했다. 본인확인기관 지정을 앞두고 보안·네트워크 등 외부전문가 10명이 서류심사와 현장 실사를 2회 실시했다. 그러나 KT가 본인확인기관으로서 지정된 지 약 한달만인 2013년 2월 KT 시스템이 해킹으로 뚫렸고, 지난 1년간 개인정보가 줄줄 샜다.
그렇다면 해킹에 취약한 것이 KT뿐일까. 이번에 KT가 해킹당한 것을 놓고 보안전문 업체들은 “KT가 운이 나빴을 뿐이며, SKT와 LG유플러스도 언젠가 한 번은 털릴 수 있다”고 말한다. 해킹을 막기 위해 아무리 좋은 보안 프로그램을 설치해도 시간이 지나면 이를 뚫을 수 있는 해킹 프로그램을 개발할 수 있기 때문이다.
정부가 본인확인기관으로 지정한 회사들은 사용자들의 이름, 주민등록번호, 휴대전화 번호 등을 수집·저장할 수 있다. 애초에 본인확인기관을 둔 것은 모든 업체들이 주민번호를 수집하면 해킹이나 내부자 유출로부터 안전할 수 없으니 몇몇 업체들만 주민번호를 수집하도록 허용하자는 취지였다. 하지만 결과적으로 전 국민의 개인정보를 이동통신사에 몰아주는 상황이 발생했고, 해커들의 입장에선 원하는 정보를 빼내는게 훨씬 쉬워졌다.
이통사들은 본인확인기관으로 지정되면서 이용자들의 개인정보를 손에 넣었을 뿐만 아니라, 수익도 올리고 있다. 인터넷에서 금융결제를 할 때에는 아이핀이나 이통사를 통한 본인확인을 거쳐야 한다. 예를 들어 인터넷 쇼핑몰에서 카드 결제를 할 때에는 본인확인을 거쳐야하는데, 이럴 때마다 문자메시지로 인증번호가 오고 간다. 기업들과 결제회사들은 사용자들에게 인증번호를 문자로 보내는 비용을 한 건에 7~30원까지 지불하고 있다.
이런 상황에서 민간 통신사에 개인정보를 수집·저장할 권한을 준 것은 욕심많은 고양이에게 생선을 맡긴 것이나 마찬가지다. 정부는 우선 개인정보 관리능력이 없다는 사실이 입증된 KT의 본인확인기관 자격을 당장 박탈해야 한다. 그리고 SKT와 LG유플러스의 보안능력도 다시 점검해야 한다. 장기적으로는 본인확인을 공공기관에서 하거나, 보다 안전한 방법으로 바꿔야 한다.
올 1월 전국민 금융정보 유출에 이어 이번 통신회사의 해킹으로 국민들은 개인정보의 중요성에 대해 이전보다 높은 수준의 인식을 갖게 됐고, 이전보다 훨씬 더 민감하게 반응하고 있다. 달라진 국민의 눈높이에 맞춰 새로운 정보보호 대책이 필요하다.
 
http://www.mediatoday.co.kr/news/articleView.html?idxno=115304
KT, 신용카드번호 등 금융정보까지 유출 (미디어오늘, 김병철 기자, 2014.03.10  18:16:13)
주민번호, 카드번호, 계좌번호 등 12개 항목… 피해자 981만8074명
KT 개인정보 유출사건에서 이름, 주민등록번호 등 개인정보는 물론 신용카드번호, 계좌번호 등 금융정보까지 함께 유출된 것으로 확인됐다. 유출 대상은 다르지만, 유출된 항목은 지난 1월 밝혀진 카드사 정보유출사건과 거의 동일해 큰 파장이 예상된다.
방송통신위원회(위원장 이경재·아래 방통위)는 10일 KT 홈페이지 해킹을 통한 개인정보 유출 사건에서 유출된 정보는 이름, 주소, 주민등록번호, 전화번호, 이메일, 신용카드번호, 카드유효기간, 은행계좌번호, 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 관련정보 등 총 12개 항목이라고 밝혔다. 신용카드 비밀번호와 CVC번호는 KT가 처음부터 보관하지 않은 것으로 확인됐다.
방통위는 현재까지 조사 결과, KT에서 유출된 총 정보는 총 1170만8875건이며, 여러 대의 휴대전화를 사용하는 중복을 제거하면 피해자는 981만8074명이라고 밝혔다. 앞서 카드사 정보유출사건 후 수백만건의 카드 해지와 재발급이 이뤄진 것을 감안하면 이번 사건도 엄청난 후폭풍을 몰고 올 것으로 보인다.
KT는 11일부터 홈페이지(www.olleh.com)에 이용자들이 개인정보 유출여부를 확인할 수 있는 '개인정보 유출고객 조회시스템'을 구축, 운영할 예정이다. 또한 KT는 피해자들에게 14일부터 개인정보 유출 피해자들에게 개별적으로 이메일과 우편을 통해 통지한다. 방통위는 KT가 문자메시지(SMS), 전화를 통해서는 개인정보 유출 관련 안내를 하지 않으니 보이스피싱, 스미싱 등 추가 범죄에 유의할 필요가 있다고 설명했다.
방통위는 KT 홈페이지에서 개인정보 유출 여부를 확인한 뒤 미가입 부가서비스에 대한 요금청구 여부 등 피해가 발생할 경우 개인정보침해신고센터(☏118)에 신고하라고 당부했다. 개인정보 유출 불안심리를 이용한 사이버 사기 대처요령은 미래부 블로그(http://blog.daum.net/withmsip)에도 게시되어 있다.
 
http://www.yonhapnews.co.kr/bulletin/2014/03/10/0200000000AKR20140310170051017.HTML
KT 해킹 982만명 피해…신용카드·유심번호 유출(종합) (서울=연합뉴스, 최인영 기자, 2014/03/10 18:18)
방통위 조사…"KT 규정 위반 확인 때 엄정 조치"
방송통신위원회는 KT[030200] 홈페이지 해킹으로 개인정보가 유출된 가입자가 981만8천74명이며, 신용카드번호와 카드유효기간 등 주요 정보까지 새나간 것으로 조사됐다고 10일 밝혔다.
방통위는 현재까지 조사에서 총 1천170만8천875건의 정보가 유출됐으며, 한 명이 여러 대의 이동전화에 가입하는 등의 중복 사용을 제외하면 피해 통지를 받을 이용자는 981만8천74명인 것으로 확인됐다고 설명했다. 유출된 개인정보는 이름, 주소, 주민등록번호, 전화번호, 이메일, 신용카드번호, 카드유효기간, 은행계좌번호, 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 관련 정보 등 12개 항목이다. 신용카드 비밀번호와 CVC번호는 KT가 처음부터 보관하지 않았던 것으로 조사됐다.
방통위는 KT에 오는 14일부터 피해자에게 이메일과 우편으로 유출사실을 통지하도록 조치했다. KT는 전화나 문자로는 이같은 사실을 안내하지 않을 방침이어서 KT를 사칭한 보이스피싱이나 스미싱 등 추가 범죄에 유의해야 한다. 방통위는 또 오는 11일부터 KT 홈페이지(www.olleh.com)에서 개인정보 유출 여부를 확인할 수 있는 '개인정보 유출고객 조회시스템'을 운영하도록 했다.
이 시스템에서 개인정보 유출 여부를 확인한 뒤 가입하지 않은 부가서비스에 대한 요금이 청구됐거나, 자신도 모르는 휴대전화에 가입된 사실이 발견되면 개인정보침해신고센터(☎118)에 신고해야 한다. 방통위는 개인정보침해신고센터를 24시간 가동하고, 개인정보를 이용한 스미싱 등 2차 피해를 예방하기 위해 개인정보 불법 유통 모니터링을 강화할 방침이다. 사이버 사기 대처요령은 미래부 블로그(blog.daum.net/withmsip)를 참고하면 된다.
방통위는 지난 7일부터 KT 홈페이지 해킹과 관련한 개인정보 유출 사건과 KT가 기술적·관리적 보호조치 등 정보통신망법에 따른 개인정보보호 규정을 준수했는지 조사하고 있으며, 위반 사실이 적발되면 엄정 조치할 계획이라고 밝혔다. 방통위는 136개 방송·통신·인터넷 관련 협회와 주요 사업자로 구성된 개인정보 침해대응 핫라인을 가동해 이번 KT 홈페이지 해킹과 유사한 방식의 개인정보 유출이 발생하지 않도록 당부했다.
앞으로는 '통신분야 특별 조사팀'을 구성해 대규모 개인정보를 취급하는 통신 3사의 기술적·관리적 보호조치 현황과 대리점·판매점 등 영업점의 개인정보 관리 현황을 점검할 예정이다.
미래창조과학부도 이번 KT 홈페이지 사고 조사를 진행하고 있으며, 조사 결과에 따라 KT 회장의 책임 문제 등을 결론 내릴 방침이다. 최문기 미래부 장관은 이날 범정부 개인정보 유출 재발방지책 브리핑에서 "KT는 정확한 원인을 조사하고 있고 KT 회장이 모든 내용을 파악해서 책임을 질 수 있도록 하겠다고 했으니까 그 부분은 기다려봐야 될 것 같다"며 "정부는 정확한 내용을 파악하고 난 다음 결론을 내야 할 것 같다"고 말했다.
 
http://www.mt.co.kr/view/mtview.php?type=1&no=2014031100242337856
"또 털렸네" KT 개인정보 유출, 추가 피해 막으려면? (머니투데이 강미선 기자, 2014.03.11 00:37)
카드번호·유효기간 포함 12개 유출, 올레닷컴서 조회 가능
KT 개인정보 유출 확인서비스가 11일 0시부터 KT 홈페이지를 통해 시작됐다. 한 고객이 확인 절차를 밟자 12가지 개인정보가 유출된 것으로 나타났다.
"12개 정보가 다 털렸네요. 예상은 했지만 주민번호부터 신용카드번호, 카드유효기간까지 다 나간 걸 두 눈으로 확인하니 마치 발가벗겨진 기분이예요."(KT 고객 김모씨)
KT가 11일 0시부터 개인정보 유출 확인 서비스를 시작했다. 올레닷컴 홈페이지(www.olleh.com) 등을 통해 개인정보 유출 사실을 확인한 고객들은 실제 유출된 정보 내역을 보며 충격에 빠졌다.
방송통신위원회가 발표한 조사결과에 따르면, KT에서 유출된 총 건수는 1170만8875건이며 1명의 이용자가 여러 대 이동전화를 사용하는 경우 등 중복을 제거하면 통지 대상 이용자는 981만8074명이다.
유출된 개인정보는 12개 항목으로 이름, 주소, 주민등록번호, 전화번호, 이메일, 신용카드번호, 카드유효기간, 은행 계좌번호, 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 관련 정보다.
개인정보 유출 여부 확인 서비스는 11일 0시부터 올레닷컴 홈페이지(www.olleh.com)와 케이티 홈페이지(www.kt.com), 고객센터(무선 114번, 유선 100번)를 통해 시작됐다. 확인 서비스 인터넷 홈페이지에는 당초 접속자가 많이 몰릴 것으로 예상됐지만 밤늦은 시간부터 확인 서비스가 개시된 터라 0시20분 현재 접속이 원활한 상태다.
유출사실 확인을 위해서는 홈페이지에서 SMS본인인증 또는 아이핀 인증을 하면 된다. SMS본인인증을 위해서는 이름, 생년월일, 성별, 내외국인구분, 휴대폰번호를 입력하고 개인정보 이용 및 제공 동의 확인 등을 한 뒤 인증번호를 받아 입력하면 된다.
KT 고객 김모씨는 방통위가 발표한 유출내역 12개 항목에 걸쳐 본인의 개인정보가 모두 유출된 것으로 나오자 망연자실해했다. 김씨는 "설마 했는데, '역시나'였다"며 "얼마 전 신용카드사 3곳을 통해서도 정보가 모두 빠져나갔는데 대기업에서 줄줄이 이런 일이 터지니 이제 어떤 기업을, 어떤 서비스를 믿고 이용해야 할 지 모르겠다"고 말했다.
개인정보가 유출된 것으로 확인될 경우 "고객님께 머리숙여 사과드립니다. 고객님의 정보가 유출대상에 포함되었습니다. 다시는 이러한 일이 재발하지 않도록 회사가 취할 수 있는 조치를 다하겠습니다."라는 안내 문구가 나온다.
휴대폰부터 집전화, 초고속인터넷, TV까지 모두 KT 서비스를 이용하고 있는 고객 최모씨도 확인 결과 개인정보가 유출된 것으로 나오자 망연자실해 하며 "10년 넘게 KT만 이용했는데 결국 내 돈을 매달 꼬박꼬박 내면서 내가 개인정보를 차곡차곡 모아 넘겨준 꼴이 됐다"고 토로했다.
한편 KT는 홈페이지 확인 및 고객센터 전화와 별도로 유출된 이용자에게 이메일과 우편을 14일 발송할 예정이다. 문자메시지와 전화를 통해서는 통보되지 않으니 보이스 피싱과 스미싱 등에 주의할 필요가 있다.
방통위는 '개인정보 유출고객 조회시스템'에서 개인정보 유출 여부를 확인한 뒤 미가입 부가서비스에 대한 요금 청구 여부, 본인도 모르는 휴대전화 가입 여부를 확인하고 피해 발생 사실이 있는 경우 개인정보침해신고센터(☏118)에 신고해 줄 것을 당부했다. 아울러 이번 사건과 관련해 기술적·관리적 보호조치 등 정보통신망법에 따른 개인정보보호 관련 규정을 준수했는지 여부에 대해 면밀히 조사해 위반 사실 적발 시 엄정 조치하기로 했다.
 
http://news.inews24.com/php/news_view.php?g_serial=808253&g_menu=020200&rrf=nv
'개인정보=돈' 반복되는 정보 유출 사고 어쩌나 (아이뉴스24, 김국배기자, 2014.03.11. 화 16:15)
검거율 높이고 제재 이행 여부 추적해야
개인정보 유출 사고가 끊이지 않고 있다. 연초부터 국민·롯데·농협카드가 1억400만 건의 개인정보를 유출한 사건이 발생하더니 그 충격이 가시기도 전에 국내 최대 통신사 KT가 980만 건의 고객정보를 털렸다. 이에 더해 11일 SKT, LG 유플러스 등 다른 통신사들도 고객정보가 유출된 사실이 파악되면서 경찰이 수사에 나선 상태다.
반복되는 사고 탓에 개인정보 유출은 이미 일상적인 일이 된 지 오래고 개인정보의 중요성에 대해서는 불감증이라고 해도 무리가 아닌 상황이 됐다. 이쯤되니 정부는 지난 10일 금융 분야 개인정보 유출 재발 방지 종합 대책을 발표하기에 이르렀지만 얼마나 실효성이 있을지는 미지수다.
이번 대책에서는 기존 금융권에서 수집하던 개인정보의 수를 50개에서 10개 이내로 축소시키고 정보 이용 시 포괄적 동의를 금지했다. 주민번호는 최초 거래 시 한 번만 요구하도록 했으며 불법 수집한 개인정보를 이용했을 때는 매출액의 3%에 과징금을 부과하도록 했다.
◆유출 시도 끊이지 않아…제재 이행 여부 점검해야
전문가들은 되풀이되는 개인정보 유출 사태의 원인 중 한 가지로 낮은 보안의식을 떠나 '개인정보가 돈이 된다'는 사실을 범죄자들이 인식하기 시작했다는 점을 꼽는다. 개인정보가 범죄자들의 표적이 된 만큼 유출 시도는 계속해서 일어날 수밖에 없다는 것이다.
실제로 유출 경로는 조금씩 다르나 정보유출 사고는 하루가 멀다하고 발생하고 있다. 카드 3사와 KT 외에도 티켓몬스터가 2011년 4월 해킹으로 113만 명의 회원정보를 유출한 사실이 뒤늦게 밝혀졌다.
그만큼 수사기관이 개인정보 유출 사건의 용의자에 대한 검거율을 높이는 게 중요하다는 지적이 나온다. 또 소나기 피하듯 그 순간만 모면하려 들지 않게 감독당국이 제재 이행 여부를 지속적으로 점검해야 한다는 의견이다.
임종인 고려대학교 정보보호대학원장은 "징벌적 과징금 등을 통해 개인정보가 유출되면 회사가 망할 수도 있으니 개인정보 책임자한테만 맡길 것이 아니라 전사적 차원에서 지원해야 할 분야라고 여겨야 하며 이를 위해 최고경영자(CEO)가 직접 나서야 한다"고 강조했다.
그는 또한 "이번 종합 대책에서 집단소송제는 빠졌는데 해외의 경우처럼 민사적 책임도 강화해야 한다"며 "300억 원 아끼려다 3천억 원을 잃는 일이 없도록 해야 하는데 한국은 그 부분(민사책임)이 약해 300억 원을 아끼게 된다"고 지적했다.
◆"일선 보안 담당자 책임 묻기 전 권한 따져봐야"
전문가들은 일선 보안담당자에게 책임을 묻는 것에 관해 신중한 입장을 나타냈다. 오히려 이보다는 사고 후 보안팀의 권한을 적절한 수준으로 키워갈 수 있을지에 초점을 맞춰야 한다는 의견이다.
김대환 소만사 대표는 "(보안 사고는) 미시적으로 보면 다를지 몰라도 거시적으로 보면 결국 사람과 예산, 권한 세 가지의 문제"라며 "보안 담당자에게 정당한 책임을 물으려면 이에 대한 충분하 투자가 있었다는 것이 전제돼야 할 것"이라고 말했다. 그는 "제한된 인원과 예산, 권한 속에서 일하는 보안 담당자들의 현실을 고려하지 않고 사고가 났다고 회사의 큰 죄인처럼 취급하고, 꼬리자르기 식으로 보안팀에 책임만 넘긴다면 어떤 좋은 인재가 보안 분야에 오겠나"라고 덧붙였다.
염흥렬 순천향대 정보보호학과 교수도 "정보보호책임자를 처벌하는 것은 조심해야 한다"며 "실제로 자원 배분은 회사가 하는 것인데 그럴만한(책임질만한) 환경은 구축돼 있었는지 파악한 후에야 부주의나 태만을 따져야 할 것"이라고 주장했다.
 
http://ppss.kr/archives/17950
보안업계인들이 말하는 한국 해킹의 본질 (ㅍㅍㅅㅅ, 리승환, 2014/03/11)
Q. 해킹이 뭐냐?
A. 관리자 권한이 없는 컴퓨터를 파헤치는 모든 행위가 해킹이다. 예로 박근혜 계정을 뚫고 박근혜 계좌에 돈을 입금시키는 건 좋은 행위이지만 이 역시 해킹이다. 그래서 일부 해커들은 나쁜 짓을 하는 것을 따로 분리해 크래킹이라고 구분하기도 한다.
Q. 그럼 이번 KT 해킹 사건은 무엇인가?
A. 좀 어이 없는 사건이다. 사실 해킹은 언제 어디서든 터질 수 있다. 심지어 내부 보안 관리자가 빼돌리는 등 막기 힘든 해킹도 있다. 하지만 보통 해킹이 터지면 이내 발각은 하고, 담당자를 감방으로 보낸다. 그런데 이번 건은 무려 1년 가까이 털렸다. 모니터링 시스템이 제대로 가동되지 않은 것이다.
Q. 어떻게 턴 건가?
A. 자세한 건 KT에 물어보고… 간략히 이야기하면 합법적으로 KT 사이트 들어가서 로그인을 한다. 로그인이 된 상태에서 시스템의 허점을 파고 들어 다른 사용자들의 정보를 빼낸 것이다. 비유하자면 내가 아파트에 들어간다고 해서, 각 집에 들어갈 수 있으면 곤란하지 않나? 그런데 각 집에 자물쇠가 잠겨 있지 않았던 것이다.
Q. 대기업에 어찌 이런 어이 없는 해킹 사태가 터질까?
A. 많은 보안 담당자들은 예산 문제를 든다.
Q. 대기업이 보안 예산을 핑계 대나?
A. 언제 어디서든 문제는 예산으로 시작해서 예산으로 끝난다. 결론부터 이야기하면 각 기업 높은 분들이 개인정보를 보호하는 걸 그렇게까지 중요하게 여기지 않고, 따라서 충분한 예산을 할당하지 않는다. 그러다 보니 보안 시스템을 촘촘하게 짜는 데 한계가 있다.
Q. 예산이 부족하면 구체적으로 어떤 문제가 생기나?
A. 돈이 없으니까 하청에 하청에 하청… 이렇게 넘어간다. 그러니 고급 인력을 쓰기도 어렵고 손발도 잘 안 맞는다. 애초에 보안은 손익을 따져야 할 것이 아니다. 자기 돈도 아니고 남의 돈, 남의 정보를 지키는데, 손익 따지면 어쩌나? 이렇게 돈을 안 쓰니까 고급 개발자도 찾기 힘들어 졌다. 그 돈 받고 보안 일 할 바에야 다른 일을 한다. 나름 꿈 품고 보안 일을 하던 사람은 치킨집 차리고, 안 되니까 주식 사고 한강 가고…
Q. 예산 외에 어떤 문제가 있을까?
A. 사회적 보안 의식도 중요한 문제다. 사실 보안은 귀찮다. 당장 우리가 집 보안을 철저히 하려면 여러 개의 자물쇠를 설치하는데, 그것도 귀찮은 일이지 않나? 보안담당자가 일을 빡세게 하면 직원들은 인터넷 접속 안 될 때도 있고, 고객에게 파일을 보내기 힘들 수도 있다. 그런 귀찮음을 사람들이 당연하다 생각해야 보안 쪽도 더 발전하는데, 되려 일하기 불편하다고 따지고, 힘 없는 보안 담당자는 보안을 늦추거나 하는 일도 있다.
Q. 그러면 어떻게 대기업에게 경각심을 줄 수 있겠나?
A. 그런 면에서 징벌도 중요하다. 최근 타겟이라는 외국 회사가 털렸는데 유출 정보 1건에 무려 최대 90달러 벌금, 우리 돈 10만 원을 내야 한다. 총 4조에 가까운 배상금을 내야 할 판이다. 반면 한국은 이번 카드사 개인정보 유출과태료가 겨우 600만 원이다. 대표이사급이 사임했지만, 결국 뭐가 바뀌었나? 눈 가리고 아웅하기다. 해외는 해킹 일어났다고 대표이사가 물러나지는 않는다. 하지만 그만큼 확실하게 책임을 진다.
Q. 한국이 해킹에 특히 취약한가?
A. 그건 좀 아니다. 해외에도 해킹은 많다. 또 해킹과는 좀 거리가 있지만 한국의 금융사고는 세계적으로도 적은 편이다. 한국이 특정하게 보안이 약하다기보다 한국이 털었을 때 가져갈 게 많다. 특히 주민등록번호 하나만 있으면 여러 정보를 털 수 있지 않나? 국민 1인당 4.8회 털렸다는 보고도 있던데, 훨씬 더 털렸을 거다. 큰 회사가 이슈가 되기 때문에 그렇지, 작은 사이트들은 생각보다 손쉽게 털 수 있다. 이미 우리 개인정보는 우리 자신들보다 해외여행 몇 배는 더 돌아다니고 있을 거다.
Q. 결국 개인정보를 받지 않는 게 최선일까?
A. 아무리 그래도 일정수준의 개인정보는 가질 수밖에 없다. 마케팅 없이 장사를 할 수 있나? 결국 고객이랑 어떻게 매칭을 시키느냐, 즉 프라이머리 키의 문제다. 한국의 문제는 근본적으로 주민등록번호가 있기 때문이다. 여러 사이트에서 턴 정보가 주민등록번호 하나로 통합된다. 아이디는 사이트마다 다를 수 있고 휴대폰 번호는 바꿀 수 있다. 하지만 주민등록번호는 다시 태어나지 않는 한 바뀌지 않는다. 내가 아니라도 주민등록번호만 있으면 나인 척 할 수 있다.
Q. 공인인증서, N프로텍트 등도 문제인가?
A. 이들이 귀찮긴 한데 해킹과는 무관하다. 그렇다고 이들 때문에 딱히 안전해지는 것도 아니다. 정부의 문제가 이건데, 자꾸 문제가 생기면 쓸데 없는 규제만 만들며 더 귀찮게 하는 거다. 공인인증서나 n프로텍트의 문제라면 보안 책임을 자꾸 사용자에게 떠넘기며 금융기관의 책임 소재를 줄여준다는 거다.
Q. 공인인증서와 N프로텍트가 도움이 되기는 하나?
A. 공인인증서는 C드라이브 특정 폴더에 저장하기 때문에 누구라도 손쉽게 탈취할 수 있고, 비밀번호를 유추하는 것도 그다지 어렵지 않아서 별도의 보안 레이어를 제공한다고 보기 어렵다. N프로텍트와 같은 보안프로그램은 사용자가 그 기능을 이해하고자 하여도 어디서 설명을 찾아보기도 어렵고, 실제 어떤 기능을 하는지 또는 그 프로그램 자체가 악성코드로부터 스스로를 완벽하게 보호하는 지도 확신할 수 없다. 물론 그렇다고 주장 하겠지만…
Q. 한국에서 왜 HTTPS는 사랑받지 못하는 것인가?
A. 사실 HTTPS는 보안서버(SSL 인증서)를 설치하여 통신구간에 암호화를 적용하여 전송되는 데이터를 보호하는 것으로, 그냥 기본 중의 기본이다. 다만 약간의 돈(2년에 50~200만 원)이 들어가서 신생기업에서 꺼리는 측면이 있다. 그만큼 한국의 보안 의식이 취약하다고 할 수도 있다.
Q. 네이버나 다음은 개인정보의 산실인데 왜 안 털릴까?
A. 당연한 이야기이지만 그만큼 보안에 투자하기 때문이다. 망 분리, 다중 암호화, 높은 보안성 점검 등에 돈도 많이 쓰고  보안의식 강화에도 힘쓴다. 해외 IT 대기업이 잘 안 털리는 것과 같은 이유다.
Q. 마지막으로 한 마디 하자면?
A. 이미 우리 정보 털릴 거 다 털린지 오래니까 너무 화내지 말았으면 좋겠다. 오죽하면 한때 100원 하던 개인정보는 이제 6원까지 떨어졌다. 아예 1원까지 가면 너무 값싸서 해킹 없는 아름다운 세상이 열릴지도 모르겠다.
 
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20140311_0012779129&cID=10402&pID=10400
이통3사 정보유출 선긋기, "본사 아니라 판매점 해킹 당한 것" (서울=뉴시스, 김민기 기자, 2014-03-11 15:17:33)
KT 홈페이지 해킹으로 인한 982만명의 개인정보 유출 사건에 이어 또 다시 이통사 판매점을 통해 420만건의 개인정보가 유출되면서 파장이 커지고 있다. 이통사들은 하지만 정보 유출이 대리점과 계약을 맺고 개인 사업자로 활동하는 판매점을 통해 유출 된 것이라며 이렇다할 입장을 내놓지 않은 채 선 긋기에 나섰다.
부산남부경찰서는 11일 개인정보 1230만 건을 판매·유통한 문모(44)씨를 개인정보보호법 위반 혐의로 구속하고, 문씨에게 개인정보를 사들인 17명을 불구속 입건했다. 문씨는 2012년 12월부터 지난해 1월까지 중국 해커로부터 1230만 건의 개인정보를 사들인 뒤 대부중개업, 보험사 직원, 통신판매업자, 광고업자, 불법 도박사이트 운영자 등 17명에게 1000여만원을 받고 판매한 혐의를 받고 있다.
특히 이동통신사의 개인정보의 경우 휴대전화 판매점에서 보관 중인 개인 정보가 해킹을 통해 탈취재 중국으로 넘어갔다가 다시 국내의 개인정보 브로커에게 의해 한국으로 넘어온 것으로 밝혀졌다.
경찰이 압수한 문씨의 하드디스크에는 KT, LG유플러스, SK브로드밴드 등 이동통신사와 유선 사업자 420만건, 금융기관 11곳 100만건, 여행사 및 인터넷 쇼핑몰 187만건 등 총 1230만 건의 개인정보가 보관돼 있었다. 이 중 이통사의 개인정보는 LG유플러스 250만 건, SK브로드밴드 150만 건, KT 6만 건으로 추정되고 있다. 경찰 관계자는 "정확한 유출 경위를 확인하기 위해 각 업체와 방통위, 금융감독원 등 관련 기관에 사실을 통보했다"고 말했다.
이와 관련해 이통3사는 본사의 해킹과 부주의를 통한 정보유출은 아니기 때문에 공식 입장을 내지 않기로 했다. 하지만 본사 차원에서 고객정보가 담긴 판매점의 가입신청서 폐기 여부를 시스템적으로 관리하지 않고 방치했다는 점에서는 '안전불감증'이라는 비난을 피하기 어려울 전망이다.
통상 인터넷이나 이동통신 가입자 유치와 관련해서 판매점은 고객으로부터 가입신청서를 받아 공식 대리점에 넘기면 해당 신청서를 폐기해야 한다. 하지만 판매점들은 별도로 저장해 보관하거나 불법 유통시키는 사례가 빈번한 것으로 전해졌다.
이에 이통3사에서는 판매점에서 정보를 폐기하지 않고 유통시킨 것일 뿐 본사에서는 책임이 없다는 뜻을 우회적으로 내비쳤다. 이통사 한 관계자는 "내부적으로 확인한 결과 본사 서버를 해킹하거나 이용해서 개인정보를 빼내거나 한 것은 아니었다"며 "판매점에서 별도로 보관 중인 내용이 유출된 것으로 보이는데 일일이 판매점의 정보 폐기 여부를 확인하는 것은 불가능하다"고 말했다. 또 다른 이통 관계자도 "우리가 가지고 있는 고객 정보와 유출된 고객정보랑은 상당한 차이가 있는 것으로 봐서 판매점이 별도로 가공한 정보가 유출 된 것으로 보인다"면서 "판매점을 일일히 감독하는 것은 한계가 있다"고 전했다.
한편 SK텔레콤은 "SK브로드밴드의 정보가 유출 됐을 뿐 SK텔레콤의 정보는 한 건도 유출되지 않았다"고 밝혔다.
  
http://opennet.or.kr/5922
당신의 성인물/게임 이용 여부를 이통사는 알고 있다: 사생활의 비밀 정보를 집적 보관하도록 강제하는 이통사 본인확인기관제도 폐지를 요구한다. (2014년 3월 11일, 사단법인 오픈넷)
사단법인 오픈넷은 이동통신 3사가 자신의 가입자들이 본인확인 서비스를 이용한 기록을 보관하고 있음을 확인했다. 우리는 가입자의 사생활의 비밀에 해당하는 민감한 정보가 3개 업체에 집중적으로 보관될 것을 강요하는 정보통신망이용촉진및정보보호에관한법(이하 정보통신망법) 상의 본인확인기관 지정제도를 폐지하거나 이통사들의 본인확인기관 지정을 폐지할 것을 요구한다. 또는 가입자의 본인확인을 업계 자율에 맡겨 인터넷이 주민번호기반의 본인확인이라는 질곡에서 헤어날 수 있도록 해줄 것을 요청한다.
우리나라는 과거부터 계속되어 왔던 개인정보 대량유출 사태에 대한 대응으로 그러한 유출공작의 핵심대상이 되는 주민등록번호가 정보통신망을 통해 수집되는 것을 2012년부터 금지하였다. 그러나 청소년보호법, 공직선거법, 게임산업진흥법 등에 따라 본인확인의무를 가진 인터넷업체들은 정보통신망 상의 본인확인을 계속해야만 했고, 각종 본인확인 시행령들은 본인확인방법을 한정적으로 열거하였으며, 인터넷업체들은 그중 유일하게 보편성이 있는 이통사 본인확인서비스에 의존할 수밖에 없게 되었다.
그러나 이번 KT 개인정보유출 사태에서도 보다시피 이통사들이라고 해서 인터넷업체들보다 개인정보 보안에 특별히 안전하다고 볼 이유가 없다. 그럼에도 불구하고 이통사들에게만 주민번호수집을 허락하는 것은 국민의 개인정보 유출 위험을 키우는 무책임한 행위이다. 특히 이번 조사에서 확인된 바와 같이 이통사들은 가입자들이 인터넷에서 본인확인을 했는지에 대한 기록을 보관하게 되었다. 예를 들어 가입자가 19금 웹툰을 보았다거나 온라인게임을 했다거나 인터넷언론에 접속하여 글을 남겼다거나 하는 경우, 이를 위해 이통사 본인확인서비스를 이용했다면 그 기록은 이통사에 그대로 남게 된다. 이와 같이 사생활의 비밀에 해당하는 정보가 이통사 3사에 집중되는 상태는 이통사가 자연스럽게 가입자들의 취향을 분석, 추출해낼 수 있는 매우 위험한 상황이며 진정한 ‘빅브라더’로 가는 상황이 된다.
또 이번 KT의 개인정보유출 사태에서 KT 가입자의 사생활의 비밀에 해당하는 정보도 모두 유출되었을 수 있는데 이 경우 국민의 사생활이 적나라하게 공개되는 사태까지 올 수 있다. 그렇다고 이통사들이 이 본인확인기록 보관을 하지 않을 수도 없는 제도적 모순이 있다. 왜냐하면 이통사 가입 시 제공한 정보들을 외부에 제공하는 것이 본인확인 서비스의 핵심인 이상 가입자 보호를 위해서는 이 기록을 보관하지 않게 되면 더욱 크나큰 개인정보침해를 저지르게 되는 것이다.
문제의 근원들은 애당초 본인확인을 위해 이통사들의 주민번호 DB를 이용할 것을 강요하는 법령들과 이를 가능케 한 정부 당국이다. 첫째, 표현의 자유라는 기본권을 행사할 때 불필요하게 본인확인을 요구하는 청소년보호법, 게임산업진흥법, 공직선거법에서 이러한 문제가 비롯되고 있다. 둘째, 본인확인이 필요한 경우라고 할지라도 그 방법을 각 업체들의 자율에 맡기지 않고, 주민번호에 바탕을 둔 방법만을 쓰도록 한정하여 주민번호 DB를 가진 사기업들이 국민들이 인터넷의 어디에 가서 뭘 하는지를 알고 있도록 만드는 위 법들의 시행령들 또한 사태를 악화시키고 있다. 마지막으로, 기이하게도 수차례 대형개인정보유출 사고를 저지른 이통사들이 계속해서 주민번호 DB를 이용하여 본인확인기관으로 활동할 수 있게 허용한 정보통신망법 상의 본인확인기관 지정제도 및 그 제도 하에서 이동통신사들을 기관으로 지정한 미래창조과학부(구 방송통신위원회)의 책임을 지적하지 않을 수 없다.
 
--------------------------
http://www.yonhapnews.co.kr/society/2014/03/06/0702000000AKR20140306149600065.HTML
KT 홈페이지 해킹…1천200만명 개인정보 털렸다(종합) (인천=연합뉴스, 강종구 기자, 2014/03/06 15:36)
1년간 수시로 해킹…개인정보 이용해 휴대전화 판매·개통에 악용
KT 홈페이지가 해킹당해 가입고객 1천600만명 중 1천200만명의 고객정보가 유출됐다. 인천경찰청 광역수사대는 KT 홈페이지를 해킹, 개인정보를 탈취한 뒤 휴대전화 개통·판매 영업에 사용한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅 업체 대표 박모(37)씨도 같은 혐의로 불구속 입건했다.
이들은 지난해 2월부터 최근까지 '파로스 프로그램'을 이용한 신종 해킹 프로그램을 개발, KT 홈페이지에 로그인 후 개인정보를 빼내왔다. 이들은 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다.
성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취하는 등 최근 1년간 1천200만명의 고객정보를 털었다. 이들이 확보한 개인정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등이다.
이들은 이렇게 빼낸 고객정보를 휴대전화 개통·판매 영업에 활용했다. 이들은 KT 직원을 사칭한 뒤 주로 약정기간이 끝나가는 고객에게 전화를 걸어 시세보다 싼 가격에 휴대전화를 살 수 있다고 현혹시켜 휴대전화를 판매했다. 또 확보한 개인정보 중 500만건의 정보는 휴대전화 대리점 3곳에 팔아넘겼다.
경찰은 이들이 판매한 휴대전화 규모를 아직 파악하지 못했지만 휴대전화 1대 개통 때 기종에 따라 20만∼40만의 수익을 챙긴 것으로 보고 있다. 경찰은 이들이 차린 텔레마케팅 업체의 세무서 소득신고 내역으로 미뤄볼 때 1년간 115억원의 부당이득을 챙긴 것으로 추정하고 있다.
경찰은 이들이 KT 외 다른 주요 통신사와 증권사 등의 홈페이지에서도 해킹을 시도한 것으로 보이지만 현재로서는 다른 통신사 개인정보가 유출된 흔적은 발견되지 않았다고 덧붙였다.
경찰은 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 등 KT의 보안시스템이 허술한 것으로 드러났다며 KT 보안담당자의 고객정보 관리 소홀 여부를 수사한 뒤 입건 여부를 결정할 방침이라고 밝혔다.
 
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140306154953
KT 해커, 1200만 개인정보 어떻게 털었나 (지디넷코리아, 정윤희 기자, 2014.03.06 / PM 03:53)
인터넷 공개 파로스 SW 통해 신종 프로그램 개발
 
http://biz.chosun.com/site/data/html_dir/2014/03/06/2014030603472.html
KT, 개인정보 1200만건 유출…"대량 이탈 이어지나"(종합) (조선, 박성우 기자, 2014.03.06 17:50)
대책없는 KT…2년새 가입자 개인정보 2100만건 유출
KT 홈페이지 해킹으로 지난해 2월부터 최근까지 KT 서비스 가입자 1200만명의 개인정보가 유출됐다. 올해 1월 발생한 카드사 개인정보 유출사태의 충격이 가시기도 전에 대규모 해킹사고가 터지면서 국민들은 또 다시 극도의 불안감에 휩싸였다. 게다가 회사측이 홈페이지가 해킹을 당하고 있다는 사실을 1년 가까이 까맣게 모르고 있었다는 정황이 드러나면서 KT에 대한 불신이 극도로 치닫고 있다.
인천경찰청 광역수사대는 KT 홈페이지에 접속해 불법해킹 프로그램을 돌려 KT서비스 가입자들의 개인정보를 빼낸 혐의로 전문해커 김모(29)씨와 정모(38)씨 등 2명을 구속하고, 이들을 통해 얻은 개인정보를 텔레마케팅(전화 영업)에 활용한 업체 대표 박모(37)씨를 같은 혐의로 불구속 입건했다고 6일 밝혔다.
경찰과 KT에 따르면 김씨등은 KT 홈페이지에서 고객정보를 열람할 수 있도록 하는 ‘파로스 프로그램’을 개발한 뒤 지난해 2월부터 최근까지 서비스 가입자 1200만명의 개인정보를 무단 유출한 혐의를 받고 있다. 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 이 프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 탈취했다. 이들이 빼낸 정보에는 서비스 가입자명과 주민등록번호, 휴대전화번호, 집주소, 직업은 물론 은행계좌까지 포함됐다.
◆ 빼낸 정보 이용해 불법 판촉…2012년 해킹사고때와 판박이
박씨는 KT가입자들의 개인정보를 빼내 휴대폰 개통과 판매 영업을 위한 텔레마케팅에 활용해 1년간 115억원을 챙긴 것으로 조사됐다.
이번 KT 개인정보 유출은 장기간에 걸쳐 이뤄졌다. 이들은 여러차례 홈페이지에 접속해 개인정보를 훔쳐간 것으로 경찰 조사결과 드러났다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 탈취했다고 경찰은 말했다.
KT 측은 “전문 해커가 주도한 사건으로 범인들은 홈페이지를 해킹해 개인정보를 유출한 것이고 경찰 조사에 적극 협조해 사실관계를 확인할 계획”이라며 “고객정보 유출사고와 관련 고객 피해 최소화를 위해 노력하겠다”고 말했다.
◆ KT, 1년간 해킹사고 몰랐다… KT 대량이탈자 나오나
하지만 KT는 최근 경찰 측이 수사를 통해 드러난 보안시스템상 문제점을 재정비하도록 권고하기 전까지 해킹 사실을 전혀 알지 못했던 것으로 드러났다. 경찰측은 “KT의 보안담당자의 관리소홀 여부를 확인하고 있으며 입건할 예정”이라고 말했다.
KT는 2012년에도 전산시스템이 해킹을 당해 877만명의 가입자 정보가 유출된 바 있다. 2012년 이후 KT 서버망을 통해 약 2100만건에 이르는 개인정보가 빠져나간 셈이다. KT는 2012년 해킹사고가 나자 전산망 보안을 강화하겠다고 밝혔지만 이번에도 속수무책으로 당했다.
임종인 고려대 정보보호대학원 교수는 “통신사의 홈페이지의 경우 이동통신 이용자들의 요금조회, 서비스가입 등을 위해 많은 회원수를 보유하고 있고 신뢰도 높은 개인정보가 쌓여있다”며 “해킹으로 개인정보가 유출되면 그 규모나 유발되는 파급력은 금융권 해킹사고 이상이 될 수 있다”고 설명했다.
일각에서는 이번 사태로 KT 가입자의 대량 이탈 사태가 발생할 가능성도 제기된다. 2차례나 대량으로 개인정보가 유출된데다 이번에도 회사측이 1년만에 뒤늦게 해킹사실을 알았다는 점이 드러나면서 신뢰가 바닥으로 떨어졌기 때문이다. 이번 개인정보 유출사고는 경쟁사인 SK텔레콤과 LG유플러스로의 대량이탈의 신호탄으로 작용할 가능성이 높다.
이지홍 녹색소비자연대 소비자권리팀장 “KT의 과실로 정보유출이 발생했기 때문에 KT는 분명한 책임을 져야한다”며 “경찰의 최종 수사결과에 따라 달라질 수 있겠지만 만약 개인정보 유출로 인해 고객이 타사 통신사로 옮겨간다면 위약금이나 단말기 할부금을 할인해주거나 공제해 곧바로 옮길 수 있도록 해줘야 한다”고 말했다.
 
http://news.hankooki.com/lpage/society/201403/h2014030620462521950.htm
KT, 10년새 3번째 유출… 1년간 털리고도 깜깜 (한국, 최연진기자, 인천=이환직기자, 2014.03.06 20:46:25)
■ 1200만명 정보 해킹
텔레마케팅 업체가 고용한 해커가 프로그램 개발
휴대폰 번호·약정기간 등 하루 최대 30만건 정보 빼내 영업 활용 115억 챙겨
2년 전 유출 사고에도 보안시스템 보완 안 해
홈페이지 해킹으로 1,200만명의 개인정보가 유출된 사건과 관련해 KT측의 부실한 고객정보 관리와 보안시스템이 도마에 올랐다. KT의 고객정보 대량 유출은 2004년 92만명, 2012년 870만명에 이어 벌써 3번째다.
6일 경찰 등에 따르면 해커 김모(29)씨는 휴대전화 이용대금 명세서에 기재된 고유번호 9자리만으로 고객정보를 확인할 수 있는 KT 보안시스템의 취약점을 노렸다.
김씨는 KT 고객센터 홈페이지의 이용대금 조회란에 고객의 고유번호 9자리를 무작위로 자동 입력시키는 프로그램을 직접 개발해 개인정보를 빼냈다. 최근 1년 동안 많게는 하루 30만건씩 모두 1,170만명의 고객정보가 털렸다. 김씨가 홈페이지 로그인을 위해 1년 넘게 매일 엄청난 횟수의 접속을 무작위로 시도했음에도 KT측이 이를 알아채지 못한 것은 보안 관리에 치명적인 문제가 있다는 지적이다. 업계에서는 잘못된 개인 암호가 수차례 반복 입력되면 자동으로 잠금 기능이 작동하도록 하는 등의 기능만 있었어도 개인정보 유출을 막을 수 있었을 것으로 보고 있다.
김씨를 고용한 텔레마케팅 업체는 빼낸 고객정보를 휴대전화 개통·판매 영업 등에 써 1년간 115억원을 챙겼다. 이들은 KT 직원을 사칭해 약정기간이 끝나가는 고객에게 전화를 걸어 "휴대전화를 싸게 살수 있다"며 휴대전화 1만1,000대를 팔았다. 500만명의 고객정보를 휴대전화 대리점 3곳에 팔기도 했다. 텔레마케팅 업체로부터 급여 명목으로 2억원을 받아 챙긴 해커 김씨는 KT 홈페이지를 해킹한 사실을 인터넷 사이트 게시판에 자랑 삼아 올리기까지 한 것으로 드러났다.
이번에 유출된 개인정보는 휴대전화번호, 기기명, 약정기간 등이다. KT는 고객의 신용카드번호 등 금융정보는 유출되지 않았다고 밝혔다.
KT와 관련된 개인정보 유출 사고가 반복적으로 발생하고 있는 점도 문제로 지적된다. 2012년 고객정보조회시스템이 해킹돼 위치정보 등 870만건의 고객정보가 유출됐을 당시 KT는 "단기간 대량 유출방식이 아닌 소량의 정보가 장기적으로 유출된 수법이라 몰랐다"고 해명했었다. KT는 이후 고객정보가 유출된 해당 시스템의 보안을 강화했지만 홈페이지에는 특별한 보완조치를 취하지 않았다.
김씨가 사용한 해킹 프로그램은 누구나 쉽게 사용할 수 있는 '파로스 프록시'(Parosproxy)를 이용한 것으로 밝혀졌다. 때문에 보안업계에서는 KT가 보안의 기본을 지키지 않았다는 지적을 하고 있다.
이와 관련해 KT 관계자는 "현장 조직에서 알고도 보고를 안 했는지, 정말 몰랐는지 여부는 내부조사를 해봐야 알 것"이라며 "홈페이지를 직접 운영하며 암호화 등 철저한 보안조치를 취했지만 신종 해킹수법이라 막지 못한 것으로 본다"고 말했다.
경제정의실천시민연합과 소비자시민모임 등은 이날 공동성명을 통해 "KT가 2012년 8월 고객정보 해킹 관련 재발방지 대책을 발표했는데도 또 정보가 유출된 것은 허술한 고객정보 관리와 한심한 보안수준의 현실을 그대로 반영한 것"이라며 "이번 유출사고로 통신사에 주민번호를 몰아주는 현재의 본인확인제도, 무분별한 주민번호 수집 허용정책의 위험성이 증명됐다"고 지적했다.
KT는 유출된 고객정보 자료를 경찰로부터 넘겨 받는 대로 고객들이 고객센터(02-100), 홈페이지를 통해 자신의 개인정보가 유출됐는지 여부를 확인할 수 있도록 할 계획이다.
 
http://news1.kr/articles/1573294
KT 홈페이지 1200만 해킹, 주민번호·은행계좌도 털렸다(종합2보) (인천=뉴스1, 주영민 기자, 2014.03.06 18:09:21)
전문 해커를 고용, KT 홈페이지를 해킹해 고객정보 1200만건을 빼돌린 텔레마케팅 업체 간부 등이 경찰에 붙잡혔다. 인천지방경찰청 광역수사대는 전문해커를 고용해 KT 홈페이지를 해킹, 1200만명의 고객정보를 빼내 핸드폰 대리점등에 판매한 혐의로 B텔레마케팅 상무 정모(39)씨와 정씨에게 고용돼 해킹을 주도한 전문해커 김모(29)씨에 대해 구속영장을 신청했다고 6일 밝혔다. 또 정씨와 공모한 혐의로 B텔레마케팅 대표 박모(37)씨를 불구속 입건했다.
경찰에 따르면 정씨에게 고용된 전문해커 김씨는 2013년 2월경 악성프로그램을 이용한 해킹 프로그램을 자체 제작해 KT 홈페이지를 1년간 수차례 해킹, 가입고객 1600만명 중 1200만명의 고객정보를 빼낸 혐의를 받고 있다.
정씨 등은 이렇게 빼낸 개인정보(성명, 주민번호, 휴대전화번호 등)를 휴대전화 대리점 등에 판매해 1년 동안 115억여원의 부당수익을 올렸다. 경찰 조사결과 정씨는 A통신사 직원을 사칭해 휴대폰 대리점 3개소에 500만명의 개인정보를 유출한 것으로 밝혀졌다.
전문해커 김씨는 인터넷상에 배포된 파로스 프로그램(웹사이트에 대한 취약성을 분석하는 강력한 해킹프로그램)을 이용해 신종 해킹프로그램을 개발한 것으로 조사됐다. 이 프로그램은 KT 홈페이지에 로그인 후 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 프로그램을 이용, 다른 고객들의 고유번호를 찾아내 고객정보를 해킹하는 방식으로 작동됐다.
이렇게 작동된 프로그램은 고객들의 이름, 개인정보, 주민등록번호, 휴대전화번호 집주소, 직업, 은행계좌 등 고객정보를 성공률이 높을 경우 하루 20~30만건씩 빼냈다.
경찰은 KT를 상대로 고객정보 관리 소홀 여부에 대한 수사를 확대한다는 방침이다. 이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 KT의 취약한 보안시스템이 이번 개인정보 대량유출을 불러왔다고 판단해서다.
파로스 프로그램이 설계 오류, 과다접속 통제, 권한관리 문제점이 결합되면 손쉽게 정보를 빼낼 수 있는 시스템으로 대부분의 포털 사이트는 5~6년 전부터 부정로그인 방비나 계정 도용 방지 등의 서비스를 통해 파로스 프로그램으로 인한 해킹을 방지해 왔다. 경찰은 KT의 경우 이부분이 취약했기 때문에 고객정보가 대량 유출된 것으로 보고 보안담장자의 관리소홀 여부 등을 수사해 문제가 드러나면 입건한다는 계획이다.
특히 경찰은 이번 사건 용의자들이 검거되지 않았다면 증권사, 인터넷 게임사 등에 가입한 추가 정보도 유출되는 등 2차, 3차 피해로 확산될 여지도 있었음을 시사했다. 수사결과 이들이 KT홈페이지 외에도 증권사, 인터넷 게임사 등 개인정보가 수집된 사이트들을 대상으로 같은 수법으로 해킹을 시도한 정황도 파악됐기 때문이다.
경찰 관계자는 “1200만명의 개인정보를 해킹해 유출하고 추가적으로 개인정보 해킹을 시도한 일당을 끈질긴 추적으로 전원 검거해 대규모 개인정부 유출로 인한 피해를 차단할 수 있었다”며 “수사를 통해 드러난 KT 등의 보안시스템상 문제점을 재정비토록해 제2의 대규모 개인정보 유출사건을 예방할 수 있게 조치하겠다”고 밝혔다.
 
http://act.jinbo.net/drupal/node/7891
[보도자료] 통신사의 주민번호 수집을 금지하라! (2013년 3월 6일, 경실련, 소비자시민모임, 오픈넷, 진보네트워크센터, 함께하는시민행동)
- 주민번호에 대한 근본적 대책을 마련할 것을 정부와 국회에 촉구한다.
카드사 개인정보 유출로 인한 국민들의 분노와 불안감이 채 가시지 않은 상황에서 1천200만 명에 이르는 KT 고객정보가 또 유출되었다.
이미 지난 2004년 주민번호를 포함한 92만명의 개인정보가, 2012년 7월에도 무려 5개월간에 걸쳐 휴대전화 가입자 870만 명의 개인정보가 KT에서 유출된 바 있다. 이번 유출 역시 1년간에 걸쳐 이름, 주민번호, 휴대전화번호, 주소, 직업, 은행계좌 등의 고객정보가 유출되었다. 이는 KT가 2012년 8월 고객정보 유출 후 ‘고객정보 해킹 관련 재발방지 대책’을 발표하고 6개월 만에 정보유출이 시작된 것으로, 기업의 허술한 고객정보 관리와 한심한 보안수준의 현실을 그대로 반영하고 있다.
이번 KT 고객정보 유출의 심각한 문제는 KT가 '본인확인기관'이라는 것이다. 이번 유출 사고는 통신사에 주민번호를 몰아다주는 현재의 본인확인제도와 주민번호의 무분별한 수집 허용정책이 어떠한 위험성을 야기하는지 증명하고 있다.
이에 우리 시민단체는 아래와 같이 개인정보보호를 위한 근본적 대책을 요구하며, 정부와 국회의 결단을 촉구하는 바이다.
1. 본인확인기관 제도 폐기하라.
공교롭게도 금융 개인정보 유출사건을 일으킨 코리아크레딧뷰로(KCB)와 이번 해킹사건의 당사자인 KT는 모두 방통위가 지정한 본인확인기관이다. 정부는 개인정보 유출이 심각해지자 2012년 8월부터 온라인에서의 주민번호 수집을 금지하였다. 그러나 예외적으로 공인인증서, 아이핀(I-PIN), 휴대폰인증 등 대체수단을 발급하는 11개 기업을 본인확인기관으로 지정하여 합법적으로 주민번호를 수집할 수 있도록 하였다.
KT등 이동통신사는 지난 2012년 12월 28일 본인확인기관으로 지정되었다. 이에 따라 본인확인기관은 인터넷 상의 회원가입이나 서비스 이용 정보 등 더 많은 정보를 수집·관리하고 있다. 그러나 본인확인기관 역시 해킹이나 내부자 유출로부터 안전할 수 없으며, 따라서 이들에게 전 국민의 주민번호를 몰아주는 것은 더 큰 위험을 부를 수 있음을 우리는 계속해서 경고하였다.
금융기관과 통신사에서 연이어 대량 개인정보 유출사고가 발생하고 있음에도 불구하고, 이들에게 계속 주민번호 수집을 허용하는 것은 국민의 불안을 야기시키는 만용에 가깝다. 따라서 어떠한 예외없이 민간에서의 주민번호 수집은 이제 엄격하게 금지되어야 하며, 이를 조장하고 있는 본인확인기관 제도 역시 폐기되어야 한다.
2. 국회 미방위에 계류되어 있는 휴대전화 실명제 의무화 철회하라.
통신사를 통한 개인정보 유출의 위험성을 국회는 인식조차 하지 못했던 것일까? 지난 2월 국회 미래창조과학방송통신위원회(미방위)는 개인정보 유출에 대한 위원회 대안을 마련하면서 오히려 개인정보 보호에 역행하는 '휴대전화 실명제'를 의무화하였다. 우리는 이에 대해, "이는 주민번호의 민간수집을 제한해야 한다는 국민들의 강력한 요구에 반할 뿐만 아니라, 모바일 서비스를 통한 개인정보 수집이 증가하고 있는 상황에서 이것이 실명제와 결합할 때 개인의 프라이버시에 엄청난 부정적 영향을 미칠 수 있다는 것을 무시한 처사"라고 비판한 바 있다.
다행히 이 법안은 아직 미방위 전체회의를 통과하지 않은 상태이다. 국회 미방위는 휴대전화 실명제를 의무화하는 개정안의 내용을 즉각 삭제할 것을 촉구한다.
3. 주민번호 체제개편, 더 이상 늦춰서는 안 된다.
대량 개인정보유출 사고 이후 주민번호 체제개편에 대한 요구가 매우 높았음에도 안전행정부는 여전히 대책마련에 소극적인 모습을 보이고 있다. 지난 2월 국회에서 민병두, 진선미, 백제현, 김제남 의원 등이 주민등록법 개정안을 발의했지만 제대로 논의조차 이루어지지 않고 있다. 언제까지 주민번호 유출을 수수방관할 것인가? 안전행정부와 국회는 즉각 주민번호 체제의 근본적 개편을 위한 작업에 나설 것을 촉구한다.
 
http://www.hani.co.kr/arti/society/society_general/627217.html
KT 2012년에도 2차례 정보 털려…최고 보안 갖추겠다더니 (한겨레, 권오성 기자 2014.03.06 21:21)
케이티 정보유출 파장과 수법
오픈소스 이용 해킹프로그램 제작
무작위 자동입력에 고유번호 뚫려
1년동안 하루최대 30만건 빼돌려
이번에는 별도 사과도 없어
케이티(KT) 가입자 1200만명 개인정보 해킹 사건은 방대한 유출 규모는 물론이고 범행이 1년 넘게 이어져 왔다는 점에서 큰 충격을 던지고 있다. 1억건이 넘는 신용카드사 개인정보 유출 사건이 터진 지 두 달 만에 또 대형 해킹 사건이 터지면서, 주민등록번호 제도 개편에 대한 목소리도 커질 것으로 보인다.
인천지방경찰청 광역수사대가 6일 밝힌 범행 수법을 보면, 전문 해커 김아무개(29)씨 등은 인터넷 등에 공개된 프로그램인 ‘파로스’를 이용해 새로운 해킹 프로그램을 개발했다. 프로그램의 코드가 모두 공개되어 있는 오픈소스 소프트웨어인 파로스는 누구든지 인터넷에서 내려받을 수 있다. 파로스는 웹페이지 등의 취약점을 확인하기 위한 프로그램인데, 김씨 등은 이를 역으로 이용해 해킹 프로그램을 만들었다.
김씨는 이렇게 만든 해킹 프로그램으로 가입자의 9자리 고유번호를 통해 개인정보를 빼냈다. 케이티 누리집에 로그인한 뒤 이용대금 조회란에 숫자 9개를 무작위로 자동 입력시키는 방식으로 다른 고객들의 고유번호를 찾아냈다. 이런 식으로 김씨 등은 1년 동안 케이티 누리집에서 하루 최대 30만건의 개인정보를 훔쳐냈다. 빼낸 정보는 이름, 주민등록번호부터 휴대전화번호, 집 주소, 직업, 은행계좌 등에 이르기까지 광범위하다. 경찰 관계자는 “지금까지 밝혀진 범행 수법은 피의자의 진술을 토대로 했으며 구체적인 방식에 대해서는 아직 수사중”이라고 말했다.
심각한 문제는 명세서에 기재된 9자리 고유번호를 알아낸 것만으로 정보를 탈취할 수 있었고, 이를 케이티가 1년 동안 모르고 있었다는 점이다. 최민희 민주당 의원(미래창조과학방송통신위원회)은 “1년 동안 수십 차례에 걸쳐 해킹이 이뤄졌는데도 케이티가 전혀 몰랐던 것은 불의의 사고가 아니라 인재임을 보여준다”고 지적했다. 최 의원은 또 유출 사건 조사와 긴급현안 질의를 위해 3월 임시국회를 열자고 제안했다. 경찰은 “케이티 보안담당자의 고객정보관리 소홀 여부를 수사한 뒤 입건 여부를 결정할 방침”이라고 밝혔다.
케이티의 개인정보가 유출되기는 이번이 세번째다. 2년 전인 2012년 3월 케이티와 에스케이텔레콤(SKT)에서 고객정보 20만여건이 해커에 의해 유출됐고, 같은 해 7월에는 케이티 전산망에서 873만명의 개인정보가 유출된 사실이 드러나 사회적으로 큰 파장이 일었다. 당시 표현명 사장은 사과 기자회견을 열고 “최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다”고 약속했지만, 결국 말뿐이었던 것으로 드러났다. 케이티는 이날 별도 사과도 없이 “전문 해커에 의한 유출”이며 “추가적인 고객 피해 방지를 위해 내부 프로세스를 정비중”이라는 원론적인 견해만 표명했다.
사고 소식이 전해지자 방송통신위원회는 이날 저녁 자료를 내어 민관 합동조사단을 꾸려 사고원인 조사에 나서겠다고 밝혔다. 또 2차 피해를 막기 위해 한국인터넷진흥원(KISA)을 통해 개인정보 불법매매 사이트 등에 대한 단속과 점검 강화에 나선다. 정보보호 정책의 책임을 지고 있는 미래창조과학부는 경찰과 협력해 해킹 원인을 조사할 방침이다.
대규모의 개인정보 유출 사건이 연이어 터지면서 시민사회는 주민번호 체제 개편을 비롯한 근본적인 대책 마련을 강하게 촉구하고 나섰다. 경제정의실천시민연합, 오픈넷 등 시민단체들은 성명을 내어 “이번 유출 사고는 통신사에 주민번호를 몰아다주는 현재의 본인확인제도와 주민번호의 무분별한 수집 허용정책이 어떠한 위험성을 야기하는지 증명한 것”이라고 지적했다.
 
http://www.hani.co.kr/arti/society/society_general/627236.html
해킹당한 KT 1200만명 정보유출…1년간 몰랐다 (한겨레, 인천/김영환 기자, 권오성 기자, 2014.03.06 22:44)
주민번호·계좌번호 등
휴대폰 개통·판매자에 넘어가
수사나선 뒤에 유출사실 알아
신용카드사들의 개인정보 무더기 유출 사태에 이어, 케이티(KT) 누리집이 해킹 프로그램에 뚫려 가입 고객 1200만여명의 주민등록번호, 휴대전화번호, 은행 계좌번호 등이 유출됐다. 케이티 쪽은 지난 1년간 고객정보가 유출됐는데도 이를 파악하지 못했던 것으로 드러났다.
인천지방경찰청 광역수사대는 케이티 누리집을 해킹해 빼낸 개인정보를 휴대전화 개통·판매 영업에 이용한 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반)로 해커 김아무개(29)씨와 정아무개(38)씨 등 2명을 구속했다고 6일 밝혔다. 이들과 공모한 텔레마케팅업체 대표 박아무개(37)씨도 같은 혐의로 불구속 입건했다.
경찰 발표를 보면, 김씨 등은 지난해 2월부터 최근까지 ‘파로스 프로그램’을 이용한 신종 해킹 프로그램을 개발해 케이티 누리집에 접속해 개인정보를 빼내왔다. 이들은 누리집 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 프로그램으로 케이티 고객의 9자리 고유번호를 맞춰 개인정보를 털었다. 이들이 빼낸 개인정보는 주민등록번호, 휴대전화번호, 집 주소, 직업, 은행 계좌번호 등이다.
이들은 주로 약정 기간이 끝나가는 고객들에게 케이티 직원이라고 사칭해 시세보다 싸게 휴대전화기를 살 수 있다고 영업했다. 또 개인정보 500만건은 휴대전화 대리점 3곳에 팔았다.
이렇게 휴대전화 1대 개통 때 20만~40만원의 수익을 올렸고, 해커는 1대 개통할 때마다 5000원씩 챙겼다. 경찰은 텔레마케팅업체의 세무서 소득신고 내역으로 미뤄볼 때 그동안 115억원의 부당이득을 챙긴 것으로 추정했다.
케이티 쪽은 지난 1년간 고객들의 개인정보가 털렸지만 수사 이전엔 이를 파악하지 못했다. 경찰은 이용대금 명세서의 고유번호 9자리만으로 고객정보를 확인할 수 있을 만큼 케이티의 보안 시스템이 허술한 점을 밝혀내고 케이티 보안 담당자의 고객정보 관리 소홀 여부를 수사중이다.
이에 대해 케이티는 “경찰의 유출 경위 수사에 협조하고 고객 피해를 최소화하도록 노력하겠다”고 밝혔다.
 
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201403062128165&code=940202
KT, 해커에 1200만명 고객정보 털려… 1년 동안 몰라 (경향, 인천 | 박준철 기자, 2014-03-06 21:28:16)
ㆍ요금조회 고유번호로 다른 가입자 주민번호 등 빼내
ㆍ2012년 이어 또… 정보구입 업체는 115억대 부당이익
KT 가입고객 1600만명 중 1200만명의 이름·주민등록번호·은행계좌 등 개인정보가 고등학교를 졸업한 20대 해커에게 털렸다. KT는 2012년에도 800만명의 개인정보가 유출된 바 있다. 유출된 개인정보는 30~40명의 텔레마케터들을 고용한 텔레마케팅 업체들에 넘겨졌고, 이들은 이 정보로 휴대폰을 판매해 115억원의 부당 이득을 취했다.
인천지방경찰청 광역수사대는 해커 김모씨(29)와 텔레마케팅 업체 대표 정모씨(38) 등 2명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다고 6일 밝혔다. 경찰은 또 다른 텔레마케팅 업체 대표 박모씨(37)도 같은 혐의로 불구속 입건했다.
경찰 수사 결과 김씨는 지난해 2월부터 지난달까지 1년간 자체 제작한 해킹프로그램으로 KT 홈페이지를 해킹해 1200만여명의 개인정보를 빼냈다. 김씨는 한꺼번에 정보를 빼내지 않고 한 달에 20만~30만건씩 해킹해 박씨 등에게 한번에 1000만~5000만원을 받는 등 모두 2억여원에 개인정보를 판매한 혐의를 받고 있다.
김씨는 고등학교를 나와 독학으로 해킹프로그램을 개발한 것으로 드러났다. 김씨는 인터넷상에서 웹사이트에 대한 취약성 분석 등을 하는 데 이용되는 파로스 프로그램을 이용해 신종 해킹프로그램을 개발했다. 그는 KT 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시켜 다른 가입자들의 고유번호를 찾아내는 방법으로 해킹을 했다고 경찰은 밝혔다.
김씨가 빼낸 개인정보는 이름과 주민등록번호, 휴대폰번호, 주소, 직업, 은행 결제 계좌번호 등이다.
정씨 등 텔레마케팅 업체 대표들은 각각 30~40명씩의 텔레마케터들을 고용, KT 직원이라고 사칭해 무작위로 KT 고객들에게 전화를 걸어 휴대폰 교체를 권유했다. 이들은 휴대폰 약정기간이 끝나가는 고객을 집중적으로 공략했으며, 최신 휴대폰을 다른 통신사보다 20~30% 싸게 판매하는 것처럼 영업한 것으로 드러났다.
이들은 휴대폰 한 대를 개통할 때마다 기종에 따라 20만~40만원의 수익금을 받아 챙겼다. 또 해커인 김씨에게는 한 대당 5000원씩의 수익금을 나눠줬다고 경찰은 밝혔다. 이들은 휴대폰 대리점 3곳에 500만명의 개인정보를 다시 판매하기도 했다. 정씨 등이 유출된 개인정보를 이용해 챙긴 돈만 115억원이라고 경찰은 밝혔다.
해커인 김씨는 KT 고객정보를 빼낸 데 이어 대신증권과 KB증권에서도 해킹프로그램을 만들어 개인정보를 빼내려다 경찰에 적발된 것이다.
경찰은 해커와 텔레마케팅 업체 대표들이 아우디·포르셰 같은 외제차를 타고 다니며 호화생활을 했으며, 3억6000만원짜리 벤틀리 자동차도 계약했던 것으로 드러났다고 설명했다. 경찰 관계자는 “KT 통신사 이름을 사칭한 문자메시지나 전화는 모두 김씨가 빼난 개인정보를 통해 텔레마케팅 업체가 보낸 것들로 보면 된다”며 “KT 등이 고객정보를 암호화하지 않는 등 관리를 소홀히 한 부분에 대해서도 수사를 하고 있다”고 말했다.
 
http://news.kukinews.com/article/view.asp?page=1&gCode=kmi&arcid=0008110614&cp=du
[줄줄 새는 개인정보] 단순 해킹 프로그램에 홈피 뚫려… KT, 1년간 몰랐다 (국민일보 쿠키뉴스, 인천=정창교 기자, 2014.03.07 02:34)
KT 고객 1200만명의 개인정보를 빼낸 수법은 단순했다. 인터넷에서 쉽게 내려받을 수 있는 해킹 프로그램을 이용했다. 6일 인천지방경찰청 광역수사대에 따르면 해커들이 개인정보를 빼가는 데 사용한 해킹 프로그램은 ‘파로스 프록시(Parosproxy)’다. 공개 소프트웨어(SW)인 데다 자세한 사용법을 담은 게시물이 각종 블로그에 널려 있어 초보 해커는 물론 일반인도 쉽게 사용할 수 있다.
전문 해커 김모(29)씨 등은 2013년 2월쯤 파로스 프로그램을 이용한 해킹 프로그램을 자체 제작해 범행에 이용했다. PC에 이 프로그램을 설치하고 KT 홈페이지를 공격했다. KT 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 반복해 입력한 뒤 일치하는 번호를 찾아내는 방식이다.
홈페이지에 로그인한 후 ‘000000000’부터 ‘999999999’까지 9개의 숫자를 모두 자동 입력하는 프로그램을 가동시켜 고객의 9자리 고유번호를 알아낸 뒤 개인정보를 모조리 빼돌렸다는 것이다. 고객들의 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등을 알아냈다. 성공률이 높을 땐 하루 20만∼30만건의 개인정보를 빼내는 등 최근 1년간 1200만명의 고객정보를 야금야금 빼돌렸다.
하지만 KT는 이를 전혀 눈치 채지 못했다. 업계 관계자는 “잘못된 개인 암호가 수차례 입력되면 아예 잠금 기능이 작동되도록 하는 게 일반적인데 KT 홈페이지가 해킹당한 건 이해가 되지 않는다”고 말했다.
텔레마케팅 업체 대표 박모(37)씨 등은 김씨 등으로부터 고객정보를 넘겨받아 휴대전화 판매에 활용했다. 주로 약정기간이 끝나가는 고객에게 전화를 걸어 KT 직원이라고 사칭한 뒤 시세보다 싼 가격에 휴대전화를 살 수 있다고 속여 휴대전화를 판매했다. 휴대전화 1대 개통 시 기종에 따라 20만∼40만원의 영업수익을 올렸다. 해커는 1대 개통 시 5000원을 받았다.
경찰은 개인정보 유출이 맞춤형 스미싱이나 파밍 등 2차 피해로 이어지는 걸 막으려면 어떤 정보가 유출됐는지 확인하고 아이디와 비밀번호를 교체해야 한다고 밝혔다. 또 의심 가는 문자와 이메일 속의 특정 인터넷 사이트에는 접속하지 말아야 한다고 덧붙였다.
Key Word-파로스 프로그램: 원래 웹 사이트의 취약점을 점검하고 분석하려는 목적으로 만들어졌다. 하지만 웹 해킹의 기본 도구로도 사용된다. 인터넷에서 누구나 쉽게 내려받아 사용할 수 있다. 클라이언트와 웹 서버 사이에 자리잡고 있다가 오가는 각종 정보를 중간에서 가로채 볼 수 있는 기능을 갖고 있다. 해커는 자신의 PC에 이 프로그램을 설치하고 보안이 취약해 보이는 웹 사이트를 공격한다.
 
http://news.kukinews.com/article/view.asp?page=1&gCode=kmi&arcid=0008111078&cp=du
[줄줄 새는 개인정보] 반복되는 정보 유출… 정부는 뭐했나 (국민일보 쿠키뉴스, 김준엽 기자, 2014.03.07 02:34)
2012년에 이어 또다시 KT에서 대규모 개인정보 유출 사고가 발생한 사실이 6일 알려지면서 개인정보 관리·감독 책임을 지고 있는 방송통신위원회와 미래창조과학부의 대처가 미흡한 것 아니냐는 비판이 제기되고 있다.
개인정보보호 업무를 담당하고 있는 정부부처는 방통위다. 방통위는 기업이나 단체가 개인정보 보호를 제대로 하지 못했다고 파악하면 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’에 근거해 과태료 및 과징금 처분을 내릴 수 있다. 2012년 KT 가입자 873만여명의 개인정보가 유출된 해킹 사고가 발생했을 때 방통위는 KT가 개인정보보호 의무 중 일부를 위반했다고 판단해 7억5300만원의 과징금을 부과한 적이 있다.
정보유출 사고의 1차적 책임은 기업에 있다. 하지만 2년 만에 유사한 사고가 다시 발생하면서 과징금 처분이 기업으로 하여금 개인정보 보호의 중요성을 각성케 하는 계기가 되지 못했다는 지적이다. 정부로서는 사후처벌뿐만 아니라 사전예방까지 아우르는 종합적인 대책을 마련해야 하는 과제를 안게 됐다.
정보보호 관련 업무가 흩어져 있는 것도 문제로 지적된다. 개인정보보호는 방통위가, 정보보호 정책은 미래부가 담당하고 있다. 최민희 민주당 의원은 성명서를 통해 “여러 부처로 이원화, 삼원화돼 있는 개인정보보호 체계 및 관련법령을 정리하지 못하고 있는 상황”이라며 “개인정보 유출과 직·간접적으로 관련된 정보통신망법도 국회 미래창조과학방통위 법안 소위에 계류 중”이라고 조속한 처리가 필요하다고 강조했다.
방통위와 미래부는 KT 개인정보 유출 사고 원인을 조사하기 위해 방통위·미래부 공무원 4명, 보안업체 전문가 2명, 한국인터넷진흥원(KISA) 분석 전문가 4명 등으로 구성된 ‘민·관 합동 조사단’을 현장에 파견해 조사를 실시한다고 밝혔다.
방통위는 KT에 유출된 개인정보 항목, 시점, 경위 등을 이용자에게 이메일과 우편으로 알리도록 하고 개인정보 누출 조회 시스템을 조속히 구축하도록 할 예정이다. 또 방송·통신·인터넷 관련 협회 및 사업자와 ‘개인정보 침해대응 핫라인’을 가동해 2차 피해를 막는다는 계획이다.
정보유출 피해자의 집단 소송 가능성도 제기된다. 2012년 KT 정보유출 때에는 3만명 이상이 집단소송에 참여했다. 아직 판결이 나오지 않은 상황에서 유사한 소송이 제기되면 KT로서는 큰 부담을 안게 될 것으로 예상된다.
 
http://www.mt.co.kr/view/mtview.php?type=1&no=2014030616100126052
해킹 맞아? KT 뚫은 수법 이렇게 쉬웠다니… (머니투데이 진달래 홍재의 황보람 기자, 2014.03.07 05:19)
해커가 변형해서 사용했다는 '파로스 프로그램' 포털 사이트에서 누구나 검색
 
http://www.mt.co.kr/view/mtview.php?type=1&no=2014030617002573410
KT 내 주민번호 '줄줄'…본인확인기관도 털렸다 (머니투데이 강미선 기자, 2014.03.07 09:21)
이통3사, 본인확인기관으로 주민번호수집 '합법'…해킹피해 더 커
"개인정보유출을 최소화하려고 정보통신망법을 개정하고 이동통신사를 본인확인기관으로 지정했는데 결국 본인확인기관이 털려 피해만 키웠다."(보안업계 관계자)
1200만명의 고객정보가 유출된 KT (28,900원 상승500 -1.7%) 홈페이지 해킹사건은 KT가 주민등록번호 수집·이용이 합법적으로 허용된 본인확인기관이라는 점에서 그 심각성이 더 크다. 어느 사업자보다 탄탄한 정보보호 시스템을 갖춰야할 본인확인기관이 해킹에 무방비로 당했다는 지적이다.
6일 경찰과 KT에 따르면 전문 해커 김모씨는 자체 해킹 프로그램을 만들어 2013년 2월부터 1년간 KT의 고객센터 홈페이지를 해킹해 1200만명의 개인정보를 유출했다. 빠져나간 개인정보에는 이름, 휴대전화번호, 집주소, 직업, 은행계좌 뿐만 아니라 주민등록번호도도 포함됐다.
2012년2월18일 개정 정보통신망법 시행으로 인터넷에서는 주민번호를 수집·이용할 수 없지만 KT (28,900원 상승500 -1.7%) 등 이동통신 3사는 2012년12월부터 정부가 본인확인기관으로 지정했기 때문에 주민번호를 수집·이용할 수 있다.
이통3사는 아이핀을 발급하는 신용평가기관처럼 주민번호를 대체하는 인증수단을 제공하는 본인확인기관 역할을 하고 있다. 이번 KT의 대규모 고객정보 유출 사태는 이통3사가 본인확인기관으로 지정된 이후 첫 해킹사고라는 점에서 본인확인 인증기관에 대한 신뢰도가 크게 떨어지게 됐다.
당초 이통사를 본인확인기관으로 지정하는 것을 둘러싸고 업계에서는 우려가 나왔다. 개인정보 대량 유출 경험이 있는 이통사들을 본인확인기관으로 지정하는 것이 개인정보보호를 강화하기 위한 정보통신망법 개정 취지에 부합하지 않는다는 비판이었다. KT는 앞서 2012년에도 전산시스템이 해킹을 당해 870만명의 가입자 정보가 유출됐다.
박경신 고려대 법학전문대학교 교수는 이와 관련 한 세미나에서 "휴대폰 본인확인제도가 개인정보보호라는 취지에서 벗어날 수 있다"며 "이통사만 정보를 수집하게 되면 이들은 빅브라더가 될 것"이라고 지적했다.
이통사 조차 이번 사태와 같이 혹시 모를 문제가 발생할 경우 책임을 져야할 수 있어 내부적으로 부담스럽다는 우려가 나왔다. 한 이통사 관계자는 "개인정보 보호시스템 등을 개선한 뒤 본인확인기관으로 지정한 것이 아니라 본인확인기관으로 지정한 뒤 알아서 시스템을 보완하라는 식이어서 부담스러운 게 사실"이라고 말했다.
이번 KT 해킹 사건도 본인확인기관 지정 이후인 2013년 2월부터 이뤄진 것으로 조사돼 정부 당국의 허술한 관리감독도 문제로 지적된다. 방통위 관계자는 "당시 이통사 본인확인기관 지정을 위해 보안·네트워크 등 외부전문가 10명이 서류심사와 현장 실사를 2회 실시했다"며 "일단 이번 사건이 해킹에 의한 개인정보유출사고로 확인될 경우, 방통위와 미래부가 합동 실태조사를 진행할 계획"이라고 말했다.
 
http://www.yonhapnews.co.kr/bulletin/2014/03/07/0200000000AKR20140307103800065.HTML
훔친 KT 정보의 위력…"휴대폰 하루 150대도 팔아" (인천=연합뉴스, 강종구 기자, 2014/03/07 13:36)
해킹으로 확보한 개인정보로 텔레마케팅…1년간 115억 매출
KT 홈페이지 해킹으로 유출된 개인정보 1천200만건은 고스란히 해커 일당의 배를 불리는데 악용됐다. 인천시 남구 주안동에서 휴대전화 판매점을 운영하던 박모(37)씨는 매출이 신통치 않던 차에 작년 1월 지인을 통해 해커 김모(29)씨를 소개받았다. 김씨는 KT 휴대전화 개통·판매를 전문으로 하는 박씨에게 "KT 홈페이지를 해킹해 개인정보를 넘겨 줄 수 있다"며 거래를 시도했다.
박씨는 김씨에게 월 기본급 300만원, 훔친 개인정보로 휴대전화 1대 개통할 때마다 5천원의 수당을 주기로 계약했다. 김씨는 자신이 공언한 대로 작년 2월부터 KT 홈페이지에서 회원 개인정보를 탈취하기 시작했다. 그는 '파로스 프로그램'을 이용한 신종 해킹 프로그램으로 많을 땐 하루 20만∼30만명의 개인정보도 뽑아냈다.
김씨의 해킹 능력을 확인한 박씨는 본격적인 사업을 위해 평소 알고 지내던 정모(38)씨도 끌어들였다. 정씨는 텔레마케팅 업체 운영을 맡았다. 박씨와 동업하기로 한 정씨는 박씨의 사무실 건너편에 텔레마케팅 사무실을 차리고 텔레마케터 20여 명을 고용했다.
이름, 주민등록번호, 휴대전화번호, 보유 휴대전화 기종, 약정기간 등의 개인정보를 넘겨받은 텔레마케터들은 약정기간이 얼마 남지 않은 회원들에게 전화를 걸어 휴대전화 기기 변경을 권유했다.
김씨 일당의 '맞춤형 마케팅'은 주효했다. 일반 대리점에서는 하루에 3∼4대도 팔기 어려운 휴대전화를 이들은 하루에 수십 대씩 팔았다. 이들은 텔레마케팅 사무실을 안산에도 추가로 차렸고 텔레마케터의 전화통화는 아침부터 저녁까지 쉴 새 없이 이뤄졌다.
휴대전화 배송을 담당한 택배기사는 경찰에서 "하루에 신형 휴대전화 150대를 배달한 적이 있을 정도"라고 진술하기도 했다. 이들이 1년간 판매한 휴대전화는 모두 1만1천여 대. 시가로 115억원어치다.
해커 김씨는 기본급과 해킹 수당을 합쳐 연간 2억원가량을 챙겨 포르셰 외제차를 몰고 다니며 호화 생활을 했고, 정씨와 박씨도 수십억원대 순이익을 거둔 것으로 알려졌다.
경찰은 이들이 KT에서 탈취한 개인정보만으로도 충분한 수익을 거뒀기 때문에 SK텔레콤이나 LG유플러스 등 다른 주요 통신사의 홈페이지를 해킹할 필요성을 느끼지 못한 것으로 보인다고 전했다.
이들이 1년간 빼낸 개인정보 1천200만건 중 500만건은 텔레마케팅에 활용되고 나머지 700만건은 해커 김씨만이 계속 보유하고 있었다. 경찰의 한 관계자는 7일 "해커 김씨는 다른 통신사도 마음만 먹으면 해킹할 수 있다고 얘기했지만 실제로 시도는 하지 않았다"며 "박씨 일당이 KT 휴대전화 개통을 전문으로 하는데다 1년 내내 밤낮으로 텔레마케팅을 할 수 있는 개인정보를 이미 확보했기 때문으로 보인다"고 말했다.
이들의 범죄 행각은 해커가 개인정보를 빼내 텔레마케팅에 사용한다는 첩보를 입수한 경찰에 의해 덜미가 잡혔다. 인천경찰청 광역수사대는 정보통신망이용촉진 및 정보보호 등에 관한 법률위반 혐의로 해커 김씨와 정씨를 구속하고 박씨를 불구속 입건했다.
 
http://www.mt.co.kr/view/mtview.php?type=1&no=2014030715111849219
"주민번호 수집 허용된 본인확인기관 폐지해야" (머니투데이 진달래 기자, 2014.03.07 15:46)
[KT 고객정보 유출]시민단체 '오픈넷' KT 등 이통사 주민번호 수집 금지 촉구
시민단체 오픈넷은 7일 KT 고객정보 유출사고 관련 성명서를 통해, 이동통신사들이 주민등록번호를 수집·저장할 수 있도록 허용한 본인확인기관제도를 폐지해야한다고 주장했다. 현재 이동통신사는 사용자가 휴대전화 번호를 통해 본인인증을 할 수 있도록 하는 서비스를 제공하는 본인확인기관으로 지정된 상태다.
오픈넷은 금융기관과 이동통신사에서 연이어 대규모 개인정보 유출사고가 발생하는 상황에서 이들의 주민등로번호 수집·저장을 허용한 것은 문제라고 지적했다. 본인확인기관제도 자체를 폐지해야한다는 주장이다. 오픈넷은 "인터넷 업체들의 개인정보유출사고에 대해서는 지난해 2월부터 주민번호 수집을 금지하도록 대응한 반면 금융기관과 이동통신사는 본인확인기관이라는 이유로 이에 준하는 대응을 하지 않았다"고 비판했다.
본인확인기관이 오히려 정보 유출시 더 위험할 수 있다고도 지적했다. 본인확인서비스 제공기록까지 같이 유출되면 고객들의 인터넷 사용 내역까지 모두 공개된다는 설명이다. 또 이번 KT 정보 유출은 통신료납부를 위한 카드번호 및 카드유효기간까지 유출됐을 수 있어, 사태가 더욱 심각하다고 덧붙였다.
본인확인이 필요하다면 각 서비스 제공자들이 다양한 인증방식을 이용할 수 있도록 하고 각자 책임지는 방식으로 바뀌어야한다는 주장이다. 이밖에도 오픈넷은 미래창조방송통신위원회가 휴대전화 실명제를 의무화하는 개정안의 내용을 즉각 삭제할 것을 촉구했다. 개인 사생활에 부정적 영향을 미칠 수 있다고 말했다.
 
http://www.mediatoday.co.kr/news/articleView.html?idxno=115263
막아야 할 건 '해킹'이 아니라 '주민등록번호 수집' (미디어오늘, 김병철 기자, 2014.03.07  15:54:30)
KCB, KT 모두 정부지정 '본인확인기관'… 시민단체 "본인확인기관 제도 폐지해야"
1억여건에 달하는 카드사 정보유출사건 후 2개월도 안돼, KT에서 1200만명의 개인정보가 유출된 것이 드러났다. 시민단체들은 해킹은 불가피한 것이라며 피해를 막을 수 있는 방법은 주민등록번호 수집을 금지하는 것이라고 강조했다.
경실련, 소비자시민모임, 오픈넷 등 시민단체들은 6일 공동 성명서를 통해 "주민번호에 대한 근본적 대책을 마련할 것을 정부와 국회에 촉구한다"며 통신사의 주민등록번호 수집을 금지하라고 밝혔다.
KT는 2010년 개인정보를 목적 외로 사용해 10억원의 과징금과 시정명령을 받았고, 2012년에는 873만건의 개인정보를 유출했다. 당시 KT는 ‘고객정보 해킹 관련 재발방지 대책’을 발표했지만 불과 6개월 만에 개인정보가 또 유출되기 시작했다. 이번에는 1년 동안 이름, 주민번호, 휴대전화번호, 주소, 직업, 은행계좌 등의 고객정보가 유출됐다.
유출사건 반복도 문제지만, 이번 사건이 더 심각한 이유는 KT가 '본인확인기관'이기 때문이다. 앞서 카드사 정보유출 사건이 일어난 코리아크레딧뷰로(KCB)도 방송통신위원회가 지정한 본인확인기관이다.
앞서 정부는 개인정보 유출이 심각해지자 2012년 8월부터 온라인에서의 주민번호 수집을 금지했다. 그러나 예외적으로 공인인증서, 아이핀(I-PIN), 휴대폰인증 등 대체수단을 발급하는 11개 기업을 본인확인기관으로 지정해 주민번호 수집을 허용했다.
이동통신3사 등 본인확인기관은 전 국민의 개인정보가 모이는 저장소인 셈이다. 그만큼 해킹과 내부유출 등 개인정보 침탈 시도가 빈번할 수밖에 없다. 시민단체들은 "이번 사건은 통신사에 주민번호를 몰아다주는 본인확인제도와 주민번호의 무분별한 수집 허용정책이 어떤 위험성을 야기하는지 증명한다"며 '본인확인기관 제도'를 폐지하라고 촉구했다.
이들은 "금융기관과 통신사에서 연이어 대량 개인정보 유출사고가 발생하고 있음에도 불구하고, 이들에게 계속 주민번호 수집을 허용하는 것은 국민의 불안을 야기하는 만용에 가깝다"며 "예외 없이 민간에서의 주민번호 수집은 이제 엄격하게 금지해야 하며, 이를 조장하고 있는 본인확인기관 제도 역시 폐기해야 한다"고 밝혔다.
또한 시민단체들은 국회 미래창조과학방송통신위원회가 지난 2월 개인정보 유출의 대안으로 오히려 개인정보 보호에 역행하는 '휴대전화 실명제'를 의무화했다며 철회를 주장했다. 또한 이들은 주민등록번호가 존재하는 한 유출 사건은 반복될 것이라며 "안전행정부와 국회는 즉각 주민등록번호 체제의 근본적 개편에 나서라"고 밝혔다.
한편 황창규 KT 회장은 7일 'KT 고객정보 유출 관련 브리핑'에서 "이번 해킹으로 인해 개인정보가 대규모로 유출된 사건에 대해 KT 전 임직원을 대표해 머리 숙여 사죄드린다"고 말했다. 그는 "지난 2012년 대규모 고객정보 유출 사건이 일어난 이후 보안시스템 강화를 약속했음에도 또다시 유사한 사건이 발생한 점에 대해서는 변명의 여지가 없다"며 "고객정보가 두 차례에 걸쳐 유출됐다는 것은 IT전문기업인 KT로서는 너무나도 수치스러운 일"이라고 덧붙였다. 
 
http://www.yonhapnews.co.kr/bulletin/2014/03/07/0200000000AKR20140307122600017.HTML
황창규 KT 회장 직접 사과통해 재발방지 의지표시 (서울=연합뉴스, 권영전 기자, 2014/03/07 15:10)
2년전 약속한 보안대책도 못지킨 사실 드러나
KT는 홈페이지 가입 고객 1천200만명의 개인정보가 유출된 사건과 관련해 황창규 회장이 7일 직접 나서서 사과하는 등 발빠르게 대응했다. 황회장은 7일 서울 광화문 KT 사옥에서 연 'KT 고객정보 유출 관련 브리핑'에 참석해 "이번 해킹으로 인해 개인정보가 대규모로 유출된 사건에 대해 KT 전 임직원을 대표해 머리숙여 사죄드린다"고 말하고 고개를 숙여 인사했다.
당초 이 브리핑에는 KT 최고기술책임자(IT부문장)인 김기철 부사장이 참석하기로 돼 있었으나 황 회장이 직접 참석해 사과했다. 황회장은 지난 연말 KT회장에 내정된 시점은 물론 지난 1월27일 회장에 취임한 이후에도 공식적인 언론접촉을 삼가해 왔다. 이런 점에서 볼때 황 회장이 이날 브리핑에 직접 참석해 대국민 사과를 한 것은 이번 사건이 내포한 심각성을 최고경영자로서 인식한 행보로 읽혀진다.
나아가 지난 2012년에 이어 2년여만에 대규모 고객 정보 유출사건이 발생한데 따른 보안관리 문제 등 KT의 근본적인 문제들을 앞으로 대대적으로 개혁해 나가겠다는 의지 표시로 풀이된다.
김기철 부사장은 "회장님의 새로운 경영방침은 '1등 KT'로 고객에게 새로운 품질과 서비스를 제공해야 한다는 것인데 생명과 같은 중요 자산인 고객정보가 유출된 것은 잘못됐다고 판단했기 때문에 직접 사과하기로 결정했다"고 배경을 설명했다. 이를 반증하듯 황 회장은 사과문에서 "또 다시 유사한 사건이 발생한 점에 대해서는 변명의 여지가 없다", " IT전문기업인 KT로서는 너무나도 수치스러운 일"이라는 표현까지 동원해 사과의 마음을 전하려 노력했다.
여기에 황회장 취임이후 전열 재정비를 통해 과거의 침체를 벗고, 새로운 도약을 위한 준비를 본격화하는 과정에서 악재가 연이어 터짐에 따라 이의 고리를 조기에 끊어야 겠다는 판단도 작용한 것으로 풀이된다.
KT는 황회장 취임을 앞두고 연간 실적을 발표한 직후인 올해 초 해외 신용평가기관이 회사의 신용등급을 강등한데 이어 최근에는 계열사 직원이 연루된 대규모 대출사기사건이 터지기도 했다. 여기에 미래창조과학부는 7일 불법 보조금 경쟁을 벌인 책임을 물어 KT 등 이동통신 3사에 45일간의 영업정지 처분을 내렸다.
이에 따라 황 회장의 KT 개혁이 꽃도 피워보기전에 시련을 겪고 있다는 전망이 계속돼 왔다. 김 부사장도 이날 브리핑에서 "KT가 새로운 경영 체제가 출발하면서 악재가 터지고 있다"면서 "새 회장님은 이런 부분에 대해 앞서서 사죄할 것은 사죄하는 자세로 경영하는 것으로 이해하고 있다"고 말했다.
황 회장은 "제가 새롭게 경영을 맡은 이상 과거 잘못 모두 철저히 매듭지어 회사가 일등 케이티로 다시 일어설 수 있도록 잘못을 바로잡는 건 물론, 조속한 원인 규명 통해 관계자 엄중 엄책하고 원점에서 다시 들여다보고 시작하겠다"고 밝혔다. 한마디로 전임 이석채 회장 시절은 물론이고 과거로 부터 이어져온 KT내부의 무사안일과 공기업 마인드 등을 이번 기회에 척격하겠다는 뜻을 밝힌 것으로 풀이된다.
그러면서 황 회장은 "외부 전문가를 포함한 모든 자원을 동원해 빠른 시간 내혁신하도록 하겠다"고 밝혔다. 이는 그동안 황회장이 취임직후 단행한 고위 임원 및 자회사 임원 인사에서 KT 내부인사를 중용했지만 KT의 근본적인 체질개선과 개혁을 위해 필요하다면 외부 인사의 기용을 통한 새로운 회사풍토 조성도 적극 검토하겠다는 뜻을 담고 있는게 아니냐는 관측을 낳고 있다.
이에 따라 KT의 향후 대응도 좀더 빨라질 것으로 보이며, 우선 유출된 고객정보가 더이상 유통되거나 악용되지 않도록 하는데 초점이 맞춰질 것으로 보인다.
하지만 이날 브리핑을 보면 정작 가장 중요한 보안 정책은 2년 전에 약속했던 대책조차 지키지 못하고 있는 것으로 드러나 빈축을 샀다. 개인정보 보안에 가장 신경을 써야 할 통신회사의 보안 관련 인식이 안이하고 보안 정책에 구멍이 뚫린 셈이다. 김기철 부사장은 이날 브리핑에서 지난 2012년 텔레마케팅업자가 KT 고객 개인정보 830만건을 유출한 사건 이후 발표했던 대책을 다 지키지 못했다고 시인했다.
KT는 당시 영업전산시스템을 새것으로 바꾸면서 보안을 강화하겠다는 내용을 가장 첫 번째로 내세우고 기타 보안 강화책을 발표했지만, 가장 중요하다고 볼 수 있는 영업전산시스템 개편이 아직 완료되지 못했다는 것이다. 김 부사장은 "원래 작년까지는 새로운 영업전산 시스템을 통해 보안 문제나 취약점을 개선하겠다고 얘기했지만 조금 더 시간이 걸릴 것으로 보인다"고 설명했다.
김 부사장은 이처럼 시일이 오래 걸리는 데 대해 "불행하게도 프로젝트가 진척이 잘 안 됐다"고 해명했지만 고객 정보를 해커에게 고스란히 넘겨주게 된 고객 입장에서는 속이 터질 노릇이다. 당시 대책 역시 고객정보 유출 사건이 터진 이후의 '사후약방문'식 대책이었는데 그마저도 아직 제대로 이행되지 못한 것이다.
실제로 이날 홈페이지 고객정보 관련 브리핑에서도 KT는 고객 정보 유출과 관련해 구체적인 내용은 아무것도 대답하지 못했다. KT 관계자가 브리핑을 시작하면서 "정보유출의 범위나 규모, 원인, 피해대책, 향후 예방책 등을 구체적으로 말씀드려야 하지만 수사기관으로부터 정확한 자료를 제공받지 못한 상태"라며 "답변이 충분하지 못할 것에 대해 (미리) 양해를 부탁한다"고 미리 공지해야 했을 정도다.
KT는 고객정보 유출의 범위를 정확히 알지 못해 현재 고객들에게 사죄하는 내용의 편지도 못 보내고 있는 실정이다. 이번 홈피 해킹 및 고객정보 대규모 유출사건을 통해 적나라하게 드러난 KT의 근본적인 문제점들을 황회장이 어떻게 개혁해 나갈지 시장은 냉엄한 눈으로 지켜보고 있다.
 
http://www.mediaus.co.kr/news/articleView.html?idxno=40621
예언됐던 KT 개인정보 유출 사고 (미디어스, 권순택 기자, 2014.03.07  18:02:18)
[기자수첩] 방통위, 이통사 본인확인기관 허용…유출사고 조사 자격 있나
“카드사 고객정보 유출사태를 통해 교훈으로 얻을 수 있는 하나는 ‘거대한 개인정보 집적의 위험성’이다. 우리나라의 개인정보에 대한 집중도는 세계 최고수준으로 ‘거대 직접자’로는 SK텔레콤과 KT, LG유플러스 등의 통신사들과 포털…(중략)…이를 개선하지 않으면 대형 개인정보 유출 사고는 언제든 또 다시, 그 크게 일어날 수밖에 없다. 특히, IT분야에서는 단순 개인정보 뿐 아니라 은밀한 사생활이나 개인 취향이 드러날 수 있다”_이은우 변호사(법무법인 지향)
지난 13일 개인정보보호 입법청문회 자리에서 “개인정보 집적을 개선하지 않으면 개인정보 유출 사고는 다시 더 크게 일어날 것”이라던 이은우 변호사의 예언(?)은 사실이 됐다. KT에서 가입자 1200만 명의 개인정보가 유출된 것으로 밝혀졌다. 이 변호사의 ‘거대 집적자’로 예고했던 바로 그 대상이다.
문제는 KT의 개인정보 유출은 이번이 처음이 아니라는 점이다. 지난 2012년 KT 873만 건의 고객 개인정보가 유출돼 텔레마케팅으로 사용됐다. 그 후, KT는 <고객정보 해킹 관련 재발방지 대책>을 발표했는데, 시기를 따져보면 이번 KT 개인정보 유출은 해당 대책이 발표된 지 6개월 만에 발생한 것이 된다. 그 뿐만이 아니다. KT는 2010년에는 6·2지방선거 운동기간 중 휴대전화 가입자 230만 명에게 동의도 받지 않고 376만4357건의 문자 메시지를 보내 3억 원의 매출을 올려 10억 원의 과징금이 부과되기도 했다. 이에 네티즌들 사이에서는 “KT의 개인정보 유출은 연례행사”라는 비아냥이 쏟아졌다.
이번 KT의 개인정보 유출의 문제는 KT의 ‘허술한 보안’에 있는 것으로 드러나고 있다. 하지만 정말 되짚어 봐야하는 부분은 개인정보 유출을 사전에 방지할 수는 없었는지 그리고 향후 어떤 대책이 필요한지에 대한 분석일 게다. 그런 점에서 이번 KT의 1200건 개인정보 유출의 문제를 놓고 규제기관인 방송통신위원회와 국회의 문제를 되짚지 않을 수 없다.
방통위, KT 개인정보 유출 조사 자격 있나?
방통위는 KT 개인정보 유출과 관련돼 민·관합동조사단으로 현장에 파견돼 조사를 실시하고 있지만 사실은 ‘공범자’라고 봐도 무방하다. KT에게 고객들의 주민번호를 수집할 수 있는 권한을 준 곳이 바로 방통위이기 때문이다.
방통위는 법적으로 ‘본인확인기관’을 지정하는 기관이다. <정보통신망법> 제23조의2(주민등록번호의 사용 제한)는 “이용자의 주민등록번호를 수집·이용할 수 없다”고 규정하면서도 예외조항을 뒀다. 그 중 하나가 ‘본인확인기관’으로 지정받은 경우이며, 그 권한은 동법에 따라 방통위가 가지고 있다. 이에 방통위는 ‘본인확인업무 수행을 위한 기술’ 등의 심사를 통해 해당업무를 “안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자에 대해 지정”하고 있다.
그런 방통위는 지난해 12월 통신3사 SK텔레콤, KT, LG유플러스를 본인확인기관으로 지정했다. 당시 방통위는 “2달여 간 외부 전문가의 1·2차 심사를 거친 후 내린 결정”이라고 강조했다. 이로써 방통위가 ‘본인확인기관’으로 지정한 곳은 통신3사(SK텔레콤, KT, LG유플러스), 아이핀 사업자 3사(NICE신용정보, 서울신용정보, 코리앗 크레딧뷰로), 공인인증기관 5사(정보인증, 전자인증, 무역정보통신, 코스콤, 금융결제원) 11개 사업자로 늘었다.
문제는 당시 시민사회에서는 통신3사에 대한 본인확인기관 지정에 대해 “헌법재판소에서 재판관 전원일치로 인터넷 본인확인제에 대해 위헌 결정을 내렸는데, 그에 반하는 행위”라고 비판했다. 특히, KT에 대해서는 과거 개인정보 유출 당사자로서 “신중해야 한다”고 경고하기도 했었다. 개인정보 유출 사고가 났던 사업자에게 본인확인기관의 지위를 준다는 것 자체가 말이 안 된다는 얘기였다.
이것이 방통위가 KT 개인정보 유출 사건에서 자유롭지 못한 이유이다. 그동안 ‘개인정보보호’ 활동을 해왔던 경실련, 소비자시민모임, 오픈넷, 진보네트워크센터, 함께하는시민행동이 6일 곧바로 성명을 내어 “공교롭게도 금융 개인정보 유출사건을 일으킨 코리아크레딧뷰로(KCB)와 이번 해킹사건의 당사자인 KT는 모두 방통위가 지정한 본인확인기관”이라고 꼬집은 이유이기도 하다.
국회, 민간 주민번호 수집 확대법안 추진 중
관련 법안을 만드는 국회는 개인정보 유출에서 자유로울 수 있을까. 그렇지 않다. KT 개인정보 유출 문제가 터지자, 여야는 한 목소리로 카드사 개인정보 유출에 따른 법안들이 2월 국회를 통과되지 못한 것에 대한 안타까움을 드러냈다. 한 국회의원의 경우, 개인정보보호 관련 법안 처리를 위한 ‘원포인트’ 국회를 주장하기도 했다. 물론 관련법 처리는 필요한 부분이다.
하지만 국회에서 논의되고 있는 ‘개인정보보호를 위한 법안’들은 그 법안 자체로만 놓고 보면 “개인정보유출을 위한 법안”으로 볼 수밖에 없는 조항들도 포함하고 있다.
특히, 논란이 큰 부분은 ‘휴대전화 실명제 의무화’이다. 여야 국회의원들은 ‘(타인명의의 등록 등)부정이용 방지’라는 명분으로 통신업체들로 하여금 본인확인을 강화하는 내용을 포함시키기로 합의했다. 만일, 해당 법안이 통과된다면 각 통신사 대리점에서는 본인확인을 강화하기 위한 어떤 조치들을 해야만 하는데, 그 방법으로는 가장 돈이 안 들고 간편한 ‘주민번호’ 확인·수집이 될 것이란 사실이다. 이는 곧, 개인정보 유출 사태를 다수 겪어온 국민들은 ‘민간에서 주민번호 수집 제한을 강화해야한다’는 요구에 정면으로 반하는 정책이기도 하다.
해당 법안에 대해 시민사회는 “주민번호의 민간수집을 제한해야 한다는 국민들의 요구에 반하는 방안일 뿐 아니라, 모바일 서비스를 통한 개인정보 수집이 증가하고 있는 상황에서 이것이 실명제와 결합할 때 개인의 프라이버시에 엄청난 부정적 영향을 미칠 수 있다”고 반대하기도 했다. 이들 단체들은 이를 경고하기 위해 ‘의견서’를 국회 미래창조과학방송통신위원회 소속 국회의원들에게 전달했지만 달라진 것은 없었다. 해당 법안은 현재 미방위 산하 법안심사소위에서 여야 합의로 통과된 상태로 상임위 의결을 앞두고 있다. 큰 이변이 없는 한 미방위-법사위-국회 본회의를 통과할 것이다.
개인정보유출 사고, 정부·국회 '정보집적' 문제 회피해선 안돼
‘대량’의 개인정보 유출 사건 때마다 정부와 국회는 갖가지 정책들을 쏟아냈다. 하지만 앞서 살펴봤듯, 정부와 국회는 개인정보 유출의 원인으로 지적돼온 ‘개인정보 집적화’와 ‘주민번호의 민간사용’ 개선에 대해서는 늘 한 발 빼왔던 게 사실이다. 오히려 그 반대의 정책들을 만드는 데에 시간을 허비했다.
구체적으로, 정부(방통위·안행위)는 ‘개인정보 집적화라는 데에서 문제가 있다’는 시민사회의 지적에도 불구하고 인터넷에서 주민번호 대체할 수 있는 방안으로 아이핀(i-PIN) 사용을 유도해왔다. 그로 인해 아이핀 사용율을 급등했고 발급 건수가 1000만이 넘었다. 이미 국민 1/4가 아이핀을 사용하고 있는 셈이다. 그러나 최근 음지에서 거래되고 있는 개인정보에 아이핀 700여건이 포함돼 있는 것으로 확인돼 충격을 주는 사건이 발생했다. 안행위는 또한 시시 때때로 ‘정보인권이 다량 포함된’ 전자주민증 도입을 시도하고 있는 중이다.
만일, ‘주민번호에 대한 민간사용 규제를 강화했더라면’ 그리고 ‘개인정보의 집적화 방안을 사전에 세웠었다면’ 이 같은 불행은 발생할지언정 끊임없이 반복되지는 않았을 것이다. KT 그리고 앞으로 더 발생할 수밖에 없는 개인정보 유출 구조를 만들고 개선에 방관하고 있는 정부와 국회의 책임이 큰 이유다.
 
http://www.hani.co.kr/arti/society/society_general/627330.html
주민번호 수집허용 정책이 또 사고 빚었다 (한겨레, 김효실 기자, 2014.03.07 20:35)
정부, 2년전 유출사고 대책 발표때
이통3사 등은 ‘본인확인기관’ 지정
예외적으로 ‘온라인 정보수집’ 허용
시민단체 “본인확인기관 없애야”
주민번호 제도 개편도 거듭 촉구
금융권의 개인정보 유출 사고에 이어 케이티(KT)에서도 고객 정보가 대량으로 유출된 것으로 드러나자 통신사를 포함해 민간 영역에서는 예외 없이 주민번호 수집을 금지하라는 요구가 더욱 거세졌다.
경제정의실천시민연합·소비자시민모임·오픈넷·진보네트워크센터·함께하는시민행동 등 시민단체들은 6일 ‘통신사 케이티의 정보유출에 대한 시민사회 공동입장서’를 내 “이번 사고는 통신사에 주민번호를 몰아다 주는 현재의 본인확인기관제도가 어떠한 위험성을 야기하는지 증명한다”며 ‘본인확인기관제’의 폐지를 요구했다.
금융권 사고가 터진 신용정보업체 코리아크레딧뷰로(KCB)와 케이티는 모두 정부가 지정한 본인확인기관이다. 정부는 2012년 개인정보 유출 사고에 대한 대책으로 온라인상의 주민번호 수집을 금지했는데, 공인인증서·아이핀·휴대전화인증 등 대체수단을 발급하는 11개 기업에 대해서는 본인확인기관으로 지정해 예외적으로 주민번호를 수집할 수 있도록 했다.
시민단체들은 “금융기관·통신사에서 연달아 개인정보 유출 사고가 발생하는데도 이들에게 계속 주민번호 수집을 허용하는 것은 국민의 불안을 야기시키는 만용에 가깝다”고 주장했다.
이들은 국회 미래창조과학방송통신위원회(미방위)에 계류 중인 ‘휴대전화 실명제 의무화’ 관련 법안도 철회할 것을 요구했다. 지난달 미방위 법안심사소위원회는 통신사가 이용자의 주민번호 등을 수집·이용할 수 있도록 한 전기통신사업법 개정안을 통과시켰다. ‘휴대전화 명의도용 등 부정 이용을 방지하고 본인확인을 위한 시스템을 구축한다’는 명분이다. 진보네트워크센터 장여경 활동가는 “모바일 서비스를 통한 개인정보 수집이 증가하는 상황에서 휴대전화 실명제가 법제화되면 개인의 프라이버시에 커다란 부정적 영향을 미칠 수 있다”고 말했다.
시민단체들은 주민번호 제도의 근본 개편도 거듭 촉구했다. 이들은 “지난 2월 국회에 주민등록법 개정안이 발의됐지만 제대로 논의조차 이뤄지지 않고 있다. 주무 부처이면서도 대책 마련에 소극적인 안정행정부의 책임이 크다”고 지적했다. 금융권 개인정보 유출 사고와 관련해 현장조사·청문회 등을 벌인 2월 국회가 아무런 입법 성과 없이 끝난 것도 한 목소리로 비판했다. 경실련 소비자정의센터 윤철한 팀장은 “4월 국회마저 넘기면 개인정보 보호 대책은 다시 흐지부지될 가능성이 높은데, 지방선거 탓에 국회 운영이 제대로 될지 걱정”이라고 말했다.
 
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201403072033225&code=940202
KT, 2년 전 영업망 해킹당하고도 개인정보 암호화 안 해 (경향, 목정민·송진식 기자, 2014-03-07 20:33:22)
ㆍ요금 정보 전송 과정에서 뚫려… 주민번호 ******* 표시 안 해
ㆍ계열사 대출사기에 정보 유출… ‘황창규 체제’ 출범부터 흔들
KT가 해킹당한 ‘올레닷컴’ 홈페이지를 통해 가입자들의 개인정보를 취급하면서 보안상 필수적인 ‘암호화’ 과정을 거치지 않은 것으로 나타났다. 2년 전 873만명의 고객 개인정보 유출사고를 일으킨 뒤 “보안체계를 대폭 개선하겠다”고 밝혔지만 기본적인 보안수칙조차 지키지 않은 셈이다.
■ 개인정보 암호화 안 한 채 전송
7일 국내 한 웹사이트개발 전문가는 “사고 당일(6일) KT의 올레닷컴 홈페이지를 점검한 결과 KT가 서버에서 고객의 개인정보를 고객의 컴퓨터로 전달할 때 별도의 암호화 과정을 거치지 않은 것으로 나타났다”고 밝혔다.
KT의 서버는 가입자가 올레닷컴에 로그인해 요금조회를 요청하면 가입자의 컴퓨터(클라이언트)로 해당 정보를 보내준다. 해커들은 ‘파로스 프록시’를 사용해 서버에서 클라이언트로 넘어가는 정보(패킷)를 탈취해 개인정보를 빼냈다.
문제는 KT가 정보를 보내면서 기초적인 암호화조차 하지 않은 데서 발생했다. 이 전문가는 “웹브라우저에 기본적으로 내장된 ‘개발자 도구’로만 이 정보를 해석해봐도 주민등록번호, 카드 유효기간, 은행계좌번호, 단말기 할부금, 사용 중인 카드사 정보, 주소, 우편번호 등 거의 모든 개인정보가 확인됐다”고 밝혔다. 이어 “이 중 숫자만이라도 못 알아보게 ‘별표’ 등으로 표시하는 기본적인 ‘암호화(마스킹)’ 과정만 거쳤어도 정보유출을 막을 수 있었을 것”이라고 말했다. 그는 “해커처럼 파로스 프록시를 이용했다면 타인의 개인정보까지 빼낼 수 있었을 것”이라고 덧붙였다.
특히 KT가 개인정보 메뉴를 차단한 뒤에도 일부 웹브라우저로 접속하면 ‘요금조회’나 ‘사용내역’ 등 각각의 코드가 암호화되지 않은 채 한글로 표기돼 화면에 떴다. 한 소프트웨어 개발사의 최고기술경영자(CTO)는 “소스 전체를 암호화했어야 하는 데 이런 작업을 하지 않은 것 같다”고 말했다.
KT는 “2년 전 사고 이후 내부전산시스템을 전면 개편하고 전담 보안팀도 신설하는 등 대책을 세워왔다”며 “고객들의 개인정보도 서버에 저장될 땐 기본적으로 암호화 과정을 거친다”고 밝혔다.
■ 황창규호 출범부터 ‘흔들’
황 회장은 이날 기자간담회에 직접 나와 “2년 전 사고와 유사한 사건이 발생한 점에 대해 변명의 여지가 없다”며 “IT 전문기업인 KT로서는 너무나도 수치스러운 일”이라며 대국민 사과문을 읽고 고개를 숙였다.
지난 1월 취임한 황 회장은 전임 이석채 회장 전담조직을 만들어 강도 높은 개혁을 추진 중이지만 잇달아 ‘대형 악재’가 터지며 출발부터 삐걱대고 있다. 지난달에는 KT 계열사인 KT ENS의 직원이 연루된 3000억원대의 대출 사기사건이 터져 피해금액 일부를 물어줘야 할 판이다. 이번 개인정보 유출건은 더 치명적이다. KT는 지난해부터 가입자가 급격히 경쟁사들로 이탈해 점유율 유지에 큰 어려움을 겪고 있다. 개인정보 유출로 인한 추가적인 가입자 이탈도 예상돼 향후 시장경쟁에서도 불리한 위치에 놓일 가능성이 크다.
 
http://news.hankooki.com/lpage/society/201403/h2014030721380221950.htm
유출 정보 이용 휴대폰 판매 급증… KT는 몰랐을까 (한국, 고은경기자, 인천=이환직기자, 2014.03.07 21:38:03)
티몬도 100만건 넘는 정보 유출 4년 넘도록 '깜깜'
KT 고객정보 유출사건을 수사 중인 경찰이 고객정보를 빼내 휴대전화 판매 영업에 사용한 텔레마케팅 업체(KT법인영업점)의 실적이 급증한 사실을 KT가 알고도 조치를 취하지 않았을 가능성이 있다고 보고 수사를 확대하고 있다. 경찰은 또 10일부터 KT의 보안팀장 등을 소환, 고객정보 관리 소홀 여부도 집중 조사할 계획이다.
인천경찰청 광역수사대는 KT의 법인영업점 관리 담당자 등을 상대로 해커를 고용, KT 고객정보를 빼낸 법인영업점의 휴대전화 판매 실적이 고객정보 유출 이전보다 10배 가까이 급증한 사실을 사전에 파악했는지 여부를 조사할 예정이라고 7일 밝혔다.
경찰에 입건된 법인영업점 대표 박모(37)씨와 상무 정모(38)씨는 지난해 2월부터 해커 김모(29·구속)씨가 KT 홈페이지를 해킹해 빼낸 1,200만명의 고객정보 중 500만명 분을 휴대전화 판매 영업에 활용, 하루 최대 150대의 휴대전화를 파는 등 1년간 115억원을 챙겼다.
경찰의 한 관계자는 "법인영업점의 세무서 소득신고 내역을 보면 고객정보를 영업에 활용하고서부터 판매 실적이 10배 가까이 늘었다"며 "휴대전화를 개통·판매하는 법인영업점을 관리하는 KT측이 수상한 실적 급증을 미리 알고 있었을 가능성이 있다"고 말했다.
경찰은 또 이용대금 명세서에 기재된 고유번호 9자리만으로 고객정보를 확인할 수 있는 KT의 보안시스템이 허술하다고 보고 고객정보 관리 소홀 여부를 가리는데 수사력을 집중하고 있다.
정홍원 국무총리도 이날 오전 정부세종청사에서 간부회의를 열어 "경찰청은 철저한 수사로 사고 경위와 원인을 조속히 밝히고 방송통신위원회는 책임 소재를 규명해 유사한 사고의 재발방지 대책을 마련하라"고 고영선 국무2차장을 통해 지시했다.
국내 2위 소셜커머스업체인 티켓몬스터에서도 100만건이 넘는 대규모 개인정보유출이 있었지만 4년이 넘도록 모르고 있었던 것으로 드러났다. 티켓몬스터측은 2011년 4월 해킹에 의해 회원 113만명의 개인정보가 유출된 사실을 최근 경찰로부터 통보 받았다고 7일 밝혔다. 유출된 정보는 회원 이름과 아이디, 성별, 생년월일, 전화번호 등인데, 주민등록번호와 패스워드 등은 암호화돼 있어 추가피해는 없었다고 티몬측은 설명했다.
 
http://news.hankooki.com/lpage/society/201403/h2014030720452321950.htm
[KT 정보유출] KT, 수상한 실적 알았을 가능성 (한국, 인천=이환직기자, 2014.03.07 20:45:23)
하루 서너대→ 150대 판매급증
영업점 대표·해커 등 호화생활
KT보안팀장 등 소환 조사키로
해커, 500만명 정보만 넘겨 700만명분은 USB에 보관
KT 고객정보유출을 수사 중인 경찰이 KT의 책임을 집중 조사하는 것은 해킹으로 빼낸 고객정보를 사용한 KT 법인영업점의 실적이 이전보다 10배 가까이 뛴 것으로 드러났기 때문이다. 영업점 대표 등은 이렇게 번 돈으로 외제차를 몰고 다니는 등 호화생활을 했다.
법인영업점의 수상한 실적 신장
KT 법인영업점 대표 박모(37)씨와 상무 정모(38)씨는 지난해 2월부터 해커 김모(29)씨가 KT 홈페이지를 해킹, 빼낸 1,200만명의 고객정보 중 500만명 분을 영업에 활용해 1년간 115억원을 챙겼다. 적게는 하루 서너 대 팔리던 휴대전화가 많게는 하루 150대까지 팔릴 정도로 고객정보를 이용한 마케팅은 즉각 효과를 냈다. 이들이 판 휴대전화는 확인된 것만 1만1,000대. 세무서 소득신고 내역으로 미뤄볼 때 고객정보 활용 이전보다 실적이 10배 가까이 뛴 것이다.
인천 남구 주안동 1군데였던 영업점 사무실은 경기 안산시 등 2군데가 추가됐고 고용된 텔레마케터는 40여명으로 2배 이상 늘었다. 배송직원도 새로 뽑았다. 박씨는 경찰에서 "텔레마케팅 업계에 '고객정보를 영업에 활용하면 매출이 오른다'는 얘기가 널리 퍼져있다"고 진술했다.
빼돌린 고객정보로 호화생활
김씨는 박씨 등으로부터 고정 월급 300만원에 휴대전화 1대를 팔 때마다 수수료 5,000원씩을 챙겼다. 그렇게 해서 김씨가 한달에 가져간 돈만 1,000만~1,500만원. 이렇게 1년간 2억원을 챙긴 김씨는 경찰에 출석할 당시 리스한 아우디 차량을 몰고 왔으며 최근에는 인천 송도 아파트도 계약한 것으로 확인됐다. KT와의 계약에 따라 휴대전화 개통 1대당 20만~40만원씩을 챙긴 박씨와 정씨도 각각 포르쉐와 BMW를 몰고 다니는 등 호화생활을 했다.
김씨는 주민번호 생성기와 유사한 고유번호 생성기를 자체 개발, 1,200만명의 고객정보를 빼냈으며 이중 500만명 분만 영업점에 넘겼다. 700만명의 개인정보는 USB에 보관돼 있었다. 이 USB에서는 증권사 홈페이지 해킹용 프로그램도 발견됐다. 앞으로 수년간 호화생활을 유지하기 위한 자료를 확보해 둔 것이다.
KT 책임 조준하는 경찰 수사
경찰은 KT의 법인영업점 관리 담당자 등에 대한 소환 조사를 저울질하고 있다. 경찰의 한 관계자는 "KT로부터 휴대전화 개통·해지 등 업무를 위임 받아 영업하는 특정 영업점의 판매 실적이 짧은 기간 눈에 띄게 증가하면 KT에서도 의아하게 생각할 수밖에 없다"며 "홈페이지 해킹 사실은 몰랐던 것으로 확인됐지만 KT가 해당 영업점의 실적 급증은 사전에 알고 있었을 가능성이 있어 조사 중"이라고 말했다.
경찰은 또 10일부터 KT의 보안팀장 등을 소환, 고객정보 관리 소홀 등 정보통신망 이용 촉진 및 개인정보 보호 등에 관한 법률 위반 여부를 조사할 예정이다.
 
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201403072029005&code=990101
[사설]정보유출 기업, 고객에게 일률 배상토록 해야 (경향, 2014-03-07 20:29:00)
말문이 막힌다. 이쯤 되면 정보유출 무방비 국가로 낙인찍혀도 할 말이 없다. 반복되는 유출사건에 개인정보는 이미 공용정보라는 푸념도 이상하지 않다.
신용카드 3사에서 1억여건의 정보가 유출된 데 이어 국가 기간통신사업자인 KT에서 1200만명의 개인정보가 털렸다. KT 가입고객 1600만명 중 4분의 3, 국민의 4분의 1에 해당한다. 특히 2년도 안돼 사건이 재발한 KT의 허술하고도 한심한 보안 수준과 관리 실태는 기가 찰 지경이다. KT는 2012년에도 전산망이 5개월간 뚫리면서 870만명의 개인정보가 새나갔다. 당시 표현명 개인고객부문 사장은 “세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다”고 약속했다. 하지만 이는 허언이었다.
황창규 회장 등 KT 경영진은 어제 기자회견에서 영업전산시스템 개선 등 당시의 약속 4가지를 제대로 이행하지 못했다고 말했다. 요즘 유행하는 말로 국민을 ‘호갱’으로 여긴 것이나 다름없다. 경찰 조사 발표 때까지 1년이나 지속된 해킹 사실을 인지하지 못했다는 점도 놀랍다. 더구나 해킹 수법도 초보적인 수준이었다고 한다. 해커들은 인터넷에 떠다니는 해킹 프로그램을 재가공해 홈페이지의 이용대금 조회란에 고객고유번호 9자리를 무작위 입력한 뒤 실제 번호와 맞아 떨어질 때마다 개인정보를 빼냈다. “프로그램을 만들어 여기저기 (해킹을) 시도했는데 KT만 뚫렸다”는 해커의 진술은 충격적이다. 소 잃고 외양간을 고치기는커녕 시간이 갈수록 외양간만 너덜너덜해진 모습이다. 더구나 KT는 경찰이 관련 사실을 통보한 뒤에도 한동안 홈페이지를 방치하는 무책임한 행태를 보였다.
잇단 사건은 현재의 법 규제 및 기업들의 지침 강화만으로는 한계가 있음을 의미한다. 정부는 카드사 정보유출사건 이후 2월 말까지 종합대책을 내놓겠다고 했지만 미적대고 있다. 기존의 형사처벌, 과징금 부과 차원에서 한발 나아가 징벌적 손해배상제와 집단소송제 등 강력하고도 실효성 있는 대책이 필요하다. 정보유출 건수당 일정액을 지급하는 방안도 고려할 필요가 있다. 개인정보 암호화, 최고경영자의 보안통제 직할체제 구축 등의 조치는 말할 것도 없다. 내친김에 본인확인제도와 주민번호체제 개편 문제도 논의해야 한다. 정부는 2012년 온라인에서 주민번호 수집을 금지하는 대신 아이핀 등 대체수단 발급 본인확인기관으로 KT 등 11곳을 지정해 주민번호를 수집하게 했지만 정작 이번에 해당 기관이 뚫리면서 더 이상 안심할 수 없게 됐다.
 
http://www.seoul.co.kr/news/newsView.php?id=20140308001010
“KT, 해킹 알려지고 2시간 뒤 접속했는데도 무방비” (서울, 김양진 명희진 기자, 2014-03-08 1면)
경력 15년 해커, 본지와 인터뷰… 주민번호·주소 등 무방비 노출
15년 경력의 해커 서종식(34·가명)씨는 KT의 고객 정보 유출이 알려진 6일 KT 홈페이지(www.olleh.com)에 들어가 본 뒤 “이게 대기업 홈피가 맞나 할 정도로 기가 막혔다”고 말했다. 기자와 7일 만난 그는 “온통 난리가 났길래 6일 오후 3시쯤 인터넷에서 기사를 확인하고 2시간 뒤 올레닷컴에 접속했는데도 여전히 무방비였다”고 혀를 찼다. 아이디와 패스워드를 입력(1차 확인)한 뒤 자신의 고객 번호 가운데 앞뒤 번호만 입력(2차 확인)해도 쉽게 다른 사람의 정보를 확인할 수 있었다는 것이다. 가입 요금제, 부가서비스, 미납 요금, 단말기 할부금, 단말기 구입일 등의 통신 관련 정보뿐 아니라 주민등록번호, 카드사, 카드 번호, 카드 유효기간, 스마트폰 모델, 스마트폰 일련번호, 집주소 등의 순수 개인 정보까지 무궁무진했다. 10여분간 별다른 해킹 프로그램의 도움 없이도 20여명의 정보를 취합할 수 있었다.
그는 “수법 자체는 초등학생도 할 수 있는 초보적인 수준이었다”며 “뒷문을 훤히 열어놓은 꼴”이라고 말했다. 서씨는 특히 이번 사건의 패턴이 2012년 7월 KT 고객 정보 880만건이 유출됐을 때와 해킹 방식이 동일하다고 분석했다. 그는 “아이디, 패스워드와 고객 번호만으로 개인 정보에 접근하는 방식을 이용한 수법이라는 점에서 두 건은 같다”고 말했다. 유치원생 놀이터 수준의 시스템이라는 게 서씨의 결론이다.
이와 관련해 황창규 KT 회장은 이날 서울 광화문 KT사옥에서 “KT 전 임직원을 대표해 머리 숙여 사죄드린다”고 대국민 사과를 했다.
 
http://www.seoul.co.kr/news/newsView.php?id=20140308006017
로그인 때 키보드 잘못 눌렀더니… 타인 정보 주르륵 (서울, 김양진 기자, 2014-03-08 6면)
‘1200만명 정보 유출’ 왜 KT만 뚫렸나
이번 KT의 고객 정보 유출 사건은 해커가 이동통신 3사를 비롯해 이곳저곳 다 돌아다녔는데 유독 KT만 뚫렸다는 데 심각한 문제가 있다. 그렇다면 다른 데는 멀쩡한데 왜 KT만 뚫렸을까. 이는 SK텔레콤이나 LG유플러스 등 다른 이통사와 달리 보호해야 할 고객 개인 정보 전체 데이터를 별도의 전산 서버가 아닌 해킹이 쉬운 회사 홈페이지 서버에 보관했기 때문이다. KT가 ‘보안 빵점’이라고 지적받는 이유다.
SKT와 LGU+는 고객 정보 홈페이지에서 아이디와 패스워드를 넣고 로그인을 하면 본 서버에 있는 데이터 중 당사자와 관련된 데이터만 링크되도록 했다. 하지만 KT 올레닷컴에 로그인을 하면 다른 모든 고객의 개인 정보까지 통째로 링크된다. 또 로그인 이후 개인 정보에 접근하려면 SKT나 LGU+에서는 문자나 전화, 공인인증서 등을 통해 2차 신분 확인을 거쳐야 하지만 KT는 그런 절차를 생략했다. 고객 번호 9자리만 넣고 돌리면 곧바로 개인 정보를 확인할 수 있도록 했다. 고객 번호를 실수로 잘못 입력하면 다른 고객의 정보를 볼 수 있을 정도로 시스템 보안이 취약했던 것으로 드러났다.
특히 KT는 고객 정보를 입력할 때 데이터 필드 마스킹 등의 기본적인 보호장치도 활용하지 않은 것으로 확인됐다. 데이터 필드 마스킹은 특수문자를 이용해 자신이 입력하는 문자나 숫자가 안 보이도록 하는 장치다.
보안 전문가들은 “홈페이지 서버는 시스템적으로 해커를 100% 막기는 어렵다”고 말한다. 그렇게 때문에 고객 개인 정보는 전산시스템에 별도로 보관한다. 홈페이지는 단순히 인증을 위한 형태로만 운영하고 있다. 전산시스템에 접속해도 인증한 것만 고객 정보 열람이 가능하기 때문에 한꺼번에 빠져나가는 일은 거의 없다.
더구나 2년 전 고객 정보 유출 사고 뒤 KT 표현명 사장이 “최고의 보안시스템을 구축하겠다”고 했으나 구두 선에서 그쳤다. 이 부분에 대한 수사가 이뤄져야 할 것으로 보인다. 정상적인 회사라면, 더더욱 당시 사고가 발생했던 KT 측이라면 보안정책팀이 실질적으로 허술한 부분을 모를 리 없었을 것이라는 게 업계의 진단이다. ‘어느 부분에 문제가 있는지’ ‘어느 정도 수준인지’를 재점검해 보안이 뚫리지 않도록 변경했어야 했다. 이는 말로만 했지, 실행은 안 했다는 근거가 된다.
특히 해커가 1년 동안 고객 정보를 빼내 가는데도 트래픽 체크가 안 됐다는 점은 보안 수준 문제를 넘어 황당하기 짝이 없는 일이다. 해커가 들어오면 시스템적으로 바로 인지해야 한다. 그래야 자체 조사를 하든 수사를 의뢰하든 할 수 있다. SKT나 LGU+의 경우엔 한 사람이 여러 명의 정보를 확인하면 보안담당자에게 경고가 전달되도록 시스템이 설계돼 있다.