안녕하세요 이중불꽃입니다.
많은 분들이, 지난 1월달에 발생했었던 카드 3사의 고객 개인정보 유출로 인하여 아직도 큰 불편과 정신적 고통을 받고 있는데요,
불과 두달만에 또다시 KT의 고객 개인정보가 유출되어, 우리 사회에 적지않은 충격과 함께 깊은 우려를 주고 있습니다.
KT는 이미 2012년에도 전산망이 해킹당해 약 870만명의 고객 정보가 유출된 전력이 있는 기업입니다.
그럼에도 불구하고 2년만에 발생한 이번 고객 개인 정보유출 사건은, 그 유출 경로가 홈페이지라는 점에서 KT의 보안의식이 거의 전무하였다고 봐도 무방할 것 같습니다.
이번에 적발된 수법은, 파로스 프로그램을 통한 KT홈페이지 해킹이었는데요. 이 프로그램은 인터넷에서 누구든지 쉽게 구할 수 있는 프로그램중 하나로 엄밀히 말해서 해킹이라기 보다는 서버의 취약성을 파악하는 프로그램입니다.,
어떻게 KT라는 거대기업의 IT보안이 이런 일반적인 프로그램에 무너질 수 있었는지 이해가 되지 않습니다.
개인적 생각으로서는, KT가 2012년 사건에 대한 충분한 반성이 없었던것이 아닌가 여겨지는데요.
알고리즘을 통한 적절한 대처만 했더라도 이번 사건은 사전적으로 예방이 가능했던 일이었기 때문입니다.
해커들은 어떻게 고객 개인정보를 얻을수 있었을까요?
위의 그림에서 보듯이, 파로스(Paros)프로그램을 사용했습니다.
파로스 프로그램은, 웹프록시 프로그램인데요. 이 프로그램을 설치하면, KT서버와 내 PC사이의 주고받는 데이타(Request와 Response)를 볼 수 있습니다.
웹의 취약성을 스캔 할 수 있기도 하고, KT로 보내는 내 PC의 데이타를 변조해서 보낼수도 있는것입니다.
적발된 해커들이 사용한 방법도, 취약성을 스캔한 다음 KT 홈페이지에 로그인 후 이용대금 조회란에 고유번호 9개를 무작위로 자동 입력시키는 프로그램을 이용하여, 다른 고객들의 고유번호를 찾아내 고객정보를 해킹하는 방식으로 정보를 빼내었다고 합니다.
24시간 모니터링을 하면서 트래픽에 대한 이상징후를 발견하지 못한 점과 또 이런 오래된 퍼블릭 프로그램에 대한 최소한의 대처도 하지 못한 KT 웹 필드의 담당자들은 업무태만에서 결코 자유로울 수가 없을것입니다.
앞으로 자신의 정보가 유출된 고객들이 소송을 진행할때, 이런 기술적인 고의 과실부분도 반드시 체크해야 하겠습니다.
시간이 허락하는대로, 소송과 관련하여 이번 사건의 피해를 당한 분들이 기본적으로 체크해야 될 법적인 사항들도 개인정보 보호법과 정보통신망 이용촉진 및 정보보호등에 관한 법률을 중심으로 추후에 포스팅 하겠습니다.
(우리나라는 아직도 개인정보와 관련된 판례가 많이 없고 또 재판상 기업에 대한 승소율도 희박한것이 현실입니다. 따라서 개론적이고 상식적인 수준이 되겠지만, 개인정보 유출과 관련된 법조항을 찾아보는것은 소송에 작은 도움이 될 것이라 생각합니다)
이상, [(간단설명)KT 고객 개인정보유출은 어떻게 해킹되었나-파로스 프로그램을 중심으로]에 관한 이중불꽃의 포스팅이었습니다.
