EBS, 개인정보 해킹만 벌써...

일반입력 :2012/05/24 15:03

김희연 기자

한국방송공사(EBS)가 해킹으로 400만명 개인정보가 유출돼 수사가 진행되고 있는 가운데 개인정보 유출 피해가 이번이 처음이 아닌 것으로 보인다. 지난 2월에도 고교생 해커에 의해서 일부 개인정보가 유출된 사실이 드러났다.

지난 2월 ‘신상털기’ 해커로 경찰에 검거된 고교생 해커2명이 EBS홈페이지에서 직접 만든 프로그램을 이용해 아이디와 비밀번호를 알아내 개인정보를 캐낸 사실이 보도된 바 있다.

고교생들이 만든 프로그램 하나로 EBS홈페이지 가입자 개인정보가 고스란히 노출된 것이다. 당시에도 고교생들이 개인정보를 탈취했던 기술은 그리 어렵지 않은 기술이었다. 아이디와 비밀번호를 직접 개발한 프로그램을 돌려 개인정보를 캐냈다.

물론 검거된 고교생 해커들은 이번 해킹과는 달리 다수의 개인정보가 아닌 일부 특정인들의 신상털기를 위해 개인정보 유출을 시도한 것으로 알려졌다.

보안업계에 따르면, 암호화하지 않은 데이터인 플레인텍스트(plain text)로 개인정보가 이뤄져 있었기 때문에 손쉽게 개인정보 유출이 가능했을 것이라는 설명이다. 한 번에 논란이 있었음에도 불구하고 또 다시 지난 16일 EBS는 홈페이지 해킹으로 개인정보가 유출된 것이다.

일부 보도에 따르면 이번에 유출된 개인정보 역시 EBS가 데이터베이스(DB) 암호화를 적용하지 않았던 것으로 알려졌다. 두 번의 개인정보 유출 사고에도 불구하고 개인정보 관리에 대해 크게 개선된 점이 없었다는 이야기다.

보안 전문가들은 EBS가 해킹에 취약한 이유에 대해 공개용 게시판 사용이 많다는 점도 꼽았다. 누구나 손쉽게 게시할 수 있는 공개 게시판들이 해커들에게는 주요 수단으로 이용될 수 있다.

이로 인해 EBS 해킹 역시 웹해킹에 의해 발생했을 가능성이 높은 것으로 알려졌다. 공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 웹스크립트 파일인 ‘웹셀’을 심어두고 관리자 권한을 획득해 다양한 공격을 실행할 수도 있기 때문이다.

한편 이번 EBS해킹 사건에 대해 경찰에 수사가 진행 중인 가운데 개인정보보호 관리 실태로 사건의 초점이 조명되고 있다. 해킹 수법 자체보다 침해상황이나 개인정보보호 관리 실태가 더욱 중요하다는 취지에서다.

관련기사

보안업계 한 관계자는 “EBS가 최소한의 보안 장치를 해둔 것도 문제지만 있었다고 해도 이를 제대로 관리하고 통제할 수 있는 전문가가 없었다면 무용지물과 다름없었을 것”이라면서 “EBS내 공개 게시판이 많았다면 또한 일부지만 개인정보 유출 피해가 처음이 아니라면 이러한 보안위협에 대해 대응조치가 이뤄졌어야 한다”고 말했다.

이에 대해 EBS 측은 “EBS 홈페이지에 직접적인 개인정보가 유출된 사례는 아니였다”라는 입장을 밝히며 “직접 홈페이지 해킹에 의한 개인정보가 유출된 것은 이번이 처음이다”라고 밝혔다.