KT의 홈페이지 보안 취약점이 심각한 것으로 나타났다. 해커가 3개월간 1천200만, 하루 34만번 이상 접속했음에도 시스템이 감지하지 못했을 뿐만 아니라 KT가 운영 중인 또 다른 홈페이지 9개서도 취약점이 확인됐다.
미래창조과학부는 KT 홈페이지 해킹 경로 및 해킹 수법에 대한 민관합동조사단의 조사결과, 최근 3개월간 해커가 홈페이지에 약 1천266만번 접속한 기록(로그)을 확인했다고 25일 밝혔다.
해커의 해킹 절차는 ①해커 ID 로그인→②타인 고객번호 변조→③취약 홈페이지 접속→④타인 개인정보 수집 등 총 4단계로 이뤄졌다. 해커는 짧은 시간 동안 많은 개인정보 해킹을 위해 자동화된 프로그램을 제작, 사용한 것으로 나타났다.
해킹은 사용자의 ‘고객서비스계약번호’에 의해 조회되는 KT의 홈페이지 프로그램에서 타인의 ‘고객서비스계약번호’ 변조 여부를 확인하지 않는 취약점을 악용해 이뤄졌다.
조사단은 “개인정보(DB) 조회시 ‘고객서비스계약번호’의 본인 여부를 검증하는 단계 없이 홈페이지가 제작됐다”며 “보안장비 접속 기록 분석 결과, 특정 IP에서 일 최대 34만1천여건이 접속했으나 감지되지 못했다”고 지적했다.
이와는 별도로 정당한 가입자 여부 확인 없이 조회 가능한 9개 홈페이지 취약점도 확인됐다. 조사단은 해당 홈페이지로 접속한 기록 8만5천999건이 확인하고 검찰과 경찰 및 방송통신위원회 등에 관련 정보를 공유하고 KT에 보안조치를 요청했다.
홍진배 미래부 정보보호정책과장은 “추가적인 유사피해를 방지하기 위해 통신사, 포털, 쇼핑몰, 웹하드 등의 업체에게 취약점 점검, 보완조치를 하도록 했다”고 말했다.
다음은 홍진배 정보보호정책과장과 이동근 KISA 정보보호산업기획팀장과의 질의응답이다.
- 해킹에 사용된 프로그램이 두 종류인가
“수사기관과 공조했을 때 두 가지 프로그램을 확인했다. 첫 번째는 기존에 사고가 나자마자 경찰에서 발표한 파로스 프로그램이다. 해커가 파로스를 썼던 이유는 해킹 초기에 인증 받은 정상 로그인 정보 값(쿠키)을 획득하기 위해서다. 나머지 프로그램은 임의로 수만 개의 번호를 만들어 놓고 그것을 읽어 들여 자동으로 조회하도록 제작된 조회 프로그램이다.”
- 특정 IP에서 일 최대 34만1천건 접속했으나 KT 시스템에서 감지를 못했나
“KT 보안시스템이 있긴 하다. IPS 시스템이 있으나, 조사 결과 여기에 감지된 기록이 남아있지 않다.”
- 별도로 취약점이 발견된 9개 홈페이지는 KT 홈페이지인가
“추가로 확인된 9개 홈페이지는 KT에서 운영하는 홈페이지가 맞다. 9개 홈페이지는 추가로 확인된 해킹프로그램 안에 접속기록이 있었다. 이 프로그램이 KT에서 운영 중인 다른 사이트에서 타인의 정보를 조회할 수 있도록 했다. 현재 이를 수사기관에 알렸고, 경찰에서 이를 수사 중이다. KT에도 취약점 보완 조치를 취하라고 했다.”
- 새로 발견된 프로그램 통해서는 해킹이 이뤄지지 않았나
“이 프로그램 통해서 접속한 기록(로그)을 보니 8만5천999건 확인됐다. 정확하게 접속한 기록은 있지만 정확하게 DB를 빼내간 기록은 저장되지 않았다. 추가 피해 여부는 경찰에서 확인 중이다.”
- 경찰이 발표한 KT 개인정보 유출 데이터의 실제 피해 검증, 신뢰도에 대해서는
“유출된 데이터와 실제 피해여부 검증은 방통위 소관 사항이다. 미래부 민관합동조사단은 해킹의 경로, 수법 등 기술적인 부분 소관으로 사이버공격과 관련된 측면만 조사해서 말씀드리는 것이다. 유출된 DB에 대해서는 방통위가 조사해서 실제로 몇 명이 피해를 입었는지 발표한 것으로 알고 있다.(3.10. 방통위, KT 해킹으로 980만명, 12개 항목 유출 발표)”
- 포털, 쇼핑몰, 웹하드 등에 보안조치 요청했다. 이들도 KT와 같은 취약점을 가지고 있나
“완전히 동일한 취약점이 보고된 것은 없다. 다만 혹시나 유사한 유형(ID 탈취, 정상 로그인 후 고객정보 값을 바꿨을 때 타인의 번호가 나오는지 여부 등)의 공격이 있을 경우를 대비해 미리 점검을 해보라고 권고한 것이다.”
- KT 홈페이지가 본인 확인 단계 없이 제작됐다. 다른 홈페이지들도 이런 방식인가
“단정 짓기 어렵다. 홈페이지 개발 방법에 따라 달라질 수 있고, 이후 서비스를 어떻게 운영하느냐에 따라서 달라진다. 홈페이지를 한 번 만들고 나면 끝이 아니라 수정, 업데이트하는 과정에서 문제점을 발견할 수도 있다. 때문에 공통된 취약점이 있었다고 판단하기는 어렵고 운영, 관리하는 것이 중요하다. 조사단에서 유사 취약점에 대해 긴급 점검을 해봤을 때는 보고되지 않았다.”
- 비정상 접속을 시스템이 감지 못했다. 시스템에서 감지 못할 정도로 고도의 해킹인가
“KT가 3개월간 1천266만건, 일 최대 34만건 이상 접속 등에 대해서 몰랐던 것은 맞다. 이를 탐지했으면 조치를 취했을 것이다. 다만 이 부분에 대해서 기술적 수준을 따지기는 어렵다. 일반인이 생각하기에도 단순한 방법인 것은 맞지만 해커가 취약점을 어떻게 알아냈느냐, KT의 관리적인 문제 등은 이후의 문제다. 이 부분에 대해서는 방통위에서 별도로 조사를 진행하고 있다.”
- 추가 8만5천여건 접속기록 관련, 향후 KT의 보안조치 점검 계획은
“국제적으로 홈페이지의 대표적인 취약점 10개 정도를 권고한 것이 있다. KT에 이를 보완하도록 요청했고, 향후에 결과를 받아볼 것이다. 그렇다고 KT가 이 10개 권고안을 모두 이행하지 않은 것은 아니다. KT에 대한 1차 점검 시에는 10개 권고안과 관련된 특별한 취약점이 보고되지는 않았다.”
관련기사
- KT 해킹, 3개월간 1266만번 접속해도 몰라2014.03.25
- KT 보안팀장 피의자 조사…정보보호 소홀 혐의2014.03.25
- “KT 가입자 980만명, 12개 항목 정보유출”2014.03.25
- 황창규 KT “하나만 잘못돼도 미래 없다”2014.03.25
- 오늘 발표는 중간조사 결과다. 최종 결과가 또 나오는 것인가
“기술적, 사이버 공격 측면에서는 조사할 수 있는 것은 이것이 거의 다다. 다만 마무리하기 전에 중간발표하고, 추가적으로 미진한 부분 있었는지 여부는 확인한 후에 마무리하려고 한다. 공격 루트 관련된 것은 어느 정도 다 마무리를 했다고 보면 될 것 같다.”