KT 고객센터 홈페이지를 통해 대규모로 고객정보가 털리고 있는 와중에 정부가 취약점 점검을 해놓고서도 이 회사 보안이 비교적 양호하다는 평가를 내린 것으로 확인됐다.
이에 따라 정부의 보안 점검이 형식적이고 부실한 것 아니냐는 논란이 제기될 것으로 보인다.
7일 보안업계에 따르면, 미래창조과학부는 지난해 11월18일부터 12월3일까지 16일 간 한국인터넷진흥원(KISA)을 통해 국내 주요 이동통신사, 포털회사, 웹하드사 등 11곳을 대상으로 인터넷 홈페이지에 대한 취약점 점검을 실시했다. 당시 대상 기업에는 KT를 포함해 SK텔레콤, LG유플러스, 네이버, 다음, 네이트, 파일조, 파일노리, 위디스크, 쉐어박스, 티디스크 등이 포함된다.
미래부 설명에 따르면, 당시 주요 점검 항목은 홈페이지를 통한 악성코드 유포 및 개인정보유출 여부, 액티브X를 통해 추가적으로 설치되는 프로그램의 안전성 여부 등이다.
점검 결과 해당 홈페이지들에 악성코드 감염 및 유포, 피싱, 사용자 계정 탈취 등과 관련돼 전반적으로 취약점이 있는 것으로 나타났다. 그러나 이들 중 이통사가 가장 양호한 점수를 받았다는 점이 문제다. 이통사의 평균 취약점 개수는 0.3개, 보안위협 평가에서는 평균 13점이었다. 이 수치는 낮을수록 보안이 잘 돼 있다는 뜻인데 이통사 점수가 가장 낮은 것으로 나왔다. 점검에 참여한 진흥원 측은 그러나 개별 업체의 점수에 대해서는 비공개하기로 했다며 문제의 KT 점수가 얼마인 지는 공개하지 않았다.
다만 이통사는 웹보안시스템, 인력 및 취약점 보완절차가 갖춰져 있다는 분석 결과를 내놓았었다.
더 큰 문제는 정부가 이 조사를 하고 있을 시점에 KT의 개인 정보가 털리고 있었다는 사실이다.
KT 해킹 사건을 수사하고 있는 인천경찰청 광역수사대에 따르면, 이 사건이 외부에 드러난 것은 지난 6일이지만 해킹범 김모씨㉙가 KT를 털기 시작한 것은 이미 지난해 2월부터다. 이 조사가 진행될 시점인 지난해 11월은 김씨의 정보 탈취 활동이 무르익어갔을 때라고 볼 수도 있는 상황이다.
특히 김씨가 해킹을 위해 활용한 툴은 인터넷에 널려 있는 초보 수준인 것으로 알려지고 있다. 그런 툴로 손쉽게 해킹을 하고 있는데도 일부러 점검하면서도 알지 못했다는 게 의아스럽다.
일부 국내 보안 전문가들은 이때문에 홈페이지에서 기본적으로 점검해야 할 보안항목마저 소홀히 한 게 아닌가 싶다고 지적한다. 이번 해킹에서 취약점 가운데 하나는 한 번 로그인 한 사용자에 대해 서버에서 추가 인증을 하지 않는다는 점이다. 그러나 이런 취약점에 대한 내용은 국제웹보안표준기구(OWASP)가 매년 발표하는 보안 취약점 10개(OWASP 톱10 취약점)에 포함된 내용이기도 하다. 신종 악성코드나 해킹 수법이 사용된 것이 아닌 만큼 조금 더 잘 점검했더라면 알아낼 수 있었을 문제였던 셈이다.
OWASP 톱10 항목 중 '안전하지 않은 직접 객체 참조(Insecure Direct Object References)'가 KT 사건에 쓰인 것으로 추정되고 있다. OWASP에 따르면 공격자는 특정 시스템에서 사용자로 인증을 받은 뒤(로그인한 뒤)에 해당 사용자의 것으로 인증되지 않은 파라미터값을 변경시킬 수 있도록 한다.
관련기사
- 경찰, KT 개인정보 관리자 내주 초 소환2014.03.07
- 정부, KT 개인정보 유출 조사…2차 피해 예방2014.03.07
- 또 털린 KT, 잇단 메가톤급 악재 어쩌나2014.03.07
- KT 턴 해커가 악용한 파로스는 어떤 툴?2014.03.07
한 번 로그인 한 사용자에 대해서는 어떤 감시도 하지 않아 해당 웹사이트 내부 웹서버에 들어가 추가적인 정보를 조작할 수 있다는 설명이다. KT 사건의 경우 김씨는 KT 고객센터 홈페이지에 로그인 한 뒤에 명세서 조회번호를 무작위로 대입해 보는 수법을 썼다.
이와 관련 미래부 정보보호정책과 관계자는 해킹수법이 기존처럼 한꺼번에 대량으로 정보를 유출시키는 기존 방식과는 다르다며 공개된 웹페이지의 외부영역(로그인)에 대해서만 보안성 점검이 이뤄진 것으로 보고 있다고 말했다.